Linha de base de segurança do Azure para WAN Virtual
Essa linha de base de segurança aplica diretrizes do microsoft cloud security benchmark versão 1.0 para WAN Virtual. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a WAN Virtual.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, eles são listados nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetros de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Observação
Recursos não aplicáveis a WAN Virtual foram excluídos. Para ver como WAN Virtual mapeia completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança WAN Virtual.
O perfil de segurança resume comportamentos de alto impacto de WAN Virtual, o que pode resultar em maiores considerações de segurança.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | Rede |
| O cliente pode acessar HOST/SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Falso |
| Armazena o conteúdo do cliente em repouso | Falso |
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.
Descrição: o plano de dados dá suporte ao uso nativo de Key Vault do Azure para armazenamento de credenciais e segredos. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Diretrizes de configuração: verifique se os segredos e as credenciais são armazenados em locais seguros, como Key Vault do Azure, em vez de inseri-los em arquivos de código ou de configuração.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.
Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Compartilhado |
Diretrizes de Configuração: habilite a transferência segura em serviços em que há um recurso nativo de criptografia de trânsito integrado. O Microsoft Azure WAN Virtual fornece recursos de roteamento personalizados e oferece criptografia para o tráfego do ExpressRoute. Todo o gerenciamento de rota é fornecido pelo roteador do hub virtual, que também permite a conectividade de trânsito entre redes virtuais. Criptografar o tráfego do ExpressRoute com uma WAN Virtual fornece um trânsito criptografado entre as redes locais e as redes virtuais do Azure no ExpressRoute sem passar pela Internet pública nem usar endereços IP públicos.
Referência: Criptografia em trânsito
Descrição: o serviço dá suporte à integração de Key Vault do Azure para quaisquer chaves, segredos ou certificados do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Compartilhado |
Diretrizes de configuração: use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia. A VPN site a site em WAN Virtual usa chaves pré-compartilhadas (PSK) que são descobertas, criadas e gerenciadas pelo cliente em seus Key Vault do Azure. implemente o verificador de credenciais para identificar credenciais no código. O verificador de credenciais também encorajará a migração de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: Gerenciamento de ativos.
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Compartilhado |
Diretrizes de configuração: use Microsoft Defender para Nuvem para configurar Azure Policy para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio da configuração detectado nos recursos. Use Azure Policy efeitos [negar] e [implantar se não existir] para impor a configuração segura entre os recursos do Azure.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: Registro em log e detecção de ameaças.
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorar e alertar sobre problemas de segurança. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Diretrizes de Configuração: habilite os logs de recursos para o serviço de Wan Virtual e os recursos relacionados. Uma variedade de logs de recursos estão disponíveis para WAN Virtual e podem ser configurados para o recurso WAN Virtual com portal do Azure. É possível optar por enviar para o Log Analytics, transmitir por streaming para um hub de eventos ou simplesmente arquivar em uma conta de armazenamento. Há suporte para logs de recursos para VPNs do ExpressRoute e P2S/S2S.
Referência: Logs de recursos
- Confira a visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
- Saiba mais sobre a Linhas de base de segurança do Azure