Baseline di sicurezza di Azure per Azure Load Balancer
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Azure Load Balancer. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili alle Azure Load Balancer.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili alle Azure Load Balancer sono state escluse. Per informazioni su come Azure Load Balancer mappa completamente al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza Azure Load Balancer.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Load Balancer, che possono causare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | Rete |
| Il cliente può accedere a HOST/SISTEMA operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia il contenuto del cliente inattivo | Falso |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: mentre la risorsa Azure Load Balancer non viene distribuita direttamente in un Rete virtuale, lo SKU interno può creare una o più configurazioni IP front-end usando un Rete virtuale di Azure di destinazione.
Linee guida per la configurazione: Azure offre due tipi di offerte di Load Balancer, Standard e Basic. Usare i servizi di bilanciamento del carico di Azure interni per consentire il traffico solo alle risorse back-end dall'interno di determinate reti virtuali o reti virtuali con peering senza esposizione a Internet. Implementare un Load Balancer esterno con Source Network Address Translation (SNAT) per mascherare gli indirizzi IP delle risorse back-end per la protezione dall'esposizione diretta a Internet.
Informazioni di riferimento: Configurazione IP front-end interna Load Balancer
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: gli utenti possono configurare un gruppo di sicurezza di rete nella rete virtuale, ma non direttamente nella Load Balancer.
Linee guida per la configurazione: implementare i gruppi di sicurezza di rete e consentire l'accesso solo alle porte attendibili e agli intervalli di indirizzi IP dell'applicazione. Nei casi in cui non è assegnato alcun gruppo di sicurezza di rete alla subnet back-end o alla scheda di interfaccia di rete delle macchine virtuali back-end, il traffico non potrà accedere a queste risorse dal servizio di bilanciamento del carico. I servizi di bilanciamento del carico standard forniscono regole in uscita per definire NAT in uscita con un gruppo di sicurezza di rete. Esaminare queste regole in uscita per ottimizzare il comportamento delle connessioni in uscita.
Il Load Balancer Standard è progettato per essere sicuro per impostazione predefinita e parte di un Rete virtuale privato e isolato. È chiuso ai flussi in ingresso a meno che non venga aperto dai gruppi di sicurezza di rete per consentire in modo esplicito il traffico consentito e non consentire indirizzi IP dannosi noti. A meno che non esista un gruppo di sicurezza di rete in una subnet o una scheda di interfaccia di rete della risorsa macchina virtuale dietro la Load Balancer, il traffico non può raggiungere questa risorsa.
Nota: l'uso di un Load Balancer Standard è consigliato per i carichi di lavoro di produzione e in genere il Load Balancer di base viene usato solo per il test poiché il tipo di base è aperto alle connessioni da Internet per impostazione predefinita e non richiede gruppi di sicurezza di rete per l'operazione.
Informazioni di riferimento: Azure Load Balancer configurazione IP front-end
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.Network:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
Gestione degli asset
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: definire e implementare configurazioni di sicurezza standard per le risorse di Azure usando Criteri di Azure. Assegnare definizioni di criteri predefinite correlate alle risorse di Azure Load Balancer specifiche. Quando non sono disponibili definizioni di criteri predefinite, è possibile usare alias Criteri di Azure per creare criteri personalizzati per controllare o applicare la configurazione delle risorse Azure Load Balancer nello spazio dei nomi "Microsoft.Network".
Passaggi successivi
- Vedere la panoramica del benchmark della sicurezza cloud Microsoft
- Altre informazioni su Baseline di sicurezza di Azure