Freigeben über


Sicherheitssteuerung v3: Netzwerksicherheit

Netzwerksicherheit umfasst Kontrollen zum Absichern und Schützen von Azure-Netzwerken, einschließlich der Absicherung virtueller Netzwerke, der Einrichtung privater Verbindungen, der Verhinderung und Eindämmung externer Angriffe und der Absicherung von DNS.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Stellen Sie sicher, dass Ihre VNet-Bereitstellung Ihrer Strategie für die Unternehmenssegmentierung entspricht, die in der GS-2-Sicherheitskontrolle definiert ist. Workloads, die für die Organisation ein höheres Risiko darstellen könnten, sollten in separaten virtuellen Netzwerken isoliert werden. Beispiele für Workloads mit hohem Risiko:

  • Eine Anwendung, die hochsensible Daten speichert oder verarbeitet
  • Eine externe Netzwerkanwendung, die für die Öffentlichkeit oder für Benutzer außerhalb Ihrer Organisation zugänglich ist
  • Eine Anwendung, die eine unsichere Architektur verwendet oder Sicherheitsrisiken enthält, die nicht einfach behoben werden können

Um Ihre Strategie für die Unternehmenssegmentierung zu verbessern, beschränken oder überwachen Sie den Datenverkehr zwischen internen Ressourcen mithilfe von Netzwerkkontrollen. Für bestimmte klar definierte Anwendungen (z. B. einer Drei-Schichten-App) ist beispielsweise ein äußerst sicherer Ansatz denkbar, bei dem der Datenverkehr standardmäßig verweigert wird und nur Ausnahmen zugelassen werden. Dies erfolgt durch Einschränken der Ports, Protokolle, Quell- und Ziel-IP-Adressen des Netzwerkdatenverkehrs. Wenn viele Anwendungen und Endpunkte miteinander interagieren, ist das Blockieren des Datenverkehrs in diesem Maßstab möglicherweise nicht praktikabel, und der Datenverkehr kann vielleicht nur überwacht werden.

Azure-Leitfaden: Erstellen Sie ein virtuelles Netzwerk (VNet) als grundlegenden Segmentierungsansatz in Ihrem Azure-Netzwerk, damit Ressourcen wie VMs innerhalb einer Netzwerkgrenze im VNet bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb des VNet erstellen, um kleinere Unternetzwerke zu erhalten.

Verwenden Sie Netzwerksicherheitsgruppen (NSG) als Kontrolle der Netzwerkschicht, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen.

Sie können auch Anwendungssicherheitsgruppen (ASGs) verwenden, um eine komplexe Konfiguration zu vereinfachen. Anstatt eine Richtlinie auf Basis expliziter IP-Adressen in Netzwerksicherheitsgruppen zu definieren, können Sie mit ASGs die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Schützen Sie Clouddienste, indem Sie einen privaten Zugriffspunkt für die Ressourcen einrichten. Sie sollten nach Möglichkeit auch den Zugriff über das öffentliche Netzwerk deaktivieren oder einschränken.

Azure-Leitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das Private Link-Feature unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Sie sollten auch den Zugriff auf öffentliche Netzwerke auf Dienste deaktivieren oder einschränken, sofern dies möglich ist.

Für bestimmte Dienste haben Sie auch die Möglichkeit, eine VNet-Integration für den Dienst bereitzustellen, wobei Sie das VNet einschränken können, um einen privaten Zugriffspunkt für den Dienst einzurichten.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-3: Bereitstellen einer Firewall im Edgebereich des Unternehmensnetzwerks

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Stellen Sie eine Firewall bereit, um eine erweiterte Filterung des Netzwerkdatenverkehrs zu und von externen Netzwerken durchzuführen. Sie können auch Firewalls zwischen internen Segmenten verwenden, um eine Segmentierungsstrategie zu unterstützen. Verwenden Sie bei Bedarf benutzerdefinierte Routen für Ihr Subnetz, um die Systemroute außer Kraft zu setzen, wenn Sie den Netzwerkdatenverkehr zu Sicherheitskontrollzwecken über ein Netzwerkgerät leiten müssen.

Blockieren Sie zumindest bekannte schädliche IP-Adressen und Protokolle mit hohem Risiko wie die Remoteverwaltung (z. B. RDP und SSH) und Intranetprotokolle (z. B. SMB und Kerberos).

Azure-Leitfaden: Verwenden Sie Azure Firewall, um eine vollständig zustandsbehaftete Datenverkehrseinschränkung auf Anwendungsebene (z. B. URL-Filterung) und/oder eine zentrale Verwaltung für eine große Anzahl von Unternehmenssegmenten oder Spokes (in einer Hub-Spoke-Topologie) bereitzustellen.

Wenn Sie über eine komplexe Netzwerktopologie wie z. B. eine Hub-Spoke-Einrichtung verfügen, müssen Sie möglicherweise benutzerdefinierte Routen (User-Defined Routes, UDRs) erstellen, um sicherzustellen, dass der Datenverkehr die gewünschte Route durchläuft. Beispielsweise haben Sie die Möglichkeit, eine UDR zu verwenden, um ausgehenden Internetdatenverkehr über eine bestimmte Azure Firewall-Instanz oder ein virtuelles Netzwerkgerät umzuleiten.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-4: Bereitstellen von Angriffserkennungs-/Eindringschutzsystemen (Intrusion Detection/Intrusion Prevention Systems, IDS/IPS)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Sicherheitsprinzip: Verwenden Sie Angriffserkennungs- und Eindringschutzsysteme (IDS/IPS) im Netzwerk, um den Netzwerk- und Nutzdatenverkehr an oder von Ihrer Workload zu untersuchen. Stellen Sie sicher, dass IDS/IPS immer optimiert ist, um hochwertige Warnungen für Ihre SIEM-Lösung bereitzustellen.

Verwenden Sie ein hostbasiertes IDS/IPS oder eine hostbasierte EDR-Lösung (Endpunkterkennung und -reaktion) in Verbindung mit dem Netzwerk-IDS/IPS, um eine detailliertere Erkennungs- und Schutzfunktion auf Hostebene zu erhalten.

Azure-Leitfaden: Verwenden Sie die IDPS-Funktion von Azure Firewall in Ihrem Netzwerk, um Warnungen zu Datenverkehr an und von bekannten schädlichen IP-Adressen und Domänen zu erhalten und/oder solchen Datenverkehr zu blockieren.

Um eine detailliertere Erkennungs- und Schutzfunktion auf Hostebene zu erhalten, stellen Sie ein hostbasiertes IDS/IPS oder eine hostbasierte EDR-Lösung (Endpunkterkennung und -reaktion) wie Microsoft Defender für Endpunkt auf VM-Ebene in Verbindung mit dem Netzwerk-IDS/IPS bereit.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-5: Bereitstellen von DDOS-Schutz

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Sicherheitsprinzip: Stellen Sie DDoS-Schutz (Distributed Denial of Service) bereit, um Ihr Netzwerk und Ihre Anwendungen vor Angriffen zu schützen.

Azure-Leitfaden: Aktivieren Sie den DDoS-Standardschutzplan in Ihrem VNet, um Ressourcen zu schützen, die für die öffentlichen Netzwerke verfügbar gemacht werden.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-6: Bereitstellen einer Web Application Firewall

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Stellen Sie eine Web Application Firewall (WAF) bereit, und konfigurieren Sie die entsprechenden Regeln, um Ihre Webanwendungen und APIs vor anwendungsspezifischen Angriffen zu schützen.

Azure-Leitfaden: Verwenden Sie die WAF-Funktionen (Web Application Firewall) in Azure Application Gateway, Azure Front Door und Azure Content Delivery Network (CDN), um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsebene im Edgebereich Ihres Netzwerks zu schützen. Legen Sie Ihre WAF je nach Bedarf und Bedrohungslandschaft auf den Erkennungs- oder den Schutzmodus fest. Wählen Sie einen vorgefertigten Regelsatz wie die OWASP Top 10-Sicherheitsrisiken aus, und passen Sie ihn an Ihre Anwendung an.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-7: Vereinfachen der Netzwerksicherheitskonfiguration

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Setzen Sie beim Verwalten einer komplexen Netzwerkumgebung Tools ein, um die Verwaltung der Netzwerksicherheit zu vereinfachen, zu zentralisieren und zu verbessern.

Azure-Leitfaden: Verwenden Sie die folgenden Features, um die Implementierung und die Verwaltung der NSG- und Azure Firewall-Regeln zu vereinfachen:

  • Verwenden Sie die adaptive Netzwerkhärtung von Microsoft Defender für Cloud, um NSG-Härtungsregeln zu empfehlen, durch die Ports, Protokolle und Quell-IP-Adressen basierend auf Threat Intelligence und dem Ergebnis der Datenverkehrsanalyse zusätzlich eingeschränkt werden.
  • Verwenden Sie Azure Firewall Manager, um die Firewallrichtlinien- und Routenverwaltung des virtuellen Netzwerks zu zentralisieren. Um die Implementierung von Firewallregeln und Netzwerksicherheitsgruppen zu vereinfachen, können Sie auch die ARM-Vorlage (Azure Resource Manager) von Azure Firewall Manager verwenden.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-8: Erkennen und Deaktivieren unsicherer Dienste und Protokolle

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Sicherheitsprinzip: Erkennen und deaktivieren Sie unsichere Dienste und Protokolle auf Betriebssystem-, Anwendungs- oder Softwarepaketebene. Stellen Sie ausgleichende Kontrollen bereit, wenn das Deaktivieren unsicherer Dienste und Protokolle nicht möglich ist.

Azure-Leitfaden: Verwenden Sie die vorgefertigte Azure Sentinel-Arbeitsmappe für unsichere Protokolle, um die Verwendung unsicherer Dienste und Protokolle wie SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, unsignierte LDAP-Bindungen und schwache Verschlüsselungsverfahren in Kerberos zu ermitteln. Deaktivieren Sie unsichere Dienste und Protokolle, die nicht dem angemessenen Sicherheitsstandard entsprechen.

Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie ausgleichende Kontrollen wie das Blockieren des Zugriffs auf Ressourcen über Netzwerksicherheitsgruppen, Azure Firewall oder Azure Web Application Firewall, um die Angriffsfläche zu reduzieren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-9: Herstellen einer privaten lokalen oder Cloudnetzwerkverbindung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
12.7 CA-3, AC-17, AC-4

Sicherheitsprinzip: Verwenden Sie private Verbindungen für die sichere Kommunikation zwischen verschiedenen Netzwerken, z. B. zwischen Rechenzentren von Clouddienstanbietern und der lokalen Infrastruktur in einer Colocationumgebung.

Azure-Leitfaden: Verwenden Sie private Verbindungen für die sichere Kommunikation zwischen verschiedenen Netzwerken, z. B. Clouddienstanbieter-Rechenzentren und der lokalen Infrastruktur in einer Colocationumgebung.

Für schlanke Konnektivität bei Site-to-Site- oder Point-to-Site-Verbindungen verwenden Sie ein virtuelles privates Azure-Netzwerk (VPN), um eine sichere Verbindung zwischen Ihrem lokalen Standort oder Endbenutzergerät und dem virtuellen Azure-Netzwerk herzustellen.

Verwenden Sie für Hochleistungsverbindungen auf Unternehmensebene Azure ExpressRoute (oder Virtual WAN), um Azure-Rechenzentren und die lokale Infrastruktur in einer Colocationumgebung zu verbinden.

Wenn Sie mehrere Azure-VNets miteinander verbinden, verwenden Sie das VNet-Peering. Der Netzwerkdatenverkehr zwischen mittels Peering verbundenen virtuellen Netzwerken ist privat und wird im Azure-Backbone-Netzwerk verwaltet.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

NS-10: Sicherstellen der DNS-Sicherheit (Domain Name System)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.9, 9.2 SC-20, SC-21

Sicherheitsprinzip: Stellen Sie sicher, dass die DNS-Sicherheitskonfiguration (Domain Name System) vor bekannten Risiken schützt:

  • Verwenden Sie vertrauenswürdige autoritative und rekursive DNS-Dienste in Ihrer gesamten Cloudumgebung, um sicherzustellen, dass der Client (z. B. Betriebssysteme und Anwendungen) das richtige Auflösungsergebnis erhält.
  • Trennen Sie die DNS-Auflösung öffentlicher und privater Adressen, damit der DNS-Auflösungsprozess für das private Netzwerk vom öffentlichen Netzwerk isoliert werden kann.
  • Stellen Sie sicher, dass Ihre DNS-Sicherheitsstrategie auch Risikominderungen für häufige Angriffe umfasst, z. B. verwaiste DNS-Einträge, DNS-Verstärkungsangriffe oder DNS-Poisoning und -Spoofing.

Azure-Leitfaden: Verwenden Sie rekursives Azure-DNS oder einen vertrauenswürdigen externen DNS-Server im rekursiven DNS-Setup Ihrer Workload, z. B. auf dem VM-Betriebssystem oder in der Anwendung.

Verwenden Sie ein privates Azure-DNS für die Einrichtung einer privaten DNS-Zone, bei der der DNS-Auflösungsprozess das virtuelle Netzwerk nicht verlässt. Verwenden Sie ein benutzerdefiniertes DNS, um die DNS-Auflösung einzuschränken, sodass nur die vertrauenswürdige Auflösung für Ihren Client zulässig ist.

Verwenden Sie Azure Defender für DNS für den erweiterten Schutz vor den folgenden Sicherheitsbedrohungen für Ihre Workload oder Ihren DNS-Dienst:

  • Datenexfiltration aus Ihren Azure-Ressourcen mittels DNS-Tunneling
  • Schadsoftware, die mit Command-and-Control-Servern kommuniziert
  • Kommunikation mit schädlichen Domänen (beispielsweise Phishing und Kryptografiemining)
  • DNS-Angriffe durch Kommunikation mit schädlichen DNS-Resolvern

Mithilfe von Azure Defender für App Service können Sie auch verwaiste DNS-Einträge erkennen, wenn Sie eine App Service-Website außer Betrieb nehmen, ohne die zugehörige benutzerdefinierte Domäne aus Ihrer DNS-Registrierungsstelle zu entfernen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):