Implementieren der adaptiven Netzwerkhärtung

  • 5 Minuten

Während der Planung der NSG-Implementierung bei Contoso benötigen Sie exakte Informationen, welche NSG Ihre Microsoft Azure-Workloads am besten schützen kann.

Dazu können Sie die adaptive Netzwerkhärtung verwenden. Bei der adaptiven Netzwerkhärtung erhalten Sie Informationen zu Netzwerkdatenverkehrsmustern in Ihrer Infrastruktur von und zu Ihren Azure-Workloads. Dann werden Empfehlungen für NSGs gegeben, die beim Absichern dieser Workloads helfen können.

Funktionsweise

Bei der adaptiven Netzwerkhärtung wird maschinelles Lernen verwendet, um Empfehlungen zu geben, dass Datenverkehr nur für bestimmte IP-Adressen oder Ports zugelassen wird. Bei den Empfehlungen wird Folgendes berücksichtigt:

  • Der tatsächliche Netzwerkdatenverkehr
  • Bekannte, vertrauenswürdige Konfigurationsinformationen
  • Bedrohungsanalyse
  • Weitere Indikatoren

Angenommen, das IT-Team bei Contoso verfügt über eine Anwendung, für die der TCP-Port 22 für Netzwerkzugriff erforderlich ist. Dieser Anwendungsdatenverkehr für Port 22 wird durch die Verwendung einer NSG für Adressen im Bereich 140.20.30.10/24 zugelassen. Nach der Analyse steht für die adaptive Netzwerkhärtung die Information zur Verfügung, dass Datenverkehr nur einer kleinen Teilmenge an IP-Adressen der Vertriebsabteilung von Contoso entstammt. So kann empfohlen werden, dass die Regel so aktualisiert wird, dass der IP-Adressbereich auf 140.23.30.10/29 beschränkt wird, also der Bereich für die Computer im Vertriebsbüro in London, und sämtlicher anderer Datenverkehr verweigert wird.

Hinweis

Empfehlungen der adaptiven Netzwerkhärtung werden nur für folgende Ports unterstützt (für TCP und UDP): 13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215.

Überprüfen von Warnungen und Regeln der adaptiven Netzwerkhärtung

Sie sehen sich die Empfehlungen zur adaptiven Netzwerkhärtung auf dem Blatt Adaptive Netzwerkhärtung im Azure-Portal an. Damit die Empfehlungen angezeigt werden, klicken Sie unter Adaptive Netzwerkhärtung auf Security Center. Anschließend klicken Sie neben RESSOURCENSICHERHEIT auf Netzwerk. Auf dem Blatt Netzwerk auf der Registerkarte Übersicht können Sie die Empfehlungen überprüfen.

A screenshot of the Azure portal. The administrator has selected the Networking node in Security Center, and a list of recommendations display.

Wenn Sie im Azure-Portal auf Adaptive Netzwerkhärtung klicken, werden wie auf der Abbildung gezeigt VMs auf einer der drei Registerkarten angezeigt.

  • Fehlerhafte Ressourcen: Auf dieser Registerkarte werden VMs angezeigt, für die Warnungen und Empfehlungen ausgelöst werden, wenn die adaptive Netzwerkhärtung ausgeführt wird.
  • Fehlerfreie Ressourcen: Hierbei handelt es sich um VMs ohne Warnungen oder Empfehlungen.
  • Not applicable resources (Nicht verwendbare Ressourcen): Auf dieser Registerkarte werden VMs angezeigt, für die die adaptive Netzwerkhärtung nicht ausgeführt werden kann. Es gibt verschiedene Gründe dafür, dass VMs die adaptive Netzwerkhärtung nicht ausführen können:
    • Die VMs sind klassische VMs, und es werden nur Azure Resource Manager-VMs unterstützt.
    • Es sind nicht genügend Daten verfügbar. Security Center benötigt mindestens Datenverkehrsdaten eines Zeitraums von 30 Tagen, um fundierte Härtungsempfehlungen abgeben zu können.
    • Die VM ist nicht durch den Standard-Tarif von Azure Security Center geschützt: Dieses Feature kann nur für VMs genutzt werden, für die der Standard-Tarif von Security Center festgelegt ist.

Hinweis

Die Preise für Security Center finden Sie unter Security Center – Preise.

A screenshot of the Azure portal. The administrator has selected the Healthy resources tab and 6 healthy resources are displayed.

In der Liste fehlerhafter Ressourcen können Sie eine bestimmte VM auswählen und sich die empfohlenen Härtungsregeln ansehen.

A screenshot of the Azure portal, Manage Adaptive Network Hardening resources blade. The administrator has selected the Healthy resources tab and selected a specific VM. The recommended rules are displayed for review.

Sie können sich auch die Sicherheitswarnungen ansehen.

A screenshot of the Azure portal. The administrator has selected the Unhealthy resources tab and selected a specific virtual machine. Two alerts are displayed for review.

Anwenden von Empfehlungen der adaptiven Netzwerkhärtung

Nachdem Sie sich die empfohlenen Regeln und Warnungen angesehen haben, können Sie auswählen, ob Sie diese Regeln bearbeiten möchten. Möchten Sie dies nicht, wählen Sie einfach die Regel(n) aus, die Sie anwenden möchten, und klicken Sie auf Erzwingen.

A screenshot of the Rules tab. The administrator has selected two rules to apply.

Hinweis

Wenn Sie eine Regel ändern möchten, verwenden Sie die Anleitung im Abschnitt Ändern einer Regel des Artikels „Verbessern des Netzwerksicherheitsstatus mit adaptiver Netzwerkhärtung“.