Az Azure biztonsági alapkonfigurációja Azure Load Balancer
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Azure Load Balancer. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Azure Load Balancer vonatkozó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Azure Load Balancer nem alkalmazható funkciók ki lettek zárva. A teljes Azure Load Balancer biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogy Azure Load Balancer hogyan felel meg teljesen a Microsoft felhőbiztonsági teljesítménytesztjének.
Biztonsági profil
A biztonsági profil összefoglalja a Azure Load Balancer nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Hálózatkezelés |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Hamis |
| Tárolja az inaktív ügyféltartalmakat | Hamis |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Bár a Azure Load Balancer erőforrás nem helyezhető üzembe közvetlenül egy Virtual Network, a belső termékváltozat létrehozhat egy vagy több előtérbeli IP-konfigurációt egy cél Azure-Virtual Network használatával.
Konfigurációs útmutató: Az Azure kétféle Load Balancer-ajánlatot kínál: Standard és Basic. A belső Azure Load Balancerek használatával csak bizonyos virtuális hálózatokról vagy társviszonyban álló virtuális hálózatokról érkező háttérerőforrások felé érkező forgalom engedélyezhető az internetnek való kitettség nélkül. Implementáljon egy külső Load Balancer a forráshálózati címfordítással (SNAT) a háttérerőforrások IP-címeinek maszkolásához a közvetlen internetes kitettség elleni védelem érdekében.
Referencia: Belső Load Balancer előtérbeli IP-konfiguráció
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzései: A felhasználók konfigurálhatnak NSG-t a virtuális hálózatukon, de közvetlenül nem a Load Balancer.
Konfigurációs útmutató: Implementáljon hálózati biztonsági csoportokat, és csak az alkalmazás megbízható portjaihoz és IP-címtartományaihoz engedélyezze a hozzáférést. Ha nincs hálózati biztonsági csoport hozzárendelve a háttérbeli virtuális gépek háttérbeli alhálózatához vagy hálózati adapteréhez, a forgalom nem férhet hozzá ezekhez az erőforrásokhoz a terheléselosztóról. A standard load balancerek kimenő szabályokat biztosítanak a kimenő NAT hálózati biztonsági csoporttal való meghatározásához. Tekintse át ezeket a kimenő szabályokat a kimenő kapcsolatok viselkedésének finomhangolásához.
A standard Load Balancer úgy tervezték, hogy alapértelmezés szerint biztonságos legyen, és egy privát és elkülönített Virtual Network része legyen. A bejövő folyamatok nem zárják be, kivéve, ha a hálózati biztonsági csoportok kifejezetten engedélyezik az engedélyezett forgalmat, és nem engedélyezik az ismert rosszindulatú IP-címeket. Hacsak a virtuálisgép-erőforrás alhálózatán vagy hálózati adapterén nem található hálózati biztonsági csoport a Load Balancer mögött, a forgalom nem érheti el ezt az erőforrást.
Megjegyzés: A standard Load Balancer használata az éles számítási feladatokhoz ajánlott, és általában az Alapszintű Load Balancer csak teszteléshez használatos, mivel az alapszintű típus alapértelmezés szerint nyitva áll az internetről érkező kapcsolatok számára, és nem igényel hálózati biztonsági csoportokat a működéshez.
Referencia: Azure Load Balancer előtérbeli IP-konfiguráció
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Egy hálózati biztonsági csoporttal (NSG-vel) megvédheti az alhálózatot a potenciális fenyegetésektől. Az NSG-k olyan Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
Eszközkezelés
További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Standard biztonsági konfigurációk definiálása és implementálása azure-erőforrásokhoz Azure Policy használatával. Rendeljen hozzá beépített szabályzatdefiníciókat az adott Azure Load Balancer-erőforrásokhoz. Ha nem állnak rendelkezésre beépített szabályzatdefiníciók, Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a "Microsoft.Network" névtérben lévő Azure Load Balancer-erőforrások konfigurációjának naplózásához vagy kényszerítéséhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről