Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Esta base de segurança baseia-se numa versão anterior do Microsoft Cloud Security Benchmark (v1.0) e pode conter orientações desatualizadas. Para as orientações de segurança mais recentes, consulte a documentação Azure Public IP.
Esta linha de base de segurança aplica orientações do Microsoft Cloud Security Benchmark versão 1.0 ao Azure Public IP. O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo está agrupado pelos controlos de segurança definidos pelo Microsoft Cloud Security Benchmark e pelas orientações relacionadas aplicáveis ao Azure Public IP.
Você pode monitorar essa linha de base de segurança e suas recomendações usando o Microsoft Defender for Cloud. As definições de Política do Azure serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem Definições de Política do Azure relevantes, elas são listadas nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de referência de segurança na nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Funcionalidades não aplicáveis ao Azure Public IP foram excluídas. Para ver como o Azure Public IP corresponde completamente ao benchmark de segurança na cloud da Microsoft, consulte o ficheiro completo de mapeamento de base de segurança do Azure Public IP.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto do Azure Public IP, o que pode resultar em considerações de segurança aumentadas.
| Atributo de comportamento de serviço | Valor |
|---|---|
| Categoria de Produto | Rede |
| O cliente pode acessar o HOST / OS | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Falso |
| Armazena o conteúdo do cliente em estado de repouso | Falso |
Segurança de rede
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Caraterísticas
Integração de Rede Virtual
Descrição: O serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de Configuração: Endereços IP públicos podem ser criados e depois associados a um recurso dentro de uma rede virtual.
Monitoramento do Microsoft Defender for Cloud
Definições incorporadas de Azure Policy - Microsoft.Network:
| Nome (portal do Azure) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Acesso privilegiado
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Acesso privilegiado.
PA-7: Siga o princípio de administração suficiente (menor privilégio)
Caraterísticas
RBAC do Azure para o Plano de Dados
Descrição: O Controlo de Acesso Azure Role-Based (Azure RBAC) pode ser usado para gerir o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de Configuração: Para gerir endereços IP públicos, a sua conta deve ser atribuída ao papel de colaborador de rede. Suporta-se também uma função personalizada.
Gestão de ativos
Para mais informações, consulte o benchmark de segurança cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Caraterísticas
Suporte de Política do Azure
Descrição: As configurações dos serviços podem ser monitorizadas e aplicadas através da Azure Policy. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: As definições da Política Azure podem ser configuradas relativamente a endereços IP públicos, como exigir que endereços IP públicos tenham registos de recursos ativados para o Azure DDoS Protection Standard.
Orientação de Configuração: Use o Microsoft Defender for Cloud para configurar o Azure Policy para auditar e aplicar configurações dos seus recursos Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos de Política Azure [negar] e [deploy se não existir] para impor uma configuração segura entre os recursos Azure.
Registo e deteção de ameaças
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Logging e deteção de ameaças.
LT-4: Ativar o registro de logs para investigação de segurança
Caraterísticas
Registos de Recursos Azure
Descrição: O serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar esses logs de recursos e enviá-los para o seu próprio destino de dados, como uma conta de armazenamento ou um espaço de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de Configuração: Quando tem aplicações críticas e processos de negócio dependentes de recursos Azure, quer monitorizar esses recursos quanto à sua disponibilidade, desempenho e operação. Os registos de recursos não são recolhidos nem armazenados até que crie uma definição de diagnóstico e os encaminhe para uma ou mais localizações.
Referência: Monitorização de endereços IP públicos
Próximos passos
- Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure