Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej up-to— data testu porównawczego zabezpieczeń platformy Azure jest dostępna tutaj.
Zalecenia dotyczące zabezpieczeń sieci koncentrują się na określaniu, które protokoły sieciowe, porty TCP/UDP i połączone usługi sieciowe mają prawo dostępu, a które są blokowane, aby korzystać z usług platformy Azure.
1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Klient |
Upewnij się, że wszystkie wdrożenia podsieci sieci wirtualnej mają sieciową grupę zabezpieczeń zastosowaną z kontrolą dostępu do sieci specyficzną dla zaufanych portów i źródeł aplikacji. Jeśli są dostępne, użyj Private Endpoints z usługą Private Link, aby zabezpieczyć zasoby usługi Azure w swojej sieci wirtualnej, rozszerzając tożsamość VNet na usługę. Jeśli prywatne punkty końcowe i usługa Private Link nie są dostępne, użyj punktów końcowych usługi. Aby zapoznać się z wymaganiami specyficznymi dla usługi, zapoznaj się z zaleceniem dotyczącymi zabezpieczeń dla tej konkretnej usługi.
Alternatywnie, jeśli masz konkretny przypadek użycia, może zostać spełnione wymaganie przez zaimplementowanie usługi Azure Firewall.
1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.2 | 9.3, 12.2, 12.8 | Klient |
Skorzystaj z usługi Azure Security Center i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby ułatwić zabezpieczanie zasobów sieciowych na platformie Azure. Włącz dzienniki przepływu ruchu sieciowego grupy zabezpieczeń NSG i wyślij dzienniki na konto magazynu na potrzeby monitorowania i analizy ruchu. Dzienniki przepływu NSG można również wysyłać do obszaru roboczego Log Analytics i używać Traffic Analytics, aby uzyskać wgląd w przepływ ruchu w chmurze Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów aktywnych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.
1.3: Ochrona krytycznych aplikacji internetowych
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.3 | 9.5 | Klient |
Wdroż zaporę sieciową aplikacji internetowej Azure przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Włącz ustawienia diagnostyczne dla zapory aplikacji internetowej (WAF) i przechowuj dzienniki w koncie magazynu, centrum zdarzeń lub środowisku Log Analytics.
1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.4 | 12.3 | Klient |
Włącz ochronę przed atakami DDoS w warstwie Standardowa w sieciach wirtualnych platformy Azure, aby chronić przed atakami DDoS. Użyj zintegrowanej analizy zagrożeń usługi Azure Security Center, aby odmówić komunikacji ze znanymi złośliwymi adresami IP.
Wdróż usługę Azure Firewall w każdej z granic sieci organizacji z włączoną funkcją Analizy zagrożeń i skonfigurowaną pod kątem "Alertuj i odmów" dla złośliwego ruchu sieciowego.
Użyj dostępu sieciowego Just In Time w Azure Security Center, aby skonfigurować NSG (grupy zabezpieczeń sieciowych) i ograniczyć narażenie punktów końcowych na zatwierdzone adresy IP przez ograniczony czas.
Użyj adaptacyjnego utwardzania sieci w usłudze Azure Security Center, aby zalecić konfiguracje NSG, które ograniczają porty i źródłowe adresy IP na podstawie rzeczywistego ruchu i analizy inteligencji zagrożeń.
Omówienie zintegrowanej analizy zagrożeń usługi Azure Security Center
Omówienie adaptacyjnego wzmacniania zabezpieczeń sieci w usłudze Azure Security Center
Omówienie kontroli dostępu do sieci w usłudze Azure Security Center Just In Time
1.5: Rejestrowanie pakietów sieciowych
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.5 | 12.5 | Klient |
Włącz przechwytywanie pakietów usługi Network Watcher, aby zbadać nietypowe działania.
1.6: Wdrażanie systemów wykrywania/zapobiegania włamaniom opartym na sieci (IDS/IPS)
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.6 | 12.6, 12.7 | Klient |
Wybierz ofertę z witryny Azure Marketplace, która obsługuje funkcje IDS/IPS z funkcjami inspekcji ładunku. Jeśli wykrywanie nieautoryzowanego dostępu i/lub zapobieganie w oparciu o inspekcję ładunku nie jest wymagane, można użyć usługi Azure Firewall z funkcją Analizy zagrożeń. Filtrowanie oparte na analizie zagrożeń w usłudze Azure Firewall może kierować alerty i blokować ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.
Wdróż wybrane rozwiązanie zapory na każdym z granic sieci organizacji, aby wykrywać i/lub blokować złośliwy ruch.
1.7: Zarządzanie ruchem do aplikacji internetowych
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1,7 | 12.9, 12.10 | Klient |
Wdróż usługę Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/TLS dla zaufanych certyfikatów.
Jak skonfigurować usługę Application Gateway do korzystania z protokołu HTTPS
Omówienie równoważenia obciążenia warstwy 7 za pomocą bram aplikacji internetowych platformy Azure
1.8: Zminimalizowanie złożoności i obciążeń administracyjnych związanych z regułami zabezpieczeń sieci
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.8 | 1.5 | Klient |
Użyj tagów usługi sieci wirtualnej, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.
Możesz również użyć grup zabezpieczeń aplikacji, aby uprościć złożoną konfigurację zabezpieczeń. Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co umożliwia grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.
1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1,9 | 11.1 | Klient |
Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych za pomocą usługi Azure Policy.
Za pomocą usługi Azure Blueprints można również uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resources Manager, kontrolki kontroli RBAC platformy Azure i zasady, w jednej definicji strategii. Strategię można zastosować do nowych subskrypcji oraz dostosować kontrolę i zarządzanie przy użyciu obsługi wersji.
1.10: Dokumentowanie reguł konfiguracji ruchu
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.10 | 11.2 | Klient |
Użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i ruchem sieciowym. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania (itp.) dla dowolnych reguł, które pozwalają na ruch do/z sieci.
Użyj dowolnej z wbudowanych definicji usługi Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.
Możesz użyć programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na zasobach na podstawie ich tagów.
1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian
Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.11 | 11.3 | Klient |
Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów i wykrywać zmiany w zasobach platformy Azure. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach.
Dalsze kroki
- Zobacz następną kontrolę zabezpieczeń: rejestrowanie i monitorowanie