Azure-Sicherheitsbaseline für Azure Load Balancer
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Azure Load Balancer an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Azure Load Balancer definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Azure Load Balancer gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Load Balancer vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei Azure Load Balancer Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Load Balancer mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Netzwerk |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | False |
| Speichert ruhende Kundeninhalte | False |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Während die Azure Load Balancer-Ressource nicht direkt in einer Virtual Network bereitgestellt wird, kann die interne SKU eine oder mehrere Front-End-IP-Konfigurationen mithilfe eines Azure-Virtual Network-Ziels erstellen.
Konfigurationsleitfaden: Azure bietet zwei Arten von Load Balancer Angeboten: Standard und Basic. Verwenden Sie interne Azure Load Balancer, um nur Datenverkehr zu Back-End-Ressourcen aus bestimmten virtuellen Netzwerken oder virtuellen Peeringnetzwerken zuzulassen, ohne das Internet zu nutzen. Implementieren Sie einen externen Load Balancer mit SNAT (Source Network Address Translation), um die IP-Adressen von Back-End-Ressourcen zum Schutz vor direkter Gefährdung durch das Internet zu maskieren.
Referenz: Interne Load Balancer Front-End-IP-Konfiguration
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Benutzer können eine NSG in ihrem virtuellen Netzwerk konfigurieren, aber nicht direkt auf dem Load Balancer.
Konfigurationsleitfaden: Implementieren Sie Netzwerksicherheitsgruppen, und erlauben Sie nur den Zugriff auf die vertrauenswürdigen Ports und IP-Adressbereiche Ihrer Anwendung. In Fällen, in denen dem Back-End-Subnetz oder der NIC der virtuellen Back-End-Computer keine Netzwerksicherheitsgruppe zugewiesen ist, darf der Datenverkehr nicht über den Lastenausgleich auf diese Ressourcen zugreifen. Load Balancer standard bieten Ausgangsregeln, um ausgehende NAT mit einer Netzwerksicherheitsgruppe zu definieren. Überprüfen Sie diese Ausgangsregeln, um das Verhalten ausgehender Verbindungen zu optimieren.
Load Balancer Standard ist standardmäßig sicher und Bestandteil eines privaten und isolierten Virtual Network. Er ist für eingehende Datenflüsse geschlossen, es sei denn, er wird von Netzwerksicherheitsgruppen geöffnet, um zulässigen Datenverkehr explizit zuzulassen und bekannte schädliche IP-Adressen zu verweigern. Wenn keine Netzwerksicherheitsgruppe in einem Subnetz oder einer NIC Ihrer virtuellen Computerressource hinter der Load Balancer-Instanz vorhanden ist, kann Datenverkehr diese Ressource nicht erreichen.
Hinweis: Die Verwendung eines Load Balancer Standard wird für Ihre Produktionsworkloads empfohlen. In der Regel wird die Basic-Load Balancer nur für Tests verwendet, da der Basistyp standardmäßig für Verbindungen aus dem Internet geöffnet ist und keine Netzwerksicherheitsgruppen für den Betrieb erfordert.
Referenz: Azure Load Balancer Front-End-IP-Konfiguration
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Network:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Definieren und Implementieren von Standardsicherheitskonfigurationen für Azure-Ressourcen mithilfe von Azure Policy. Weisen Sie integrierte Richtliniendefinitionen zu, die sich auf Ihre spezifischen Azure Load Balancer-Ressourcen beziehen. Wenn keine integrierten Richtliniendefinitionen verfügbar sind, können Sie Azure Policy Aliase verwenden, um benutzerdefinierte Richtlinien zu erstellen, um die Konfiguration Ihrer Azure Load Balancer Ressourcen im Namespace "Microsoft.Network" zu überwachen oder zu erzwingen.
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.