Řízení zabezpečení v3: Zabezpečení sítě
Zabezpečení sítě zahrnuje ovládací prvky pro zabezpečení a ochranu sítí Azure, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírnění externích útoků a zabezpečení DNS.
NS-1: Vytvoření hranic segmentace sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Zajistěte, aby nasazení virtuální sítě odpovídalo strategii segmentace podniku definované v ovládacím prvku zabezpečení GS-2. Každá úloha, která by mohla mít vyšší riziko pro organizaci, by měla být v izolovaných virtuálních sítích. Mezi příklady vysoce rizikových úloh patří:
- Aplikace ukládá nebo zpracovává vysoce citlivá data.
- Externí síťová aplikace přístupná veřejností nebo uživateli mimo vaši organizaci.
- Aplikace používající nezabezpečenou architekturu nebo obsahující chyby zabezpečení, které nelze snadno napravit.
Pokud chcete zlepšit strategii segmentace podniku, omezte nebo monitorujte provoz mezi interními prostředky pomocí síťových ovládacích prvků. U konkrétních dobře definovaných aplikací (například 3vrstvé aplikace) to může být ve výchozím nastavení vysoce zabezpečený přístup k odepření, povolení výjimkou tím, že omezíte porty, protokoly, zdrojovou a cílovou IP adresu síťového provozu. Pokud máte mnoho aplikací a koncových bodů, které vzájemně komunikují, blokování provozu nemusí být dobře škálovatelné a možná budete moct monitorovat jenom provoz.
Pokyny k Azure: Vytvoření virtuální sítě jako základního segmentačního přístupu ve vaší síti Azure, takže prostředky, jako jsou virtuální počítače, je možné nasadit do virtuální sítě v rámci hranice sítě. Pokud chcete síť dále segmentovat, můžete vytvořit podsítě uvnitř virtuální sítě pro menší podsítě.
Skupiny zabezpečení sítě (NSG) slouží jako řízení síťové vrstvy k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy.
Pomocí skupin zabezpečení aplikací (ASG) můžete také zjednodušit složitou konfiguraci. Místo definování zásad založených na explicitních IP adresách ve skupinách zabezpečení sítě vám skupiny ASG umožňují nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace, což vám umožní seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.
Implementace a další kontext:
- Koncepty a osvědčené postupy služby Azure Virtual Network
- Přidání, změna nebo odstranění podsítě virtuální sítě
- Vytvoření skupiny zabezpečení sítě pomocí pravidel zabezpečení
- Principy a používání skupin zabezpečení aplikací
Účastníci zabezpečení zákazníků (další informace):
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Zabezpečení cloudových služeb vytvořením privátního přístupového bodu pro prostředky Pokud je to možné, měli byste také zakázat nebo omezit přístup z veřejné sítě.
Doprovodné materiály k Azure: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky. Pokud je to možné, měli byste také zakázat nebo omezit přístup k veřejné síti ke službám.
U určitých služeb máte také možnost nasadit integraci virtuální sítě pro službu, kde můžete virtuální síť omezit na vytvoření privátního přístupového bodu pro službu.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-3: Nasazení brány firewall na hraničních zařízeních podnikové sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Nasaďte bránu firewall pro pokročilé filtrování síťového provozu do a z externích sítí. K podpoře strategie segmentace můžete použít také brány firewall mezi interními segmenty. V případě potřeby použijte vlastní trasy pro vaši podsíť k přepsání systémové trasy, pokud potřebujete vynutit, aby síťový provoz procházel síťovým zařízením pro účely řízení zabezpečení.
Minimálně blokujte známé chybné IP adresy a vysoce rizikové protokoly, jako je vzdálená správa (například RDP a SSH) a intranetové protokoly (například SMB a Kerberos).
Pokyny k Azure: Pomocí Azure Firewall můžete zajistit plně stavové omezení provozu aplikační vrstvy (například filtrování adres URL) nebo centrální správu nad velkým počtem podnikových segmentů nebo paprsků (v hvězdicové topologii).
Pokud máte složitou topologii sítě, jako je nastavení hvězdicového centra nebo paprsku, možná budete muset vytvořit trasy definované uživatelem (UDR), aby se zajistilo, že provoz prochází požadovanou trasou. Můžete například použít trasu definovanou uživatelem k přesměrování odchozího internetového provozu prostřednictvím konkrétního Azure Firewall nebo síťového virtuálního zařízení.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-4: Nasazení systémů detekce neoprávněných vniknutí nebo ochrany před neoprávněným vniknutím (IDS/IPS)
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Princip zabezpečení: Pomocí systémů detekce vniknutí do sítě a prevence neoprávněných vniknutí (IDS/IPS) můžete zkontrolovat provoz sítě a datové části do nebo z vaší úlohy. Ujistěte se, že IDS/IPS jsou vždy vyladěné tak, aby poskytovaly vysoce kvalitní výstrahy vašemu řešení SIEM.
Pokud chcete podrobnější funkci detekce a prevence na úrovni hostitele, použijte IDS/IPS na základě hostitele nebo řešení detekce a reakce u koncových bodů založeného na hostiteli (EDR) ve spojení se síťovým IDS/IPS.
Pokyny k Azure: Využijte funkci IDPS Azure Firewall ve vaší síti k upozorňování na nebo blokování provozu do a ze známých škodlivých IP adres a domén.
Pokud chcete podrobnější funkci detekce a prevence na úrovni hostitele, nasaďte IDS/IPS na základě hostitele nebo řešení detekce a reakce u koncových bodů založené na hostiteli (EDR), jako je například Microsoft Defender for Endpoint, na úrovni virtuálního počítače ve spojení se síťovými IDS/IPS.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-5: Nasazení ochrany DDOS
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princip zabezpečení: Nasaďte ochranu před distribuovaným odepřením služby (DDoS) za účelem ochrany sítě a aplikací před útoky.
Pokyny k Azure: Povolení plánu ochrany před útoky DDoS úrovně Standard ve vaší virtuální síti za účelem ochrany prostředků, které jsou vystavené veřejným sítím.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-6: Nasazení brány firewall webových aplikací
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Nasaďte firewall webových aplikací (WAF) a nakonfigurujte příslušná pravidla pro ochranu webových aplikací a rozhraní API před útoky specifickými pro aplikace.
Pokyny k Azure: Použití funkcí firewallu webových aplikací (WAF) v Azure Application Gateway, Azure Front Dooru a Azure Content Delivery Network (CDN) k ochraně aplikací, služeb a rozhraní API před útoky aplikační vrstvy na okraji sítě. V závislosti na vašich potřebách a na šířku hrozeb nastavte WAF v režimu detekce nebo prevence. Zvolte integrovanou sadu pravidel, například chyby zabezpečení OWASP Top 10, a vylaďte ji pro vaši aplikaci.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-7: Zjednodušení konfigurace zabezpečení sítě
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Při správě komplexního síťového prostředí používejte nástroje ke zjednodušení, centralizaci a vylepšení správy zabezpečení sítě.
Pokyny k Azure: Použití následujících funkcí ke zjednodušení implementace a správy zásad zabezpečení sítě a pravidel Azure Firewall:
- Pomocí Microsoft Defender for Cloud adaptivního posílení zabezpečení sítě doporučte pravidla posílení zabezpečení sítě, která dále omezují porty, protokoly a zdrojové IP adresy na základě analýzy hrozeb a výsledků analýzy provozu.
- Pomocí Azure Firewall Manageru můžete centralizovat zásady brány firewall a správu tras virtuální sítě. Pokud chcete zjednodušit implementaci pravidel brány firewall a skupin zabezpečení sítě, můžete také použít šablonu ARM (Azure Resource Manager) Azure Firewall Manageru.
Implementace a další kontext:
- Adaptivní posílení zabezpečení sítě v Microsoft Defender for Cloud
- Azure Firewall Manager
- Vytvoření Azure Firewall a zásad brány firewall – šablona ARM
Účastníci zabezpečení zákazníků (další informace):
NS-8: Detekce a zakázání nezabezpečených služeb a protokolů
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princip zabezpečení: Detekujte a zakažte nezabezpečené služby a protokoly na vrstvě operačního systému, aplikace nebo softwarového balíčku. Pokud není možné zakázat nezabezpečené služby a protokoly, nasaďte kompenzační ovládací prvky.
Pokyny k Azure: Pomocí integrovaného sešitu protokolu Insecure Protocol v Azure Sentinelu zjistíte použití nezabezpečených služeb a protokolů, jako jsou SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds a slabé šifry v Kerberosu. Zakažte nezabezpečené služby a protokoly, které nesplňují odpovídající standard zabezpečení.
Poznámka: Pokud zakázání nezabezpečených služeb nebo protokolů není možné, použijte kompenzační kontroly, jako je blokování přístupu k prostředkům prostřednictvím skupiny zabezpečení sítě, Azure Firewall nebo Azure Web Application Firewall, abyste snížili prostor útoku.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-9: Připojení místní nebo cloudové sítě soukromě
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | – |
Princip zabezpečení: Použití privátních připojení k zabezpečené komunikaci mezi různými sítěmi, jako jsou datacentra poskytovatelů cloudových služeb a místní infrastruktura v kolokačním prostředí.
Pokyny k Azure: Použití privátních připojení pro zabezpečenou komunikaci mezi různými sítěmi, jako jsou datacentra poskytovatelů cloudových služeb a místní infrastruktura v kolokačním prostředí.
Pro zjednodušené připojení mezi site-to-site nebo point-to-site použijte virtuální privátní síť Azure (VPN) k vytvoření zabezpečeného připojení mezi místní lokalitou nebo koncovým uživatelem k virtuální síti Azure.
Pro vysoce výkonné připojení na podnikové úrovni použijte Azure ExpressRoute (nebo Virtual WAN) k připojení datových center Azure a místní infrastruktury ve společném prostředí.
Při připojování dvou nebo více virtuálních sítí Azure použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-10: Ujistěte se, že zabezpečení systému DNS (Domain Name System)
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | – |
Princip zabezpečení: Ujistěte se, že konfigurace zabezpečení DNS (Domain Name System) chrání před známými riziky:
- Použijte důvěryhodné autoritativní a rekurzivní služby DNS ve vašem cloudovém prostředí, abyste zajistili, že klient (například operační systémy a aplikace) obdrží správný výsledek překladu.
- Oddělte veřejný a privátní překlad DNS, aby bylo možné proces překladu DNS pro privátní síť izolovat od veřejné sítě.
- Ujistěte se, že vaše strategie zabezpečení DNS zahrnuje také zmírnění rizik proti běžným útokům, jako jsou například zpošlechtění DNS, útoky na amplifikace DNS, otrava DNS a falšování identity atd.
Pokyny k Azure: Použití rekurzivního DNS Nebo důvěryhodného externího serveru DNS ve vaší úloze rekurzivní nastavení DNS, například v operačním systému virtuálního počítače nebo v aplikaci.
Azure Privátní DNS použijte k nastavení privátní zóny DNS, kde proces překladu DNS neopustí virtuální síť. Pomocí vlastního DNS omezte překlad DNS, který umožňuje pouze důvěryhodné překlady pro vašeho klienta.
Pro pokročilou ochranu před následujícími bezpečnostními hrozbami pro vaši úlohu nebo službu DNS použijte Azure Defender pro DNS:
- Exfiltrace dat z prostředků Azure pomocí tunelového propojení DNS
- Malware komunikující se serverem command-and-control
- Komunikace se škodlivými doménami jako phishingem a kryptografickým dolováním
- Útoky DNS při komunikaci se škodlivými překladači DNS
Azure Defender pro App Service můžete použít také k detekci shodných záznamů DNS, pokud vyřadíte App Service web z provozu, aniž byste odebrali vlastní doménu od svého registrátora DNS.
Implementace a další kontext:
- Přehled Azure DNS
- Průvodce nasazením systému DNS (Secure Domain Name System):
- Privátní DNS v Azure
- Azure Defender pro DNS
- Znemožněte dangling záznamů DNS a vyhněte se převzetí subdomény:
Účastníci zabezpečení zákazníků (další informace):