Řízení zabezpečení V2: Zabezpečení sítě
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Zabezpečení sítě pokrývá ovládací prvky pro zabezpečení a ochranu sítí Azure. To zahrnuje zabezpečení virtuálních sítí, vytváření privátních připojení, prevenci a zmírnění externích útoků a zabezpečení DNS.
Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Zabezpečení sítě
NS-1: Implementace zabezpečení pro interní provoz
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Zajistěte, aby všechny virtuální sítě Azure dodržovaly zásadu segmentace podniku, která odpovídá obchodním rizikům. Jakýkoli systém, který by mohl mít vyšší riziko pro organizaci, by měl být izolovaný ve své vlastní virtuální síti a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.
Na základě strategie segmentace aplikací a podnikových segmentací omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních dobře definovaných aplikací (například 3vrstvé aplikace) to může být vysoce zabezpečený přístup k odepření, povolení podle výjimky. To se nemusí dobře škálovat, pokud máte mnoho aplikací a koncových bodů, které vzájemně komunikují. Můžete také použít Azure Firewall za okolností, kdy centrální správa vyžaduje velký počet podnikových segmentů nebo paprsků (v hvězdicové topologii).
Pomocí Azure Security Center adaptivního posílení zabezpečení sítě doporučte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy na základě pravidel externího síťového provozu.
Pomocí služby Azure Sentinel můžete zjistit použití starších nezabezpečených protokolů, jako jsou SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Vazby bez znaménka LDAP a slabé šifry v Protokolu Kerberos.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
NS-2: Propojení privátních sítí
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-2 | – | CA-3, AC-17, MA-4 |
Pomocí Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) můžete vytvářet privátní připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí. Připojení ExpressRoute nepřecházejí přes veřejný internet a nabízejí větší spolehlivost, rychlejší rychlost a nižší latenci než typická internetová připojení. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností SÍTĚ VPN a Azure ExpressRoute.
Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí nebo Private Link. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
NS-3: Zřízení přístupu privátní sítě ke službám Azure
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-3 | 14.1 | AC-4, CA-3, SC-7 |
Pomocí Azure Private Link povolte privátní přístup ke službám Azure z vašich virtuálních sítí bez přechodu na internet. V situacích, kdy Azure Private Link ještě není k dispozici, použijte koncové body služby Azure Virtual Network. Koncové body služby Azure Virtual Network poskytují zabezpečený přístup ke službám prostřednictvím optimalizované trasy přes páteřní síť Azure.
Privátní přístup je další hloubková ochrana kromě ověřování a zabezpečení provozu, které nabízí služby Azure.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
NS-4: Ochrana aplikací a služeb před útoky na externí síť
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Chraňte prostředky Azure před útoky z externích sítí, včetně distribuovaných útoků DDoS (Denial of Service), útoků specifických pro aplikace a nevyžádaných a potenciálně škodlivých internetových přenosů. Azure zahrnuje nativní funkce pro toto:
Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění.
Pomocí funkcí Web Application Firewall (WAF) v Azure Application Gateway, Azure Front Door a Azure Content Delivery Network (CDN) můžete chránit aplikace, služby a rozhraní API před útoky aplikační vrstvy.
Chraňte své prostředky před útoky DDoS tím, že ve virtuálních sítích Azure povolíte standardní ochranu DDoS.
Pomocí Azure Security Center můžete zjistit rizika chybná konfigurace související s výše uvedenými riziky.
Správa služby Azure DDoS Protection Standard pomocí Azure Portal
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
NS-5: Nasazení systémů detekce vniknutí nebo prevence narušení (IDS/IPS)
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Používejte Azure Firewall filtrování na základě analýzy hrozeb, které vás upozorní nebo zablokují provoz do známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu. Pokud je potřeba kontrola datové části, můžete použít funkci Azure Firewall PREMIUM IDPS nebo nasadit systém detekce vniknutí třetí strany (IDS/IPS) z Azure Marketplace s možnostmi kontroly datové části. Alternativně můžete použít řešení IDS/IPS založené na hostiteli nebo řešení pro detekci a odpověď na základě hostitele (EDR) ve spojení se síťovými IDS/IPS nebo IPS.
Poznámka: Pokud máte zákonný nebo jiný požadavek na použití IDS/IPS, ujistěte se, že je vždy vyladěný tak, aby poskytoval vysoce kvalitní výstrahy pro vaše řešení SIEM.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
NS-6: Zjednodušení pravidel zabezpečení sítě
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Zjednodušte pravidla zabezpečení sítě využitím značek služeb a skupin zabezpečení aplikací (ASG).
Pomocí značek služby Virtual Network definujte řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby do zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.
Skupiny zabezpečení aplikací můžete také použít ke zjednodušení složité konfigurace zabezpečení. Místo definování zásad na základě explicitních IP adres ve skupinách zabezpečení sítě umožňují skupiny zabezpečení aplikací nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace, což vám umožní seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
NS-7: Secure Domain Name Service (DNS)
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-7 | – | SC-20, SC-21 |
Postupujte podle osvědčených postupů pro zabezpečení DNS, abyste mohli zmírnit běžné útoky, jako jsou rozšíření DNS, útoky na amplifikace DNS, otravy DNS a falšování identity atd.
Pokud se Azure DNS používá jako vaše autoritativní služba DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure RBAC a zámků prostředků.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):