Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi ExpressRoute. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usługi ExpressRoute.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu usługi Microsoft Defender for Cloud. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu usługi Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga / Notatka
Funkcje , które nie mają zastosowania do usługi ExpressRoute, zostały wykluczone.
Profil zabezpieczeń
Profil zabezpieczeń podsumowuje zachowania usługi ExpressRoute o dużym wpływie, które mogą spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania serwisu | Wartość |
|---|---|
| Kategoria produktu | Hybrydowe/wielochmurowe, Sieć |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje dane klienta w stanie spoczynku | Nieprawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Brama usługi ExpressRoute
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi przestrzega reguł przypisanych przez Grupy Zabezpieczeń Sieci w swoich podsieciach. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły NSG, aby ograniczyć dostęp do otwartych portów Twojej usługi (np. uniemożliwiając dostęp do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie grupy zabezpieczeń sieciowych odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i z Azure Load Balancers.
Uwaga: Klienci nie mogą skonfigurować trasy zdefiniowanej przez użytkownika z trasą domyślną ani sieciową grupą zabezpieczeń w podsieci GatewaySubnet.
Monitorowanie usługi Microsoft Defender for Cloud
Azure Policy wbudowane definicje — Microsoft.Network:
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. NSG zawierają listę reguł ACL, które zezwalają lub blokują ruch sieciowy do twojej podsieci. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Lokalne metody uwierzytelniania na potrzeby dostępu do warstwy danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
System zarządzania tożsamościami
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Mimo że uwierzytelnianie w usłudze ExpressRoute nie jest obsługiwane za pośrednictwem tożsamości zarządzanej, usługa korzysta z tożsamości zarządzanej do uwierzytelniania w Key Vault w celu pobrania wpisów tajnych protokołu MACsec.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Podmioty usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu pryncypałów serwisowych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-8: Ogranicz ujawnianie poświadczeń i tajemnic
Funkcje
Poświadczenia usługi i tajne dane wspierają integrację oraz przechowywanie w Azure Key Vault.
Opis: Warstwa danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i tajnych informacji. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzania ich w kodzie lub plikach konfiguracji.
Dokumentacja: Konfigurowanie szyfrowania MACsec dla usługi ExpressRoute Direct.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)
Funkcje
Mechanizm kontroli dostępu oparty na rolach (RBAC) w Azure dla płaszczyzny danych
Opis: Kontrola dostępu Azure Role-Based (Azure RBAC) może być używana do zarządzania dostępem do operacji płaszczyzny danych usługi. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrzynka bezpieczeństwa klienta
Opis: Customer Lockbox może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń skierowanych na poufne dane
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Ta usługa obsługuje rozwiązanie DLP, które monitoruje ruch poufnych danych w treściach klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa zapewnia szyfrowanie danych w ruchu dla warstwy danych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Dzięki protokołowi IPsec za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute klienci mogą skonfigurować połączenie sieci VPN i zarządzać konfiguracją, tak aby bramy usługi ExpressRoute i sieci VPN wymieniały trasy. Jednak szyfrowanie jest nadal obsługiwane tylko w połączeniu sieci VPN, a nie w usłudze ExpressRoute.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktowej
Opis: Usługa posiada rozwiązanie Microsoft Defender specyficzne dla oferty, które monitoruje i zgłasza alerty dotyczące problemów z zabezpieczeniami. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włącz rejestrowanie na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego źródła danych, takiego jak konto przechowywania lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji : Włącz dzienniki zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają tajemnicę z magazynu kluczy, natomiast usługa Azure SQL ma dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Dokumentacja: Monitorowanie usługi Azure ExpressRoute
Kopia zapasowa i przywracanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Możliwość tworzenia natywnych kopii zapasowych usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Proszę przejrzeć tę funkcję zabezpieczeń i ustalić, czy organizacja chce ją skonfigurować.
Dokumentacja: Używanie sieci VPN S2S jako kopii zapasowej prywatnej komunikacji równorzędnej usługi ExpressRoute