Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Aanbevelingen voor netwerkbeveiliging zijn gericht op het opgeven van welke netwerkprotocollen, TCP/UDP-poorten en met het netwerk verbonden services toegang tot Azure-services zijn toegestaan of geweigerd.
1.1: Azure-resources beveiligen binnen virtuele netwerken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Klant |
Zorg ervoor dat op alle implementaties van subnetten van virtuele netwerken een netwerkbeveiligingsgroep is toegepast met netwerktoegangscontroles die specifiek zijn voor de vertrouwde poorten en bronnen van uw toepassing. Indien beschikbaar, gebruikt u privé-eindpunten met Private Link om uw Azure-serviceresources te beveiligen tegen uw virtuele netwerk door VNet-identiteit uit te breiden naar de service. Als privé-eindpunten en Private Link niet beschikbaar zijn, gebruikt u service-eindpunten. Raadpleeg voor servicespecifieke vereisten de beveiligingsaanbeveling voor die specifieke service.
Als u een specifiek gebruiksscenario hebt, kan ook aan de vereiste worden voldaan door Azure Firewall te implementeren.
1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Klant |
Gebruik Azure Security Center en volg de aanbevelingen voor netwerkbeveiliging om uw netwerkresources in Azure te beveiligen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te bieden in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hotspots te identificeren, beveiligingsrisico's te identificeren, verkeersstroompatronen te begrijpen en verkeerde netwerkconfiguraties op te sporen.
1.3: Kritieke webtoepassingen beveiligen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.3 | 9.5 | Klant |
Implementeer Azure Web Application Firewall (WAF) voor kritieke webtoepassingen voor extra inspectie van binnenkomend verkeer. Schakel diagnostische instelling voor WAF in en neem logboeken op in een opslagaccount, Event Hub of Log Analytics-werkruimte.
1.4: Communicatie met bekende schadelijke IP-adressen weigeren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.4 | 12.3 | Klant |
Schakel DDoS-standaardbeveiliging in op uw virtuele Azure-netwerken om u te beschermen tegen DDoS-aanvallen. Gebruik Azure Security Center Integrated Threat Intelligence om communicatie met bekende schadelijke IP-adressen te weigeren.
Implementeer Azure Firewall op elk van de netwerkgrenzen van de organisatie met Threat Intelligence ingeschakeld en geconfigureerd om 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.
Gebruik Azure Security Center Just In Time Network-toegang om NSG's te configureren om de blootstelling van eindpunten aan goedgekeurde IP-adressen gedurende een beperkte periode te beperken.
Gebruik Azure Security Center Adaptive Network Hardening om NSG-configuraties aan te bevelen die poorten en bron-IP's beperken op basis van werkelijk verkeer en bedreigingsinformatie.
Inzicht in Azure Security Center Integrated Threat Intelligence
Inzicht in Azure Security Center Just In Time Network Access Control
1.5: Netwerkpakketten vastleggen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.5 | 12.5 | Klant |
Schakel Network Watcher-pakketopname in om afwijkende activiteiten te onderzoeken.
1.6: Implementeer netwerkgebaseerde inbraakdetectie-/inbraakpreventiesystemen (IDS/IPS)
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.6 | 12.6, 12.7 | Klant |
Selecteer een aanbieding uit de Azure Marketplace die ondersteuning biedt voor IDS/IPS-functionaliteit met mogelijkheden voor payload-inspectie. Als inbraakdetectie en/of -preventie op basis van payload-inspectie geen vereiste is, kan Azure Firewall met bedreigingsinformatie worden gebruikt. Azure Firewall Threat Intelligence based filtering kan verkeer van en naar bekende schadelijke IP-adressen en domeinen waarschuwen en weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.
Implementeer de firewalloplossing van uw keuze aan elk van de netwerkgrenzen van uw organisatie om kwaadaardig verkeer te detecteren en/of te weigeren.
1.7: Beheer het verkeer naar webapplicaties
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1,7 | 12.9, 12.10 | Klant |
Implementeer Azure Application Gateway voor webtoepassingen met HTTPS/TLS ingeschakeld voor vertrouwde certificaten.
1.8: Minimaliseer de complexiteit en administratieve overhead van netwerkbeveiligingsregels
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.8 | 1.5 | Klant |
Gebruik Virtual Network Service Tags om netwerktoegangsbeheer te definiëren in Network Security Groups of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of bestemmingsveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.
U kunt ook Application Security Groups gebruiken om complexe beveiligingsconfiguraties te vereenvoudigen. Met toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing, zodat u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van deze groepen.
1.9: Onderhoud standaard beveiligingsconfiguraties voor netwerkapparaten
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.9 | 11.1 | Klant |
Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkresources met Azure Policy.
U kunt Azure Blueprints ook gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en beleid, te verpakken in één blauwdrukdefinitie. U kunt de blauwdruk toepassen op nieuwe abonnementen en de controle en het beheer verfijnen door middel van versiebeheer.
1.10: Regels voor het configureren van documentverkeer
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1,10 | 11.2 | Klant |
Gebruik tags voor NSG's en andere bronnen met betrekking tot netwerkbeveiliging en verkeersstroom. Gebruik voor afzonderlijke NSG-regels het veld 'Beschrijving' om de zakelijke behoefte en/of duur (enz.) op te geven voor regels die verkeer van/naar een netwerk toestaan.
Gebruik een van de ingebouwde Azure Policy-definities met betrekking tot taggen, zoals 'Tag en de waarde ervan vereisen' om ervoor te zorgen dat alle resources worden gemaakt met tags en om u op de hoogte te stellen van bestaande niet-getagde resources.
U kunt Azure PowerShell of Azure CLI gebruiken om resources op te zoeken of acties uit te voeren op basis van hun tags.
1.11: Gebruik geautomatiseerde tools om configuraties van netwerkbronnen te bewaken en wijzigingen te detecteren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.11 | 11.3 | Klant |
Gebruik Azure-activiteitenlogboek om resourceconfiguraties te bewaken en wijzigingen in uw Azure-resources te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer er wijzigingen in kritieke resources plaatsvinden.
Volgende stappen
- Zie de volgende beveiligingscontrole: Logboekregistratie en bewaking