Azure-beveiligingsbasislijn voor Azure Policy
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Azure Policy. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Policy.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure Policy zijn uitgesloten. Als u wilt zien hoe Azure Policy volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige Azure Policy toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van Azure Policy, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | MGMT/Governance |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | False |
| Inhoud van klanten in rust opgeslagen | False |
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Azure Policy gebruikt een beheerde identiteit voor het herstel van niet-compatibele resources.
Configuratierichtlijnen: elke Azure Policy toewijzing kan worden gekoppeld aan slechts één beheerde identiteit. Aan de beheerde identiteit kunnen echter meerdere rollen worden toegewezen. Configuratie vindt plaats in twee stappen: maak eerst een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit en verwijs deze vervolgens de benodigde rollen toe.
Naslaginformatie: Niet-compatibele resources herstellen met Azure Policy
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure Policy maakt gebruik van de standaardversleuteling van Microsoft voor gegevens die onderweg zijn.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Dubbele versleuteling
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.GuestConfiguration:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Windows-computers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt doorgegeven, moeten uw computers gebruikmaken van de nieuwste versie van het cryptografische protocol transportlaagbeveiliging (TLS) volgens de industriestandaard. TLS beveiligt de communicatie via een netwerk door een verbinding tussen computers te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure Policy maakt gebruik van de standaardversleuteling van Microsoft voor data-at-rest.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Dubbele versleuteling
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen