Implementieren der adaptiven Netzwerkhärtung
Während der Planung der NSG-Implementierung bei Contoso benötigen Sie exakte Informationen, welche NSG Ihre Microsoft Azure-Workloads am besten schützen kann.
Dazu können Sie die adaptive Netzwerkhärtung verwenden. Bei der adaptiven Netzwerkhärtung erhalten Sie Informationen zu Netzwerkdatenverkehrsmustern in Ihrer Infrastruktur von und zu Ihren Azure-Workloads. Dann werden Empfehlungen für NSGs gegeben, die beim Absichern dieser Workloads helfen können.
Funktionsweise
Bei der adaptiven Netzwerkhärtung wird maschinelles Lernen verwendet, um Empfehlungen zu geben, dass Datenverkehr nur für bestimmte IP-Adressen oder Ports zugelassen wird. Bei den Empfehlungen wird Folgendes berücksichtigt:
- Der tatsächliche Netzwerkdatenverkehr
- Bekannte, vertrauenswürdige Konfigurationsinformationen
- Bedrohungsanalyse
- Weitere Indikatoren
Angenommen, das IT-Team bei Contoso verfügt über eine Anwendung, für die der TCP-Port 22 für Netzwerkzugriff erforderlich ist. Dieser Anwendungsdatenverkehr für Port 22 wird durch die Verwendung einer NSG für Adressen im Bereich 140.20.30.10/24 zugelassen. Nach der Analyse steht für die adaptive Netzwerkhärtung die Information zur Verfügung, dass Datenverkehr nur einer kleinen Teilmenge an IP-Adressen der Vertriebsabteilung von Contoso entstammt. So kann empfohlen werden, dass die Regel so aktualisiert wird, dass der IP-Adressbereich auf 140.23.30.10/29 beschränkt wird, also der Bereich für die Computer im Vertriebsbüro in London, und sämtlicher anderer Datenverkehr verweigert wird.
Hinweis
Empfehlungen der adaptiven Netzwerkhärtung werden nur für folgende Ports unterstützt (für TCP und UDP): 13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215.
Überprüfen von Warnungen und Regeln der adaptiven Netzwerkhärtung
Sie sehen sich die Empfehlungen zur adaptiven Netzwerkhärtung auf dem Blatt Adaptive Netzwerkhärtung im Azure-Portal an. Damit die Empfehlungen angezeigt werden, klicken Sie unter Adaptive Netzwerkhärtung auf Security Center. Anschließend klicken Sie neben RESSOURCENSICHERHEIT auf Netzwerk. Auf dem Blatt Netzwerk auf der Registerkarte Übersicht können Sie die Empfehlungen überprüfen.
Wenn Sie im Azure-Portal auf Adaptive Netzwerkhärtung klicken, werden wie auf der Abbildung gezeigt VMs auf einer der drei Registerkarten angezeigt.
- Fehlerhafte Ressourcen: Auf dieser Registerkarte werden VMs angezeigt, für die Warnungen und Empfehlungen ausgelöst werden, wenn die adaptive Netzwerkhärtung ausgeführt wird.
- Fehlerfreie Ressourcen: Hierbei handelt es sich um VMs ohne Warnungen oder Empfehlungen.
- Not applicable resources (Nicht verwendbare Ressourcen): Auf dieser Registerkarte werden VMs angezeigt, für die die adaptive Netzwerkhärtung nicht ausgeführt werden kann. Es gibt verschiedene Gründe dafür, dass VMs die adaptive Netzwerkhärtung nicht ausführen können:
- Die VMs sind klassische VMs, und es werden nur Azure Resource Manager-VMs unterstützt.
- Es sind nicht genügend Daten verfügbar. Security Center benötigt mindestens Datenverkehrsdaten eines Zeitraums von 30 Tagen, um fundierte Härtungsempfehlungen abgeben zu können.
- Die VM ist nicht durch den Standard-Tarif von Azure Security Center geschützt: Dieses Feature kann nur für VMs genutzt werden, für die der Standard-Tarif von Security Center festgelegt ist.
Hinweis
Die Preise für Security Center finden Sie unter Security Center – Preise.
In der Liste fehlerhafter Ressourcen können Sie eine bestimmte VM auswählen und sich die empfohlenen Härtungsregeln ansehen.
Sie können sich auch die Sicherheitswarnungen ansehen.
Anwenden von Empfehlungen der adaptiven Netzwerkhärtung
Nachdem Sie sich die empfohlenen Regeln und Warnungen angesehen haben, können Sie auswählen, ob Sie diese Regeln bearbeiten möchten. Möchten Sie dies nicht, wählen Sie einfach die Regel(n) aus, die Sie anwenden möchten, und klicken Sie auf Erzwingen.
Hinweis
Wenn Sie eine Regel ändern möchten, verwenden Sie die Anleitung im Abschnitt Ändern einer Regel des Artikels „Verbessern des Netzwerksicherheitsstatus mit adaptiver Netzwerkhärtung“.