יצירת תוכנית בסיסית של עבודה ברשת

הושלם

כברירת מחדל, שירותי עבודה ברשת של Azure מגדילים את הגמישות, הזמינות, הגמישות, האבטחה והתקינות. קישוריות רשת אפשרית בין משאבים הממוקמים ב- Azure, בין משאבים מקומיים ומשאבים המתארחים ב- Azure, ומאינטרנט ומ- Azure.

המלצות אבטחה של רשת Azure

הסעיפים הבאים מתארים את המלצות הרשת של Azure ב- CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. השלבים הבסיסיים הכלולים בכל המלצה מפורטים בפורטל Azure. עליך להשלים שלבים אלה עבור המנוי שלך ועל-ידי שימוש במשאבים שלך כדי לאמת כל המלצה אבטחה. זכור כי אפשרויות ברמה 2 להגביל תכונות או פעילות מסוימות, לכן שקול בקפידה אילו אפשרויות אבטחה אתה מחליט לאכוף.

הגבלת גישה של RDP ו- SSH מהאינטרנט - רמה 1

באפשרותך להגיע למחשבים וירטואליים של Azure באמצעות פרוטוקול שולחן עבודה מרוחק (RDP) ופרוטוקול Secure Shell (SSH). באפשרותך להשתמש בפרוטוקולים אלה כדי לנהל מחשבים וירטואליים ממיקומים מרוחקים. הפרוטוקולים הם סטנדרטיים בחישוב מרכזי נתונים.

בעיית האבטחה הפוטנציאלית בשימוש ב- RDP וב- SSH דרך האינטרנט היא שהתוקפים יכולים להשתמש בטכניקות של כוח ברוטה כדי לקבל גישה למחשבים וירטואליים של Azure. לאחר שהתוקפים צוברים גישה, הם יכולים להשתמש במחשב הווירטואלי שלך כמקלדת הפעלה כדי לסכן מחשבים אחרים ברשת הווירטואלית שלך, או אפילו לתקוף התקנים ברשת מחוץ ל- Azure.

מומלץ לבטל גישה ישירה של RDP ו- SSH מהאינטרנט עבור מחשבים וירטואליים של Azure. בצע את השלבים הבאים עבור כל מחשב וירטואלי במנוי Azure שלך.

1. היכנס ל- Azure. חפש ובחר מחשבים וירטואליים.

2. בחר מחשב וירטואלי.

3. בתפריט הימני, תחת רשת , בחרהגדרות רשת.

4. ודא שלכללי היציאה הנכנסת אין כלל עבור RDP, לדוגמה: port=3389, protocol = TCP, Source = Any or Internet. באפשרותך להשתמש מחק כדי להסיר את הכלל.

5. ודא שמקטע היציאה הנכנסת של אינו כולל כלל עבור SSH, לדוגמה: port=22, protocol = TCP, Source = Any or Internet. באפשרותך להשתמש מחק כדי להסיר את הכלל.

כאשר גישה ישירה של RDP ו- SSH מהאינטרנט אינן זמינות, יש לך אפשרויות אחרות שניתן להשתמש בהן כדי לגשת למחשבים וירטואליים אלה לניהול מרחוק:

• VPN של נקודה לאתר
• VPN של אתר לאתר
• Azure ExpressRoute
• Azure Bastion Host

הגבלת הגישה של SQL Server מהאינטרנט - רמה 1

מערכות חומת אש עוזרות למנוע גישה בלתי מורשית למשאבי מחשב. אם חומת אש מופעלת אך אינה מוגדרת כראוי, ייתכן שניסיונות להתחבר ל- SQL Server נחסמים.

כדי לגשת למופע של SQL Server דרך חומת אש, עליך להגדיר את חומת האש במחשב שבו פועל SQL Server. מתן אפשרות לפגיעה בטווח ה- IP 0.0.0.0/0 (הפעלת IP של 0.0.0.0 ו- End IP של 0.0.0.0) מאפשרת גישה פתוחה לכל התעבורה, דבר שעלול להפוך את מסד הנתונים של SQL Server לפגיע לתקיפות. ודא כי מסדי נתונים של SQL Server אינם מאפשרים יציאה מהאינטרנט. בצע את השלבים הבאים עבור כל מופע של SQL Server.

1. היכנס ל- Azure. חפש ובחר SQL.

2. בחלונית התפריט תחת הגדרות אבטחה, בחר רשת.

3. בחלונית רשת, בכרטיסיה ציבורית,, ודא שכלל חומת אש קיים. ודא שלא קיים כלל בעל הפעלת IP של 0.0.0.0 ו- End IP של 0.0.0.0 או שילוב אחר המאפשר גישה לטווחי IP ציבוריים רחבים יותר.

4. אם תשנה הגדרות כלשהן, בחר שמור.

הפוך את Network Watcher לזמין - רמה 1

יומני זרימה של NSG הם תכונת Azure Network Watcher המספקת לך מידע על כניסה של IP ותעבורה יציאה דרך NSG. יומני זרימה נכתבים בתבנית JSON ומציגים:

• זרימות יוצאות וזרימות נכנסות לפי כלל.
• ממשק הרשת (NIC) עליו חלה הזרימה.
• 5 משתנים של מידע אודות הזרימה: כתובות IP של מקור ויעד, יציאות מקור ויעד והפרוטוקול שהיה בשימוש.
• האם התעבורה הותר או נדחתה.
• בגירסה 2, פרטי תפוקה כגון בתים ומנות.

1. היכנס ל- Azure. חפש ובחר רשת.

2. בחר רשת עבור המנוי והמיקום שלך.

3. אם לא קיימים יומני זרימה של NSG עבור המנוי שלך, צור יומן זרימה של NSG.

הגדרת תקופת השמירה של יומן הזרימה של NSG ליותר מ- 90 יום - רמה 2

בעת יצירה או עדכון של רשת וירטואלית במנוי שלך, Network Watcher זמין באופן אוטומטי באזור הרשת הווירטואלית שלך. המשאבים שלך אינם מושפעים ולא מובחן חיוב כאשר Network Watcher זמין באופן אוטומטי.

באפשרותך להשתמש ביומני זרימה של NSG כדי לבדוק חריגות ולקבל תובנות לגבי הפרות חשודות.

1. היכנס ל- Azure. חפש ובחר רשת.

2. בתפריט הימני תחת יומני רישום של , בחריומני זרימת NSG.

   

3. בחר יומן זרימה של NSG.

4. ודא שמירה (ימים) יותר מ- 90 יום.

5. אם תשנה הגדרות כלשהן, בחר שמור בשורת התפריטים.