Biztonságvezérlés: Hálózati biztonság

  • Cikk

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

A hálózati biztonsági javaslatok elsősorban annak meghatározására összpontosítanak, hogy mely hálózati protokollok, TCP/UDP-portok és hálózati csatlakoztatott szolgáltatások férhetnek hozzá az Azure-szolgáltatásokhoz.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Azure-azonosító CIS-azonosítók Felelősség
1.1 9.2, 9.4, 14.1, 14.2, 14.3 Ügyfél

Győződjön meg arról, hogy minden Virtual Network alhálózati üzemelő példány rendelkezik olyan hálózati biztonsági csoporttal, amely az alkalmazás megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel rendelkezik. Ha elérhető, privát végpontok és Private Link használatával biztosíthatja az Azure-szolgáltatás erőforrásait a virtuális hálózat számára a VNet-identitás szolgáltatásra való kiterjesztésével. Ha a privát végpontok és Private Link nem érhetők el, használjon szolgáltatásvégpontokat. A szolgáltatásspecifikus követelményekkel kapcsolatban tekintse meg az adott szolgáltatásra vonatkozó biztonsági javaslatot.

Másik lehetőségként, ha egy adott használati esettel rendelkezik, a követelmény teljesülhet a Azure Firewall implementálásával.

1.2: Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Azure-azonosító CIS-azonosítók Felelősség
1.2 9.3, 12.2, 12.8 Ügyfél

Használja Azure Security Center, és kövesse a hálózatvédelmi javaslatokat a hálózati erőforrások védelmének biztosításához az Azure-ban. Engedélyezze az NSG-forgalom naplóit, és küldjön naplókat egy tárfiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

1.3: Kritikus fontosságú webalkalmazások védelme

Azure-azonosító CIS-azonosítók Felelősség
1.3 9.5 Ügyfél

Az Azure Web Application Firewall (WAF) üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. Engedélyezze a diagnosztikai beállítást a WAF számára, és a naplókat betöltse egy tárfiókba, eseményközpontba vagy Log Analytics-munkaterületre.

1.4: Az ismert rosszindulatú IP-címekkel folytatott kommunikáció megtagadása

Azure-azonosító CIS-azonosítók Felelősség
1.4 12.3 Ügyfél

Engedélyezze a DDoS Standard szintű védelmet az Azure-beli virtuális hálózatokon a DDoS-támadások elleni védelem érdekében. Használja Azure Security Center integrált fenyegetésfelderítést az ismert rosszindulatú IP-címekkel folytatott kommunikáció letiltásához.

Helyezzen üzembe Azure Firewall a szervezet minden hálózati határán úgy, hogy a fenyegetésfelderítés engedélyezve van, és úgy van konfigurálva, hogy "Riasztás és megtagadás" legyen a rosszindulatú hálózati forgalom esetén.

A Azure Security Center Just In Time Network-hozzáféréssel konfigurálhatja az NSG-ket a végpontok engedélyezett IP-címekre való kitettségének korlátozott ideig történő korlátozásához.

Az Azure Security Center Adaptív hálózatmegerősítés funkcióval olyan NSG-konfigurációkat javasolhat, amelyek a tényleges forgalom és fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.

1.5: Hálózati csomagok rögzítése

Azure-azonosító CIS-azonosítók Felelősség
1.5 12.5 Ügyfél

Engedélyezze Network Watcher csomagrögzítést a rendellenes tevékenységek vizsgálatához.

1.6: Hálózati behatolásészlelési/behatolásmegelőzési rendszerek (IDS/IPS) üzembe helyezése

Azure-azonosító CIS-azonosítók Felelősség
1.6 12.6, 12.7 Ügyfél

Válasszon ki egy ajánlatot a Azure Marketplace, amely támogatja az IDS/IPS funkciót hasznosadat-vizsgálati képességekkel. Ha a behatolásészlelés és/vagy a hasznosadat-ellenőrzésen alapuló megelőzés nem követelmény, Azure Firewall a fenyegetésfelderítéssel használható. Azure Firewall fenyegetésintelligencia-alapú szűrés riasztást küld, és megtagadja az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.

A kártékony forgalom észleléséhez és/vagy letiltásához helyezze üzembe az Ön által választott tűzfalmegoldást a szervezet minden hálózati határán.

1.7: Webalkalmazások forgalmának kezelése

Azure-azonosító CIS-azonosítók Felelősség
1.7 12.9, 12.10 Ügyfél

Helyezzen üzembe Azure Application Gateway olyan webalkalmazásokhoz, amelyeken engedélyezve van a HTTPS/TLS a megbízható tanúsítványokhoz.

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Azure ID CIS-azonosítók Felelősség
1.8 1.5 Ügyfél

A Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például ApiManagement) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Az összetett biztonsági konfiguráció egyszerűsítéséhez alkalmazásbiztonsági csoportokat is használhat. Az alkalmazásbiztonsági csoportokkal az alkalmazás struktúrájának természetes bővítményeként konfigurálhatja a hálózati biztonságot, így csoportosíthatja a virtuális gépeket, és ezen csoportok alapján meghatározhatja a hálózati biztonsági szabályokat.

1.9: Standard biztonsági konfigurációk karbantartása hálózati eszközökhöz

Azure ID CIS-azonosítók Felelősség
1.9 11,1 Ügyfél

Szabványos biztonsági konfigurációk definiálása és implementálása a hálózati erőforrásokhoz Azure Policy.

Az Azure Blueprints használatával leegyszerűsítheti a nagy léptékű Azure-üzemelő példányokat úgy, hogy egyetlen tervdefinícióban csomagolja be a kulcsfontosságú környezeti összetevőket, például az Azure Resources Manager-sablonokat, az Azure RBAC-vezérlőket és a szabályzatokat. A tervet alkalmazhatja az új előfizetésekre, és a verziószámozással finomhangolhatja a vezérlést és a felügyeletet.

1.10: Forgalomkonfigurációs szabályok dokumentálása

Azure ID CIS-azonosítók Felelősség
1.10 11.2 Ügyfél

Használjon címkéket az NSG-khez és a hálózati biztonsághoz és a forgalomhoz kapcsolódó egyéb erőforrásokhoz. Az egyes NSG-szabályok esetében a "Leírás" mezővel adhatja meg az üzleti szükségletet és/vagy időtartamot (stb.) minden olyan szabályhoz, amely engedélyezi a hálózati forgalmat.

A címkézéshez kapcsolódó beépített Azure Policy-definíciók ( például "Címke és érték megkövetelése" – használatával gondoskodhat arról, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítést küldhessen a meglévő címkézetlen erőforrásokról.

A Azure PowerShell vagy az Azure CLI használatával kereshet vagy hajthat végre műveleteket az erőforrásokon a címkék alapján.

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak monitorozásához és a változások észleléséhez

Azure ID CIS-azonosítók Felelősség
1.11 11,3 Ügyfél

Az Azure-tevékenységnaplóval figyelheti az erőforrás-konfigurációkat, és észlelheti az Azure-erőforrások módosításait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus erőforrások módosításakor aktiválódik.

Következő lépések