Punkt odniesienia zabezpieczeń platformy Azure dla Azure Load Balancer
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Azure Load Balancer. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Azure Load Balancer.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do Azure Load Balancer zostały wykluczone. Aby dowiedzieć się, jak Azure Load Balancer całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure Load Balancer.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań związanych z wysokim wpływem Azure Load Balancer, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Sieć |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Fałsz |
| Przechowuje zawartość klienta magazynowanych | Fałsz |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: chociaż zasób Azure Load Balancer nie jest bezpośrednio wdrażany w Virtual Network, wewnętrzna jednostka SKU może utworzyć co najmniej jedną konfigurację adresu IP frontonu przy użyciu docelowej usługi Azure Virtual Network.
Wskazówki dotyczące konfiguracji: platforma Azure oferuje dwa typy ofert Load Balancer, Standardowa i Podstawowa. Użyj wewnętrznych modułów równoważenia obciążenia platformy Azure, aby zezwolić tylko na ruch do zasobów zaplecza z określonych sieci wirtualnych lub równorzędnych sieci wirtualnych bez narażenia na Internet. Zaimplementuj zewnętrzną Load Balancer za pomocą tłumaczeń adresów sieciowych źródłowych (SNAT), aby zamaskować adresy IP zasobów zaplecza w celu ochrony przed bezpośrednią ekspozycją internetową.
Dokumentacja: Wewnętrzna konfiguracja adresu IP frontonu Load Balancer
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Użytkownicy mogą skonfigurować sieciową grupę zabezpieczeń w sieci wirtualnej, ale nie bezpośrednio w Load Balancer.
Wskazówki dotyczące konfiguracji: zaimplementuj sieciowe grupy zabezpieczeń i zezwalaj tylko na dostęp do zaufanych portów i zakresów adresów IP aplikacji. W przypadkach, gdy nie ma sieciowej grupy zabezpieczeń przypisanej do podsieci zaplecza lub karty sieciowej maszyn wirtualnych zaplecza, ruch nie będzie mógł uzyskać dostępu do tych zasobów z modułu równoważenia obciążenia. Standardowe moduły równoważenia obciążenia zapewniają reguły ruchu wychodzącego w celu zdefiniowania translatora adresów sieciowych z sieciową grupą zabezpieczeń. Przejrzyj te reguły ruchu wychodzącego, aby dostosować zachowanie połączeń wychodzących.
Usługa Load Balancer w warstwie Standardowa jest domyślnie zabezpieczana i częścią prywatnej i izolowanej Virtual Network. Jest on zamknięty dla przepływów przychodzących, chyba że otwarte przez sieciowe grupy zabezpieczeń jawnie zezwalają na dozwolony ruch i nie zezwalają na znane złośliwe adresy IP. Jeśli grupa zabezpieczeń sieci w podsieci lub karcie sieciowej zasobu maszyny wirtualnej nie istnieje za Load Balancer, ruch nie może dotrzeć do tego zasobu.
Uwaga: użycie usługa Load Balancer w warstwie Standardowa jest zalecane w przypadku obciążeń produkcyjnych, a zazwyczaj Load Balancer podstawowa jest używana tylko do testowania, ponieważ podstawowy typ jest domyślnie otwarty dla połączeń z Internetem i nie wymaga sieciowych grup zabezpieczeń do działania.
Dokumentacja: konfiguracja adresu IP frontonu Azure Load Balancer
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Network:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control list (ACL), które zezwalają na ruch sieciowy do podsieci lub zezwalają na nie. | AuditIfNotExists, Disabled | 3.0.0 |
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów platformy Azure przy użyciu Azure Policy. Przypisz wbudowane definicje zasad związane z określonymi zasobami Azure Load Balancer. Jeśli nie są dostępne wbudowane definicje zasad, można użyć aliasów Azure Policy do tworzenia niestandardowych zasad do inspekcji lub wymuszania konfiguracji zasobów Azure Load Balancer w przestrzeni nazw "Microsoft.Network".