Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Deze beveiligingsbasislijn is gebaseerd op een eerdere versie van Microsoft Cloud Security Benchmark (v1.0). Zie Uw Azure Front Door beveiligen voor huidige beveiligingsrichtlijnen voor Azure Front Door.
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure Front Door. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Front Door.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Opmerking
Functies die niet van toepassing zijn op Azure Front Door, zijn uitgesloten. Als u wilt zien hoe Azure Front Door volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand van de Azure Front Door-beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Azure Front Door, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Gedragskenmerk van de service | Waarde |
|---|---|
| Productcategorie | Netwerken, beveiliging |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Onwaar |
| Slaat klantgegevens in rust op | Onwaar |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Features
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels door netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Network:
| Naam (Azure Portal) |
Description | Effect(s) | Versie (GitHub) |
|---|---|---|---|
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Features
Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Referentie: Uw oorsprong beveiligen met Private Link in Azure Front Door
Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Features
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-7: Toegang tot resources beperken op basis van voorwaarden
Features
Voorwaardelijke toegang voor data-plane
Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-8: Beperk de blootstelling van inloggegevens en geheimen
Features
Ondersteuning voor de integratie en opslag van servicegegevens en geheime sleutels in Azure Key Vault
Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: Azure Front Door Secrets
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Features
Azure RBAC voor datavlakbeheer
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Features
Versleuteling van gegevens tijdens transport
Beschrijving: De service ondersteunt versleuteling van gegevens tijdens overdracht voor het datavlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: End-to-end TLS met Azure Front Door
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Features
Sleutelbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder het genereren, distribueren en opslaan van sleutels. Roteer en herroep uw sleutels in Azure Key Vault en uw service op basis van een gedefinieerd schema, of wanneer er een buitengebruikstelling of inbreuk op een sleutel is. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Referentie: Uw oorsprong beveiligen met Private Link in Azure Front Door
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Features
Certificaatbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, rouleren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat in Azure Key Vault en de Azure-service (indien ondersteund) instellen op basis van een gedefinieerd schema of wanneer er een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, moet u ervoor zorgen dat deze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Naslaginformatie: Een Front Door maken voor uw toepassing met certificaten in Azure Key Vault
Vermogensbeheer
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Features
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen binnen Azure-resources.
Naslaginformatie: Azure Front Door-beleid
Loggen en detectie van bedreigingen
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Features
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Features
Azure Resource-logboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze logboeken voor bronnen configureren en naar hun eigen gegevensopslag verzenden, zoals een opslagaccount of een werkruimte voor loganalyse. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: schakel resourcelogboeken in voor de Front Door, zodat u toegang hebt tot de logboeken zoals Front Door Web Application Firewall-logboeken en Front Door-toegangslogboeken.
Naslaginformatie: Resource-logboeken
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen