Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure NAT Gateway
Artykuł
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure NAT Gateway. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące usługi Azure NAT Gateway.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure NAT Gateway, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
Atrybut zachowania usługi
Wartość
Product Category
Sieć
Klient może uzyskać dostęp do hosta/systemu operacyjnego
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet).
Dowiedz się więcej.
Obsługiwane
Domyślnie włączone
Odpowiedzialność za konfigurację
Prawda
Fałsz
Klient
Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.
Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control list (ACL), które zezwalają na ruch sieciowy do podsieci lub go odrzucają.
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy.
Dowiedz się więcej.
Obsługiwane
Domyślnie włączone
Odpowiedzialność za konfigurację
Prawda
Fałsz
Klient
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników.
Dowiedz się więcej.
Obsługiwane
Domyślnie włączone
Odpowiedzialność za konfigurację
Fałsz
Nie dotyczy
Nie dotyczy
Uwagi dotyczące funkcji: usługa zapewnia inne możliwości rejestrowania, takie jak metryki i dzienniki szczegółowych informacji.
Oceń, czy brama translatora adresów sieciowych platformy Microsoft Azure jest odpowiednia do rozwiązywania problemów, takich jak przekroczenia limitu czasu połączenia i opóźnienia połączenia z Internetem.