Sicherheitssteuerung: Netzwerksicherheit

Hinweis

Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.

Netzwerksicherheitsempfehlungen konzentrieren sich auf die Angabe, welche Netzwerkprotokolle, TCP/UDP-Ports und netzwerkverbundene Dienste Zugriff auf Azure-Dienste erhalten oder verweigert werden.

1.1: Schützen von Azure-Ressourcen in virtuellen Netzwerken

Azure-ID	CIS-IDs	Verantwortung
1.1	9.2, 9.4, 14.1, 14.2, 14.3	Kunde

Stellen Sie sicher, dass alle Subnetzbereitstellungen für virtuelle Netzwerke eine Netzwerksicherheitsgruppe mit Netzwerkzugriffssteuerelementen angewendet haben, die spezifisch für die vertrauenswürdigen Ports und Quellen Ihrer Anwendung sind. Wenn verfügbar, verwenden Sie private Endpunkte mit privatem Link, um Ihre Azure-Dienstressourcen für Ihr virtuelles Netzwerk zu sichern, indem Sie die VNet-Identität auf den Dienst erweitern. Wenn private Endpunkte und private Verknüpfungen nicht verfügbar sind, verwenden Sie Dienstendpunkte. Für dienstspezifische Anforderungen lesen Sie bitte die Sicherheitsempfehlung für diesen spezifischen Dienst.

Wenn Sie einen bestimmten Anwendungsfall haben, kann die Anforderung auch durch die Implementierung der Azure-Firewall erfüllt werden.

• Grundlegendes zu virtuellen Netzwerkendpunkten

• Azure Private Link verstehen

• Erstellen eines virtuellen Netzwerks

• Erstellung einer NSG mit einer Sicherheitskonfiguration

• Bereitstellen und Konfigurieren der Azure Firewall

1.2: Überwachen und Protokollieren der Konfiguration und des Datenverkehrs von virtuellen Netzwerken, Subnetzen und Netzwerkkarten (NICs)

Azure-ID	CIS-IDs	Verantwortung
1.2	9.3, 12.2, 12.8	Kunde

Verwenden Sie Azure Security Center, und befolgen Sie Netzwerkschutzempfehlungen, um Ihre Netzwerkressourcen in Azure zu schützen. Aktivieren Sie NSG-Ablaufprotokolle und senden Sie Protokolle in ein Speicherkonto für die Datenverkehrsüberwachung. Sie können auch NSG-Flussprotokolle an einen Log Analytics-Arbeitsbereich senden und Datenverkehrsanalysen verwenden, um Einblicke in den Datenverkehrsfluss in Ihrer Azure-Cloud bereitzustellen. Einige Vorteile von Traffic Analytics sind die Möglichkeit, Netzwerkaktivitäten zu visualisieren und Hotspots zu identifizieren, Sicherheitsbedrohungen zu identifizieren, Datenverkehrsflussmuster zu verstehen und Netzwerk-Fehlkonfigurationen anzuheften.

• So aktivieren Sie NSG-Ablaufprotokolle

• Aktivieren und Verwenden von Datenverkehrsanalysen

• Grundlegendes zur Netzwerksicherheit, die vom Azure Security Center bereitgestellt wird

1.3: Schützen kritischer Webanwendungen

Azure-ID	CIS-IDs	Verantwortung
1.3	9.5	Kunde

Stellen Sie die Azure Web Application Firewall (WAF) vor kritischen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Aktivieren Sie die Diagnoseeinstellungen für WAF, und erfassen Sie Protokolle in einem Speicherkonto, Event Hub oder Log Analytics-Arbeitsbereich.

• Wie Azure WAF bereitgestellt wird

1.4: Ablehnen der Kommunikation mit bekannten bösartigen IP-Adressen

Azure-ID	CIS-IDs	Verantwortung
1.4	12.3	Kunde

Aktivieren Sie den DDoS Standard-Schutz in Ihren virtuellen Azure-Netzwerken, um vor DDoS-Angriffen zu schützen. Verwenden Sie azure Security Center Integrated Threat Intelligence, um die Kommunikation mit bekannten bösartigen IP-Adressen zu verweigern.

Stellen Sie Azure Firewall an den Netzwerkgrenzen der Organisation bereit, wobei Bedrohungsinformationen aktiviert und für böswilligen Netzwerkdatenverkehr auf "warnen und ablehnen" konfiguriert sind.

Verwenden Sie das Azure Security Center für Just-In-Time-Netzwerkzugriff, um die Netzwerksicherheitsgruppen (NSGs) so zu konfigurieren, dass die Exposition von Endpunkten auf genehmigte IP-Adressen für einen begrenzten Zeitraum beschränkt wird.

Verwenden Sie die Azure Security Center Adaptive Network-Härtung, um NSG-Konfigurationen zu empfehlen, die Ports und Quell-IPs basierend auf dem tatsächlichen Datenverkehr und der Bedrohungserkennung einschränken.

• Konfigurieren des DDoS-Schutzes

• So stellen Sie Azure Firewall bereit

• Verständnis der integrierten Bedrohungsinformationen im Azure Security Center

• Grundlegendes zur adaptiven Netzwerke-Härtung im Azure Security Center

• Grundlegendes zu Azure Security Center just in Time Network Access Control

1.5: Aufzeichnen von Netzwerkpaketen

Azure-ID	CIS-IDs	Verantwortung
1.5	12,5	Kunde

Aktivieren Sie die Netzwerküberwachungspaketerfassung, um anomale Aktivitäten zu untersuchen.

• Aktivieren der Netzwerküberwachung

1.6: Bereitstellen von netzwerkbasierten Angriffserkennungs-/Angriffsschutzsystemen (IDS/IPS)

Azure-ID	CIS-IDs	Verantwortung
1.6	12.6, 12.7	Kunde

Wählen Sie ein Angebot aus dem Azure Marketplace aus, das IDS/IPS-Funktionen mit Nutzlastüberprüfungsfunktionen unterstützt. Wenn die Angriffserkennung und/oder -verhinderung basierend auf der Nutzlastüberprüfung keine Anforderung ist, kann die Azure Firewall mit Threat Intelligence verwendet werden. Azure Firewall Threat Intelligence-basierte Filterung kann den Datenverkehr zu und von bekannten bösartigen IP-Adressen und Domänen benachrichtigen und verweigern. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed.

Stellen Sie die Firewalllösung Ihrer Wahl an den Netzwerkgrenzen Ihrer Organisation bereit, um böswilligen Datenverkehr zu erkennen und/oder zu verweigern.

• Azure Marketplace

• So stellen Sie Azure Firewall bereit

• Konfigurieren von Warnungen mit azure Firewall

1.7: Verwalten von Datenverkehr zu Webanwendungen

Azure-ID	CIS-IDs	Verantwortung
1.7	12.9, 12.10	Kunde

Bereitstellen des Azure-Anwendungsgateways für Webanwendungen mit HTTPS/TLS, das für vertrauenswürdige Zertifikate aktiviert ist.

• Bereitstellen des Anwendungsgateways

• So konfigurieren Sie das Anwendungsgateway für die Verwendung von HTTPS

• Grundlegendes zum Lastenausgleich der Ebene 7 mit Azure-Webanwendungsgateways

1.8: Minimieren der Komplexität und des Verwaltungsaufwands von Netzwerksicherheitsregeln

Azure-ID	CIS-IDs	Verantwortung
1.8	1.5	Kunde

Verwenden Sie Virtual Network Service Tags, um Netzwerkzugriffssteuerelemente für Netzwerksicherheitsgruppen oder Azure Firewall zu definieren. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen. Durch Angeben des Diensttagnamens (z. B. ApiManagement) im entsprechenden Quell- oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern. Microsoft verwaltet die Adresspräfixe, die von der Dienstmarke umfasst werden, und aktualisiert die Dienstmarke automatisch, wenn sich die Adressen ändern.

Sie können auch Anwendungssicherheitsgruppen verwenden, um die komplexe Sicherheitskonfiguration zu vereinfachen. Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.

• Verstehen und Verwenden von Dienst-Tags

• Anwendungssicherheitsgruppen verstehen und verwenden

1.9: Verwalten von Standardsicherheitskonfigurationen für Netzwerkgeräte

Azure-ID	CIS-IDs	Verantwortung
1.9	11,1	Kunde

Definieren und Implementieren von Standardsicherheitskonfigurationen für Netzwerkressourcen mit Azure-Richtlinie.

Sie können azure Blueprints auch verwenden, um große Azure-Bereitstellungen zu vereinfachen, indem Sie Schlüsselumgebungsartefakte wie Azure Resources Manager-Vorlagen, Azure RBAC-Steuerelemente und Richtlinien in einer einzigen Blueprintdefinition packen. Sie können den Blueprint auf neue Abonnements anwenden und die Steuerung und Verwaltung durch Versionsverwaltung optimieren.

• Konfigurieren und Verwalten von Azure-Richtlinien

• Azure-Richtlinienbeispiele für Netzwerke

• Erstellen eines Azure-Blueprints

1.10: Datenverkehrskonfigurationsregeln dokumentieren

Azure-ID	CIS-IDs	Verantwortung
1.10	11.2	Kunde

Verwenden Sie Tags für NSGs und andere Ressourcen im Zusammenhang mit Netzwerksicherheit und Datenverkehr. Verwenden Sie für einzelne NSG-Regeln das Feld "Beschreibung", um geschäftsbedarf und/oder Dauer (usw.) für alle Regeln anzugeben, die Datenverkehr zu/von einem Netzwerk zulassen.

Verwenden Sie eine der integrierten Azure-Richtliniendefinitionen im Zusammenhang mit Tagging, z. B. "Tag und wert erforderlich", um sicherzustellen, dass alle Ressourcen mit Tags erstellt werden und Sie über vorhandene nicht markierte Ressourcen informieren.

Sie können Azure PowerShell oder Azure CLI verwenden, um Aktionen für Ressourcen basierend auf ihren Tags nachzuschlagen oder auszuführen.

• Erstellen und Verwenden von Tags

• Erstellen eines virtuellen Netzwerks

• Wie man ein NSG mit einer Sicherheitskonfiguration erstellt

1.11: Verwenden von automatisierten Tools zum Überwachen von Netzwerkressourcenkonfigurationen und Erkennen von Änderungen

Azure-ID	CIS-IDs	Verantwortung
1.11	11.3	Kunde

Verwenden Sie das Azure-Aktivitätsprotokoll, um Ressourcenkonfigurationen zu überwachen und Änderungen an Ihren Azure-Ressourcen zu erkennen. Erstellen Sie Warnungen in Azure Monitor, die ausgelöst werden, wenn Änderungen an kritischen Ressourcen stattfinden.

• Anzeigen und Abrufen von Azure Activity Log-Ereignissen

• Erstellen von Warnungen in Azure Monitor

Nächste Schritte

• Weitere Informationen zur Sicherheitssteuerung: Protokollierung und Überwachung