Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Model Zero Trust zakłada naruszenie i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanych sieci. Usługi zabezpieczeń sieci platformy Azure odgrywają kluczową rolę w wymuszaniu zasad zero trust przez inspekcję, filtrowanie i rejestrowanie ruchu w środowisku chmury.
Poniższe zalecenia ułatwiają ocenę i wzmocnienie poziomu zabezpieczeń sieci platformy Azure. Każde zalecenie zawiera linki do szczegółowego przewodnika opisującego sprawdzanie zabezpieczeń, jego poziom ryzyka i kroki korygowania.
Wskazówka
Niektóre organizacje mogą przyjmować te rekomendacje dokładnie tak, jak pisano, podczas gdy inne mogą zdecydować się na wprowadzenie modyfikacji na podstawie własnych potrzeb biznesowych. Zalecamy wdrożenie wszystkich poniższych kontrolek, jeśli ma to zastosowanie. Te wzorce i praktyki pomagają zapewnić podstawę bezpiecznego środowiska sieciowego platformy Azure. Więcej kontrolek zostanie dodanych do tego dokumentu w czasie.
Automatyczna ocena
Ręczne sprawdzanie tych wskazówek względem konfiguracji środowiska może być czasochłonne i podatne na błędy. Ocena Zero Trust przekształca ten proces za pomocą automatyzacji, aby przetestować te elementy konfiguracji zabezpieczeń i nie tylko. Dowiedz się więcej w Jak jest ocena Zero Trust?
Azure DDoS Protection
Usługa Azure DDoS Protection chroni zasoby publiczne przed rozproszonymi atakami typu "odmowa usługi". Poniższe zalecenia sprawdzają, czy ochrona przed atakami DDoS jest włączona i prawidłowo monitorowana.
Aby uzyskać więcej informacji, zobacz Zero Trust recommendations for Azure DDoS Protection (Zalecenia dotyczące usługi Zero Trust dla usługi Azure DDoS Protection).
| Zalecenie | Poziom ryzyka | Wpływ na użytkownika | Koszt implementacji |
|---|---|---|---|
| Ochrona przed atakami DDoS jest włączona dla wszystkich publicznych adresów IP w sieciach wirtualnych | High | Low | Low |
| Metryki są aktywowane dla publicznych adresów IP chronionych przed DDoS | Średni | Low | Low |
| Włączono rejestrowanie diagnostyczne dla publicznych adresów IP chronionych DDoS | Średni | Low | Low |
Azure Firewall
Usługa Azure Firewall zapewnia scentralizowane wymuszanie i rejestrowanie zasad zabezpieczeń sieci w sieciach wirtualnych. Poniższe zalecenia sprawdzają, czy kluczowe funkcje ochrony są aktywne.
Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące zera zaufania dla usługi Azure Firewall.
| Zalecenie | Poziom ryzyka | Wpływ na użytkownika | Koszt implementacji |
|---|---|---|---|
| Ruch wychodzący z obciążeń zintegrowanych z VNet jest kierowany przez Azure Firewall | High | Low | Średni |
| Inteligencja zagrożeń jest włączona w trybie blokowania w Azure Firewall | High | Low | Low |
| inspekcja IDPS jest włączona w trybie odmowy w Azure Firewall | High | Low | Low |
| Inspekcja wychodzącego ruchu TLS jest włączona w usłudze Azure Firewall | High | Low | Low |
| Rejestrowanie diagnostyczne jest włączone w usłudze Azure Firewall | High | Low | Low |
Zapora aplikacji internetowej Application Gateway
Usługa Azure Web Application Firewall w usłudze Application Gateway chroni aplikacje internetowe przed typowymi exploitami i lukami w zabezpieczeniach. Poniższe zalecenia sprawdzają, czy zapora aplikacji internetowej jest prawidłowo skonfigurowana i monitorowana.
Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące Zero Trust dla WAF usługi Application Gateway.
| Zalecenie | Poziom ryzyka | Wpływ na użytkownika | Koszt implementacji |
|---|---|---|---|
| Zapora aplikacyjna WAF w bramie aplikacyjnej jest włączona w trybie zapobiegania | High | Low | Low |
| Inspekcja treści żądania jest aktywna w zaporze aplikacyjnej usługi Application Gateway WAF | High | Low | Low |
| Domyślny zestaw zasad jest włączony w zaporze aplikacji typu WAF usługi Application Gateway | High | Low | Low |
| Zestaw reguł ochrony botów jest włączony i przypisany w WAF usługi Application Gateway | High | Low | Low |
| Zestaw reguł ochrony DDoS HTTP jest włączony w zaporze Application Gateway WAF | High | Low | Low |
| Ograniczanie szybkości jest włączone w zaporze sieciowej aplikacji Application Gateway | High | Low | Średni |
| Mechanizm wyzwań JavaScript jest włączony w zaporze aplikacji Application Gateway WAF | Średni | Low | Low |
| Rejestrowanie diagnostyczne jest włączone w usłudze Application Gateway WAF | High | Low | Low |
Zapora WAF usługi Azure Front Door
Usługa Azure Web Application Firewall w usłudze Front Door chroni aplikacje internetowe na brzegu sieci. Poniższe zalecenia sprawdzają, czy zapora aplikacji internetowej jest prawidłowo skonfigurowana i monitorowana.
Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące Zero Trust dla Azure Front Door WAF.
| Zalecenie | Poziom ryzyka | Wpływ na użytkownika | Koszt implementacji |
|---|---|---|---|
| Azure Front Door WAF jest włączony w trybie zapobiegania | High | Low | Low |
| Inspekcja treści żądań jest włączona w zaporze WAF Azure Front Door | High | Low | Low |
| Domyślny zestaw reguł jest przypisywany w usłudze Azure Front Door WAF | High | Low | Low |
| Zestaw reguł ochrony botów jest włączony i przypisany w usłudze Azure Front Door WAF | High | Low | Low |
| W usłudze Azure Front Door włączono ograniczanie szybkości w zaporze aplikacji internetowej | High | Low | Średni |
| Wyzwanie w języku JavaScript jest włączone w zaporze aplikacji internetowej usługi Azure Front Door | Średni | Low | Low |
| Wyzwanie CAPTCHA jest włączone w zaporze aplikacji webowej Azure Front Door | Średni | Low | Low |
| Rejestrowanie diagnostyczne jest włączone w zaporze aplikacyjnej WAF usługi Azure Front Door | High | Low | Low |