Zabezpečení sítě

Zabezpečení sítě chrání cloudové úlohy před hrozbami, jako je neoprávněný přístup, porušení zabezpečení dat a přerušení služeb, a to kontrolou provozu na více hranicích. Na rozdíl od tradičních ochrany zaměřených na hraniční síť vyžadují moderní cloudová prostředí strategie hloubkové ochrany se segmentací, privátním připojením a ochranou hraničních zařízení, které řeší dynamické útoky, včetně vystavených služeb, cest laterálního pohybu a kanálů řízení a příkazů. Organizace, které implementují komplexní řízení sítě, udržují zabezpečená výchozí prostředí, zatímco ti, kteří tyto kontroly zanedbávají, čelí neomezenému laterálnímu pohybu a dlouhodobému vystavení hrozbám.

Tady jsou tři základní pilíře domény zabezpečení sítě.

Zabezpečení hranic sítě: Vynucujte přísné kontroly na hranách sítě a mezi segmenty prostřednictvím vícevrstvé hloubkové ochrany zahrnující brány firewall, ochranu před útoky DDoS, firewally webových aplikací a privátní připojení, a to podle principu nejnižších oprávnění k odepření neoprávněného provozu ve výchozím nastavení.

Související ovládací prvky:

NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
NS-3: Implementovat firewall na okraji podnikové sítě
NS-5: Nasazení ochrany DDOS
NS-6: Nasazení firewallu webových aplikací
NS-9: Privátní připojení místní nebo cloudové sítě

Použití izolace sítě: Rozdělte sítě do izolovaných segmentů v souladu se strategií segmentace podniku a úrovněmi rizik, abyste omezili šíření hrozeb, snížili prostor pro útoky a zabránili neoprávněnému laterálnímu pohybu.

Související ovládací prvky:

NS-1: Vytvoření hranic segmentace sítě

Monitorování a reakce: Udržujte nepřetržitý přehled o síťové aktivitě prostřednictvím komplexního monitorování, detekce neoprávněných vniknutí a zabezpečení protokolu, abyste mohli rychle identifikovat podezřelé chování, porušení zásad a aktivní hrozby.

Související ovládací prvky:

NS-4: Nasazení systémů detekce neoprávněných vniknutí nebo ochrany před neoprávněným vniknutím (IDS/IPS)
NS-8: Detekce a zakázání nezabezpečených služeb a protokolů
NS-10: Zajištění zabezpečení DNS (Domain Name System)

NS-1: Vytvoření hranic segmentace sítě

Azure Policy: Viz předdefinované definice zásad Azure: NS-1.

Princip zabezpečení

Segmentace sítě zahrnuje rozdělení sítě do menších izolovaných segmentů pro řízení a omezení toku provozu mezi cloudovými prostředky, aby se snížil poloměr výbuchu.

Navrhněte segmentaci sítě, abyste zajistili, že nasazení virtuální sítě odpovídá strategii segmentace podniku a různým úrovním rizika. Mezi běžné strategie segmentace patří:

Oddělte sítě typu Corpnet pomocí aplikačních sítí
Samostatné aplikační sítě
Samostatné sítě produkčního a testovacího prostředí

Další informace o klíčových strategiích segmentace sítě najdete v azure Well-Architected Framework:

Strategie segmentace Azure

Riziko ke zmírnění

Bez hranic segmentace sítě čelí organizace neomezenému laterálnímu pohybu, který útočníkům umožňuje procházet síťové infrastruktury a ohrozit vysoce hodnotné prostředky.

Expozice ploché sítě: Absence segmentace umožňuje neomezený laterální pohyb, což útočníkům umožňuje kompromitování vysoce hodnotných aktiv prostým procházením nesegmentované síťové topologie.
Cesty eskalace oprávnění: Nedostatečné hranice umožňují neoprávněné přístupové vektory, což usnadňuje eskalaci uživatelských oprávnění prostřednictvím přístupu k citlivým podsítím a úlohám.
Šíření malwaru: Nedostatečná segmentace umožňuje rychlé šíření škodlivého kódu, jako je ransomwar napříč propojenými uzly, rozšíření prostoru pro útoky a provozní dopad.
Nevidomost východního západu: Neomezený provoz mezi segmenty omezuje detekci anomálií a reakce na incidenty, což snižuje viditelnost vnitřních přesunů hrozeb a komplikuje forenzní analýzu.

MITRE ATT&CK

Počáteční přístup (TA0001): Neoprávněný přístup k sítím a vystaveným službám (např. T1190 – Exploit Public-Facing Application).
Laterální přesun (TA0008): přenesení útoku pomocí virtuálních sítí a neomezený provoz mezi podsítěmi (např. T1021 – Vzdálené služby).
Exfiltrace (TA0010): Exfiltrace dat neomezeným odchozím provozem pro neautorizované přenosy dat na externí servery (např. T1041 – Exfiltrace přes kanál C2).
Command and Control (TA0011): šíření malwaru prostřednictvím komunikace se škodlivými IP adresami nebo doménami prostřednictvím pravidel brány firewall a analýzy hrozeb (např. T1071 – protokol aplikační vrstvy).

NS-1.1: Vytvoření segmentace pomocí virtuální sítě a podsítí

Izolace virtuální sítě vytváří základní hranice zabezpečení v cloudových prostředích a umožňuje organizacím oddělit úlohy podle úrovně důvěryhodnosti, organizační jednotky nebo seskupení aplikací. Tento přístup brání neomezenému laterálnímu pohybu a snižuje poloměr výbuchu, když dojde k porušením zabezpečení, sladění síťové architektury se strategiemi segmentace podniku a principy nulové důvěryhodnosti.

Implementujte segmentaci virtuální sítě vytvořením izolovaných hranic sítě a dílčích dělení:

Návrh topologie virtuální sítě na základě strategie segmentace: Vytvořte virtuální sítě v souladu se zónami důvěryhodnosti, organizačními jednotkami nebo skupinami aplikací definovanými ve strategii segmentace podniku a zajistěte, aby každá virtuální síť představovala odlišnou hranici zabezpečení.
Izolace vysoce rizikových úloh: Identifikujte úlohy vyžadující přísnou izolaci (např. produkční databáze, systémy zpracování plateb) a nasaďte je do vyhrazených izolovaných virtuálních sítí, abyste minimalizovali expozici a zabránili křížové kontaminaci.
Vytvořte podsítě pro podrobnou segmentaci: V rámci každé virtuální sítě vytvořte jedinečné nepřekrývající se podsítě pro další segmentaci sítě na základě aplikačních vrstev (např. webové vrstvy, aplikační vrstvy, databázové vrstvy) nebo funkčních požadavků, které umožňují přesnější řízení provozu a mikros segmentaci.

NS-1.2: Omezení síťového provozu pomocí NSG

Skupiny zabezpečení sítě vynucují filtrování provozu na úrovni podsítě a síťového rozhraní, což umožňuje přesnou kontrolu nad komunikačními toky mezi síťovými segmenty a externími sítěmi. Implementací zásad odepření ve výchozím nastavení s explicitními pravidly povolení zajišťují organizace, že pouze autorizovaný provoz prochází hranicemi sítě, brání neoprávněnému přístupu a snižuje prostor pro útoky.

Implementujte omezení síťového provozu pomocí pravidel NSG:

Identifikace požadavků na komunikaci: Analyzujte prostředky v jednotlivých virtuálních sítích a seznamte se s potřebami komunikace mezi provozem na sever a východem (interním), dokumentováním požadovaných portů, protokolů, zdrojových adres a cílovými adresami legitimních obchodních funkcí.
Definujte explicitní pravidla povolení a zamítnutí: U dobře definovaných aplikací (např. třívrstvých architektur) použijte ve výchozím nastavení metodu odepření povolení výjimkou k vytvoření pravidel NSG na základě portu, protokolu, zdrojové IP adresy a cílové IP adresy, a explicitně povolte pouze nezbytný provoz při odepření všech ostatních komunikací.
Skupiny zabezpečení aplikací používejte pro složité scénáře: Když mnoho aplikací a koncových bodů komunikuje, zjednodušte správu pravidel NSG pomocí skupin zabezpečení aplikací (ASG) k logickému seskupení prostředků (např. webových serverů, databázových serverů) a pak definujte pravidla NSG založená na těchto skupinách místo explicitních IP adres, což zlepšuje udržovatelnost a snižuje složitost konfigurace.
Monitorování a optimalizace s využitím protokolů toku: Povolte protokolování toku virtuální sítě pro monitorování provozu povoleného nebo odepřeného pravidly NSG, identifikujte často zakázaný provoz, který může znamenat chybnou konfiguraci nebo často povolený provoz, který by mohl informovat optimalizaci pravidla a snížit šum protokolování.

Příklad implementace

Organizace potřebovala zabezpečit vícevrstvou aplikaci s odděleným produkčním, vývojovým a testovacím prostředím, přičemž zabránila neoprávněnému laterálnímu pohybu a externímu přístupu.

Výzva: Organizace měla třívrstvou aplikaci (web, aplikaci, databázi) se všemi prostředky v jednom rozsáhlém síťovém segmentu, která umožňuje neomezenou komunikaci mezi všemi vrstvami a prostředími. To vytvořilo významná bezpečnostní rizika, včetně potenciálního laterálního pohybu mezi produkčním prostředím a neprodukčním, neomezeným přístupem k internetu z databázových serverů a nemožností izolovat vysoce rizikové úlohy.

Přístup řešení:

Segmentace virtuální sítě podle prostředí: Vytvořili jsme samostatné virtuální sítě pro produkční prostředí (10.0.0.0/16), vývoj (10.1.0.0/16) a testování prostředí (10.2.0.0/16), vytvoření hranic izolace sítě, které brání přístupu mezi prostředími a omezení poloměru výbuchu potenciálních porušení.
Segmentace podsítě podle úrovně: V produkční virtuální síti byly vytvořeny jedinečné nepřekrývající se podsítě pro každou aplikační vrstvu – webovou vrstvu (10.0.1.0/24), aplikační vrstvu (10.0.2.0/24) a databázovou vrstvu (10.0.3.0/24) – povolení podrobného řízení provozu mezi vrstvami.
Pravidla NSG pro řízení provozu na severu–jih: Konfigurovaná pravidla NSG tak, aby odepřela veškerý příchozí provoz z internetu (0.0.0.0/0) do interních podsítí a omezila odchozí přístup k internetu jenom na důvěryhodné cíle s konkrétními pravidly, která umožňují pouze nezbytná externí připojení pro webovou vrstvu a zároveň blokovat veškerý přístup k internetu z databázové vrstvy.
Pravidla NSG pro řízení provozu východ-západ: Implementovali jsme zásady zamítnutí ve výchozím nastavení s explicitním povolením pravidel mezi vrstvami – webová vrstva povoluje odchozí provoz do aplikační vrstvy jenom na požadovaných portech, aplikační vrstva povoluje odchozí provoz do databázové vrstvy jenom na portu 1433 (SQL) a databázová vrstva odepřela veškerý ostatní příchozí provoz s výjimkou provozu z podsítě aplikační vrstvy.
Vzdálený přístup ke správě: Omezené porty pro vzdálenou správu (RDP 3389/TCP, SSH 22/TCP) pro příjem připojení pouze z důvěryhodné podsítě hostitele bastionu (10.0.0.0/26), čímž eliminuje přímý přístup k internetu k rozhraním pro správu.

Výsledek: Organizace eliminovala neomezený laterální přesun mezi aplikačními vrstvami a prostředími, výrazně snížila prostor pro útoky tím, že odebrala přímý přístup k internetu z back-endových systémů a vytvořila vynucovatelné síťové hranice v souladu s principy nulové důvěryhodnosti. Protokoly toku umožňují průběžné monitorování povoleného a odepřeného provozu pro průběžné ověřování stavu optimalizace a stavu zabezpečení.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-7, SC-32, AC-4, CM-7
PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1
Kontroly CIS v8.1: 12.1, 12.2, 12.6
NIST CSF v2.0: PR. IR-01, PR. AC-05
ISO 27001:2022: A.8.20, A.8.21
SOC 2: CC6.1, CC6.6

NS-2: Zabezpečení nativních cloudových služeb pomocí síťových ovládacích prvků

Azure Policy: Viz předdefinované definice zásad Azure: NS-2.

Princip zabezpečení

Pomocí nativních funkcí služby zabezpečte síťový přístup k prostředkům, abyste se vyhnuli a omezili vystavení prostředků nedůvěryhodné síti. Mezi tyto funkce patří:

Vytvořte privátní přístupové body ke zdrojům, abyste zabránili vystavení síťového provozu, který prochází veřejnou sítí.
Nasaďte prostředek do virtuálních sítí, kde můžete virtuální síť omezit na vytvoření privátního přístupového bodu pro službu.
Nakonfigurujte nativní brány firewall služby tak, aby omezovaly příchozí provoz nebo zakázaly přístup k veřejné síti.

Poznámka: Kromě základního řízení přístupu k síti a filtrování provozu byste měli také použít možnosti detekce hrozeb k monitorování služeb, jako je DNS (NS-10), abyste zjistili možnou exfiltraci dat.

Riziko ke zmírnění

Aktéři hrozeb využívají veřejně vystavené cloudové služby k provádění exfiltrace dat, útoků na aplikační vrstvu a zachycování provozu.

Exfiltrace dat prostřednictvím veřejných koncových bodů: Útočníci zneužívají veřejně přístupné účty úložiště, databáze nebo rozhraní API k exfiltraci citlivých dat navazováním neoprávněných připojení k vystaveným koncovým bodům, obejitím kontrolních mechanismů segmentace sítě a povolením krádeže velkých objemů dat.
Útoky na aplikační vrstvu na veřejné koncové body: Útoky DDoS (Distributed Denial of Service), injekce SQL a další zneužití aplikací cílí na veřejně vystavené webové služby, rozhraní API a databáze, zahlcením prostředků nebo využitím zranitelností způsobí přerušení služeb nebo kompromitaci dat.
Útoky man-in-the-middle: Útočníci zachycují provoz přenášený přes veřejné sítě do veřejně vystavených služeb, zachytávají přihlašovací údaje, tokeny relací nebo citlivá data přenášená bez odpovídajícího šifrování nebo privátního připojení, což umožňuje převzetí účtu nebo krádež dat.

MITRE ATT&CK

Počáteční přístup (TA0001): Neoprávněný přístup z veřejného internetového vystavení cloudových služeb (např. služby cloudového úložiště, databázové služby), zneužití cílící na veřejné koncové body (např. T1190 – Exploit Public-Facing Application).
Exfiltrace (TA0010): Exfiltrace dat přenosem provozu přes privátní virtuální síťové připojení, což snižuje riziko úniku dat na externí servery (např. T1041 – exfiltrace přes C2 kanál).
Lateral Movement (TA0008): útočník manipuluje službami ve virtuálních sítích, neoprávněný přístup mezi cloudovými zdroji (například T1021 – Vzdálené služby).

NS-2.1 Použití služby Private Link pro připojení služby

Privátní připojení eliminuje vystavení veřejného internetu cloudovým službám vytvořením přímých síťových cest ve vaší virtuální infrastruktuře. Private Link vytváří privátní koncové body s vyhrazenými IP adresami ve vašich virtuálních sítích a zajišťuje tak, aby provoz do cloudových služeb nikdy neprocháze přes veřejný internet a zachoval vzory přístupu založené na DNS. Tento přístup výrazně snižuje prostor pro útoky a zabraňuje exfiltraci dat prostřednictvím veřejně přístupných koncových bodů.

Implementace privátního připojení pro cloudové služby prostřednictvím těchto kroků:

Nasazení privátních koncových bodů pro podporované služby: Vytvořte privátní koncové body ve vaší virtuální síti pro prostředky Azure podporující službu Private Link (např. Azure Storage, Azure SQL Database, Azure Key Vault), navazujte privátní IP adresy (např. 10.0.2.4) přístupnou jenom z vaší virtuální sítě.
Konfigurace privátních zón DNS: Vytvořte zóny Azure Private DNS pro přepsání veřejného překladu DNS a zajistěte, aby se plně kvalifikované názvy domén, jako je mystorageaccount1.blob.core.windows.net, překládaly na privátní IP adresy ve vaší virtuální síti místo veřejných koncových bodů, a tím udržujte plynulé připojení aplikací využívajících přístup založený na těchto názvech.
Zakázat veřejný přístup: Nakonfigurujte nastavení na úrovni služby tak, aby po nasazení privátních koncových bodů úplně zakázala přístup k veřejné síti a zajistila tak, že veškerý provoz prochází výhradně prostřednictvím privátního připojení bez navrácení do veřejných koncových bodů.

Poznámka: Některé služby Azure můžou také umožňovat privátní komunikaci prostřednictvím funkce koncového bodu služby , ale azure Private Link se doporučuje pro zabezpečený a privátní přístup ke službám hostovaným na platformě Azure. V případě nasazení, jako jsou webové služby hostované na virtuálních počítačích Azure, se vyhněte přiřazování veřejných IP adres přímo k virtuálním počítačům, pokud to není silně odůvodněné; Místo toho jako front-end pro přístup ke službám použijte Azure Application Gateway nebo Azure Load Balancer.

Nasazení služby do virtuální sítě NS-2.2

Integrace virtuální sítě umožňuje cloudovým službám pracovat v rámci privátních sítí a navazovat přímé připojení k prostředkům hostovaným virtuálním sítím bez vystavení veřejného internetu. Nasazením služeb do virtuálních sítí získávají organizace podrobnou kontrolu nad síťovým provozem prostřednictvím skupin zabezpečení a směrovacích tabulek a přitom udržují izolaci služeb před externími hrozbami.

Nasazení služeb s integrací virtuální sítě, kde je podporováno:

Nasazení služeb do virtuálních sítí: Pro služby podporující integraci virtuální sítě (např. Azure App Service, Azure Functions, Azure Container Instances) nakonfigurujte nasazení do nových nebo existujících virtuálních sítí, určete odpovídající podsítě v souladu se strategií segmentace a povolte privátní komunikaci s jinými prostředky virtuální sítě.
Konfigurace ovládacích prvků zabezpečení sítě: Pomocí pravidel skupiny zabezpečení sítě (NSG) u podsítě služby omezte příchozí a odchozí provoz, implementujte přístup s nejnižšími oprávněními tím, že povolíte pouze potřebnou komunikaci do konkrétních cílů (např. podsítí databáze, koncové body úložiště) a zároveň zakážete veškerý ostatní provoz.

NS-2.3 Konfigurace nativního firewallu služby

Brány firewall na úrovni služby poskytují hloubkovou ochranu tím, že omezují přístup k síti na úrovni prostředků a doplňují ovládací prvky síťové vrstvy hranicemi zabezpečení specifické pro aplikace. Tyto nativní funkce brány firewall umožňují organizacím omezit vystavení konkrétním rozsahům IP adres nebo virtuálním sítím a v případě potřeby zcela zakázat veřejný přístup, což snižuje prostor pro útoky bez nutnosti složitých změn topologie sítě.

Nakonfigurujte firewally služby pro omezení přístupu:

Povolení funkcí brány firewall služby: Pro služby, které podporují nativní brány firewall (např. Azure Storage, Azure SQL Database, Azure Key Vault), povolte funkce brány firewall buď během vytváření prostředků, nebo pro stávající prostředky, abyste mohli řídit, které sítě mají přístup ke službě.
Definujte pravidla založená na protokolu IP nebo virtuální síti: Nakonfigurujte pravidla brány firewall tak, aby umožňovala přístup pouze z konkrétních rozsahů veřejných IP adres (např. podnikových sítí) nebo konkrétních podsítí virtuální sítě Azure, která implementují přístup s nejnižšími oprávněními tím, že zamítnou všechny ostatní zdroje.
Pokud je to možné, zakažte veřejný přístup: Pokud služby vyžadují přístup pouze z privátních sítí, pomocí přepínače úplně zakažte přístup k veřejné síti a zajistěte, aby služba byla nedostupná z internetu bez ohledu na pravidla založená na PROTOKOLU IP.

NS-2.4 Použít bezpečnostní perimetr sítě pro izolaci prostředků PaaS

Obvod zabezpečení sítě vytváří hranici logické sítě kolem několika prostředků PaaS, což umožňuje zabezpečenou komunikaci mezi službami v rámci explicitní důvěryhodné hraniční sítě a zároveň brání neoprávněnému exfiltraci dat. Na rozdíl od kontrolních mechanismů pro jednotlivé prostředky poskytuje hraniční síť jednotnou hranici zabezpečení, která umožňuje komunikaci uvnitř hraniční sítě bez individuálních pravidel přístupu a ve výchozím nastavení blokuje externí přístup.

Implementace hraniční sítě pro zabezpečení prostředků PaaS:

Vytvoření a přidružení prostředků: Vytvořte hraniční síť a přidejte podporované prostředky PaaS (Azure Storage, SQL Database, Key Vault, Event Hubs, Cosmos DB) prostřednictvím přidružení prostředků, což umožňuje komunikaci uvnitř hraniční sítě, kde mohou přidružené prostředky volně komunikovat.
Konfigurace režimů přístupu a pravidel: Začněte režimem přechodů, abyste porozuměli vzorům přístupu před přechodem do režimu Vynuceno, abyste dosáhli maximální ochrany. Definujte explicitní pravidla příchozího a odchozího přístupu pomocí IP adres, předplatných nebo plně kvalifikovaných názvů domén pro řízení provozu mimo hraniční síť při zachování stavu výchozího zamítnutí.
Povolení monitorování a integrace služby Private Link: Nakonfigurujte diagnostické protokoly pro zachycení pokusů o přístup a porušení zásad. Provoz privátního koncového bodu se automaticky povoluje do hraniční sítě a doplňuje připojení typu VNet-to-PaaS ovládacími prvky exfiltrace dat na úrovni hraniční sítě.

Příklad implementace

Organizace potřebovala zabezpečit back-end databáze a zdroje úložiště a zároveň povolit přístup z aplikačních služeb, aniž by byly zdroje vystaveny veřejnému internetu.

Výzva: Organizace měla účty Azure SQL Database a Azure Storage s výchozími veřejnými koncovými body, které zpřístupňuje z internetu a vytváří významná rizika exfiltrace dat. Aplikační služby byly nasazeny s veřejnými IP adresami a chybí integrace virtuální sítě, což brání řízení přístupu na základě privátní sítě. Brány firewall na úrovni služby nebyly nakonfigurovány, což umožňovalo neomezený přístup z jakéhokoli zdroje po úspěšném ověření.

Přístup řešení:

Koncové body služby Private Link pro služby PaaS: Nasazené privátní koncové body pro Azure SQL Database (přiřazené privátní IP adresy 10.0.2.4) a účet Azure Storage (přiřazená privátní IP adresa 10.0.2.5) v rámci vyhrazené podsítě privátního koncového bodu (10.0.2.0/24), které směruje provoz přes páteřní síť Azure bez ohrožení internetu.
Privátní zóny DNS pro rozlišení názvů: Vytvořili jsme zóny Azure Private DNS pro nahrazení veřejného překladu DNS, zajišťující překlad plně kvalifikovaných názvů domény aplikací (např. mysqldb.database.windows.net, mystorageaccount.blob.core.windows.net) na privátní IP adresy v rámci virtuální sítě namísto veřejných koncových bodů, čímž se udržuje bezproblémové připojení pro aplikace využívající přístup založený na plně kvalifikovaném názvu domény.
Integrace virtuální sítě pro aplikační služby: Nakonfigurovaná integrace virtuální sítě pro Azure App Service, nasazení aplikace do podsítě aplikace (10.0.1.0/24), která umožňuje přímou komunikaci s privátními koncovými body bez nutnosti veřejných IP adres nebo internetového směrování.
Nativní brány firewall služby: Povolte brány firewall na úrovni služeb ve službě Azure Storage za účelem omezení přístupu ke konkrétním podsítím VNets (podsíť aplikace 10.0.1.0/24) a důvěryhodným službám Microsoftu. Úplně zakažte přístup k veřejné síti na úrovni služby pro Azure SQL Database, aby bylo vynuceno pouze privátní připojení.
Pravidla NSG pro hloubkovou ochranu: Použití pravidel NSG pro podsíť aplikace umožňující odchozí provoz pouze do podsítě privátního koncového bodu (10.0.2.0/24) na požadovaných portech (443 pro Storage, 1433 pro SQL) implementuje řízení přístupu s nejnižšími oprávněními, které doplňuje ochranu na úrovni služeb.

Výsledek: Organizace eliminovala vystavení veřejného internetu pro back-endové prostředky, což výrazně snižuje rizika exfiltrace dat a prostor pro útoky. Privátní připojení zajistilo, že veškerý provoz mezi aplikacemi a datovými službami zůstal v páteřní síti Azure bez procházení veřejného internetu, zatímco vrstvené ovládací prvky (Private Link, zóny DNS, brány firewall služeb, skupiny zabezpečení sítě) poskytovaly hloubkovou ochranu v souladu s principy nulové důvěryhodnosti.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-7(4), SC-7(5), AC-4(21)
PCI-DSS v4: 1.3.1, 1.3.2, 1.4.2
Kontroly CIS v8.1: 12.4, 12.7
NIST CSF v2.0: PR. AC-05, PR. DS-05
ISO 27001:2022: A.8.20, A.8.22
SOC 2: CC6.1, CC6.6

NS-3: Nasazení brány firewall na okraji podnikové sítě

Azure Policy: Viz předdefinované definice zásad Azure: NS-3.

Princip zabezpečení

Pomocí brány firewall na hraniční síti můžete provádět pokročilé filtrování síťového provozu do a z externích sítí, jako je internet, a mezi interními síťovými segmenty.

Zásady brány firewall by měly obsahovat minimálně:

Blokování známých chybových IP adres a lokalit
Omezte vysoce rizikové protokoly, jako jsou protokoly pro vzdálenou správu a intranetové protokoly v hraničních sítích, abyste zabránili neoprávněnému přístupu nebo laterálnímu pohybu.
Vynucujte pravidla aplikace tak, aby povolovala pouze schválené externí cíle a blokovala neautorizované nebo rizikové weby.

Riziko ke zmírnění

Nežádoucí uživatelé zneužívají ohrožení zabezpečení vystavená veřejným nebo nedůvěryhodným sítím prostřednictvím přístupných protokolů, škodlivých domén a slabých síťových kontrol.

Neoprávněný přístup přes vystavené protokoly: Veřejně přístupné protokoly, jako je RDP (TCP 3389) nebo SMB (TCP 445), umožňují útočníkům získat neoprávněný vstup a ohrozit integritu systému prostřednictvím zneužití, jako jsou útoky cílené hrubou silou nebo CVE.
Malware a phishing prostřednictvím škodlivých domén nebo IP adres: Škodlivé domény a IP adresy usnadňují doručování malwaru nebo phishingové kampaně, ohrožení koncových bodů a citlivých dat prostřednictvím útoků na příkazy a kontrolu nebo sociální inženýrství.
Exfiltrace dat prostřednictvím neomezeného odchozího provozu: Nekontrolovaný odchozí provoz na neschválená místa umožňuje útočníkům exfiltrovat citlivá data, riskování porušení bezpečnosti a nedodržení předpisů prostřednictvím tajných kanálů, jako jsou HTTPS POST požadavky.
Laterální pohyb kvůli špatné segmentaci: Nedostatečná segmentace sítě umožňuje útočníkům interně přecházet, zneužívat provoz mezi segmenty (např. SMB, Kerberos) k šíření z ohrožených systémů.
Ohrožení zabezpečení z nedůvěryhodných aplikací nebo adres URL: Přístup k rizikovým nebo nedůvěryhodným adresám URL a aplikacím zvyšuje riziko zneužití, zvyšuje rizika incidentů a nedodržuje zákonné standardy.

MITRE ATT&CK

Počáteční přístup (TA0001): Neoprávněný přístup k vysoce rizikovým protokolům (např. RDP/TCP 3389, SSH/TCP 22) nebo škodlivým doménám (např. T1190 – Zneužití Public-Facing aplikace).
Command and Control (TA0011): malware, který se připojuje ke škodlivým IP adresám/doménám (např. T1071 – Protokol aplikační vrstvy).
Exfiltrace (TA0010): Neoprávněné přenosy dat přes odchozí provoz do neschválených cílů (např. T1041 – Exfiltrace přes kanál C2).
Laterální pohyb (TA0008): inhibuje interní otáčení prostřednictvím nefiltrovaného provozu mezi segmenty (např. SMB/TCP 445, Kerberos/TCP 88) (např. T1021 – Vzdálené služby).

Příprava na nasazení brány Azure Firewall NS-3.1

Nasazení služby Azure Firewall vyžaduje správnou topologii sítě, která umožňuje centralizovanou kontrolu provozu napříč hranicemi sítě. Architektury hub-and-spoke umisťují bránu firewall v jádru sítě a směrují veškerý provoz paprsků přes centrální inspekční bod, zatímco uživatelsky definované trasy zajišťují, že tok provozu sleduje zamýšlené cesty. Tato příprava vytváří základ pro komplexní ochranu okrajů a filtrování mezi segmenty.

Příprava síťové infrastruktury pro nasazení služby Azure Firewall:

Nastavení topologie virtuální sítě typu hub/spoke: Nasaďte Azure Firewall do hub VNet pro centrální správu a zabezpečení provozu napříč několika spoke VNets, které hostují aplikační úlohy, čímž se vytvoří jediný vynucovací bod pro zásady zabezpečení sítě.
Spojení paprskových virtuálních sítí: Pomocí partnerských vztahů VNet můžete připojit každou paprskovou VNet k hubové VNet, kde je nasazen Azure Firewall, což umožňuje komunikaci mezi paprsky prostřednictvím hubu, přičemž je zachována izolace sítě.
Konfigurace tras definovaných uživatelem (UDR): Vytvořte směrovací tabulky směrující síťový provoz z paprskových VNetů prostřednictvím služby Azure Firewall v centrální síti, včetně tras pro odchozí přenosy na internet (0.0.0.0/0) a volitelně pro komunikaci mezi paprskovými sítěmi, pokud tato komunikace vyžaduje kontrolu.

NS-3.2 Nasazení služby Azure Firewall s příslušnými zásadami

Azure Firewall poskytuje stavové filtrování přenosů na úrovni aplikační vrstvy s centrální správou zásad napříč podnikovými síťovými segmenty. Zkombinováním síťových pravidel, pravidel aplikací a analýzy hrozeb brána firewall kontroluje toky provozu ve více vrstvách, zatímco filtrování adres URL a kontrola protokolu TLS umožňují podrobnou kontrolu nad komunikací HTTP/HTTPS. Správné návrh zásad vyrovnává požadavky na zabezpečení s provozními potřebami prostřednictvím hierarchií strukturovaných pravidel a filtrování podle kategorií.

Nasazení a konfigurace služby Azure Firewall pomocí komplexních zásad:

Nasazení služby Azure Firewall ve virtuální síti centra: Nasaďte azure Firewall (úroveň Standard nebo Premium na základě potřebných funkcí) ve virtuální síti centra a přiřaďte jak veřejné IP adresy pro provoz vázaný na internet, tak privátní IP adresy pro interní směrování z paprskových virtuálních sítí.
Vytvořte zásady brány firewall s pravidly filtrování: Definujte zásady služby Azure Firewall obsahující pravidla sítě (filtrování založené na IP/protokolu portu), pravidla aplikací (filtrování na základě plně kvalifikovaného názvu domény) a pravidla pro detekci hrozeb, pravidla jsou uspořádána do kolekcí na základě požadavků na zabezpečení (např. povolit důležité obchodní služby, blokovat škodlivé IP adresy, zakázat rizikové kategorie).
Konfigurace filtrování adres URL pro provoz HTTP/HTTPS: Implementujte pravidla aplikací založená na plně kvalifikovaném názvu domény pro povolení nebo zamítnutí konkrétních domén (např. povolit *.microsoft.com, odepřít *.torrent) a nakonfigurovat filtrování na základě kategorií tak, aby blokovaly celé kategorie webů (např. Hacking, Sociální média) a povolovaly kategorie související s prací.
Povolení kontroly protokolu TLS pro rozšířené filtrování: V případě nasazení na úrovni Premium povolte kontrolu protokolu TLS tak, že nahrajete certifikáty do služby Azure Key Vault a umožníte bráně firewall dešifrovat, zkontrolovat a znovu zašifrovat provoz HTTPS, aby bylo možné provádět hlubší filtrování adres URL a detekci hrozeb nad rámec kontroly založené na SNI.

Příklad implementace

Organizace s více aplikačními úlohami napříč různými paprskovými virtuálními sítěmi potřebovala centrální kontrolu bezpečnosti sítě pro veškerý provoz směřující na internet a komunikaci mezi jednotlivými paprskovými virtuálními sítěmi, zatímco současně brání přístupu ke škodlivým doménám a neschváleným kategoriím webových stránek.

Výzva: Organizace měla pracovní zátěže nasazené v samostatných paprskových virtuálních sítích s přímým přístupem k internetu, což vedlo k nekonzistentním zásadám zabezpečení a nemožnosti centrálně kontrolovat provoz. Každá odbočka měla vlastní pravidla NSG, což vedlo k odchylce zásad a nedostatkům v zabezpečení. Nebyla žádná viditelnost odchozích připojení k potenciálně škodlivým doménám, žádná schopnost blokovat rizikové kategorie webů (sociální média, sdílení souborů) a žádné kontroly obsahu provozu HTTPS. Mezi-spojnicový provoz volně proudil bez kontroly, tím se umožňuje potenciální laterální pohyb po kompromitaci.

Přístup řešení:

Topologie paprsků s centralizovaným firewallem: Služba Azure Firewall Premium nasazena ve virtuální síti centra (10.0.0.0/16) s vyhrazenou sítí AzureFirewallSubnet (10.0.1.0/26, privátní IP adresa firewallu 10.0.1.4), zřízením jednotného místa pro vynucení pro všechny kontroly síťového provozu a správu zásad.
Partnerské propojení virtuálních sítí pro připojení paprsků: K připojení paprskových virtuálních sítí aplikace (10.1.0.0/16) a paprskových virtuálních sítí databáze (10.2.0.0/16) k centrální virtuální síti bylo použito propojení VNet, což umožňuje centralizované směrování provozu přes firewall.
Trasy definované uživatelem pro řízení provozu: Vytvořili jsme směrovací tabulky v každé spoke VNet, které přesměrovávají veškerý provoz směřující na internet (0.0.0.0/0) a provoz mezi spoky na privátní IP adresu služby Azure Firewall (10.0.1.4), tím se veškerý výchozí provoz přesouvá přes centrální kontrolní bod.
Zásady brány firewall s vícevrstvým filtrováním: Definované komplexní zásady služby Azure Firewall , včetně pravidel sítě (povolení DNS UDP/53 pro Azure DNS, odepření všech ostatních protokolů ve výchozím nastavení), pravidel aplikací (povolení plně kvalifikovaných názvů domén pro důležité obchodní informace, jako jsou *.microsoft.com, odepření domén sdílení souborů, jako jsou *.torrent), a pravidel analýzy hrozeb (blokování známých škodlivých IP adres z informačních kanálů hrozeb v programu Microsoft Defender).
Blokování založené na adresách URL a filtrování podle kategorií: Implementovali jsme pravidla pro aplikace založená na FQDN pro přesnou kontrolu domén a filtrování podle kategorií, které blokuje celé kategorie webů (Hacking, sociální média, hazardní hry) a zároveň umožňuje kategorie související s prací (Obchod/Ekonomika, Technologie/Internet), vynucování přijatelných zásad použití na hraničních zařízeních sítě.
Kontrola protokolu TLS pro provoz HTTPS:Povolili jsme kontrolu protokolu TLS s certifikáty uloženými ve službě Azure Key Vault, což bráně firewall umožňuje dešifrovat, kontrolovat a znovu šifrovat provoz HTTPS pro hlubší filtrování adres URL a detekci hrozeb nad rámec kontroly založené na SNI a současně vyloučit citlivé bankovní domény z dešifrování podle požadavků na dodržování předpisů.

Výsledek: Organizace vytvořila centralizovanou viditelnost a kontrolu nad veškerým internetovým provozem a provozem mezi paprsky sítí, čímž eliminovala odchylky v zásadách a bezpečnostní slepá místa. Kontrola protokolu TLS povolila detekci hrozeb skrytých v šifrovaných přenosech HTTPS, zatímco filtrování založené na kategoriích výrazně snížilo vystavení rizikovému webovému obsahu. Hvězdicová architektura poskytuje škálovatelný a konzistentní stav zabezpečení napříč všemi úlohami s jednotnou správou zásad a komplexní ochranou před hrozbami.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-7, SC-7(5), AC-4, SI-4(4)
PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1, 1.4.2
Kontroly CIS v8.1: 9.2, 9.3, 13.1
NIST CSF v2.0: PR. AC-05, PR. PT-04, DE. CM-01
ISO 27001:2022: A.8.20, A.8.22
SOC 2: CC6.1, CC6.6, CC7.2

NS-4: Nasazení systémů detekce neoprávněných vniknutí nebo ochrany před neoprávněným vniknutím (IDS/IPS)

Princip zabezpečení

Pomocí systémů detekce vniknutí do sítě a prevence neoprávněných vniknutí (IDS/IPS) můžete zkontrolovat provoz sítě a datové části do a z vašich úloh nebo virtuálních sítí. Ujistěte se, že idS/IPS jsou vždy vyladěné tak, aby poskytovaly vysoce kvalitní výstrahy pro vaše řešení SIEM.

Poznámka: Pro podrobnější detekci a prevenci na úrovni hostitele použijte řešení IDS/IPS založené na hostiteli nebo řešení detekce a odpovědi na základě hostitele (EDR) ve spojení se síťovým IDS/IPS.

Riziko ke zmírnění

Nežádoucí uživatelé zneužívají chyby zabezpečení v protokolech, aplikacích a interním provozu za účelem provádění škodlivých aktivit.

Zneužití protokolu: Ohrožení zabezpečení v protokolech, jako je RDP (TCP 3389) nebo HTTP/HTTPS (TCP 80/443), umožňují neoprávněný přístup nebo ohrožení systému prostřednictvím zneužití, jako jsou útoky cílené na CVE.
Komunikace mezi příkazy a řízením (C2): Škodlivé servery vytvářejí kontrolu nad ohroženými zařízeními prostřednictvím dotazů DNS nebo zpětných volání založených na IP adresách, což usnadňuje trvalé zneužití nebo šíření malwaru.
Zneužití aplikací: Útoky, jako je injektáž SQL, cross-site skriptování (XSS) nebo přetečení vyrovnávací paměti, cílí na zranitelnosti aplikací za účelem krádeže dat nebo spuštění libovolného kódu.
Laterální pohyb: Neobvyklý interní provoz, jako je enumerace SMB (TCP 445) nebo zneužití lístku Kerberos (TCP 88), signalizuje útočníkovu schopnost pohybovat se v rámci sítě.
Exfiltrace dat: Neoprávněné přenosy dat probíhají přes šifrované kanály (např. HTTPS POSTy) nebo odchozí přenosy s velkým objemem dat, při použití obfuskace k vyhnutí se detekci.

MITRE ATT&CK

Počáteční přístup (TA0001): Neoprávněné vniknutí prostřednictvím zneužití, které cílí na ohrožení zabezpečení sítě (např. T1190 – Exploit Public-Facing Application).
Spuštění (TA0002): spuštění škodlivého kódu z zneužití ohrožení zabezpečení nebo datových částí C2 (např. T1059 – interpret příkazů a skriptů).
Command and Control (TA0011): Komunikace malwaru C2 probíhá za využití DNS dotazů nebo callbacků založených na IP (např. T1071 – Application Layer Protocol).
Laterální pohyb (TA0008): neobvyklý interní provoz (např. výčet SMB) indikující pivoting (např. T1021 – Vzdálené služby).
Exfiltrace (TA0010): Neoprávněné přenosy dat přes šifrované nebo obfuskované kanály (např. T1041 – Exfiltrace přes kanál C2).

NS-4.1 Nasazení služby Azure Firewall Premium pro IDPS

Systémy detekce vniknutí a prevence poskytují identifikaci hrozeb založených na podpisu tím, že odpovídají vzorům síťového provozu proti známým podpisům útoku, což umožňuje blokování pokusů o zneužití a škodlivé komunikace v reálném čase. Funkce IDPS služby Azure Firewall Premium nabízí nepřetržitě aktualizované knihovny podpisů, které zahrnují zneužití, malware, řízení a kategorie útoků phishing a současně podporují režimy pouze výstrah a prevence. Správný výběr a ladění podpisu zajišťuje detekci s vysokou věrností a minimalizuje falešně pozitivní výsledky.

Nasazení a konfigurace IDPS prostřednictvím služby Azure Firewall Premium:

Nasazení služby Azure Firewall Premium: Nasaďte službu Azure Firewall Premium se zásadami Premium ve virtuální síti centra, abyste umožnili funkce IDPS spolu s dalšími pokročilými funkcemi, jako je kontrola protokolu TLS a filtrování adres URL.
Vyberte pravidla podpisu IDPS: Zvolte pravidla podpisu IDPS z knihovny podpisů na základě priorit hrozeb, počínaje signaturami s vysokou závažností v kritických kategoriích, jako je Malware, Exploits a Phishing, které odpovídají profilu hrozeb a odolnosti proti rizikům vaší organizace.
Konfigurace režimu IDPS: Nastavte režim IDPS na režim upozornění, který zpočátku umožňuje testovat a ladit sledování shody podpisů bez blokování provozu, pak přechod na režim výstrah a zamítnutí pro produkční prostředí, aby se aktivně zabránilo zjištěným hrozbám při zachování výstrah pro monitorování zabezpečení.
Vyladění podpisů: Upravte jednotlivá pravidla podpisu na základě provozních zkušeností, zakázáním nebo snížením priority podpisů, které generují nadměrné falešně pozitivní detekce, a zároveň zajistěte, aby podpisy s vysokou prioritou zůstaly aktivní, čímž optimalizují poměr signálu k šumu pro týmy operací zabezpečení.

Příklad implementace

Organizace potřebovala chránit kritickou infrastrukturu před známými zneužitími a útoky s nulovým dnem a přitom udržovat přehled o aktivitách hrozeb bez narušení legitimních obchodních operací.

Výzva: Organizace provozovala vícevrstvé webové aplikace zpracovávající finanční transakce bez detekce hrozeb založených na podpisu nad rámec základních pravidel brány firewall. Bezpečnostní týmy nezjistily přehled o pokusech o zneužití, které cílí na aplikační servery, neměly možnost zjišťovat komunikaci pomocí příkazů a řízení a zaznamenaly falešně pozitivní výstrahy z obecných řešení IDS vyžadujících rozsáhlé ladění.

Solution:

Azure Firewall Premium s IDPS: Nasadili Azure Firewall Premium v centrální virtuální síti, což umožňuje funkce IDPS spolu s kontrolou protokolu TLS a filtrováním adres URL, zavedením centralizované detekce hrozeb založené na podpisech pro veškerý provoz spojovacích virtuálních sítí.
Výběr pravidla podpisu: Vybrané podpisy IDPS s vysokou závažností z kritických kategorií, mezi které patří Malware (Cobalt Strike, Metasploit, ransomware C2), Exploits (PaperCut CVE-2023-27350, Log4Shell, ProxyShell), Phishing (získávání přihlašovacích údajů) a vzory command-and-control.
Režim upozornění a ladění: Nakonfigurované IDPS v režimu upozornění pro počáteční testování tak, aby sledovalo shody podpisů bez blokování provozu, analýzy výstrah za účelem identifikace falešně pozitivních výsledků z legitimních nástrojů DevOps a volání partnerského rozhraní API a následné vytvoření výjimek podpisů pro známé dobré scénáře a zachování aktivních podpisů CVE s vysokou prioritou.
Přechod režimu prevence: Přechod z IDPS na režim výstrah a zamítnutí pro produkční prostředí po ověření, aktivně blokuje zjištěné hrozby, včetně pokusů o zneužití PaperCut, útoků Log4Shellu a komunikace C2.
Integrace služby Sentinel: Nakonfigurované diagnostické protokoly pro Log Analytics, vytvořily analytická pravidla služby Sentinel, která se týkají detekcí IDPS s událostmi ověřování, a vytvořily automatizované vytváření incidentů pro výstrahy s vysokou závažností.

Výsledek: Pokusy o zneužití byly úspěšně zablokovány, aby se zabránilo vzdálenému spuštění kódu. Byla odstraněna kritická zranitelnost, než došlo k jejímu zneužití. Míra falešně pozitivních výsledků se podstatně snížila, zatímco bylo zachováno úplné pokrytí CVE. Bezpečnostní týmy dosáhly rychlé kontroly výstrah a reakce na incidenty, která zajišťuje nepřetržitou viditelnost hrozeb s aktivními informacemi pro proaktivní obranu.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SI-4, SI-4(4), SI-4(5), SC-7(5)
PCI-DSS v4: 11.4.1, 11.4.2, 1.4.1
Kontroly CIS v8.1: 13.2, 13.6, 13.7
NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. CM-07
ISO 27001:2022: A.8.16, A.8.22, A.5.24
SOC 2: CC6.1, CC7.2

NS-5: Nasazení ochrany DDOS

Azure Policy: Viz předdefinované definice zásad Azure: NS-5.

Princip zabezpečení

Nasaďte ochranu před útoky DDoS napříč různými úrovněmi, abyste efektivně zmírňovali útoky, které cílí na různé služby a protokoly v síťových i aplikačních vrstvách.

Riziko ke zmírnění

Aktéři hrozeb napadají sítě, servery nebo aplikace pomocí přehlcení škodlivým provozem s cílem způsobit přerušení služeb.

Objemové útoky (zahlcení sítě): Útočníci zahltí síťová rozhraní masivním objemem provozu (např. miliony paketů za sekundu) k vyčerpání šířky pásma, zpracovatelské kapacity směrovačů či prostředky balancerů zátěže, což způsobuje nedostupnost služeb. Mezi příklady patří záplavy UDP, záplavy ICMP nebo amplifikované reflexní útoky DNS používající protokoly, jako jsou NTP nebo SSDP.
Útoky protokolu (vyčerpání stavu): Útočníci zneužívají chyby zabezpečení protokolu vrstvy 3/4 k vyčerpání stavových prostředků, jako jsou tabulky připojení TCP nebo stavy relací brány firewall. Mezi běžné techniky patří záplavy TCP SYN, které zahlcují servery s polootevřenými připojeními, nebo záplavy ACK zaměřené na stavová zařízení.
Útoky na vrstvu prostředků (přetížení aplikace): Omezené útoky na vrstvě 7, jako jsou záplavy HTTP GET/POST, zaměřují se na prostředky cílové aplikace (např. procesor, paměť nebo připojení k databázi), aby přetížily webové servery nebo rozhraní API. Cílem těchto útoků je vyčerpání výpočetních prostředků, což způsobuje špičky latence nebo výpadky.
Útoky amplifikace: Útočníci zneužívají chybně nakonfigurované servery (např. servery DNS, NTP nebo Plex Media na UDP 32414) k zesílení provozu, kdy jsou odesílány malé dotazy generující velké odpovědi směrované na cíl, které zahlcují kapacitu sítě. Mezi příklady patří DNS zesilující útoky nebo SSDP zrcadlové útoky.

MITRE ATT&CK

Dopad (TA0040): narušuje dostupnost služeb prostřednictvím objemových útoků (např. UDP/ICMP) nebo přetížení zdrojů (např. HTTP útoky), což vede k odepření přístupu (např. T1498 – odmítnutí služby v síti).
Rozvoj prostředků (TA0042): Využívá ohrožené systémy pro zesilovací útoky (např. DNS/NTP reflektování) ke škálování dopadu útoku (např. T1584 – ohrožení infrastruktury).

NS-5.1 Implementujte ochranu DDOS v příslušné síťové vrstvě.

Nasaďte ochranu před útoky DDoS na vrstvách sítě i aplikací, abyste se chránili před multilicenčními útoky a útoky specifickými pro aplikace. Azure poskytuje více úrovní ochrany: DDoS Network Protection pro komplexní pokrytí virtuálních sítí s rychlou podporou odezvy, ochranou IP adres DDoS pro nákladově efektivní ochranu jednotlivých IP adres a ochrany aplikační vrstvy prostřednictvím WAF. Nakonfigurujte monitorování a výstrahy, abyste ověřili efektivitu ochrany a zajistili odolnost aplikací během útoků:

Nasazení ochrany před útoky DDoS síťové vrstvy: Volba mezi DDoS Network Protection pro nasazení úloh vyžadující komplexní pokrytí virtuální sítě a rychlou odezvu pro vyšetřování útoků a analýzu po útoku nebo ochranu ip adres DDoS pro nákladově efektivní ochranu omezeného počtu IP adres bez rychlé podpory odezvy.
Nasazení ochrany před útoky DDoS aplikační vrstvy: Povolení ochrany před útoky DDoS ve službě Azure Web Application Firewall (WAF), Application Gateway nebo Azure Front Door za účelem ochrany před útoky aplikační vrstvy (vrstva 7).
Konfigurace monitorování a výstrah: Nakonfigurujte upozornění a monitorujte metriky a protokoly ze služby ochrany před útoky DDoS a vašich aplikací, abyste zajistili efektivitu ochrany, odolnost aplikací a požadovaný výkon během a po útocích.

Poznámka:

I bez použití výše uvedené služby ochrany před útoky DDoS nabízí Azure ochranu infrastruktury DDoS, výchozí ochranu na úrovni platformy na úrovni síťové infrastruktury. Tato ochrana je poskytována bezplatně a nevyžaduje žádnou konfiguraci ani aktivaci.

Příklad implementace

Organizace elektronického obchodování potřebovala komplexní ochranu před útoky DDoS pro aplikace zaměřené na zákazníky, u kterých dochází k rostoucímu počtu pokusů o útok na vrstvu aplikací během špičky nákupních období.

Výzva: Organizace provozovala globální platformu elektronického obchodování s veřejnými webovými aplikacemi, rozhraními API a infrastrukturou doručování obsahu vystavenou internetu. Během vrcholných událostí platforma zaznamenala několik útoků DDoS, včetně útoků typu UDP flood, útoků typu TCP SYN flood, které vyčerpávají tabulky připojení nástroje pro vyrovnávání zatížení, útoků HTTP flood zaměřených na API pro provádění transakcí, a DNS zesilovacích útoků. Bez vyhrazené ochrany před útoky DDoS tyto útoky způsobily výpadky služeb, což vedlo ke ztrátě výnosů a nespokojení zákazníků.

Solution:

Ochrana sítě DDoS: Povolili službu Azure DDoS Network Protection v produkčních virtuálních sítích hostující aplikace pro zákazníky, která poskytuje komplexní ochranu na úrovni virtuální sítě s adaptivním laděním, automatickou detekcí útoků ve vrstvách 3 a 4 a zmírněním rizik v reálném čase.
Ochrana aplikační vrstvy: Nasazená služba Azure Application Gateway s WAF pro regionální aplikace a Azure Front Door s WAF pro globální doručování hraničních zařízení, která umožňují ochranu před útoky DDoS vrstvy 7 s omezením rychlosti, detekcí povodní HTTP a pravidly ochrany robotů.
Konfigurace zásad ochrany: Byl vytvořen plán ochrany před útoky DDoS, který asociuje všechny produkční virtuální sítě, konfiguroval základní vzory provozu pro adaptivní ladění, umožnil vždy zapnuté monitorování provozu a definoval zásady ochrany zahrnující záplavy UDP, záplavy TCP SYN, záplavy ICMP a útoky na protokoly.
Monitorování a upozorňování: Nakonfigurované diagnostické protokoly DDoS , které odesílají telemetrii útoků do pracovního prostoru služby Log Analytics, vytvořily výstrahy služby Azure Monitor, které aktivují okamžitá oznámení při detekci útoků, vytvořily sešit služby Sentinel pro korelaci útoků DDoS s metrikami výkonu aplikací a nakonfigurovaly monitorování stavu aplikace Application Insights během zmírnění rizik.
Rychlá reakce: Aktivovaná rychlá reakce DDoS poskytující přímý přístup odborníkům na ochranu před útoky DDoS během aktivních útoků pro analýzu útoků v reálném čase, vývoj vlastních strategií pro zmírnění rizik a forenzní forenzní analýzy po útoku.

Výsledek: Útoky DDoS během špičky nákupní sezóny byly úspěšně zmírněny s nulovým přerušením služeb. Objemové záplavy, SYN záplavy a HTTP záplavy byly automaticky blokovány, čímž se zachovala dostupnost platformy. Rychlá reakce poskytovala odbornou analýzu sofistikovaných útoků. Kritická nákupní období udržovala vysokou dobu provozu bez latence transakcí zákazníka během zmírnění rizik.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-5, SC-5(1), SC-5(2), SI-4(4)
PCI-DSS v4: 6.4.2, 11.4.7
Kontroly CIS verze 8.1: 13.3
NIST CSF v2.0: PR. PT-05, DE. CM-01
ISO 27001:2022: A.8.13, A.8.24
SOC 2: CC6.1, CC7.2

NS-6: Nasazení firewallu webových aplikací

Azure Policy: Viz předdefinované definice zásad Azure: NS-6.

Princip zabezpečení

Nasaďte firewall webových aplikací (WAF) a nakonfigurujte pravidla pro ochranu webových aplikací a rozhraní API před útoky specifickými pro aplikace kontrolou, detekcí a filtrováním škodlivého provozu HTTP/HTTPS.

Riziko ke zmírnění

Útočníci zneužívají ohrožení zabezpečení webových aplikací za účelem získání neoprávněného přístupu, spuštění škodlivého kódu, krádeže přihlašovacích údajů nebo exfiltrace dat.

Útoky prostřednictvím injektáže (např. injektáž SQL, injektáž příkazů): Útočníci zneužívají ohrožení zabezpečení ověřování vstupu k vložení škodlivého kódu do dotazů nebo příkazů webových aplikací, povolení neoprávněného přístupu k databázi, exfiltraci dat nebo ohrožení systému. Injektáž SQL (SQLi) manipuluje s back-endovým dotazem (například připojením OR '1'='1 k přihlašovacímu formuláři), zatímco injektáž příkazu spouští libovolné příkazy operačního systému (např. rm -rf / prostřednictvím pole formuláře).
Porušení protokolu HTTP a poškozené požadavky: Útočníci odesílají chybné požadavky HTTP (např. neplatné hlavičky, nadlimitované datové části nebo nestandardní metody, jako je TRACE), aby zneužili ohrožení zabezpečení webových serverů nebo aplikací, což může způsobit chybové ukončení nebo neoprávněný přístup. Tyto útoky cílí na chybně nakonfigurované servery nebo nepatchované architektury.
Útoky řízené roboty (např. nacpání přihlašovacích údajů, výstřižky): Automatizované roboty spouštějí útoky nacpání přihlašovacích údajů (např. hrubou vynucení přihlašovacích bodů s odcizenými přihlašovacími údaji) nebo výstřižky citlivého obsahu (např. cenová data), přetížení serverů nebo ohrožení uživatelských účtů. Tyto útoky využívají slabé ověřování nebo nechráněná rozhraní API.
Zneužití specifické pro aplikaci (např. zahrnutí vzdáleného souboru, zahrnutí místního souboru): Útočníci zneužívají chyby zabezpečení tak, aby zahrnovaly škodlivé soubory (např. "http://evil.com/shell.php") nebo přistupují k souborům místního serveru (např. .). /.. /etc/passwd) prostřednictvím manipulovaných parametrů adresy URL nebo vstupů formulářů, což umožňuje spuštění kódu nebo vystavení dat.

MITRE ATT&CK

Počáteční přístup (TA0001): Využívá injektáž SQL, XSS nebo zahrnutí vzdáleného souboru k získání položky (např. T1190 – Exploit Public-Facing Application).
Provádění (TA0002): Spustí škodlivý kód prostřednictvím injektáže příkazů, RFI nebo XSS (např. T1059 – Interpret příkazů a skriptování).
Přístup k přihlašovacím údajům (TA0006): Ukradne přihlašovací údaje prostřednictvím XSS nebo přeplnění přihlašovacích údajů (např. T1539 – Krádež cookies webové relace, T1110 – Hrubou silou).
Kolekce (TA0009): Shromažďuje data prostřednictvím SQL injection nebo scrapingu (např. T1213 – data z úložišť informací).

NS-6.1 Konfigurace Azure WAF s příslušnými pravidly

Povolte funkce firewallu webových aplikací (WAF) ve službě Azure Application Gateway, Azure Front Door nebo Azure Content Delivery Network (CDN) k ochraně aplikací a rozhraní API před webovými útoky. Vyberte příslušnou službu na základě požadavků na aplikaci, nakonfigurujte zásady WAF s integrovanými a vlastními pravidly, nastavte režim zásad na základě stavu zabezpečení a přidružte zásady ke koncovému bodu služby:

Vyberte příslušnou službu WAF: Podle požadavků a architektury aplikací zvolte Azure Application Gateway pro aplikace hostované ve virtuálních sítích, Azure Front Door pro globální doručování na hraniční uzly nebo Azure CDN pro zátěže s velkým objemem obsahu.
Konfigurace zásad WAF pomocí předdefinovaných a vlastních pravidel: Začněte s běžnými integrovanými sadami pravidel, jako jsou OWASP Core Rule Set (CRS 3.2) a pravidla ochrany robota (Microsoft Bot Manager). Přidejte vlastní pravidla (například omezování rychlosti pro >100 požadavků/min) a vyloučení, která snižují falešně pozitivní výsledky na základě profilu zabezpečení hrozeb a aplikací.
Nastavení režimu zásad WAF: Režim detekce používejte zpočátku nebo pro nekritické aplikace, abyste se vyhnuli narušení legitimního provozu při nastavování a optimalizaci pravidel. Jakmile jsou pravidla ověřená tak, aby blokovala škodlivé požadavky, přepněte do režimu prevence pro důležité aplikace.
Přidružení zásad WAF ke koncovému bodu služby: Přidružte zásadu WAF ke koncovému bodu Application Gateway, Front Door nebo CDN, aby se zajistilo, že se veškerý provoz HTTP/HTTPS směruje přes WAF kvůli kontrole.

Příklad implementace

Organizace potřebovala chránit webové aplikace a rozhraní API určené pro zákazníky před injektáží SQL, útoky XSS a vyplňováním přihlašovacích údajů řízeným roboty, při zachování výkonu pro legitimní uživatele.

Výzva: Organizace měla webové aplikace nasazené globálně bez ochrany proti ohrožením zabezpečení OWASP Top 10, což vede k několika pokusům o injektáži SQL, útokům řízeným robotem, které zahlcují koncové body přihlášení a nemají přehled o vzorech škodlivého provozu. U aplikací chybí kontroly omezování rychlosti, což umožňuje útoky na zneužití rozhraní API a útoky na nacpání přihlašovacích údajů a nebyl žádný mechanismus k rozlišení legitimních uživatelů od škodlivých robotů.

Přístup řešení:

Výběr služby WAF: Nasadili jsme Azure Application Gateway s WAF pro aplikace hostované virtuální sítí a Azure Front Door s WAF pro globálně distribuované aplikace vyžadující ochranu hraničních zařízení a přístup s nízkou latencí.
Předdefinované sady pravidel ochrany:Povolili jsme sadu pravidel OWASP Core Rule Set (CRS) 3.2 pro ochranu před injektáží SQL, skriptováním mezi weby (XSS), vzdáleným zahrnutím souborů a dalšími běžnými webovými ohroženími zabezpečení a aktivovali pravidla Microsoft Bot Manageru pro identifikaci a blokování škodlivých robotů a zároveň povolte legitimní prohledávací moduly vyhledávacího webu a monitorovací služby.
Vlastní pravidla pro konkrétní hrozby: Implementovali jsme pravidla omezování rychlosti, která blokují klienty překračující 100 požadavků za minutu, aby se zabránilo zneužití rozhraní API a nacpání přihlašovacích údajů, pravidla geografického filtrování blokující provoz z vysoce rizikových oblastí, kde jsou služby nedostupné, a pravidla založená na reputaci IP adres blokující požadavky ze známých škodlivých rozsahů IP adres identifikovaných prostřednictvím informačních kanálů analýzy hrozeb.
Správa vyloučení: Byla vytvořena cílená vyloučení pro legitimní obchodní scénáře, jako jsou koncové body /checkout, kde složité vstupy formulářů vyvolávaly falešně pozitivní výsledky v pravidlech OWASP, /upload koncové body zpracovávající velké odesílání souborů, a koncové body /api s sice neobvyklými, ale platnými vzory hlaviček z mobilních aplikací.
Spustili WAF v režimu detekce na dva týdny, aby identifikovali falešné pozitivy, upřesnili pravidla a výjimky na základě legitimních vzorců provozu, a pak přešli do režimu prevence pro produkční aplikace, aby aktivně blokovat hrozby a zachovat provozní kontinuitu.

Výsledek: Organizace eliminovala pokusy o injektáž SQL a zneužití XSS, podstatně omezené útoky řízené roboty prostřednictvím pravidel správce robotů a zavedla komplexní přehled o hrozbách webových aplikací. Kontroly omezování rychlosti zabránily zneužití rozhraní API a zneužití přihlašovacích údajů, zatímco postupný přechod z režimu detekce do režimu prevence zajistil legitimním uživatelům, že nedošlo k přerušení služby.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-7, SC-7(5), SI-10, SI-10(1), SI-11
PCI-DSS v4: 6.4.1, 6.4.2, 11.4.7
Kontroly CIS v8.1: 13.2, 13.9
NIST CSF v2.0: PR. AC-05, PR. PT-05, DE. CM-04
ISO 27001:2022: A.8.20, A.8.22, A.8.25
SOC 2: CC6.1, CC6.6, CC7.2

NS-7: Centrální a efektivní správa zabezpečení sítě

Princip zabezpečení

Pokud chcete snížit provozní riziko a chybnou konfiguraci v komplexním a fragmentovaném síťovém prostředí, využijte funkce pro správu sítě nativní pro cloud k centralizaci, zjednodušení a vynucování konzistentních konfigurací zabezpečení sítě.

Riziko ke zmírnění

Nedostatek centralizované kontroly vede k přehlédnutí nebo zastaralým nastavením zabezpečení, což zvyšuje riziko zneužití.

Nekonzistentní vynucování zásad a chybné konfigurace: Decentralizovaná správa často vede k fragmentovaným sadám pravidel a mezerám zásad, což útočníkům usnadňuje zjišťování a zneužití slabých bodů. Chybné konfigurace jsou pravděpodobnější, což zvyšuje pravděpodobnost náhodného vystavení nebo nezamýšleného přístupu.
Omezená viditelnost a zpožděná odpověď: Bez jednotného přístupu ke správě se monitorování a reakce na incidenty zvolní a sníží efektivita. To může zpozdit detekci škodlivé aktivity, což útočníkům umožňuje více času eskalovat útoky nebo exfiltrovat data.
Potíže se zachováním dodržování předpisů: Nedostatečná centrální správa komplikuje úsilí konzistentně splňovat regulační a oborové standardy, riskovat nedodržení předpisů a potenciální sankce.

MITRE ATT&CK

Počáteční přístup (TA0001): Zneužití chybných konfigurací nebo zastaralých nastavení zabezpečení pro získání neoprávněného přístupu (např. T1190 – Zneužití Public-Facing aplikace, T1133 – Externí vzdálené služby).
Obrana před únikem (TA0005): Využití fragmentovaných sad pravidel a nedostatek centralizovaného monitorování, aby se zabránilo detekci (např. T1562 – Narušení obrany).
Laterální pohyb (TA0008): Přesouvání sítě laterálně využitím mezer zásad nebo zastaralých segmentací (např. T1021 – Remote Services).
Příkaz a řízení (TA0011): Použití nemonitorovaných nebo chybně nakonfigurovaných síťových cest k vytvoření a údržbě kanálů C2 (např. T1071 – Protokol aplikační vrstvy).

NS-7.1 Správa zabezpečení sítě centrálně a efektivně

Použití centralizovaných nástrojů a standardizovaných postupů Azure ke zjednodušení a škálování správy zabezpečení sítě, zajištění konzistentního vynucování, snížení chybné konfigurace a vylepšeného monitorování. Implementujte centralizované vynucování zásad, standardizujte správu brány firewall a směrování, povolte komplexní monitorování a analýzu a udržujte konzistenci prostředků prostřednictvím postupů zásad správného řízení:

Implementace centralizovaného vynucování zásad: Pomocí Azure Virtual Network Manageru (AVNM) můžete definovat pravidla správy zabezpečení, která se používají konzistentně napříč předplatnými a oblastmi. Zachovejte skupiny zabezpečení sítě pro mikro-segmentaci na úrovni úloh. Použijte zásady prostřednictvím skupin sítě (např. podle prostředí: produkční, neprodukční).
Standardizace správy brány firewall a směrování: Správa pravidel služby Azure Firewall přes Správce brány firewall pomocí objektů zásad brány firewall Standardizujte skupiny IP adres a značky služeb místo nezpracovaných IP adres. Použijte Azure Firewall Premium, kde se vyžaduje kontrola protokolu TLS, IDPS a filtrování adres URL. Preferujte zabezpečené uzly Virtual WAN nebo sdílenou hvězdicovou topologii, abyste konzistentně vynucovali záměr směrování.
Povolení komplexního monitorování a analýzy: Použijte protokoly toku virtuální sítě v2 (k nahrazení protokolů toku NSG). Povolte diagnostické protokoly služby Azure Firewall a integrujte se službami Traffic Analytics, Log Analytics a Microsoft Sentinel. K odstranění nepoužívaných nebo duplicitních pravidel použijte analýzu zásad brány firewall a počty zásahů pravidel.
Zachování konzistence prostředků a zásad správného řízení: Použijte zásady vytváření názvů CAF a povinné značky prostředků pro všechny virtuální sítě, skupiny zabezpečení sítě, pravidla brány firewall a skupiny. Pomocí adaptivního omezení síťových pravidel v Programu Defender for Cloud upřesněte příliš permisivní pravidla.

Příklad implementace

Případ použití: Platební platforma s více oblastmi konsoliduje zabezpečení sítě ve velkém měřítku.

Kontext: Procesor plateb střední velikosti fungující v oblasti USA – východ a Západní Evropa se 4 předplatnými (Prod, Non-Prod, Shared Services, SecOps) v rámci jednoho tenanta potřebuje PCI-DSS segmentaci, méně incidentů z posunu pravidel a centralizovaného monitorování.

Centralizované vynucování zásad pomocí Azure Virtual Network Manageru:

Návrh: Vytvořte AVNM na úrovni skupiny pro správu. Definujte dvě skupiny sítě: ng-prod a ng-nonprod s dynamickým členstvím podle značky subscriptionId. Autorizovat pravidla správy zabezpečení (SARs) k vynucení organizačních mantinelů, které se vyhodnocují před skupinami zabezpečení sítě: Odepřít příchozí-Internet-pro-paprsky (blokuje nevyžádaný příchozí provoz z internetu do všech paprskových podsítí), Povolit-Hub-Infra (povoluje služby hubu – Firewall/Bastion – do paprsků), Povolit-Platform-DNS (povoluje DNS z překladačů hubu do paprsků).
Hranice týmu aplikací: Úlohy udržují skupiny zabezpečení sítě pro mikrosegmentaci (např. web k api :443, api k db :1433) v rámci jednotlivých hubů. Změny NSG jsou spravovány týmy aplikací; SAR jsou řízeny týmem zabezpečení platformy.
Výsledek: Mantinely jsou v obou oblastech konzistentní; týmy aplikací nemůžou omylem vytvořit přímý přístup k internetu, i když je skupina zabezpečení sítě chybně nakonfigurovaná.

Správa brány firewall a směrování pomocí Správce brány firewall a služby Virtual WAN:

Design: Nasaďte zabezpečená centra Virtual WAN v každé oblasti (Východ USA, Západní Evropa). Připojte paprsky k nejbližšímu rozbočovači a povolte účel směrování, aby se kontrolovaly všechny odchozí přenosy na internetu. Pro spravování prostředí použijte Správce brány firewall s globální politikou brány firewall (úroveň Premium) a dvěma podřízenými politikami (Prod/Non-Prod).
Struktura zásad: Základní (globální) zásada zahrnuje analýzu hrozeb nastavenou na Výstraha + Zamítnutí, kontrola protokolu TLS povolená pro odchozí protokol HTTPS, IDPS v režimu s vyrovnáváním a odchozí povolení pravidel pomocí značek služeb (Storage, KeyVault, AzureMonitor) a skupin IP adres pro partnerské koncové body. Politika pro dětské profily má přísnější filtrování URL adres (blokování nezařazených) a seznam povolených platebních bran prostřednictvím skupin IP. Zásady neprodukčního prostředí mají širší přístup k nástrojům pro vývoj prostřednictvím značek služeb (AzureDevOps, AzureContainerRegistry).
Výsledek: Jedno podokno pro správu pravidel s šířením změn do obou center Směrování je konzistentní a všechny výchozí přenosy se kontrolují pomocí dešifrování protokolu TLS tam, kde je to povolené.

Monitorování a analýza s využitím protokolů toku v2 a sentinelu:

Nastavení telemetrie: Povolte protokoly toku virtuální sítě v2 ve všech virtuálních sítích a odešlete je do centrálního pracovního prostoru služby Log Analytics v předplatném SecOps. Nakonfigurujte diagnostické protokoly služby Azure Firewall (aplikace, síť, DNS, ThreatIntel, IDPS) do stejného pracovního prostoru. Zapněte analýzu provozu v pracovním prostoru.
Smyčka optimalizace: Povolte analýzu zásad brány firewall a zkontrolujte počty přístupů k pravidlům měsíčně. Vytvořte sešit služby Sentinel, který koreluje protokoly toku (sever-jih a východ-západ), zásahy povolení/zakázání firewallu a signatury IDPS, které byly spuštěny. Automatizovat žádost o změnu, pokud má pravidlo 0 zásahů po dobu 45 dnů (kandidát na odstranění) nebo pokud je zamítací pravidlo dosaženo produkční podsítí (možné chybné směrování).
Výsledek: Po dvou cyklech kontroly se odeberou 18% pravidel brány firewall a 22 zastaralých pravidel NSG, což snižuje latenci vyhodnocení pravidel a riziko změn.

Konzistence prostředků a zásady správného řízení pomocí CAF a Defenderu pro cloud:

Normy: Použijte pojmenování CAF (např. vnet-prd-eus-01, nsg-prd-eus-web-01, azfw-policy-global-01) a povinné značky: env, owner, dataClass, costCenter.
Vynucení: Pomocí iniciativ Azure Policy můžete vyžadovat skupinu zabezpečení sítě v každé podsíti, vyžadovat nastavení diagnostiky ve virtuálních sítích a bráně firewall pro centrální pracovní prostor LA a zakázat vytváření bez povinných značek. Povolte Defender pro Cloud – Adaptivní posílení zabezpečení sítě na všech větvích s týdenními kontrolovanými akčními položkami v SecOps CAB.
Výsledek: Posun platformy je rychle odhalen; Příliš povolující pravidla jsou zpřísněna pomocí doporučení systému Defender založených na datech.

Pořadí uvedení a kritéria přijetí:

Zastavte zabezpečené rozbočovače virtuální sítě WAN, připojte paprsky, povolte záměr směrování (pouze pilotní paprsky). Kritéria přijetí: Výstup paprsků pilotního projektu přes bránu firewall; žádné veřejné IP adresy nejsou přímo dosažitelné.
Nasaďte SARy AVNM do ng-nonprod, ověřte bez přerušení, a pak do ng-prod. Kritéria přijetí: Syntetické sondy potvrzují, že služby hubu (DNS/Bastion) stále dosahují spoků; příchozí internet je stále odepřen.
Povolte protokoly toku virtuální sítě v2 a všechny diagnostiky brány firewall; připojte Sentinel workbook. Kritéria přijetí: Řídicí panely zobrazují toky, zamítnutí, zásahy IDPS podle oblasti.
Zavádění iniciativ politiky; náprava nevyhovujících položek; umožnit adaptivní zpevnění. Kritéria přijetí: Dodržování předpisů dosáhne 95 %, vytvoření seznamu úkolů pro zpřísnění NSG/zabezpečení firewallu.
První kontrola analýzy zásad; odeberte nepoužívané pravidla prostřednictvím okna změn. Kritéria přijetí: Počet pravidel se snížil o 15% s nulovým dopadem na zákazníky.

Příklady provozních manuálů:

SR pro Azure Virtual Network Manager: Zakázat příchozí internet k přípojným lokalitám (Priorita 100), Povolit infrastrukturu rozbočovače pro přípojné lokality (Priorita 200: zdroj 10.0.0.0/16 rozsahy rozbočovače)
Struktura zásad brány firewall: azfw-policy-global-01 (Premium) s kolekcemi pravidel Allow-Azure-Platform-ST (značky služeb) a allow-Partners-IPs (skupiny IP adres: ipg-payment-gws), plus podřízené zásady azfw-policy-prd-01 a azfw-policy-npd-01
Diagnostika: Cíl: law-secops-01, Kategorie: AZFWApplicationRule, AZFWNetworkRule, AZFWIDPS, AZFWThreatIntel, AZFWDnsProxy, FlowLogV2

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CA-7, SI-4
PCI-DSS v4: 1.4.5, 11.5.1, 12.4.1
Kontroly CIS v8.1: 4.1, 4.2, 12.4, 13.6
NIST CSF v2.0: PR.IP-01, DE.CM-01, DE.CM-07
ISO 27001:2022: A.8.9, A.8.32, A.5.37
SOC 2: CC6.6, CC7.2, CC8.1

NS-8: Detekce a zakázání nezabezpečených služeb a protokolů

Azure Policy: Viz předdefinované definice zásad Azure: NS-8.

Princip zabezpečení

Zjistěte a zakažte nezabezpečené služby a protokoly ve vrstvě operačního systému, aplikace nebo softwarového balíčku. Pokud zakázání nezabezpečených služeb a protokolů není možné, nasaďte kompenzační ovládací prvky.

Riziko ke zmírnění

Aktéři hrozeb zneužívají nezabezpečené a zranitelné služby a protokoly k ohrožení systémů a dat.

Zneužití kryptografických slabin: SSL/TLSv1 a slabé šifry (např. RC4, DES) jsou zranitelné vůči útokům MITM (např. POODLE, BEAST), což nežádoucím osobám umožňuje dešifrovat citlivá data, jako jsou tokeny relace prostřednictvím odsazení orákulumu nebo útoků s vybranou šifrou.
Neoprávněný přístup přes zneužití protokolu: Chyby zabezpečení SSHv1 a SMBv1 (např. CVE-2001-1473, CVE-2017-0144/EternalBlue) umožňují vzdálené spuštění kódu nebo neověřený přístup, což umožňuje počáteční zápatí.
Krádež přihlašovacích údajů: LM/NTLMv1 a wDigest ukládají slabé hodnoty hash nebo přihlašovací údaje ve formátu prostého textu, které jsou zranitelné vůči výstřižku hodnoty hash nebo paměti (např. Mimikatz extrahuje data LSASS).
Laterální pohyb: Nešifrované relace a zneužití SMBv1 (např. EternalBlue) umožňují šíření malwaru nebo předávání přihlašovacích údajů napříč sítěmi.

MITRE ATT&CK

Počáteční přístup (TA0001): Zneužití nezabezpečených protokolů, jako je SSL/TLSv1 nebo SSHv1, které jsou zranitelné vůči útokům downgradu protokolu nebo známým zneužitím, blokování neoprávněného vstupu (např. T1190 – Exploit Public-Facing Application).
Přístup k přihlašovacím údajům (TA0006): Krádež přihlašovacích údajů zneužitím LM/NTLMv1 a wDigest, které ukládají přihlašovací údaje v reverzibilních formátech nebo slabých hashách, omezování pass-the-hash nebo scrapingu paměti (např. T1003 – výpis přihlašovacích údajů operačního systému).
Laterální pohyb (TA0008): Zabraňuje útočníkovi v pivotingu pomocí SMBv1, který je zranitelný vůči zneužití, jako je EternalBlue, čímž se brání šíření po sítích (např. T1021 – Vzdálené služby).

NS-8.1 Detekce a zakázání nezabezpečených služeb a protokolů

Pomocí integrovaného sešitu protokolu Insecure Protocol v Microsoft Sentinelu můžete zjišťovat a zmírnit nezabezpečené služby a protokoly v celém prostředí Azure. Tento sešit identifikuje použití protokolů a služeb, které nesplňují odpovídající standardy zabezpečení, jako jsou SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, slabé šifry v protokolu Kerberos a vazby protokolu LDAP bez znaménka. Po identifikaci tyto nezabezpečené protokoly a služby zakažte. Pokud zakázání není možné, implementujte kompenzační ovládací prvky, které snižují prostor pro útoky.

Zjišťování nezabezpečených protokolů: Pomocí sešitu nezabezpečeného protokolu Microsoft Sentinel identifikujte použití ssl/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, slabých šifer kerberos a nepodepsaných vazeb LDAP v celém vašem prostředí.

Zakažte nezabezpečené služby a protokoly: Zakažte identifikované nezabezpečené služby a protokoly, které nesplňují odpovídající standardy zabezpečení, aby se odstranily chyby zabezpečení.

Implementace kompenzačních ovládacích prvků: Pokud zakázání nezabezpečených služeb nebo protokolů není možné kvůli obchodním požadavkům nebo technickým omezením, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím skupin zabezpečení sítě, služby Azure Firewall nebo služby Azure Web Application Firewall, abyste snížili prostor pro útoky.

Příklad implementace

Zdravotnická organizace potřebovala eliminovat nezabezpečené protokoly ve svém prostředí Azure, aby splňovala požadavky na dodržování předpisů HIPAA a snížila prostor pro útoky na chráněné informace o stavu.

Výzva: Organizace provozovala hybridní infrastrukturu se staršími aplikacemi vyžadujícími připojení k prostředkům hostovaným v Azure. Posouzení zabezpečení odhalilo rozšířené použití nezabezpečených protokolů, včetně SSL/TLSv1.0 na webových serverech obsluhujících portály pacientů, SMBv1 povolených na souborových serverech pro starší software pro lékařské imaging software, ověřování LM/NTLMv1 na řadičích domény a aplikačních serverech, wDigest ověřování ukládající přihlašovací údaje v reverzibilním formátu, nepodepsané vazby LDAP na řadičích služby Active Directory a slabé šifrování Kerberos u účtů služeb. Organizace nemá přehled o využití protokolů a čelí potenciálním porušením dodržování předpisů HIPAA.

Solution:

Nasazení sešitu nezabezpečeného protokolu služby Sentinel: Nasadili jsme Microsoft Sentinel a nainstalovali sešit nezabezpečeného protokolu z centra obsahu, připojili jsme zdroje dat, včetně protokolů událostí zabezpečení systému Windows, protokolů služby Azure Monitor, protokolů služby Active Directory a protokolů toku sítě, a vytvořili jsme komplexní základ nezabezpečeného využití protokolů v hybridním prostředí.
Zjišťování protokolů: Používaný sešit nezabezpečených protokolů k identifikaci využití SSL/TLSv1.0 na webových serverech, přenosy SMBv1 ze starších pracovních stanic pro lékařské obrazové systémy, vzory autentizace LM/NTLMv1, wDigest povolené na serverech s Windows, neautentizované LDAP vazby ze starších aplikací a slabé RC4 šifrování Kerberos u servisních účtů.
Systematická zakázání protokolu: Vytvoření fázovaného plánu nápravy schváleného poradní radou, po potvrzení, že uživatelé portálu pacientů používají moderní prohlížeče podporující TLS 1.2+, zakázání SMBv1 po koordinaci s upgrady softwaru dodavatele lékařských snímků, přechod řadičů domény z ověřování NTLMv1 na NTLMv2, zakázání wDigest prostřednictvím zásad skupiny, vynucení podepisování LDAP na řadičích domény a upgrady šifrování účtů služeb Kerberos na AES256.
Kompenzační ovládací prvky pro výjimky: Implementovali jsme síťově založené kompenzační mechanismy pro systémy, které vyžadují dočasnou podporu nezabezpečeného protokolu, včetně izolované sítě VLAN pro starší lékařské zobrazovací pracovní stanice, které vyžadují SMBv1, pravidel NSG omezujících provoz SMBv1 výhradně na izolovanou síť VLAN, Azure Firewall odepírajícího odchozí SMBv1 z produkčních podsítí, vyhrazeného přístupového serveru pro starší aplikace pro řízení lidských zdrojů (HR) a rozšířeného monitorování prostřednictvím Defenderu pro koncové body, které upozorňuje na používání protokolu mimo schválené podsíťové výjimky.
Průběžné monitorování: Zavedená průběžná hygiena protokolů prostřednictvím analytických pravidel služby Microsoft Sentinel, která aktivují výstrahy pro nová nezabezpečená připojení protokolu mimo schválené výjimky, zákaz nasazení služby Azure Policy bez minimálního požadavku protokolu TLS 1.2 a týdenní kontroly zabezpečeného sešitu protokolu sledují průběh nápravy.

Výsledek: Slabá připojení TLS byla vyloučena z portálů pacientů. SMBv1 byl zakázán po upgradech lékařských snímků, odstranění ohrožení zabezpečení EternalBlue a dosažení dodržování předpisů HIPAA. NTLMv1 přešel na NTLMv2 a zabránil útokům typu pass-the-hash. wDigest deaktivován zmírnil krádež přihlašovacích údajů. Podepisování protokolu LDAP zablokovaly nepodepsané dotazy. Protokol Kerberos se upgradoval na AES256, což snižuje riziko kerberoastingu. Kompenzační kontroly obsahovaly starší systémy s nulovým laterálním pohybem. Bylo dosaženo úplného dodržování předpisů HIPAA.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-8, SC-8(1), SC-13, IA-5(1)
PCI-DSS v4: 2.2.4, 4.2.1, 6.2.4
Kontroly CIS v8.1: 4.8, 9.3, 13.4
NIST CSF v2.0: PR. DS-02, PR. IP-01, DE. CM-04
ISO 27001:2022: A.8.24, A.8.26, A.5.14
SOC 2: CC6.1, CC6.7, CC7.1

NS-9: Privátní připojení místní nebo cloudové sítě

Princip zabezpečení

Privátní připojení slouží k zabezpečené komunikaci mezi různými sítěmi, jako jsou datacentra poskytovatele cloudových služeb a místní infrastruktura v kolokačním prostředí.

Riziko ke zmírnění

Když data cestují přes veřejné sítě, jsou ohrožená zachycením, neoprávněným přístupem a manipulací.

Průsečík dat: Když data cestují přes veřejné sítě, jako je internet, procházejí několika směrovači, přepínači a poskytovateli služeb, z nichž některý může být ohrožen nebo monitorován škodlivými aktéry. Útočníci můžou nasadit nástroje pro zašifrování paketů (např. Wireshark) k zachytávání datových paketů. Pokud jsou data nešifrovaná nebo slabě zašifrovaná, můžou být zpřístupněny citlivé informace , jako jsou přihlašovací údaje, finanční podrobnosti nebo proprietární obchodní data.
Útoky Man-in-the-Middle (MitM): Při útoku MitM útočník tajně zachytí a může změnit komunikaci mezi dvěma stranami, které věří, že komunikují přímo. To představuje závažnou hrozbu pro citlivé operace, jako jsou finanční transakce nebo procesy ověřování.
Neoprávněný přístup: Veřejné nebo nedostatečně zabezpečené sítě zvyšují pravděpodobnost, že neoprávnění uživatelé získají přístup k privátním systémům nebo prostředkům a mohou je manipulovat. Útočníci můžou zneužít slabé stránky sítě k dosažení interní infrastruktury, která by měla zůstat nepřístupná odjinud.

MITRE ATT&CK

Počáteční přístup (TA0001): Zneužití nešifrovaných nebo slabě šifrovaných protokolů (např. HTTP nebo zastaralé verze TLS) zranitelné vůči útokům na odposlech paketů nebo útokům typu MitM, což umožňuje neoprávněný vstup do systémů (např. T1190 – Zneužití veřejně dostupné aplikace).
Přístup k přihlašovacím údajům (TA0006): Krádež přihlašovacích údajů prostřednictvím zachyceného síťového provozu, zneužití protokolů cleartext (např. Telnet nebo FTP) nebo slabého šifrování náchylného k dešifrování, usnadnění neoprávněného přístupu (např. T1040 – Network Sniffing).
Laterální pohyb (TA0008): Šíření v sítích zneužitím chybně nakonfigurovaných nebo vystavených služeb (např. nepatchovaný protokol RDP nebo SMB), což útočníkům umožňuje převést se pomocí odcizených přihlašovacích údajů nebo ohrožení zabezpečení (např. T1021 – Vzdálená služba).

NS-9.1 Použití virtuální privátní sítě Azure (VPN) pro odlehčené připojení typu site-to-site nebo připojení typu point-to-site

Pomocí virtuální privátní sítě Azure (VPN) můžete vytvářet zabezpečená šifrovaná připojení mezi místními lokalitami nebo zařízeními koncových uživatelů a virtuálními sítěmi Azure pro scénáře zjednodušeného připojení. Azure VPN poskytuje nákladově efektivní řešení pro připojení typu site-to-site (připojení celých sítí) nebo připojení typu point-to-site (připojení jednotlivých zařízení) bez nutnosti vyhrazené infrastruktury:

Nasazení sítě VPN typu site-to-site: Pomocí sítě VPN typu site-to-site můžete bezpečně připojit místní síť k virtuální síti Azure a umožnit tak bezproblémovou komunikaci mezi místními prostředky a úlohami Azure.
Nasazení sítě VPN typu point-to-site: Pomocí sítě VPN typu point-to-site povolte individuální zařízení koncových uživatelů (přenosné počítače, pracovní stanice) k zabezpečenému připojení k virtuální síti Azure ze vzdálených umístění.

NS-9.2 Použití Azure ExpressRoute (nebo Virtual WAN) pro vysoce výkonná připojení na podnikové úrovni

Použijte Azure ExpressRoute nebo Azure Virtual WAN k vytvoření privátních, vysoce výkonných připojení s nízkou latencí mezi datacentry Azure a místní infrastrukturou v kolokačních prostředích. Tato řešení na podnikové úrovni obcházejí veřejný internet a poskytují vyhrazenou šířku pásma, předvídatelný výkon a lepší zabezpečení pro důležité úlohy vyžadující konzistentní připojení:

Nasazení ExpressRoute pro vyhrazené privátní připojení: Pomocí Azure ExpressRoute můžete vytvořit privátní připojení mezi místní infrastrukturou a datacentry Azure prostřednictvím poskytovatele připojení a zajistit vyhrazenou šířku pásma a předvídatelnou latenci podnikových úloh.
Nasazení služby Virtual WAN pro globální připojení: Azure Virtual WAN umožňuje vytvořit globální síť propojující více lokalit, větví a oblastí Azure prostřednictvím jednotné hvězdicové architektury s integrovanými možnostmi zabezpečení a směrování.

NS-9.3 Použijte propojování virtuálních sítí nebo podsítí ke spojení s virtuálními sítěmi

Propojení virtuálních sítí nebo propojení podsítí použijte k navázání soukromého připojení mezi virtuálními sítěmi Azure, aniž by se provoz směroval přes veřejný internet. Síťový provoz mezi partnerskými virtuálními sítěmi zůstává v páteřní síti Azure a poskytuje připojení s nízkou latencí a vysokou šířkou pásma bez režijních nákladů na šifrování. Zvolte propojení podsítě, pokud není potřeba úplné připojení k virtuální síti, čímž omezíte vystavení pouze na specifické podsítě.

Nasazení propojení virtuálních sítí: Propojování virtuálních sítí použijte k propojení celých virtuálních sítí Azure, což umožňuje prostředkům v různých virtuálních sítích komunikovat soukromě, jako by byly ve stejné síti.

Příklad implementace

Mezinárodní organizace finančních služeb potřebovala zabezpečené a vysoce výkonné připojení mezi místními datovými centry, pobočkami a cloudovými prostředky Azure a současně eliminuje vystavení veřejného internetu pro citlivé finanční transakce.

Výzva: Organizace provozovala několik místních datových center s pobočkami globálně a vyžadovala připojení k aplikacím hostovaným v Azure, které zpracovávají finanční transakce a zákaznická data. Počáteční architektura používala VPN typu site-to-site přes internet, docházelo k nepředvídatelné latenci, omezení šířky pásma během špičkových obchodních hodin, bezpečnostním obavám týkajícím se finančních dat procházejících veřejným internetem navzdory šifrování a požadavky na dodržování předpisů, které vyžadují privátní připojení kvůli PCI-DSS a GDPR. Vzdálení zaměstnanci připojující se přes síť VPN typu point-to-site zaznamenali nekonzistentní problémy s výkonem a ověřováním. Aplikace v různých oblastech Azure vyžadovaly komunikaci mezi oblastmi s nízkou latencí bez směrování přes místní centra.

Solution:

ExpressRoute pro připojení primárního datového centra: Nasadili jsme okruhy Azure ExpressRoute v primárních datových centrech prostřednictvím zařízení pro společné umístění s poskytovateli připojení ExpressRoute, vytvořili připojení na vrstvě 3 k páteřní síti Azure s konzistentní nízkou latencí, nakonfigurovali ExpressRoute pomocí partnerského propojení Microsoft pro služby Azure PaaS a privátní propojení pro prostředky hostované virtuální sítí, implementovali BGP směrování s konfigurací aktivní-aktivní pro vysokou dostupnost a automatické převzetí služeb při selhání.
VPN typu Site-to-Site pro připojení poboček: Nasazená sít VPN typu site-to-site pro pobočky, které nemají přístup ke společnému umístění, vytvoření brány VPN v centrální virtuální síti s konfigurací aktivní-aktivní pro vysokou dostupnost, nakonfigurované tunely IPsec/IKE se silnou kryptografií splňující bezpečnostní standardy finančního sektoru, implementované směrování protokolu BGP pro výběr dynamické cesty, které umožňuje pobočkám připojení k nejbližšímu regionálnímu rozbočovači, zavedení redundantních tunelů zajišťujících připojení během údržbových oken.
Vpn typu point-to-site pro vzdálené zaměstnance: Nakonfigurovaná síť VPN typu point-to-site s ověřováním Azure Active Directory pro vzdálené zaměstnance vyžadující zabezpečený přístup k aplikacím hostovaným v Azure, povolené ověřování na základě certifikátů jako záložní pro scénáře bez přístupu k internetu ke službě Azure AD, přiřazené IP adresy klientů z vyhrazeného fondu směrované do prostředků virtuální sítě Azure prostřednictvím uživatelsky definovaných tras, implementovaný protokol OpenVPN pro klienty s macOS/Linuxem a IKEv2/SSTP pro klienty s Windows poskytující širokou kompatibilitu zařízení nakonfigurované rozdělené tunelové propojení umožňující přímý přístup k internetu pro provoz mimo podnik při směrování provozu vázaného na Azure prostřednictvím tunelu VPN, který optimalizuje šířku pásma.
Virtual WAN pro globální meshovou konektivitu: Nasazena služba Azure Virtual WAN se zabezpečenými rozbočovači ve více oblastech poskytující globální architekturu přenosu, připojené okruhy ExpressRoute k rozbočovačům Virtual WAN, které umožňují připojení typu any-to-any mezi datovými centry a oblastmi Azure bez směrování přes on-premise rozbočovače, integrovaná připojení site-to-site VPN z poboček do nejbližšího rozbočovače Virtual WAN s automatickou optimalizací směrování, povolena služba Azure Firewall v každém rozbočovači Virtual WAN poskytující centralizovanou kontrolu zabezpečení pro provoz mezi pobočkami, datovými centry a virtuálními sítěmi Azure, nakonfigurované zásady směrování implementující globální směrování přenosu umožňující pobočkám komunikovat s on-premise datovými centry prostřednictvím páteřní infrastruktury Azure.
Partnerský vztah virtuálních sítí pro připojení mezi oblastmi Azure: Implementovali jsme partnerský vztah virtuálních sítí propojující paprskové virtuální sítě k virtuálním sítím v každé oblasti Virtual WAN a povolili globální partnerský vztah virtuálních sítí pro různé oblasti pro připojení mezi oblastmi poskytující nízkou latenci nad páteřní sítí Azure, nastavili jsme průchod bránou, což umožňuje hvězdicovým virtuálním sítím používat VPN/ExpressRoute brány služby Virtual WAN, aniž by se nasazovaly další brány, které snižují náklady a složitost, implementovali jsme skupiny zabezpečení sítě na paprskových podsítích, které řídí tok provozu mezi partnerskými virtuálními sítěmi s přístupem s nejnižšími oprávněními.
Optimalizace a monitorování provozu: Nakonfigurovány okruhy ExpressRoute s označením QoS, které upřednostňují přenosy finančních transakcí před hromadnými přenosy dat, povoleno sledování latence monitorováním připojení, ztrátou paketů a dostupností pro okruhy ExpressRoute a připojení VPN s upozorněním na zhoršení výkonu; implementovány sešity Azure Monitor zobrazující globální topologii připojení, aktivní připojení, využití šířky pásma a události převzetí služeb při selhání; zavedené směrnice pro přijatelný výkon s automatizovanými výstrahami při překročení prahových hodnot.

Výsledek: Privátní připojení bylo dosaženo pro všechny finanční transakce, které splňují požadavky PCI-DSS. ExpressRoute poskytuje konzistentní nízkou latenci pro obchodování v reálném čase. Virtuální WAN výrazně snížila latenci mezi pobočkou a datovým centrem. Vzdálení zaměstnanci se úspěšně připojili přes vpn typu point-to-site s vylepšeným ověřováním. Globální VNet peering umožnil efektivní zotavení po havárii mezi oblastmi. Optimalizace nákladů dosažená prostřednictvím konsolidace služby Virtual WAN

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-7, SC-7(4), SC-8
PCI-DSS v4: 1.2.1, 2.2.7, 4.2.1
Kontroly CIS v8.1: 12.8, 13.8
NIST CSF v2.0: PR. AC-05, PR. DS-02
ISO 27001:2022: A.8.21, A.8.22, A.5.14
SOC 2: CC6.6, CC6.7

NS-10: Zajištění zabezpečení DNS (Domain Name System)

Princip zabezpečení

Ujistěte se, že konfigurace zabezpečení DNS (Domain Name System) chrání před známými riziky:

Pomocí důvěryhodných autoritativních a rekurzivních služeb DNS v cloudovém prostředí zajistěte, aby klient (například operační systémy a aplikace) obdržel správný výsledek překladu.
Oddělte překlad veřejného a privátního DNS tak, aby byl proces překladu DNS pro privátní síť izolovaný od veřejné sítě.
Ujistěte se, že vaše strategie zabezpečení DNS zahrnuje také zmírnění rizik proti běžným útokům, jako je nefunkční DNS, zesilovací útoky DNS, otrava a falšování DNS a podobně.

Riziko ke zmírnění

Aktéři hrozeb napadnou služby DNS nebo zneužívají ohrožené služby DNS za účelem ohrožení aplikací a přesměrování provozu.

Falšování/otrávení DNS: Útočníci falšují odpovědi DNS nebo poškozují cache resolverů (např. útok Kaminskyho), aby přesměrovali klienty na škodlivé servery, čímž umožňují phishing nebo odchytávání dat.
Útoky na amplifikace DNS: Útočníci zneužívají chybně nakonfigurované servery DNS k zesílení provozu DDoS (např. 60 bajtů dotazu s 4 000 bajtovou odezvou), zahlcení cílových sítí.
Zneužití zavěšených DNS záznamů: Zavěšené záznamy (např. zastaralé CNAMEs) umožňují útočníkům zneužít vyřazené prostředky, přesměrovat provoz na škodlivé koncové body pro phishingové či malware útoky.
Exfiltrace dat prostřednictvím tunelování DNS: Aktéři se zlými úmysly kódují data v dotazech DNS (např. data.exfil.evil.com), aby skryli citlivé informace a obešli brány firewall.
Doručování phishingu nebo malwaru: Ohrožené překladače přesměrovávají legitimní domény na IP adresy řízené útočníkem, doručují phishingové stránky nebo malware nespektěným klientům.

MITRE ATT&CK

Příkaz a řízení (TA0011): Použijte DNS tunelování k zakódování příkazů C2 v dotazech (např. data.exfil.evil.com) nebo falšování rozlišení pro připojení ke škodlivým serverům (např. T1071.004 – aplikační vrstva protokolu DNS).
Kolekce (TA0009): Shromážděte data falšováním DNS a přesměrujte uživatele na phishingové stránky nebo exfiltrováním dat pomocí tunelování (např. T1040 – Snímání sítě).
Dopad (TA0040): Útoky na amplifikace DNS, odesílání malých dotazů za účelem generování velkých odpovědí, narušení dostupnosti služeb (např. T1498.002 – Network Denial of Service: Reflection Amplification).
Počáteční přístup (TA0001): Zneužít přeskakující záznamy DNS nebo falšované překlady za účelem zajištění malwaru nebo útoku phishing a získání vstupu do systémů (např. T1190 – Exploit Public-Facing Application).

NS-10.1 Použití důvěryhodné služby DNS

Pomocí důvěryhodných služeb DNS zajistěte, aby klienti dostávali správné výsledky překladu a chránili před útoky založenými na DNS. Azure poskytuje rekurzivní službu DNS na úrovni 168.63.129.16 (obvykle přiřazenou protokolem DHCP nebo předkonfigurovaným) pro překlad DNS úloh na úrovni operačního systému nebo aplikace. Případně použijte důvěryhodné externí servery DNS. Pro organizace hostující vlastní domény poskytuje Azure DNS spolehlivé autoritativní hostování DNS. Organizace vytvářející vlastní servery DNS by měly dodržovat pokyny pro zabezpečené nasazení NIST SP 800-81 Rev. 3:

Použijte rekurzivní DNS Azure nebo důvěryhodné externí DNS: Nakonfigurujte úlohy tak, aby používaly rekurzivní DNS Azure (168.63.129.16) nebo důvěryhodné externí servery DNS v operačních systémech virtuálních počítačů nebo nastavení DNS aplikací, aby se zajistilo spolehlivé překlad názvů.
Povolit Azure DNS v pravidlech firewallu: Přidejte 168.63.129.16 do seznamů povolených adres brány firewall a NSG, abyste zajistili správnou funkčnost DNS pro prostředky Azure.
Hostujte domény na Azure DNS: Azure DNS slouží k hostování rozlišení domén pro autoritativní DNS potřeby a poskytuje spolehlivé a škálovatelné hostování DNS (poznámka: Azure DNS neposkytuje službu pro registraci domén).
Postupujte podle pokynů pro zabezpečené nasazení DNS: Pokud vytváříte vlastní servery DNS, postupujte podle průvodce nasazením DNS (Secure Domain Name System) NIST SP 800-81 Rev. 3 Secure Domain Name System (DNS) a implementujte osvědčené postupy zabezpečení.

NS-10.2 Použití privátního DNS ve virtuální síti

Azure Private DNS můžete použít pro zřizování privátních zón DNS, kde rozlišení DNS zůstává ve virtuální síti a brání dotazům DNS v tom, aby procházely veřejnými sítěmi. To je nezbytné pro konfigurace privátních koncových bodů, kdy privátní zóny DNS přepisují veřejné překlady DNS pro privátní směrování provozu do služeb Azure. Vlastní řešení DNS můžou dál omezit překlad jenom na důvěryhodné zdroje a zvýšit zabezpečení pro privátní úlohy:

Nasazení privátního DNS Azure pro privátní překlad: Pomocí privátního DNS Azure můžete vytvářet privátní zóny DNS, které udržují překlad DNS ve virtuální síti a zajišťují, aby dotazy nikdy neopustly hranice vaší sítě.
Konfigurace privátního DNS pro privátní koncové body: Nakonfigurujte privátní zóny DNS pro privátní koncové body pro nahrazení veřejného překladu DNS a zajistěte, aby klienti přeložili plně kvalifikované názvy domén privátních koncových bodů na privátní IP adresy uvnitř virtuální sítě.
Implementace vlastních DNS pro omezené řešení: Pomocí vlastních serverů DNS omezte řešení DNS tak, aby umožňovalo pouze důvěryhodné zdroje překladu pro vaše klienty, což poskytuje dodatečnou kontrolu nad zabezpečením řešení názvů.

NS-10.3 Použití Defenderu pro DNS pro pokročilou ochranu

Pomocí Programu Microsoft Defender for DNS můžete zjišťovat a upozorňovat na pokročilé bezpečnostní hrozby založené na DNS, včetně exfiltrace dat prostřednictvím tunelování DNS, komunikace s příkazy a řízení, škodlivých interakcí s doménami (phishing, kryptografické dolování) a útoků DNS zahrnujících škodlivé překladače. Defender pro ochranu DNS je teď součástí plánu Defender for Servers. Kromě toho pomocí Microsoft Defenderu pro App Service detekujte neprobíjené záznamy DNS, které by mohly umožnit útoky na převzetí subdomény při vyřazení webů z provozu:

Povolení ochrany Defenderu pro DNS: Pomocí programu Microsoft Defender for DNS (zahrnutý v plánu Defender for Servers) můžete monitorovat a upozorňovat na podezřelé aktivity DNS, včetně exfiltrace dat prostřednictvím tunelového propojení DNS, komunikace s příkazy a řízení malwaru a interakcí se škodlivými doménami.
Monitorování škodlivé aktivity DNS: Nakonfigurujte výstrahy pro detekci komunikace se škodlivými překladači DNS a útoky DNS, které by mohly ohrozit zabezpečení úloh nebo dostupnost služby DNS.
Detekce osiřelých záznamů DNS: Pomocí Microsoft Defender pro App Service identifikujte osiřelé záznamy DNS při vyřazení webů App Service z provozu, abyste zabránili útokům převzetí subdomén tím, že se vlastní domény odeberou z registrátorů DNS.

Příklad implementace

Výzva: Podnik potřeboval komplexní zabezpečení DNS zahrnující důvěryhodné služby překladu, DNS privátní sítě pro interní prostředky a pokročilou detekci hrozeb napříč hybridní cloudovou infrastrukturou.

Přístup řešení:

Nasazené rekurzivní DNS Azure (168.63.129.16) pro všechny úlohy virtuálních počítačů Azure s pravidly NSG umožňujícími provoz DNS
Spravované autoritativní zóny v Azure DNS pro řešení veřejných domén s geografickou distribucí
Implementovali jsme zóny Azure Private DNS pro překlad privátních koncových bodů (privatelink.database.windows.net, privatelink.blob.core.windows.net) propojené s produkčními virtuálními sítěmi.
Konfigurace integrace privátního DNS zajišťující překlad plně kvalifikovaných názvů domén privátního koncového bodu na privátní IP adresy (např. sqlserver.database.windows.net → 10.0.2.4)
Povolili jsme Microsoft Defender pro DNS prostřednictvím plánu Defender for Servers, který monitoruje DNS tunelování, komunikaci C2 a škodlivé interakce s doménami.
Nasazení Defender for App Service pro detekci přebytečných záznamů DNS během ukončení provozu webu

Výsledek: Implementace zabezpečení DNS zajistila spolehlivé řešení názvů pro cloudové úlohy při zachování soukromí pro interní prostředky. Privátní zóny DNS zabránily procházení citlivých dotazů ve veřejných sítích, zatímco Defender pro DNS poskytuje přehled o hrozbách založených na DNS, včetně pokusů o exfiltraci dat a aktivity řízení a příkazů. Řešení eliminovalo rizika převzetí subdomény prostřednictvím automatizované detekce visících záznamů DNS během změn v životním cyklu prostředků.

Úroveň závažnosti

Musí to být.

Mapování ovládacích prvků

NIST SP 800-53 Rev.5: SC-7, SI-4, SI-4(4), SI-4(5)
PCI-DSS v4: 11.5.1, 12.10.1
Kontroly CIS v8.1: 8.5, 13.6, 13.8
NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. AE-02
ISO 27001:2022: A.8.16, A.8.22, A.5.24
SOC 2: CC6.1, CC7.2, CC7.3

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-11-12

Sdílet prostřednictvím

Zabezpečení sítě

NS-1: Vytvoření hranic segmentace sítě

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-1.1: Vytvoření segmentace pomocí virtuální sítě a podsítí

NS-1.2: Omezení síťového provozu pomocí NSG

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-2: Zabezpečení nativních cloudových služeb pomocí síťových ovládacích prvků

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-2.1 Použití služby Private Link pro připojení služby

Nasazení služby do virtuální sítě NS-2.2

NS-2.3 Konfigurace nativního firewallu služby

NS-2.4 Použít bezpečnostní perimetr sítě pro izolaci prostředků PaaS

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-3: Nasazení brány firewall na okraji podnikové sítě

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

Příprava na nasazení brány Azure Firewall NS-3.1

NS-3.2 Nasazení služby Azure Firewall s příslušnými zásadami

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-4: Nasazení systémů detekce neoprávněných vniknutí nebo ochrany před neoprávněným vniknutím (IDS/IPS)

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-4.1 Nasazení služby Azure Firewall Premium pro IDPS

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-5: Nasazení ochrany DDOS

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-5.1 Implementujte ochranu DDOS v příslušné síťové vrstvě.

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-6: Nasazení firewallu webových aplikací

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-6.1 Konfigurace Azure WAF s příslušnými pravidly

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-7: Centrální a efektivní správa zabezpečení sítě

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-7.1 Správa zabezpečení sítě centrálně a efektivně

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-8: Detekce a zakázání nezabezpečených služeb a protokolů

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-8.1 Detekce a zakázání nezabezpečených služeb a protokolů

Příklad implementace

Úroveň závažnosti

Mapování ovládacích prvků

NS-9: Privátní připojení místní nebo cloudové sítě

Princip zabezpečení

Riziko ke zmírnění

MITRE ATT&CK

NS-9.1 Použití virtuální privátní sítě Azure (VPN) pro odlehčené připojení typu site-to-site nebo připojení typu point-to-site

NS-9.2 Použití Azure ExpressRoute (nebo Virtual WAN) pro vysoce výkonná připojení na podnikové úrovni

NS-9.3 Použijte propojování virtuálních sítí nebo podsítí ke spojení s virtuálními sítěmi

Příklad implementace

Úroveň závažnosti