Delen via


Azure-beveiligingsbasislijn voor Azure Private Link

Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmarkversie 1.0 toe op Azure Private Link. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Private Link.

U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.

Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Functies die niet van toepassing zijn op Azure Private Link zijn uitgesloten. Als u wilt zien hoe Azure Private Link volledig is toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige Azure Private Link toewijzingsbestand voor beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Azure Private Link, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Netwerken
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Waar
Inhoud van klanten in rust opgeslagen False

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Quickstart: Een privé-eindpunt maken met behulp van de Azure Portal

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar verkeer van een virtueel netwerk en Azure Load Balancers toestaan.

Naslaginformatie: Netwerkbeleid voor privé-eindpunten beheren

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0

NS-2: Cloudservices beveiligen met netwerkbesturing

Functies

Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Openbare netwerktoegang uitschakelen

Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Functieopmerkingen: met Azure Private Link hebt u toegang tot Azure PaaS-services (bijvoorbeeld Azure Storage en SQL Database) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk. Openbare netwerkcommunicatie is daarom niet van toepassing op deze service.

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Referentie: Wat is Azure Private Link?

Asset-management

Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.

Naslaginformatie: Azure Policy ingebouwde beleidsdefinities

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen