Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure DNS. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure DNS.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet).
Läs mer.
Stöds
Aktiverad som standard
Konfigurationsansvar
Falskt
Ej tillämpligt
Ej tillämpligt
Funktionsanteckningar: Azure DNS Private Resolver-tjänsten distribuerar slutpunkter i kundens virtuella Azure-nätverk som är i förhandsversionstillstånd.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till undernätet.
PA-7: Följ principen för precis tillräckligt med administration (minst behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder.
Läs mer.
Stöds
Aktiverad som standard
Konfigurationsansvar
Sant
Falskt
Kund
Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via inbyggda rolltilldelningar. Azure RBAC-roller kan tilldelas till användare, grupper, tjänstens huvudnamn och hanterade identiteter.
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy.
Läs mer.
Stöds
Aktiverad som standard
Konfigurationsansvar
Sant
Falskt
Kund
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och tillämpa konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem.
Läs mer.
Stöds
Aktiverad som standard
Konfigurationsansvar
Sant
Falskt
Kund
Konfigurationsvägledning: Använd Azure Defender för DNS för att övervaka frågor och identifiera misstänkta aktiviteter med behov av agenter på dina resurser.
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta.
Läs mer.
Stöds
Aktiverad som standard
Konfigurationsansvar
Sant
Falskt
Kund
Konfigurationsvägledning: Aktivera resursloggar för Azure DNS-tjänsten.
Utforska filtrering av nätverkstrafik med Nätverkssäkerhetsgrupp, konfigurera Microsoft Defender för molnet, skapa en Log Analytics-arbetsyta, konfigurera Log Analytics-agentintegrering, Azure Key Vault-nätverk och ansluta en Azure SQL-server med hjälp av Azure Private Endpoint i Azure Portal. Förbättra molnsäkerheten effektivt. (SC-5002)
Demonstrera de färdigheter som krävs för att implementera säkerhetskontroller, upprätthålla en organisations säkerhetsstatus och identifiera och åtgärda säkerhetsrisker.