Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über die DNS-Sicherheitsrichtlinie. Sehen Sie sich auch die folgende Schrittanleitung an:
Was ist die DNS-Sicherheitsrichtlinie?
Die DNS-Sicherheitsrichtlinie ermöglicht es, DNS-Abfragen auf VNet-Ebene (virtuelles Netzwerk) zu filtern und zu protokollieren. Die Richtlinie gilt sowohl für öffentlichen als auch für privaten DNS-Datenverkehr innerhalb eines VNet. DNS-Protokolle können an ein Speicherkonto, einen Log Analytics-Arbeitsbereich oder an Event Hubs gesendet werden. Sie können DNS-Abfragen zulassen, blockieren oder Warnungen für diese senden.
Mit der DNS-Sicherheitsrichtlinie können Sie:
- Regeln zum Schutz vor DNS-basierten Angriffen erstellen, indem Sie die Namensauflösung bekannter oder schädlicher Domänen blockieren
- Detaillierte DNS-Protokolle speichern und anzeigen, um Einblicke in den DNS-Datenverkehr zu erhalten
Einer DNS-Sicherheitsrichtlinie sind die folgenden Elemente und Eigenschaften zugeordnet:
- Standort: Die Azure-Region, in der die Sicherheitsrichtlinie erstellt und bereitgestellt wird.
- DNS-Datenverkehrsregeln: Regeln, die basierend auf Prioritäts- und Domänenlisten zulassen, blockieren oder warnen.
- Virtuelle Netzwerkverknüpfung: Eine Verknüpfung, die die Sicherheitsrichtlinie einem VNet zuordnet.
- DNS-Domänenlisten: Standortbasierte Listen der DNS-Domänen.
Die DNS-Sicherheitsrichtlinie kann mit Azure PowerShell oder dem Azure-Portal konfiguriert werden.
Standort
Eine Sicherheitsrichtlinie gilt nur für VNets in derselben Region. Im folgenden Beispiel werden zwei Richtlinien in zwei verschiedenen Regionen („USA, Osten“ und „USA, Mitte“) erstellt.
Wichtig
Die Richtlinie-zu-VNet--Beziehung ist 1:n. Wenn ein VNet einer Sicherheitsrichtlinie (über virtuelle Netzwerkverknüpfungen) zugeordnet ist, kann das VNet keiner anderen Sicherheitsrichtlinie zugeordnet werden, ohne zuerst die vorhandene virtuelle Netzwerkverknüpfung zu entfernen. Eine einzelne DNS-Sicherheitsrichtlinie kann mehreren VNets in derselben Region zugeordnet werden.
DNS-Datenverkehrsregeln
DNS-Datenverkehrsregeln bestimmen die Aktion, die für eine DNS-Abfrage ausgeführt wird.
Um DNS-Datenverkehrsregeln im Azure-Portal anzuzeigen, wählen Sie eine DNS-Sicherheitsrichtlinie aus, und wählen Sie dann unter Einstellungen die Option DNS-Datenverkehrsregeln aus. Siehe folgendes Beispiel:
- Regeln werden in der Reihenfolge der Priorität im Bereich 100–65000 verarbeitet. Niedrigere Zahlen stehen für eine höhere Priorität.
- Wenn ein Domänenname in einer Regel mit niedrigerer Priorität blockiert wird und dieselbe Domäne in einer Regel mit höherer Priorität zulässig ist, ist der Domänenname zulässig.
- Regeln folgen der DNS-Hierarchie. Wenn contoso.com in einer Regel mit höherer Priorität zulässig ist, ist sub.contoso.com zulässig, auch wenn sub.contoso.com in einer Regel mit niedrigerer Priorität blockiert wird.
- Sie können eine Richtlinie für alle Domänen konfigurieren, indem Sie eine Regel erstellen, die für die Domäne „.“ gilt. Achten Sie beim Blockieren von Domänen darauf, dass Sie die erforderlichen Azure-Dienste nicht blockieren.
- Sie können Regeln dynamisch zur Liste hinzufügen und aus dieser löschen. Achten Sie darauf, nach der Bearbeitung von Regeln im Portal Speichern auszuwählen.
- Pro Regel sind mehrere DNS-Domänenlisten zulässig. Sie müssen über mindestens eine DNS-Domänenliste verfügen.
- Jede Regel ist einer von drei Datenverkehrsaktionen zugeordnet: Zulassen, Blockieren oder Warnung.
- Zulassen: Lässt die Abfrage für die zugeordneten Domänenlisten zu und protokolliert sie.
- Blockieren: Blockiert die Abfrage für die zugeordneten Domänenlisten und protokolliert die Blockieraktion.
- Warnung: Lässt die Abfrage für die zugeordneten Domänenlisten zu und protokolliert eine Warnung.
- Regeln können einzeln aktiviert oder deaktiviert werden.
Verknüpfungen virtueller Netzwerke
DNS-Sicherheitsrichtlinien gelten nur für VNets, die mit der Sicherheitsrichtlinie verknüpft sind. Sie können eine einzelne Sicherheitsrichtlinie mit mehreren VNets verknüpfen, ein einzelnes VNet kann jedoch nur mit einer DNS-Sicherheitsrichtlinie verknüpft werden.
Das folgende Beispiel zeigt eine DNS-Sicherheitsrichtlinie, die mit zwei VNets verknüpft ist (myeastvnet-40 und myeastvnet-50):
- Sie können nur VNets verknüpfen, die sich in derselben Region wie die Sicherheitsrichtlinie befinden.
- Wenn Sie ein VNet mithilfe einer virtuellen Netzwerkverknüpfung mit einer DNS-Sicherheitsrichtlinie verknüpfen, gilt die DNS-Sicherheitsrichtlinie für alle Ressourcen innerhalb des VNet.
DNS-Domänenlisten
DNS-Domänenlisten sind Listen der DNS-Domänen, die Sie Datenverkehrsregeln zuordnen.
Wählen Sie DNS-Domänenlisten unter Einstellungen für eine DNS-Sicherheitsrichtlinie aus, um die aktuellen Domänenlisten anzuzeigen, die der Richtlinie zugeordnet sind.
Hinweis
CNAME-Ketten werden untersucht („verfolgt“), um zu ermitteln, ob die Datenverkehrsregeln, die einer Domäne zugeordnet sind, gelten sollen. Beispiel: Eine Regel, die für malicious.contoso.com gilt, gilt auch für adatum.com, wenn adatum.com zu malicious.contoso.com zugeordnet ist oder wenn malicious.contoso.com an einer beliebigen Stelle der CNAME-Kette für adatum.com erscheint.
Das folgende Beispiel zeigt die DNS-Domänenlisten, die der DNS-Sicherheitsrichtlinie myeast-secpol zugeordnet sind:
Sie können eine Domänenliste mehreren DNS-Datenverkehrsregeln in verschiedenen Sicherheitsrichtlinien zuordnen. Eine Sicherheitsrichtlinie muss mindestens eine Domänenliste enthalten. Es folgt ein Beispiel für eine DNS-Domänenliste (blocklist-1), die zwei Domänen enthält (malicious.contoso.com und exploit.adatum.com):
- Eine DNS-Domänenliste muss mindestens eine Domäne enthalten. Platzhalterdomänen sind zulässig.
Wichtig
Gehen Sie beim Erstellen von Platzhalterdomänenlisten mit Bedacht vor. Wenn Sie beispielsweise eine Domänenliste erstellen, die für alle Domänen gilt (indem Sie . als DNS-Domäne eingeben), und dann eine DNS-Datenverkehrsregel konfigurieren, um Abfragen für diese Domänenliste zu blockieren, kann das zur Folge haben, dass erforderliche Dienste nicht mehr funktionieren.
Wenn Sie eine DNS-Domänenliste im Azure-Portal anzeigen, können Sie auch Einstellungen>Zugeordnete DNS-Datenverkehrsregeln auswählen, um eine Liste aller Datenverkehrsregeln und der zugehörigen DNS-Sicherheitsrichtlinien anzuzeigen, die auf die DNS-Domänenliste verweisen.
Anforderungen und Einschränkungen
| Einschränkungstyp | Grenzwert/Regel |
|---|---|
| Einschränkungen für virtuelle Netzwerke | – DNS-Sicherheitsrichtlinien können nur auf VNets in derselben Region wie die DNS-Sicherheitsrichtlinie angewendet werden. – Sie können eine Sicherheitsrichtlinie pro VNet verknüpfen. |
| Sicherheitsrichtlinieneinschränkungen | 1000 |
| DNS-Datenverkehr-Regel-Einschränkungen | 10 |
| Einschränkungen für Domänenlisten | 1000 |
| Domäneneinschränkungen | 100,000 |