DNS biztonsági szabályzat

Ez a cikk áttekintést nyújt a DNS biztonsági szabályzatáról és a fenyegetésfelderítési hírcsatornáról.

A DNS biztonsági házirendjének és a fenyegetésfelderítési hírcsatornának konfigurálásáról az alábbi útmutatókban talál további információt:

Mi az a DNS-biztonsági szabályzat?

A DNS biztonsági szabályzata lehetővé teszi a DNS-lekérdezések szűrését és naplózását a virtuális hálózat (VNet) szintjén. A szabályzat a virtuális hálózaton belüli nyilvános és privát DNS-forgalomra is vonatkozik. A DNS-naplók elküldhetők egy tárfiókba, log analytics-munkaterületre vagy eseményközpontba. Engedélyezheti, riasztást vagy letilthatja a DNS-lekérdezéseket.

A DNS biztonsági szabályzatával a következő műveletekre van lehetőség:

  • Hozzon létre szabályokat a DNS-alapú támadások elleni védelemhez az ismert vagy rosszindulatú tartományok névfeloldásának blokkolásával.
  • Mentse és tekintse meg a részletes DNS-naplókat, hogy betekintést nyerjen a DNS-forgalomba.

A DNS-biztonsági szabályzatok a következő kapcsolódó elemekkel és tulajdonságokkal rendelkeznek:

  • Hely: Az Azure-régió, ahol a biztonsági szabályzat létre lett hozva és üzembe helyezve.
  • DNS-forgalmi szabályok: Olyan szabályok, amelyek prioritás- és tartománylisták alapján engedélyezik, blokkolják vagy riasztást küldenek.
  • Virtuális hálózati kapcsolatok: A biztonsági szabályzatot egy virtuális hálózathoz társító hivatkozás.
  • DNS-tartománylisták: A DNS-tartományok helyalapú listái.

A DNS biztonsági szabályzata az Azure PowerShell vagy az Azure Portal használatával konfigurálható.

Mi az a DNS Threat Intelligence?

Az Azure DNS fenyegetésfelderítési hírcsatornával rendelkező biztonsági szabályzata lehetővé teszi a biztonsági incidensek korai észlelését és megelőzését az ügyfél-virtuális hálózatokon, ahol a Microsoft Biztonsági válaszközpontja (MSRC) által létrehozott ismert rosszindulatú tartományok blokkolhatók a névfeloldástól.

A DNS Threat Intelligence-hírcsatorna hálózati folyamatának diagramja.

A már biztosított DNS-biztonsági szabályzaton kívül a hírcsatorna felügyelt tartománylistaként is elérhető, és lehetővé teszi a számítási feladatok védelmét az ismert rosszindulatú tartományok ellen a Microsoft saját felügyelt veszélyforrások intelligens hírcsatornájával.

A DNS biztonsági szabályzat fenyegetésfelderítési hírcsatornával való használatának előnyei a következők:

  • Intelligens védelem:

    • Szinte minden támadás DNS-lekérdezéssel kezdődik. A fenyegetésfelderítés által felügyelt tartománylista lehetővé teszi a biztonsági incidensek korai észlelését és megelőzését.

  • Folyamatos frissítések:

    • A Microsoft automatikusan frissíti a hírcsatornát az újonnan észlelt rosszindulatú tartományok elleni védelem érdekében.

  • Rosszindulatú tartományfigyelés és -blokkolás:

    • A tevékenység megfigyelésének rugalmassága csak riasztási módban, vagy a feltételezett tevékenység blokkolási módban való letiltása.

    • A naplózás engedélyezése lehetővé teszi a virtuális hálózat összes DNS-forgalmának láthatóságát.

Használati esetek

  • Konfigurálja a fenyegetésfelderítést felügyelt tartománylistaként a DNS biztonsági szabályzataiban az ismert rosszindulatú tartományok elleni védelem további rétegéhez.

  • Megismerheti azokat a feltört gazdagépeket, amelyek virtuális hálózatokról próbálják feloldani az ismert rosszindulatú tartományokat.

  • Naplózza és állítson be riasztásokat, ha kártékony domain nevek feloldásra kerülnek azokban a virtuális hálózatokban, ahol a Threat Intel feed konfigurálva van.

  • Zökkenőmentesen integrálható a virtuális hálózatokkal és más szolgáltatásokkal, például az Azure Privát DNS-zónákkal, a Privát feloldóval és a virtuális hálózat egyéb szolgáltatásaival.

Elhelyezkedés

A biztonsági szabályzatok csak az ugyanabban a régióban lévő virtuális hálózatokra alkalmazhatók. Az alábbi példában két szabályzat jön létre két különböző régióban (az USA keleti régiójában és az USA középső régiójában).

Képernyőkép a DNS-biztonsági szabályzatok listájáról.

Fontos

A policy:VNet kapcsolat 1:N. Ha egy virtuális hálózat biztonsági szabályzattal van társítva ( virtuális hálózati kapcsolatokon keresztül), az a virtuális hálózat nem társítható egy másik biztonsági szabályzattal anélkül, hogy először eltávolítaná a meglévő virtuális hálózati kapcsolatot. Egyetlen DNS-biztonsági szabályzat több virtuális hálózathoz is társítható ugyanabban a régióban.

DNS-forgalmi szabályok

A DNS-forgalmi szabályok határozzák meg a DNS-lekérdezéshez végrehajtott műveletet.

Ha dns-forgalmi szabályokat szeretne megjeleníteni az Azure Portalon, válasszon ki egy DNS-biztonsági szabályzatot, majd a Beállítások területen válassza a DNS forgalmi szabályai lehetőséget. Lásd a következő példát:

Képernyőkép a DNS-forgalmi szabályok listájáról.

  • A szabályok feldolgozása prioritási sorrendben történik a 100–65000 tartományban. Az alacsonyabb számok nagyobb prioritást élveznek.
    • Ha egy tartománynév alacsonyabb prioritású szabályban van letiltva, és ugyanazt a tartományt engedélyezi egy magasabb prioritású szabály, a tartománynév engedélyezett.
    • A szabályok a DNS-hierarchiát követik. Ha contoso.com magasabb prioritású szabályban engedélyezett, akkor sub.contoso.com akkor is engedélyezett, ha sub.contoso.com alacsonyabb prioritású szabály blokkolja.
    • A "." tartományra vonatkozó szabály létrehozásával minden tartományra konfigurálhat szabályzatot. Ügyeljen a tartományok blokkolására, hogy ne tiltsa le a szükséges Azure-szolgáltatásokat.
  • Dinamikusan adhat hozzá és törölhet szabályokat a listából. A szabályok portálon való szerkesztése után mindenképpen mentse a fájlt .
  • Szabályonként több DNS-tartománylista is engedélyezett. Legalább egy DNS-tartománylistával kell rendelkeznie.
  • Minden szabály három forgalomművelet egyikéhez van társítva: Engedélyezés, Letiltás vagy Riasztás.
    • Engedélyezés: Engedélyezze a lekérdezést a társított tartománylistákon, és naplózza a lekérdezést.
    • Blokk: Tiltsa le a lekérdezést a társított tartománylistákon, és naplózza a blokkműveletet.
    • Riasztás: Engedélyezze a lekérdezést a társított tartománylistákon, és naplózza a riasztást.
  • A szabályok egyenként engedélyezhetők vagy letilthatók.

A DNS biztonsági szabályzatai csak a biztonsági szabályzathoz csatolt virtuális hálózatokra vonatkoznak. Egyetlen biztonsági szabályzatot több virtuális hálózathoz is csatolhat, de egyetlen virtuális hálózat csak egyetlen DNS-biztonsági szabályzathoz csatolható.

Az alábbi példa két virtuális hálózathoz (myeastvnet-40, myeastvnet-50) társított DNS-biztonsági szabályzatot mutat be:

Képernyőkép a virtuális hálózati hivatkozások listájáról.

  • Csak olyan virtuális hálózatokat kapcsolhat össze, amelyek ugyanabban a régióban találhatók, mint a biztonsági házirend.
  • Ha virtuális hálózati kapcsolattal csatol egy virtuális hálózatot egy DNS-biztonsági szabályzathoz, a DNS biztonsági szabályzata a virtuális hálózaton belüli összes erőforrásra vonatkozik.

DNS-tartománylisták

A DNS-tartománylisták a forgalmi szabályokhoz társított DNS-tartományok listájai.

A DNS-biztonsági házirend beállításai alatt válassza a DNS-tartománylisták lehetőséget a szabályzathoz társított aktuális tartománylisták megtekintéséhez.

Megjegyzés:

A CNAME láncok felülvizsgálata ("követése") annak megállapítására történik, hogy a domainhez társított forgalmi szabályok érvényesek-e. Egy malicious.contoso.com-ra vonatkozó szabály például akkor is vonatkozik az adatum.com-ra, ha az adatum.com leképzést képez a malicious.contoso.com-ra, vagy ha a malicious.contoso.com bárhol megjelenik egy CNAME láncban az adatum.com esetén.

Az alábbi példa a myeast-secpol DNS-biztonsági szabályzathoz társított DNS-tartománylistákat mutatja be:

Képernyőkép a DNS-tartománylisták listájáról.

A tartománylistát különböző biztonsági szabályzatokban több DNS-forgalmi szabályhoz is társíthatja. A biztonsági szabályzatoknak legalább egy tartománylistát tartalmazniuk kell. Az alábbi példa egy dns-tartománylistára (blocklist-1), amely két tartományt (malicious.contoso.com, exploit.adatum.com) tartalmaz:

Képernyőkép a tartománylistában lévő tartományokról.

  • A DNS-tartományok listájának legalább egy tartományt tartalmaznia kell. Helyettesítő karaktereket tartalmazó tartományok engedélyezettek.

Fontos

Ügyeljen arra, hogy helyettesítő karaktereket tartalmazó tartománylistákat hozzon létre. Ha például olyan tartománylistát hoz létre, amely az összes tartományra érvényes (a DNS-tartományként való beírással . ), majd konfigurál egy DNS-forgalmi szabályt a tartománylistára irányuló lekérdezések letiltásához, megakadályozhatja a szükséges szolgáltatások működését.

Amikor megtekint egy DNS-tartománylistát az Azure Portalon, a Beállítások>társított DNS-forgalmi szabályok lehetőséget választva megtekintheti az összes forgalmi szabály és a DNS-tartománylistára hivatkozó DNS-biztonsági szabályzatok listáját.

Képernyőkép a társított tartománylista forgalmi szabályairól.

Követelmények és korlátozások

Korlátozás típusa Korlát/szabály
Virtuális hálózat korlátozásai – A DNS biztonsági szabályzatai csak a DNS biztonsági szabályzatával azonos régióban lévő virtuális hálózatokra alkalmazhatók.
– Virtuális hálózatonként egy biztonsági szabályzatot csatolhat.
Biztonsági szabályzatok korlátozásai 1000
DNS-forgalmi szabályok korlátozásai 100
Tartománylista-korlátozások 2 000
Nagy tartománylista korlátozásai 100 000
Tartománykorlátozások 100 000

Kapcsolódó tartalom

  • Last updated on