Kontrola zabezpieczeń: zabezpieczenia sieci

Uwaga / Notatka

Najbardziej up-to— data testu porównawczego zabezpieczeń platformy Azure jest dostępna tutaj.

Zalecenia dotyczące zabezpieczeń sieci koncentrują się na określaniu, które protokoły sieciowe, porty TCP/UDP i połączone usługi sieciowe mają prawo dostępu, a które są blokowane, aby korzystać z usług platformy Azure.

1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.1	9.2, 9.4, 14.1, 14.2, 14.3	Klient

Upewnij się, że wszystkie wdrożenia podsieci sieci wirtualnej mają sieciową grupę zabezpieczeń zastosowaną z kontrolą dostępu do sieci specyficzną dla zaufanych portów i źródeł aplikacji. Jeśli są dostępne, użyj Private Endpoints z usługą Private Link, aby zabezpieczyć zasoby usługi Azure w swojej sieci wirtualnej, rozszerzając tożsamość VNet na usługę. Jeśli prywatne punkty końcowe i usługa Private Link nie są dostępne, użyj punktów końcowych usługi. Aby zapoznać się z wymaganiami specyficznymi dla usługi, zapoznaj się z zaleceniem dotyczącymi zabezpieczeń dla tej konkretnej usługi.

Alternatywnie, jeśli masz konkretny przypadek użycia, może zostać spełnione wymaganie przez zaimplementowanie usługi Azure Firewall.

• Zrozum punkty końcowe usług sieci wirtualnej

• Zrozumienie usługi Azure Private Link

• Jak utworzyć sieć wirtualną

• Jak utworzyć grupę zabezpieczeń sieciowych z konfiguracją zabezpieczeń

• Jak wdrożyć i skonfigurować usługę Azure Firewall

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.2	9.3, 12.2, 12.8	Klient

Skorzystaj z usługi Azure Security Center i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby ułatwić zabezpieczanie zasobów sieciowych na platformie Azure. Włącz dzienniki przepływu ruchu sieciowego grupy zabezpieczeń NSG i wyślij dzienniki na konto magazynu na potrzeby monitorowania i analizy ruchu. Dzienniki przepływu NSG można również wysyłać do obszaru roboczego Log Analytics i używać Traffic Analytics, aby uzyskać wgląd w przepływ ruchu w chmurze Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów aktywnych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

• Jak włączyć dzienniki przepływu NSG

• Jak włączyć analizę ruchu i korzystać z nich

• Omówienie zabezpieczeń sieci udostępnianych przez usługę Azure Security Center

1.3: Ochrona krytycznych aplikacji internetowych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.3	9.5	Klient

Wdroż zaporę sieciową aplikacji internetowej Azure przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Włącz ustawienia diagnostyczne dla zapory aplikacji internetowej (WAF) i przechowuj dzienniki w koncie magazynu, centrum zdarzeń lub środowisku Log Analytics.

• Jak wdrożyć Azure WAF

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.4	12.3	Klient

Włącz ochronę przed atakami DDoS w warstwie Standardowa w sieciach wirtualnych platformy Azure, aby chronić przed atakami DDoS. Użyj zintegrowanej analizy zagrożeń usługi Azure Security Center, aby odmówić komunikacji ze znanymi złośliwymi adresami IP.

Wdróż usługę Azure Firewall w każdej z granic sieci organizacji z włączoną funkcją Analizy zagrożeń i skonfigurowaną pod kątem "Alertuj i odmów" dla złośliwego ruchu sieciowego.

Użyj dostępu sieciowego Just In Time w Azure Security Center, aby skonfigurować NSG (grupy zabezpieczeń sieciowych) i ograniczyć narażenie punktów końcowych na zatwierdzone adresy IP przez ograniczony czas.

Użyj adaptacyjnego utwardzania sieci w usłudze Azure Security Center, aby zalecić konfiguracje NSG, które ograniczają porty i źródłowe adresy IP na podstawie rzeczywistego ruchu i analizy inteligencji zagrożeń.

• Jak skonfigurować ochronę przed atakami DDoS

• Jak wdrożyć usługę Azure Firewall

• Omówienie zintegrowanej analizy zagrożeń usługi Azure Security Center

• Omówienie adaptacyjnego wzmacniania zabezpieczeń sieci w usłudze Azure Security Center

• Omówienie kontroli dostępu do sieci w usłudze Azure Security Center Just In Time

1.5: Rejestrowanie pakietów sieciowych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.5	12.5	Klient

Włącz przechwytywanie pakietów usługi Network Watcher, aby zbadać nietypowe działania.

• Jak włączyć usługę Network Watcher

1.6: Wdrażanie systemów wykrywania/zapobiegania włamaniom opartym na sieci (IDS/IPS)

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.6	12.6, 12.7	Klient

Wybierz ofertę z witryny Azure Marketplace, która obsługuje funkcje IDS/IPS z funkcjami inspekcji ładunku. Jeśli wykrywanie nieautoryzowanego dostępu i/lub zapobieganie w oparciu o inspekcję ładunku nie jest wymagane, można użyć usługi Azure Firewall z funkcją Analizy zagrożeń. Filtrowanie oparte na analizie zagrożeń w usłudze Azure Firewall może kierować alerty i blokować ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.

Wdróż wybrane rozwiązanie zapory na każdym z granic sieci organizacji, aby wykrywać i/lub blokować złośliwy ruch.

• Azure Marketplace

• Jak wdrożyć usługę Azure Firewall

• Jak skonfigurować alerty za pomocą usługi Azure Firewall

1.7: Zarządzanie ruchem do aplikacji internetowych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1,7	12.9, 12.10	Klient

Wdróż usługę Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/TLS dla zaufanych certyfikatów.

• Jak wdrożyć usługę Application Gateway

• Jak skonfigurować usługę Application Gateway do korzystania z protokołu HTTPS

• Omówienie równoważenia obciążenia warstwy 7 za pomocą bram aplikacji internetowych platformy Azure

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych związanych z regułami zabezpieczeń sieci

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.8	1.5	Klient

Użyj tagów usługi sieci wirtualnej, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Możesz również użyć grup zabezpieczeń aplikacji, aby uprościć złożoną konfigurację zabezpieczeń. Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co umożliwia grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

• Opis tagów usługi i korzystanie z nich

• Omówienie i używanie grup zabezpieczeń aplikacji

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1,9	11.1	Klient

Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych za pomocą usługi Azure Policy.

Za pomocą usługi Azure Blueprints można również uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resources Manager, kontrolki kontroli RBAC platformy Azure i zasady, w jednej definicji strategii. Strategię można zastosować do nowych subskrypcji oraz dostosować kontrolę i zarządzanie przy użyciu obsługi wersji.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Przykłady usługi Azure Policy dla sieci

• Jak utworzyć strategię platformy Azure

1.10: Dokumentowanie reguł konfiguracji ruchu

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.10	11.2	Klient

Użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i ruchem sieciowym. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania (itp.) dla dowolnych reguł, które pozwalają na ruch do/z sieci.

Użyj dowolnej z wbudowanych definicji usługi Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Możesz użyć programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na zasobach na podstawie ich tagów.

• Jak tworzyć tagi i używać ich

• Jak utworzyć sieć wirtualną

• Jak utworzyć NSG z konfiguracją bezpieczeństwa

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
1.11	11.3	Klient

Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów i wykrywać zmiany w zasobach platformy Azure. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach.

• Jak wyświetlać i pobierać zdarzenia dziennika aktywności platformy Azure

• Jak tworzyć alerty w usłudze Azure Monitor

Dalsze kroki

• Zobacz następną kontrolę zabezpieczeń: rejestrowanie i monitorowanie