Biztonságvezérlés: Hálózati biztonság
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A hálózati biztonsági javaslatok elsősorban annak meghatározására összpontosítanak, hogy mely hálózati protokollok, TCP/UDP-portok és hálózati csatlakoztatott szolgáltatások férhetnek hozzá az Azure-szolgáltatásokhoz.
1.1: Azure-erőforrások védelme virtuális hálózatokon belül
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Ügyfél |
Győződjön meg arról, hogy minden Virtual Network alhálózati üzemelő példány rendelkezik olyan hálózati biztonsági csoporttal, amely az alkalmazás megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel rendelkezik. Ha elérhető, privát végpontok és Private Link használatával biztosíthatja az Azure-szolgáltatás erőforrásait a virtuális hálózat számára a VNet-identitás szolgáltatásra való kiterjesztésével. Ha a privát végpontok és Private Link nem érhetők el, használjon szolgáltatásvégpontokat. A szolgáltatásspecifikus követelményekkel kapcsolatban tekintse meg az adott szolgáltatásra vonatkozó biztonsági javaslatot.
Másik lehetőségként, ha egy adott használati esettel rendelkezik, a követelmény teljesülhet a Azure Firewall implementálásával.
1.2: Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.2 | 9.3, 12.2, 12.8 | Ügyfél |
Használja Azure Security Center, és kövesse a hálózatvédelmi javaslatokat a hálózati erőforrások védelmének biztosításához az Azure-ban. Engedélyezze az NSG-forgalom naplóit, és küldjön naplókat egy tárfiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.
1.3: Kritikus fontosságú webalkalmazások védelme
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.3 | 9.5 | Ügyfél |
Az Azure Web Application Firewall (WAF) üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. Engedélyezze a diagnosztikai beállítást a WAF számára, és a naplókat betöltse egy tárfiókba, eseményközpontba vagy Log Analytics-munkaterületre.
1.4: Az ismert rosszindulatú IP-címekkel folytatott kommunikáció megtagadása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.4 | 12.3 | Ügyfél |
Engedélyezze a DDoS Standard szintű védelmet az Azure-beli virtuális hálózatokon a DDoS-támadások elleni védelem érdekében. Használja Azure Security Center integrált fenyegetésfelderítést az ismert rosszindulatú IP-címekkel folytatott kommunikáció letiltásához.
Helyezzen üzembe Azure Firewall a szervezet minden hálózati határán úgy, hogy a fenyegetésfelderítés engedélyezve van, és úgy van konfigurálva, hogy "Riasztás és megtagadás" legyen a rosszindulatú hálózati forgalom esetén.
A Azure Security Center Just In Time Network-hozzáféréssel konfigurálhatja az NSG-ket a végpontok engedélyezett IP-címekre való kitettségének korlátozott ideig történő korlátozásához.
Az Azure Security Center Adaptív hálózatmegerősítés funkcióval olyan NSG-konfigurációkat javasolhat, amelyek a tényleges forgalom és fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.
Az integrált fenyegetésfelderítés Azure Security Center ismertetése
Az Azure Security Center adaptív hálózatmegszűkítés ismertetése
A just in time hálózati Access Control Azure Security Center megismerése
1.5: Hálózati csomagok rögzítése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.5 | 12.5 | Ügyfél |
Engedélyezze Network Watcher csomagrögzítést a rendellenes tevékenységek vizsgálatához.
1.6: Hálózati behatolásészlelési/behatolásmegelőzési rendszerek (IDS/IPS) üzembe helyezése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.6 | 12.6, 12.7 | Ügyfél |
Válasszon ki egy ajánlatot a Azure Marketplace, amely támogatja az IDS/IPS funkciót hasznosadat-vizsgálati képességekkel. Ha a behatolásészlelés és/vagy a hasznosadat-ellenőrzésen alapuló megelőzés nem követelmény, Azure Firewall a fenyegetésfelderítéssel használható. Azure Firewall fenyegetésintelligencia-alapú szűrés riasztást küld, és megtagadja az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.
A kártékony forgalom észleléséhez és/vagy letiltásához helyezze üzembe az Ön által választott tűzfalmegoldást a szervezet minden hálózati határán.
1.7: Webalkalmazások forgalmának kezelése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
1.7 | 12.9, 12.10 | Ügyfél |
Helyezzen üzembe Azure Application Gateway olyan webalkalmazásokhoz, amelyeken engedélyezve van a HTTPS/TLS a megbízható tanúsítványokhoz.
1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
1.8 | 1.5 | Ügyfél |
A Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például ApiManagement) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.
Az összetett biztonsági konfiguráció egyszerűsítéséhez alkalmazásbiztonsági csoportokat is használhat. Az alkalmazásbiztonsági csoportokkal az alkalmazás struktúrájának természetes bővítményeként konfigurálhatja a hálózati biztonságot, így csoportosíthatja a virtuális gépeket, és ezen csoportok alapján meghatározhatja a hálózati biztonsági szabályokat.
1.9: Standard biztonsági konfigurációk karbantartása hálózati eszközökhöz
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
1.9 | 11,1 | Ügyfél |
Szabványos biztonsági konfigurációk definiálása és implementálása a hálózati erőforrásokhoz Azure Policy.
Az Azure Blueprints használatával leegyszerűsítheti a nagy léptékű Azure-üzemelő példányokat úgy, hogy egyetlen tervdefinícióban csomagolja be a kulcsfontosságú környezeti összetevőket, például az Azure Resources Manager-sablonokat, az Azure RBAC-vezérlőket és a szabályzatokat. A tervet alkalmazhatja az új előfizetésekre, és a verziószámozással finomhangolhatja a vezérlést és a felügyeletet.
1.10: Forgalomkonfigurációs szabályok dokumentálása
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
1.10 | 11.2 | Ügyfél |
Használjon címkéket az NSG-khez és a hálózati biztonsághoz és a forgalomhoz kapcsolódó egyéb erőforrásokhoz. Az egyes NSG-szabályok esetében a "Leírás" mezővel adhatja meg az üzleti szükségletet és/vagy időtartamot (stb.) minden olyan szabályhoz, amely engedélyezi a hálózati forgalmat.
A címkézéshez kapcsolódó beépített Azure Policy-definíciók ( például "Címke és érték megkövetelése" – használatával gondoskodhat arról, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítést küldhessen a meglévő címkézetlen erőforrásokról.
A Azure PowerShell vagy az Azure CLI használatával kereshet vagy hajthat végre műveleteket az erőforrásokon a címkék alapján.
1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak monitorozásához és a változások észleléséhez
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
1.11 | 11,3 | Ügyfél |
Az Azure-tevékenységnaplóval figyelheti az erőforrás-konfigurációkat, és észlelheti az Azure-erőforrások módosításait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus erőforrások módosításakor aktiválódik.
Következő lépések
- Lásd a következő biztonsági vezérlőt: naplózás és figyelés