Megosztás a következőn keresztül:

Security Control v3: Hálózati biztonság

  • Cikk

A Network Security az Azure-hálózatok védelmét és védelmét szolgáló vezérlőket foglalja magában, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létrehozását, a külső támadások megelőzését és mérséklését, valamint a DNS védelmét.

NS-1: Hálózati szegmentálási határok létrehozása

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági alapelv: Győződjön meg arról, hogy a virtuális hálózat üzembe helyezése megfelel a GS-2 biztonsági vezérlőben meghatározott vállalati szegmentálási stratégiának. Minden olyan számítási feladatnak, amely nagyobb kockázatot jelenthet a szervezet számára, izolált virtuális hálózatokban kell lennie. A nagy kockázatú számítási feladatok például a következők:

  • Az alkalmazások rendkívül bizalmas adatokat tárolnak vagy dolgoznak fel.
  • Külső, hálózattal rendelkező alkalmazás, amelyet a nyilvánosság vagy a szervezeten kívüli felhasználók érhetnek el.
  • Nem biztonságos architektúrát használó vagy nem könnyen orvosolható biztonsági réseket tartalmazó alkalmazás.

A vállalati szegmentálási stratégia továbbfejlesztéséhez korlátozza vagy figyelje a belső erőforrások közötti forgalmat hálózati vezérlőkkel. Adott, jól definiált alkalmazások (például háromrétegű alkalmazások) esetében ez egy rendkívül biztonságos "alapértelmezés szerint megtagadás, engedélyezés kivétel" megközelítés lehet a hálózati forgalom portjainak, protokolljainak, forrás- és cél IP-címeinek korlátozásával. Ha sok alkalmazás és végpont kommunikál egymással, előfordulhat, hogy a forgalom blokkolása nem skálázható megfelelően, és lehet, hogy csak a forgalmat tudja figyelni.

Azure-útmutató: Hozzon létre egy virtuális hálózatot (VNet) alapvető szegmentálási megközelítésként az Azure-hálózatban, így az erőforrások, például a virtuális gépek üzembe helyezhetők a virtuális hálózatban a hálózat határain belül. A hálózat további szegmentálásához alhálózatokat hozhat létre a virtuális hálózaton belül a kisebb alhálózatokhoz.

Hálózati biztonsági csoportok (NSG) használata hálózati réteg-vezérlőként a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához vagy figyeléséhez.

Az összetett konfiguráció egyszerűsítése érdekében alkalmazásbiztonsági csoportokat (ASG-ket) is használhat. Ahelyett, hogy explicit IP-címeken alapuló házirendet határoz meg a hálózati biztonsági csoportokban, az ASG-k lehetővé teszik a hálózati biztonság konfigurálását az alkalmazás szerkezetének természetes kiterjesztéseként, lehetővé téve a virtuális gépek csoportosítását és a hálózati biztonsági szabályzatok ezen csoportok alapján történő meghatározását.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági alapelv: A felhőszolgáltatások biztonságossá tételéhez hozzon létre egy privát hozzáférési pontot az erőforrások számára. Ha lehetséges, tiltsa le vagy korlátozza a nyilvános hálózatról való hozzáférést.

Azure-útmutató: Privát végpontok üzembe helyezése minden olyan Azure-erőforráshoz, amely támogatja a Private Link szolgáltatást, és privát hozzáférési pontot hoz létre az erőforrások számára. Lehetőség szerint le kell tiltania vagy korlátoznia kell a nyilvános hálózati hozzáférést a szolgáltatásokhoz.

Bizonyos szolgáltatások esetében a virtuális hálózatok integrációját is üzembe helyezheti a szolgáltatásban, ahol korlátozhatja, hogy a virtuális hálózat privát hozzáférési pontot hozzon létre a szolgáltatás számára.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-3: Tűzfal üzembe helyezése a vállalati hálózat peremhálózatán

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Biztonsági alapelv: Tűzfal üzembe helyezése a külső hálózatok felé és onnan érkező hálózati forgalom speciális szűréséhez. A belső szegmensek közötti tűzfalak használatával is támogathatja a szegmentálási stratégiát. Szükség esetén az alhálózat egyéni útvonalait használva felülbírálhatja a rendszerútvonalat, amikor a hálózati forgalmat biztonsági ellenőrzés céljából hálózati berendezésen kell áthaladnia.

Legalább tiltsa le az ismert rossz IP-címeket és a magas kockázatú protokollokat, például a távfelügyeletet (például RDP és SSH) és az intranetes protokollokat (például SMB és Kerberos).

Azure-útmutató: Az Azure Firewall használatával teljes körű állapotalapú alkalmazásréteg-forgalomkorlátozást (például URL-szűrést) és/vagy központi felügyeletet biztosít számos nagyvállalati szegmens vagy küllő felett (küllős topológiában).

Ha összetett hálózati topológiával rendelkezik, például egy küllős beállítással, előfordulhat, hogy felhasználó által meghatározott útvonalakat (UDR) kell létrehoznia, hogy a forgalom áthaladjon a kívánt útvonalon. Lehetősége van például egy UDR használatával átirányítani a kimenő internetes forgalmat egy adott Azure Firewallon vagy egy hálózati virtuális berendezésen keresztül.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-4: Behatolásészlelési/behatolás-megelőzési rendszerek üzembe helyezése (IDS/IPS)

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Biztonsági alapelv: Használjon hálózati behatolásészlelési és behatolás-megelőzési rendszereket (IDS/IPS) a hálózat, valamint a számítási feladathoz érkező vagy onnan induló adatforgalom ellenőrzéséhez. Győződjön meg arról, hogy az IDS/IPS mindig hangolva van, hogy kiváló minőségű riasztásokat biztosítson a SIEM-megoldásnak.

A gazdagépszintű észlelési és megelőzési képesség részletességének javítása érdekében használjon gazdagépalapú IDS/IPS rendszert vagy egy gazdagépalapú végpontészlelési és -válaszadási megoldást (EDR) a hálózati IDS/IPS-sel együtt.

Azure-útmutató: Használja az Azure Firewall IDPS-funkcióját a hálózaton az ismert rosszindulatú IP-címek és tartományok felé érkező és onnan érkező forgalom riasztásához és/vagy letiltásához.

A gazdagépszintű észlelési és megelőzési képességek mélyebb integrálása érdekében telepítsen gazdagépalapú IDS/IPS rendszert vagy végpontészlelési és -válasz megoldást, például a Microsoft Defender for Endpoint megoldást, a virtuális gép szintjén, a hálózati alapú IDS/IPS rendszerekkel együtt.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-5: DDOS-védelem üzembe helyezése

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Biztonsági alapelv: Elosztott szolgáltatásmegtagadási (DDoS) védelem üzembe helyezése a hálózat és az alkalmazások támadások elleni védelméhez.

Azure-útmutató: Engedélyezze a DDoS standard védelmi tervét a virtuális hálózaton a nyilvános hálózatok számára elérhető erőforrások védelme érdekében.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-6: Webalkalmazási tűzfal üzembe helyezése

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
13.10 SC-7 1.1, 1.2, 1.3

Biztonsági alapelv: Webalkalmazási tűzfal (WAF) üzembe helyezése és a megfelelő szabályok konfigurálása a webalkalmazások és API-k alkalmazásspecifikus támadások elleni védelméhez.

Azure-útmutató: Az Azure Application Gateway, az Azure Front Door és az Azure Content Delivery Network (CDN) webalkalmazási tűzfalának (WAF) funkcióival védheti az alkalmazásokat, szolgáltatásokat és API-kat a hálózat peremén futó alkalmazásréteg-támadások ellen. Állítsa be WAF-ját "észlelési" vagy "megelőzési módban" az igényeitől és a fenyegetési helyzettől függően. Válasszon ki egy beépített szabálykészletet, például az OWASP Top 10 biztonsági réseit, és hangolja az alkalmazáshoz.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-7: A hálózati biztonsági konfiguráció egyszerűsítése

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági alapelv: Összetett hálózati környezetek kezelésekor az eszközökkel egyszerűsítheti, központosíthatja és javíthatja a hálózati biztonság kezelését.

Azure-útmutató: Az alábbi funkciókkal egyszerűsítheti az NSG- és az Azure Firewall-szabályok implementálását és kezelését:

  • A Microsoft Defender for Cloud Adaptive Network Hardening használatával olyan NSG-keményítési szabályokat javasolhat, amelyek tovább korlátozzák a portokat, protokollokat és forrás IP-címeket a fenyegetésfelderítés és a forgalomelemzés eredményei alapján.
  • Az Azure Firewall Managerrel központosíthatja a virtuális hálózat tűzfalszabályzatát és útvonalkezelését. A tűzfalszabályok és a hálózati biztonsági csoportok implementálásának egyszerűsítése érdekében használhatja az Azure Firewall Manager ARM (Azure Resource Manager) sablont is.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-8: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Biztonsági alapelv: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása az operációs rendszer, az alkalmazás vagy a szoftvercsomag rétegében. Kompenzáló vezérlők üzembe helyezése, ha a nem biztonságos szolgáltatások és protokollok letiltása nem lehetséges.

Azure-útmutató: Az Azure Sentinel beépített nem biztonságos protokoll-munkafüzetével felderítheti az olyan nem biztonságos szolgáltatások és protokollok használatát, mint az SSL/TLSv1, az SSHv1, az SMBv1, az LM/NTLMv1, a wDigest, a Unsigned LDAP Binds és a gyenge titkosítás a Kerberosban. Tiltsa le azokat a nem biztonságos szolgáltatásokat és protokollokat, amelyek nem felelnek meg a megfelelő biztonsági szabványnak.

Megjegyzés: Ha a nem biztonságos szolgáltatások vagy protokollok letiltása nem lehetséges, használjon kompenzáló vezérlőket, például blokkolja az erőforrásokhoz való hozzáférést a hálózati biztonsági csoport, az Azure Firewall vagy az Azure Web Application Firewall használatával a támadási felület csökkentése érdekében.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-9: Helyszíni vagy felhőalapú hálózat privát csatlakoztatása

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
12.7 CA-3, AC-17, AC-4 Nincs adat.

Biztonsági alapelv: Privát kapcsolatok használata különböző hálózatok, például felhőszolgáltatói adatközpontok és helyszíni infrastruktúra közötti biztonságos kommunikációhoz egy közös elhelyezési környezetben.

Azure-útmutató: Privát kapcsolatok használata különböző hálózatok, például felhőszolgáltatói adatközpontok és helyszíni infrastruktúra közötti biztonságos kommunikációhoz egy közös elhelyezési környezetben.

A helyek közötti vagy pont–hely közötti könnyű kapcsolat érdekében az Azure-beli virtuális magánhálózat (VPN) használatával hozzon létre biztonságos kapcsolatot a helyszíni hely vagy a végfelhasználói eszköz között az Azure-beli virtuális hálózattal.

Nagyvállalati szintű nagy teljesítményű kapcsolat esetén az Azure ExpressRoute (vagy Virtual WAN) használatával összekapcsolhatja az Azure-adatközpontokat és a helyszíni infrastruktúrát egy társhelyi környezetben.

Két vagy több Azure-beli virtuális hálózat összekapcsolásakor használjon virtuális hálózati társviszony-létesítést. A társviszonyban lévő virtuális hálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>

NS-10: A tartománynévrendszer (DNS) biztonságának biztosítása

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
4.9, 9.2 SC-20, SC-21 Nincs adat.

Biztonsági alapelv: Győződjön meg arról, hogy a tartománynévrendszer (DNS) biztonsági konfigurációja védelmet nyújt az ismert kockázatok ellen:

  • Megbízható mérvadó és rekurzív DNS-szolgáltatások használata a felhőkörnyezetben annak biztosításához, hogy az ügyfél (például az operációs rendszerek és alkalmazások) megkapja a megfelelő megoldási eredményt.
  • Különítse el a nyilvános és a privát DNS-feloldási folyamatot, hogy a magánhálózat DNS-feloldási folyamata elkülöníthető legyen a nyilvános hálózattól.
  • Győződjön meg arról, hogy a DNS biztonsági stratégiája magában foglalja a gyakori támadások – például a DNS csonkolása, a DNS-erősítő támadások, a DNS-mérgezés és a hamisítás – elleni kockázatcsökkentést is.

Azure-útmutató: Azure rekurzív DNS vagy megbízható külső DNS-kiszolgáló használata a számítási feladatok rekurzív DNS-beállításában, például a virtuális gép operációs rendszerében vagy az alkalmazásban.

Az Azure Private DNS használata privát DNS-zóna beállításához, ha a DNS-feloldási folyamat nem hagyja el a virtuális hálózatot. Egyéni DNS-sel korlátozhatja a DNS-feloldásokat, amelyek csak a megbízható megoldást teszik lehetővé az ügyfél számára.

Használja az Azure Defendert a DNS-hez a számítási feladatra vagy a DNS-szolgáltatásra vonatkozó alábbi biztonsági fenyegetések elleni speciális védelemhez:

  • Adatkiszivárgás az Azure-erőforrásokból DNS-bújtatás használatával
  • Parancs- és vezérlőkiszolgálóval kommunikáló kártevők
  • Kommunikáció rosszindulatú domainekkel, adathalászatra és kriptobányászatra.
  • DNS-támadások rosszindulatú DNS-feloldókkal való kommunikáció során

Az Azure Defender for App Service-t is használhatja a lógó DNS-rekordok észleléséhez, ha egy App Service-webhelyet megszüntet vagy leszerel anélkül, hogy eltávolítaná az egyéni tartományát a DNS-regisztrátorból.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):>