Azure-säkerhetsbaslinje för Azure Private Link
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 på Azure Private Link. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure Private Link.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte gäller för Azure Private Link har exkluderats. Om du vill se hur Azure Private Link helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Azure Private Link säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet för Azure Private Link, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Nätverk |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Falskt |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Snabbstart: Skapa en privat slutpunkt med hjälp av Azure Portal
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Referens: Hantera nätverksprinciper för privata slutpunkter
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Network:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till undernätet. | AuditIfNotExists, Inaktiverad | 3.0.0 |
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure Private Link ger dig åtkomst till Azure PaaS Services (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. Därför är kommunikation med offentliga nätverk inte tillämpligt för den här tjänsten.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Vad är Azure Private Link?
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: Azure Policy inbyggda principdefinitioner
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.