Řízení zabezpečení: Zabezpečení sítě
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Doporučení zabezpečení sítě se zaměřují na určení síťových protokolů, portů TCP/UDP a síťových služeb, které jsou povolené nebo odepřeny přístupu ke službám Azure.
1.1: Ochrana prostředků Azure ve virtuálních sítích
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Zákazník |
Ujistěte se, že všechna nasazení podsítě Virtual Network mají použitou skupinu zabezpečení sítě s ovládacími prvky pro přístup k síti specifické pro důvěryhodné porty a zdroje vaší aplikace. Pokud je k dispozici, pomocí privátních koncových bodů s Private Link zabezpečte prostředky služeb Azure do vaší virtuální sítě rozšířením identity virtuální sítě do služby. Pokud privátní koncové body a Private Link nejsou k dispozici, použijte koncové body služby. V případě specifických požadavků na služby si projděte doporučení zabezpečení pro danou konkrétní službu.
Případně pokud máte konkrétní případ použití, může být požadavek splněn implementací Azure Firewall.
1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových adaptérů
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Zákazník |
Použijte Azure Security Center a postupujte podle doporučení pro ochranu sítě, abyste mohli zabezpečit síťové prostředky v Azure. Povolte protokoly toku NSG a odešlete protokoly do účtu úložiště pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.
1.3: Ochrana důležitých webových aplikací
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.3 | 9.5 | Zákazník |
Nasazení Azure Web Application Firewall (WAF) před důležitými webovými aplikacemi pro další kontrolu příchozího provozu Povolte nastavení diagnostiky pro WAF a ingestování protokolů do účtu úložiště, centra událostí nebo pracovního prostoru služby Log Analytics.
1.4: Odepření komunikace se známými škodlivými IP adresami
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.4 | 12.3 | Zákazník |
Povolte ochranu před útoky DDoS Standard ve virtuálních sítích Azure, abyste mohli chránit před útoky DDoS. Pomocí Azure Security Center integrované analýzy hrozeb zamítáte komunikaci se známými škodlivými IP adresami.
Nasaďte Azure Firewall na každou síťovou hranici organizace s povolenou funkcí Threat Intelligence a nakonfigurovaným na upozornění a zamítnutí pro škodlivý síťový provoz.
Pomocí Azure Security Center přístup k síti just In Time nakonfigurujte skupiny zabezpečení sítě tak, aby omezily expozici koncových bodů na schválené IP adresy po omezenou dobu.
Pomocí Azure Security Center adaptivního posílení zabezpečení sítě doporučte konfigurace NSG, které omezují porty a zdrojové IP adresy na základě skutečného provozu a analýzy hrozeb.
1.5: Zaznamenávání síťových paketů
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.5 | 12.5 | Zákazník |
Povolte Network Watcher zachytávání paketů k prozkoumání neobvyklých aktivit.
1.6: Nasazení systémů detekce vniknutí na základě sítě nebo prevence vniknutí (IDS/IPS)
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.6 | 12.6, 12.7 | Zákazník |
Vyberte nabídku z Azure Marketplace, která podporuje funkce IDS/IPS s možnostmi kontroly datové části. Pokud detekce vniknutí nebo prevence na základě kontroly datové části není požadavkem, můžete použít Azure Firewall s funkcí Threat Intelligence. Azure Firewall filtrování založené na inteligenci hrozeb může upozorňovat a odepřít provoz do známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.
Nasaďte řešení brány firewall podle vašeho výběru na každou z hranic sítě vaší organizace, abyste zjistili nebo odepřeli škodlivý provoz.
1.7: Správa provozu do webových aplikací
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.7 | 12.9, 12.10 | Zákazník |
Nasaďte Azure Application Gateway pro webové aplikace s povoleným protokolem HTTPS/TLS pro důvěryhodné certifikáty.
Postup konfigurace Application Gateway pro použití protokolu HTTPS
Vysvětlení vyrovnávání zatížení vrstvy 7 pomocí bran webových aplikací Azure
1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.8 | 1.5 | Zákazník |
Pomocí značek služeb Virtual Network definujte řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (např. ApiManagement) do odpovídajícího zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro příslušnou službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.
Můžete také použít skupiny zabezpečení aplikací, které vám pomůžou zjednodušit složitou konfiguraci zabezpečení. Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě.
1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.9 | 11,1 | Zákazník |
Definujte a implementujte standardní konfigurace zabezpečení pro síťové prostředky pomocí Azure Policy.
Azure Blueprints můžete použít také ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resources Manageru, ovládací prvky Azure RBAC a zásady v jedné definici podrobného plánu. Podrobný plán můžete použít na nová předplatná a vyladit řízení a správu prostřednictvím správy verzí.
1.10: Zdokumentování pravidel konfigurace provozu
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.10 | 11.2 | Zákazník |
Použijte značky pro skupiny zabezpečení sítě a další prostředky související se zabezpečením sítě a tokem provozu. Pro jednotlivá pravidla skupiny zabezpečení sítě použijte pole Popis k určení obchodních potřeb a/nebo doby trvání (atd.) pro všechna pravidla, která umožňují provoz do nebo ze sítě.
Použijte některou z předdefinovaných definic Azure Policy souvisejících s označováním, například Vyžadovat značku a její hodnotu, abyste měli jistotu, že se všechny prostředky vytvoří pomocí značek a upozorní vás na existující neoznačené prostředky.
K vyhledání nebo provádění akcí na základě jejich značek můžete použít Azure PowerShell nebo Azure CLI.
1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 1.11 | 11.3 | Zákazník |
Pomocí protokolu aktivit Azure můžete monitorovat konfigurace prostředků a zjišťovat změny vašich prostředků Azure. Vytvářejte výstrahy ve službě Azure Monitor, která se aktivují při změnách důležitých prostředků.
Další kroky
- Podívejte se na další ovládací prvek zabezpečení: Protokolování a monitorování