Linha de base de segurança do Azure para o IP Público do Azure
Artigo
Essa linha de base de segurança aplica diretrizes do Microsoft Cloud Security Benchmark versão 1.0 ao IP público do Azure. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao IP público do Azure.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, elas são listadas nessa linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede.
PA-7: Siga apenas o princípio da administração Just Enough ( privilégios mínimos)
Recursos
RBAC do Azure para Plano de Dados
Descrição: o RBAC do Azure (Azure Role-Based Controle de Acesso) pode ser usado para acesso gerenciado às ações do plano de dados do serviço.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
Verdadeiro
Falso
Cliente
Diretrizes de configuração: para gerenciar endereços IP públicos, sua conta deve ser atribuída à função de contribuidor de rede. Também há suporte para uma função personalizada.
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
Verdadeiro
Falso
Cliente
Notas de recurso: Azure Policy definições podem ser configuradas relacionadas a endereços IP públicos, como exigir que endereços IP públicos tenham logs de recursos habilitados para a Proteção contra DDoS do Azure Standard.
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar Azure Policy para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio da configuração detectado nos recursos. Use Azure Policy efeitos [negar] e [implantar se não existir] para impor a configuração segura entre os recursos do Azure.
LT-4: habilitar o registro em log para investigação de segurança
Recursos
Azure Resource Logs
Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
Verdadeiro
Falso
Cliente
Diretrizes de configuração: quando você tem aplicativos críticos e processos de negócios que dependem de recursos do Azure, você deseja monitorar esses recursos quanto à disponibilidade, ao desempenho e à operação. Os Logs de Recursos não são coletados e armazenados até você criar uma configuração de diagnóstico e roteá-los para uma ou mais localizações.
Explore a filtragem de tráfego de rede com o grupo de segurança de rede, configure o Microsoft Defender para Nuvem, crie um workspace do Log Analytics, configure a integração do agente do Log Analytics, a rede do Azure Key Vault e conecte um servidor SQL do Azure usando o ponto de extremidade privado do Azure no portal do Azure. Aprimore a segurança da nuvem com eficiência. (SC-5002)
Demonstre as habilidades necessárias para implementar controles de segurança, manter a postura de segurança de uma organização e identificar e corrigir vulnerabilidades de segurança.