適用于Azure 防火牆的 Azure 安全性基準
此安全性基準會從Microsoft 雲端安全性基準 1.0 版套用指引至Azure 防火牆。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控制項,以及適用于Azure 防火牆的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在 Cloud 入口網站Microsoft Defender頁面的法規合規性一節中。
當功能有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制措施和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於Azure 防火牆的功能。 若要查看Azure 防火牆如何完全對應至 Microsoft 雲端安全性效能評定,請參閱完整的Azure 防火牆安全性基準對應檔案。
安全性設定檔
安全性設定檔摘要說明Azure 防火牆的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 網路、安全性 |
| 客戶可以存取 HOST / OS | 無存取權 |
| 服務可以部署到客戶的虛擬網路 | 對 |
| 儲存待用客戶內容 | 對 |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援部署到客戶的私人虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考:教學課程:使用 Azure 防火牆 Manager 保護您的中樞虛擬網路
網路安全性群組支援
描述:服務網路流量會遵守其子網上的網路安全性群組規則指派。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
功能注意事項:Azure 防火牆是具有多個保護層的受控服務,包括具有 NIC 層級 NSG 的平臺保護 (無法檢視) 。 AzureFirewallSubnet 上不需要子網路層級 NSG,並已停用以確保不會中斷服務。
設定指引:不支援此功能來保護此服務。
適用於雲端的 Microsoft Defender 監視
Azure 原則內建定義 - Microsoft.Network:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
功能
資料平面存取所需的 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
資料平面存取的本機驗證方法
描述:支援資料平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
IM-3:安全且自動地管理應用程式身分識別
功能
受控識別
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
功能注意事項:雖然不支援用於存取Azure 防火牆之其他服務的受控識別,但Azure 防火牆的受控識別是用來向 Azure 金鑰保存庫驗證和擷取憑證。
設定指引:不支援此功能來保護此服務。
服務主體
描述:資料平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
IM-7:根據條件限制資源存取
功能
資料平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
IM-8:限制認證和祕密的公開
功能
Azure Key Vault 中服務認證和秘密支援整合和儲存
描述:資料平面支援原生使用 Azure 金鑰保存庫認證和秘密存放區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
特殊權限存取
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取。
PA-1:劃分和限制高度權限/系統管理使用者
功能
本機管理員帳戶
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
PA-7:遵循剛好足夠的系統管理 (最低權限) 原則
功能
適用于資料平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取權。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
PA-8:判斷雲端提供者支援的存取程序
功能
客戶加密箱
描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
DP-1:探索、分類及標記敏感性資料
功能
敏感性資料探索和分類
描述:Azure Purview 或 Azure 資訊保護) 等工具 (可用於服務中的資料探索和分類。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-2:監視以敏感性資料為目標的異常和威脅
功能
資料外泄/外泄防護
描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感性資料移動 (。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-3:加密傳輸中的敏感性資料
功能
傳輸中資料加密
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:客戶可以針對透過 Azure 防火牆 傳輸的流量啟用 TLS 檢查,這會建立兩個專用 TLS 連線:一個使用 Web 服務器 (contoso.com) ,另一個與用戶端連線。
客戶也可以將防火牆原則設定為只允許加密的流量。
設定指引:在內建原生資料傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版,例如 SSL 3.0、TLS v1.0。 若要遠端系統管理虛擬機器,請使用適用于 Linux) 的 SSH (或適用于 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。
DP-4:預設啟用待用資料加密
功能
使用平臺金鑰進行待用加密的資料
描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰進行加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附注:Azure 防火牆從加密金鑰保存庫的客戶憑證產生衍生憑證。 衍生憑證會在後端使用平臺金鑰進行加密。
設定指引:預設部署上啟用此設定時不需要其他設定。
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
功能
使用 CMK 進行待用資料加密
描述:服務所儲存的客戶內容支援使用客戶自控金鑰的資料待用加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-6:使用安全金鑰管理程序
功能
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-7:使用安全的憑證管理程序
功能
Azure Key Vault 中的憑證管理
描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:若要進行 TLS 檢查,Azure 防火牆要求客戶使用金鑰保存庫來提供用於在資料路徑中產生端點伺服器憑證的中繼憑證。
設定指引:使用 Azure 金鑰保存庫來建立和控制憑證生命週期,包括建立、匯入、輪替、撤銷、儲存體和清除憑證。 請確定憑證產生遵循定義的標準,而不使用任何不安全的屬性,例如:金鑰大小不足、有效期間過長、不安全的密碼編譯。 在 Azure 金鑰保存庫 和 Azure 服務中設定憑證的自動輪替,如果根據定義的排程或憑證到期時支援) ,則設定 Azure 服務 (。 如果應用程式中不支援自動輪替,請確定它們仍會使用 Azure 金鑰保存庫 和應用程式中的手動方法來輪替。
注意:建議在儲存 Azure 防火牆 Premium 的憑證時,建議使用金鑰保存庫。
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準測試:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:服務組態可以透過Azure 原則進行監視和強制執行。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Microsoft Defender for Cloud 來設定Azure 原則稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用Azure 原則 [deny] 和 [如果不存在] 效果來強制執行跨 Azure 資源的安全設定。
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
功能
適用於服務/產品供應項目的 Microsoft Defender
描述:服務具有供應專案特定的Microsoft Defender解決方案,可監視和警示安全性問題。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
LT-4:啟用安全性調查的記錄
功能
Azure 資源記錄
描述:服務會產生可提供增強服務特定計量和記錄的資源記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的資料接收,例如儲存體帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:啟用服務的資源記錄。 例如,金鑰保存庫針對從金鑰保存庫取得秘密的動作支援額外的資源記錄,而Azure SQL具有追蹤資料庫要求的資源記錄。 資源記錄的內容會依 Azure 服務和資源類型而有所不同。
備份與復原
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
功能
Azure 備份
描述:服務可由Azure 備份服務備份。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
服務原生備份功能
描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
後續步驟
- 請參閱 Microsoft 雲端安全性基準測試概觀
- 深入了解 Azure 資訊安全性基準