Linha de base de segurança do Azure para Azure Firewall
Esta linha de base de segurança aplica orientações da versão 1.0 da referência de segurança da cloud da Microsoft ao Azure Firewall. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Firewall.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis aos Azure Firewall foram excluídas. Para ver como Azure Firewall mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Azure Firewall.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Azure Firewall, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Rede, Segurança |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Tutorial: Proteger a rede virtual do hub com o Azure Firewall Manager
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: Azure Firewall é um serviço gerido com várias camadas de proteção, incluindo proteção de plataforma com NSGs de nível NIC (não visualizável). Os NSGs ao nível da sub-rede não são necessários na AzureFirewallSubnet e estão desativados para garantir que não há interrupção do serviço.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Network:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja a sua sub-rede contra potenciais ameaças ao restringir o acesso à mesma com um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede para a sub-rede. | AuditIfNotExists, Desativado | 3.0.0 |
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: embora as identidades geridas de outros serviços que acedem a Azure Firewall não sejam suportadas, é utilizada uma identidade gerida para Azure Firewall para autenticar e obter certificados do Azure Key Vault.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o cliente pode ativar a inspeção TLS para o tráfego em trânsito através de Azure Firewall, o que cria duas ligações TLS dedicadas: uma com o Servidor Web (contoso.com) e outra ligação com o cliente.
O cliente também pode configurar a política de firewall para permitir apenas tráfego encriptado.
Orientação de Configuração: ative a transferência segura em serviços onde existe uma funcionalidade de encriptação de trânsito incorporada em dados nativos. Imponha HTTPS em quaisquer aplicações e serviços Web e certifique-se de que o TLS v1.2 ou posterior é utilizado. As versões legadas, como o SSL 3.0, TLS v1.0, devem ser desativadas. Para a gestão remota de Máquinas Virtuais, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.
Referência: Azure Firewall funcionalidades Premium
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: Azure Firewall gera certificados derivados do certificado de cliente no Key Vault que está encriptado. Os certificados derivados são encriptados com Chaves de Plataforma no back-end.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário
Funcionalidades
Dados na Encriptação Rest Com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: para a inspeção do TLS, Azure Firewall requer que os clientes utilizem Key Vault para fornecer o certificado intermédio utilizado para gerar certificados de servidor de ponto final no caminho de dados.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.
Nota: Key Vault é recomendado ao armazenar certificados para Azure Firewall Premium.
Referência: Azure Firewall certificados Premium
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura em todos os recursos do Azure.
Referência: Azure Policy definições de política incorporadas – Rede
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.
Referência: Monitorizar registos e métricas do Azure Firewall
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure