Linha de base de segurança do Azure para o Azure Front Door
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Azure Front Door. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Front Door.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis ao Azure Front Door foram excluídas. Para ver como o Azure Front Door mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança do Azure Front Door.
O perfil de segurança resume os comportamentos de alto impacto do Azure Front Door, o que pode resultar em considerações de segurança acrescidas.
Atributo comportamento do serviço | Valor |
---|---|
Product Category (Categoria de Produto) | Rede, Segurança |
O cliente pode aceder ao HOST/SO | Sem Acesso |
O serviço pode ser implementado na rede virtual do cliente | Falso |
Armazena o conteúdo do cliente inativo | Falso |
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Azure Policy definições incorporadas – Microsoft.Network:
Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja a sua sub-rede contra potenciais ameaças ao restringir o acesso à mesma com um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede para a sub-rede. | AuditIfNotExists, Desativado | 3.0.0 |
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Referência: Proteger a sua Origem com Private Link no Azure Front Door
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou de configuração.
Referência: Segredos do Azure Front Door
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: TLS ponto a ponto com o Azure Front Door
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Proteger a Origem com Private Link no Azure Front Door
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.
Referência: Criar um Front Door para a sua aplicação com certificados no Azure Key Vault
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura em todos os recursos do Azure.
Referência: Políticas do Azure Front Door
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos do Front Door para que possa aceder aos registos, como registos de Firewall de Aplicações Web do Front Door e registos de acesso do Front Door.
Referência: Registos de recursos
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure