Hálózati alapkonfiguráció létrehozása

  • 5 perc

Az Azure hálózatkezelési szolgáltatásai a tervezés során maximalizálják a rugalmasságot, a rendelkezésre állást, a rugalmasságot, a biztonságot és az integritást. A hálózati kapcsolat az Azure-ban található erőforrások, a helyszíni és az Azure által üzemeltetett erőforrások, valamint az internet és az Azure között lehetséges.

Az Azure hálózatbiztonsági ajánlásai

Az alábbi szakaszok a CIS Microsoft Azure Foundations Biztonsági Benchmark 1.3.0-s verzióban szereplő Azure-hálózatkezelési javaslatokat ismertetik. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Tartsa szem előtt, hogy a 2. szintű beállítások bizonyos funkciókat vagy tevékenységeket korlátozhatnak, ezért gondosan kell mérlegelnie, hogy melyik biztonsági beállításokat követeli meg.

RdP- és SSH-hozzáférés korlátozása az internetről – 1. szint

Az Azure-beli virtuális gépeket a Remote Desktop Protocol (RDP) és a Secure Shell (SSH) protokoll használatával érheti el. Ezekkel a protokollokkal távoli helyekről kezelheti a virtuális gépeket. A protokollok szabványosak az adatközpont-számítástechnikában.

Az RDP és az SSH internetes használatával kapcsolatos lehetséges biztonsági probléma, hogy a támadók találgatásos technikákkal férhetnek hozzá az Azure-beli virtuális gépekhez. Miután a támadók hozzáfértek, a virtuális gép indítópanelként való használatával veszélyeztethetik a virtuális hálózat többi gépét, vagy akár az Azure-on kívüli hálózati eszközöket is megtámadhatnak.

Javasoljuk, hogy tiltsa le a közvetlen RDP- és SSH-hozzáférést az internetről az Azure-beli virtuális gépekhez. Végezze el a következő lépéseket az Azure-előfizetésben lévő összes virtuális géphez.

  1. Jelentkezzen be az Azure Portalra. Keressen rá és válassza ki a virtuális gépeket.

  2. A Gépház alatti bal oldali menüben válassza a Hálózatkezelés lehetőséget.

  3. A Hálózatkezelés panelen ellenőrizze, hogy a bejövő portszabályok lap nem rendelkezik-e RDP-szabálysal, például: port=3389, protocol = TCP, Source = Any or Internet.

  4. Ellenőrizze, hogy a bejövő portszabályok lap nem rendelkezik-e SSH-szabálysal, például: port=22, protocol = TCP, Source = Any or Internet.

Screenshot the VM networking pane.

Ha az internetről való közvetlen RDP- és SSH-hozzáférés le van tiltva, más lehetőségekkel is hozzáférhet ezekhez a virtuális gépekhez a távfelügyelethez:

  • Pont-hely típusú VPN
  • Helyek közötti VPN
  • Azure ExpressRoute
  • Azure Bastion Host

Sql Server-hozzáférés korlátozása az internetről – 1. szint

A tűzfalrendszerek segítenek a számítógépes erőforrások illetéktelen elérésének megakadályozásában. Ha a tűzfal be van kapcsolva, de nincs megfelelően konfigurálva, előfordulhat, hogy az SQL Serverhez való kapcsolódási kísérletek le lesznek tiltva.

Az SQL Server egy példányának tűzfalon keresztüli eléréséhez konfigurálnia kell a tűzfalat az SQL Servert futtató számítógépen. Az IP-tartomány 0.0.0.0/0 bejövő forgalmának engedélyezése (a kezdő IP-cím 0.0.0.0 és a végpont IP-címe 0.0.0.0) lehetővé teszi a nyílt hozzáférést minden és minden forgalomhoz, ami sebezhetővé teszi az SQL Server-adatbázist a támadásokkal szemben. Győződjön meg arról, hogy egyetlen SQL Server-adatbázis sem engedélyezi a bejövő forgalmat az internetről. Hajtsa végre az alábbi lépéseket minden SQL Server-példány esetében.

  1. Jelentkezzen be az Azure Portalra. SQL-kiszolgálók keresése és kiválasztása.

  2. A Biztonság menüpanelen válassza a Hálózatkezelés lehetőséget.

  3. A Hálózatkezelés panel Nyilvános hozzáférés lapján győződjön meg arról, hogy létezik tűzfalszabály. Győződjön meg arról, hogy egyetlen szabály sem rendelkezik a szélesebb nyilvános IP-címtartományokhoz hozzáférést lehetővé tevő kezdő IP-címével0.0.0.0 és záró IP-címével0.0.0.0, illetve más kombinációval.

  4. Ha módosítja a beállításokat, válassza a Mentés lehetőséget.

Screenshot that shows the Firewalls and virtual networks pane.

A Network Watcher engedélyezése – 1. szint

Az NSG-folyamatnaplók egy Azure Network Watcher-szolgáltatás, amely információkat nyújt az IP-bejövő és kimenő forgalomról egy NSG-n keresztül. A folyamatnaplók JSON formátumban vannak megírva, és a következők jelennek meg:

  • Kimenő és bejövő folyamatok szabályonként.
  • A folyamat által érintett hálózati adapter (NIC).
  • 5 rekordinformáció a folyamatról: forrás- és cél IP-címek, forrás- és célportok, valamint a használt protokoll.
  • Azt jelzi, hogy a forgalom engedélyezve vagy megtagadva volt-e.
  • A 2. verzióban az átviteli sebesség információi, például bájtok és csomagok.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Network Watcher elemet.

  2. Válassza a Network Watcher lehetőséget az előfizetéshez és a helyhez.

  3. Ha nem léteznek NSG-folyamatnaplók az előfizetéshez, hozzon létre egy NSG-folyamatnaplót.

Az NSG-folyamatnapló megőrzési időtartamának beállítása 90 napnál hosszabbra – 2. szint

Amikor virtuális hálózatot hoz létre vagy frissít az előfizetésében, a Network Watcher automatikusan engedélyezve lesz a virtuális hálózat régiójában. Az erőforrásokra nincs hatással, és a Rendszer díjmentesen értékeli, ha a Network Watcher automatikusan engedélyezve van.

Az NSG-folyamatnaplókkal ellenőrizheti az anomáliákat, és betekintést nyerhet a feltételezett incidensekbe.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Network Watcher elemet.

  2. A Naplók menü bal oldali menüjében válassza az NSG-folyamatnaplókat.

    Screenshot that shows the N S G flow log pane.

  3. Válasszon ki egy NSG-folyamatnaplót.

  4. Győződjön meg arról, hogy a megőrzés (napok) 90 napnál hosszabbak.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.