Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta linha de base de segurança aplica as orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao ExpressRoute. O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis à Rota Expressa.
Você pode monitorar essa linha de base de segurança e suas recomendações usando o Microsoft Defender for Cloud. As definições de Política do Azure serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem Definições de Política do Azure relevantes, elas são listadas nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de referência de segurança na nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Os recursos não aplicáveis ao ExpressRoute foram excluídos.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto da Rota Expressa, o que pode resultar em maiores considerações de segurança.
| Atributo de Comportamento do Serviço | Valor |
|---|---|
| Categoria de Produto | Híbrido/Multi-nuvem, Rede |
| O cliente pode acessar o HOST / OS | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Verdade |
| Armazena o conteúdo do cliente em estado de repouso | Falso |
Segurança de rede
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Caraterísticas
Integração de Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: gateway ExpressRoute
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede do serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas sub-redes. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: use grupos de segurança de rede (NSG) para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gerenciamento sejam acessadas de redes não confiáveis). Lembre-se de que, por padrão, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Nota: Os clientes não podem configurar um UDR com uma rota padrão ou um NSG na GatewaySubnet.
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.Network:
| Nome (portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Gestão de identidades
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Gerenciamento de identidade.
IM-1: Usar identidade centralizada e sistema de autenticação
Caraterísticas
Autenticação do Azure AD necessária para acesso ao plano de dados
Descrição: O serviço dá suporte ao uso da autenticação do Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Métodos de autenticação local para acesso ao plano de dados
Descrição: Métodos de autenticação local suportados para acesso ao plano de dados, como um nome de usuário e senha locais. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-3: Gerencie identidades de aplicativos de forma segura e automática
Caraterísticas
Identidades gerenciadas
Descrição: As ações do plano de dados suportam autenticação usando identidades gerenciadas. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de recurso: Embora a autenticação no ExpressRoute não seja suportada por meio de identidade gerida, o serviço utiliza a identidade gerida para autenticar no Key Vault para recuperar segredos MACsec.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: O plano de dados suporta autenticação usando entidades de serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-7: Restringir o acesso a recursos com base em condições
Caraterísticas
Acesso Condicional à Camada de Dados
Descrição: o acesso ao plano de dados pode ser controlado usando as Políticas de Acesso Condicional do Azure AD. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Caraterísticas
Integração e armazenamento de suporte de credenciais e segredos de serviço no Cofre de Chaves do Azure
Descrição: O plano de dados dá suporte ao uso nativo do Cofre de Chaves do Azure para armazenamento de credenciais e segredos. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: certifique-se de que os segredos e credenciais sejam armazenados em locais seguros, como o Cofre da Chave do Azure, em vez de incorporá-los em arquivos de código ou configuração.
Referência: Configure a criptografia MACsec para o ExpressRoute Direct.
Acesso privilegiado
Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: Separe e limite usuários altamente privilegiados/administrativos
Caraterísticas
Contas de administrador local
Descrição: O serviço tem o conceito de conta administrativa local. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Siga o princípio de administração suficiente (menor privilégio)
Caraterísticas
RBAC para o Plano de Dados do Azure
Descrição: O Azure Role-Based Access Control (Azure RBAC) pode ser usado para gerenciar o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem
Caraterísticas
Caixa de Bloqueio do Cliente
Descrição: O Customer Lockbox pode ser usado para acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Proteção de dados.
DP-1: Descubra, classifique e rotule dados confidenciais
Caraterísticas
Deteção e classificação de dados confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Caraterísticas
Prevenção de Fugas/Perdas de Dados
Descrição: O serviço suporta a solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Criptografar dados confidenciais em trânsito
Caraterísticas
Encriptação de Dados em Trânsito
Descrição: O serviço suporta criptografia de dados em trânsito no plano de dados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas sobre funcionalidades: Com o IPsec sobre o Emparelhamento Privado de ExpressRoute, os clientes podem configurar uma ligação VPN e gerir a configuração para que os gateways de ExpressRoute e VPN troquem rotas. No entanto, a criptografia ainda é suportada apenas na conexão VPN – não na Rota Expressa.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-7: Use um processo seguro de gerenciamento de certificados
Caraterísticas
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Caraterísticas
Suporte de Política do Azure
Descrição: As configurações de serviço podem ser monitoradas e aplicadas por meio da Política do Azure. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Registo e deteção de ameaças
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Habilite os recursos de deteção de ameaças
Caraterísticas
Microsoft Defender para Oferta de Serviços e Produtos
Descrição: O serviço tem uma solução Microsoft Defender específica para monitorar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registro de logs para investigação de segurança
Caraterísticas
Registos de Recursos do Azure
Descrição: O serviço produz registos de recursos que podem fornecer métricas aperfeiçoadas e registos específicos do serviço. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio destino de dados, como uma conta de armazenamento ou um espaço de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: ative os registos de recursos para o serviço. Por exemplo, o Cofre da Chave dá suporte a logs de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou e o SQL do Azure tem logs de recursos que rastreiam solicitações para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Monitorando a Rota Expressa do Azure
Backup e recuperação
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Backup e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Caraterísticas
Azure Backup
Descrição: é possível fazer backup do serviço pelo serviço de Backup do Azure. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de backup nativo do serviço
Descrição: O serviço dá suporte a seu próprio recurso de backup nativo (se não estiver usando o Backup do Azure). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Usando VPN S2S como backup para emparelhamento privado de Rota Expressa
Próximos passos
- Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure