Security Control V2: Hálózati biztonság
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A Hálózati biztonság az Azure-hálózatok védelmének és védelmének vezérlőire terjed ki. Ez magában foglalja a virtuális hálózatok védelmét, a privát kapcsolatok létrehozását, a külső támadások megelőzését és enyhítését, valamint a DNS védelmét.
A vonatkozó beépített Azure Policy megtekintéséhez tekintse meg az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteit: Hálózati biztonság
NS-1: Belső forgalom biztonságának megvalósítása
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatokhoz igazodó vállalati szegmentálási elvet követi. Minden olyan rendszert, amely nagyobb kockázatot jelenthet a szervezet számára, el kell különíteni a saját virtuális hálózatán belül, és megfelelő védelmet kell biztosítani egy hálózati biztonsági csoporttal (NSG) és/vagy Azure Firewall.
Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat a hálózati biztonsági csoport szabályai alapján. Bizonyos jól definiált alkalmazások (például háromrétegű alkalmazások) esetében ez egy rendkívül biztonságos "alapértelmezés szerint megtagadás, kivétel szerinti engedélyezés" megközelítés lehet. Ez nem feltétlenül skálázható jól, ha sok alkalmazás és végpont kommunikál egymással. A Azure Firewall olyan esetekben is használhatja, amikor nagy számú vállalati szegmenshez vagy küllőhez (küllős topológiában) központi felügyeletre van szükség.
Az Azure Security Center adaptív hálózati megerősített szolgáltatással olyan hálózati biztonságicsoport-konfigurációkat javasolhat, amelyek külső hálózati forgalmi szabályok alapján korlátozzák a portokat és a forrás IP-címeket.
Az Azure Sentinel használatával felderítheti az olyan örökölt nem biztonságos protokollok használatát, mint az SSL/TLSv1, az SMBv1, az LM/NTLMv1, a wDigest, az Unsigned LDAP Binds és a gyenge titkosítás a Kerberosban.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
NS-2: Privát hálózatok összekapcsolása
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-2 | N/A | CA-3, AC-17, MA-4 |
Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem a nyilvános interneten keresztül haladnak át, és nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést kínálnak, mint a tipikus internetkapcsolatok. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármely kombinációjával csatlakoztathatja egy virtuális hálózathoz.
Két vagy több azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést vagy Private Link. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
A Azure Private Link használatával privát hozzáférést engedélyezhet az Azure-szolgáltatásokhoz a virtuális hálózatokról anélkül, hogy átlépi az internetet. Olyan helyzetekben, amikor a Azure Private Link még nem érhető el, használja az Azure Virtual Network szolgáltatásvégpontokat. Az Azure Virtual Network szolgáltatásvégpontok biztonságos hozzáférést biztosítanak a szolgáltatásokhoz egy optimalizált útvonalon keresztül az Azure gerinchálózatán.
A privát hozzáférés az Azure-szolgáltatások által kínált hitelesítés és forgalombiztonság mellett további mélységi védelmi intézkedés.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadásokkal szemben
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Az Azure-erőforrások védelme a külső hálózatokról érkező támadásokkal szemben, beleértve az elosztott szolgáltatásmegtagadásos (DDoS) támadásokat, az alkalmazásspecifikus támadásokat és a kéretlen és potenciálisan rosszindulatú internetes forgalmat. Az Azure a következő natív képességeket tartalmazza:
Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalomtól.
A Web Application Firewall (WAF) funkcióit Azure Application Gateway, az Azure Front Doorban és az Azure Content Delivery Networkben (CDN) használhatja az alkalmazások, szolgáltatások és API-k alkalmazásrétegbeli támadásokkal szembeni védelméhez.
Az adategységek DDoS-támadásokkal szembeni védelméhez engedélyezze a DDoS standard védelmét az Azure-beli virtuális hálózatokon.
A Azure Security Center használatával észlelheti a fentiekhez kapcsolódó helytelen konfigurációs kockázatokat.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
NS-5: Behatolásészlelési/behatolás-megelőzési rendszerek üzembe helyezése (IDS/IPS)
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Használjon Azure Firewall fenyegetésintelligencia-alapú szűrést az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező, illetve onnan érkező riasztásokra és/vagy tiltásokra. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája. Ha hasznos adatvizsgálatra van szükség, használhatja Azure Firewall Premium IDPS funkciót, vagy üzembe helyezhet egy külső behatolásészlelő/behatolásmegelőző rendszert (IDS/IPS) Azure Marketplace hasznos adatvizsgálati képességekkel. Alternatív megoldásként gazdagépalapú IDS/IPS vagy gazdagépalapú végpontészlelési és -válaszmegoldást (EDR) is használhat a hálózatalapú IDS/IPS használatával vagy helyett.
Megjegyzés: Ha szabályozási vagy egyéb követelménye van az IDS/IPS használatára vonatkozóan, győződjön meg arról, hogy mindig a magas minőségű riasztások SIEM-megoldásához van hangolva.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
NS-6: A hálózati biztonsági szabályok egyszerűsítése
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
A hálózati biztonsági szabályok egyszerűsítése szolgáltatáscímkék és alkalmazásbiztonsági csoportok (ASG-k) használatával.
A Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét egy szabály forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.
Alkalmazásbiztonsági csoportokkal is leegyszerűsítheti az összetett biztonsági konfigurációt. Ahelyett, hogy explicit IP-címeken alapuló házirendet határoz meg a hálózati biztonsági csoportokban, az alkalmazásbiztonsági csoportok lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként, lehetővé téve a virtuális gépek csoportosítását és a csoportokon alapuló hálózati biztonsági szabályzatok meghatározását.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
NS-7: Biztonságos tartománynév-szolgáltatás (DNS)
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| NS-7 | N/A | SC-20, SC-21 |
Kövesse a DNS-biztonság ajánlott eljárásait, hogy elhárítsa az olyan gyakori támadásokat, mint a dangling DNS, DNS-erősítő támadások, DNS-mérgezés és hamisítás stb.
Ha az Azure DNS-t használja mérvadó DNS-szolgáltatásként, győződjön meg arról, hogy a DNS-zónák és -rekordok védve vannak a véletlen vagy rosszindulatú módosítások ellen az Azure RBAC és az erőforrás-zárolások használatával.
Biztonságos tartománynévrendszer (DNS) üzembehelyezési útmutatója
Az értékhiányos DNS-bejegyzések megelőzése és az altartomány-átvétel elkerülése
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):