Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
As recomendações de segurança de rede se concentram em especificar quais protocolos de rede, portas TCP/UDP e serviços conectados à rede têm permissão ou acesso negado aos serviços do Azure.
1.1: Proteger os recursos do Azure nas redes virtuais
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Cliente |
Verifique se todas as implantações de sub-rede de Rede Virtual têm um Grupo de Segurança de Rede aplicado com controles de acesso de rede específicos às portas e fontes confiáveis do aplicativo. Quando disponível, use pontos de extremidade privados com Link Privado para proteger seus recursos de serviço do Azure em sua rede virtual estendendo a identidade da VNet para o serviço. Quando pontos de extremidade privados e link privado não estiverem disponíveis, use pontos de extremidade de serviço. Para requisitos específicos do serviço, consulte a recomendação de segurança para esse serviço específico.
Como alternativa, se você tiver um caso de uso específico, o requisito poderá ser atendido implementando o Firewall do Azure.
1.2: monitorar e registrar em log a configuração e o tráfego de redes virtuais, sub-redes e NICs
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1,2 | 9.3, 12.2, 12.8 | Cliente |
Use a Central de Segurança do Azure e siga as recomendações de proteção de rede para ajudar a proteger seus recursos de rede no Azure. Habilite os logs de fluxo do NSG e envie logs para uma conta de armazenamento para auditoria de tráfego. Você também pode enviar logs de fluxo NSG para um Workspace do Log Analytics e usar a Análise de Tráfego para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Algumas vantagens da Análise de Tráfego são a capacidade de visualizar a atividade de rede e identificar pontos de acesso, identificar ameaças à segurança, entender os padrões de fluxo de tráfego e identificar configurações incorretas de rede.
1.3: proteger aplicativos Web críticos
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.3 | 9,5 | Cliente |
Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web críticos para inspeção adicional do tráfego de entrada. Habilite a Configuração de Diagnóstico para WAF e ingira logs em uma conta de armazenamento, hub de eventos ou espaço de trabalho do Log Analytics.
1.4: rejeitar comunicações com endereços IP maliciosos conhecidos
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.4 | 12.3 | Cliente |
Habilite a proteção DDoS Standard em suas Redes Virtuais do Azure para se proteger contra ataques de DDoS. Use a Inteligência Integrada contra Ameaças da Central de Segurança do Azure para negar comunicações com endereços IP mal-intencionados conhecidos.
Implante o Firewall do Azure em cada um dos limites de rede da organização com a Inteligência contra Ameaças habilitada e configurada para "Alertar e negar" para tráfego de rede mal-intencionado.
Use o acesso à rede just-in-time da Central de Segurança do Azure para configurar NSGs para limitar a exposição de pontos de extremidade a endereços IP aprovados por um período limitado.
Use a Proteção de Rede Adaptável da Central de Segurança do Azure para recomendar configurações de NSG que limitem portas e IPs de origem com base no tráfego real e na inteligência contra ameaças.
Entender a Inteligência Integrada contra Ameaças da Central de Segurança do Azure
Entender o endurecimento de rede adaptável da Central de Segurança do Azure
Compreender a Central de Segurança do Azure Controle de Acesso de Rede Just-in-Time
1.5: Registrar os pacotes de rede
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.5 | 12.5 | Cliente |
Habilite a captura de pacotes do Observador de Rede para investigar atividades anômalas.
1.6: Implantar sistemas de detecção de intrusão/prevenção de intrusão baseados em rede (IDS/IPS)
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.6 | 12.6, 12.7 | Cliente |
Selecione uma oferta no Azure Marketplace que dá suporte à funcionalidade IDS/IPS com recursos de inspeção de conteúdo. Se a detecção de intrusão e/ou prevenção com base na inspeção de conteúdo não for um requisito, o Firewall do Azure com Inteligência contra Ameaças poderá ser usado. A filtragem baseada em inteligência contra ameaças do Firewall do Azure pode alertar e negar o tráfego de e para domínios e endereços IP mal-intencionados conhecidos. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft.
Implante a solução de firewall de sua escolha em cada um dos limites de rede da sua organização para detectar e/ou negar tráfego mal-intencionado.
1.7: Gerenciar o tráfego para aplicativos Web
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1,7 | 12.9, 12.10 | Cliente |
Implante o Gateway de Aplicativo do Azure para aplicativos Web com HTTPS/TLS habilitado para certificados confiáveis.
1.8: Minimizar a complexidade e a sobrecarga administrativa das regras de segurança de rede
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.8 | 1.5 | Cliente |
Use marcas de serviço de rede virtual para definir controles de acesso à rede em Grupos de Segurança de Rede ou no Firewall do Azure. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, ApiManagement) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço abrangidos pela marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços são alterados.
Você também pode usar grupos de segurança de aplicativos para ajudar a simplificar a configuração de segurança complexa. Os grupos de segurança de aplicativos permitem configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo que você agrupe máquinas virtuais e defina políticas de segurança de rede com base nesses grupos.
1.9: Manter configurações de segurança padrão para dispositivos de rede
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.9 | 11.1 | Cliente |
Defina e implemente configurações de segurança padrão para recursos de rede com o Azure Policy.
Você também pode usar o Azure Blueprints para simplificar implantações do Azure em larga escala empacotando artefatos de ambiente importantes, como modelos do Azure Resources Manager, controles rbac do Azure e políticas, em uma única definição de blueprint. Você pode aplicar o modelo a novas assinaturas e ajustar o controle e a gestão através da versão.
1.10: Regras de configuração de tráfego de documento
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1,10 | 11.2 | Cliente |
Use tags para NSGs e outros recursos relacionados à segurança de rede e ao fluxo de tráfego. Para regras de NSG individuais, use o campo "Descrição" para especificar a necessidade de negócios e/ou duração (etc.) para qualquer regra que permita o tráfego de/para uma rede.
Use qualquer uma das definições internas do Azure Policy relacionadas à marcação, como "Exigir marca e seu valor" para garantir que todos os recursos sejam criados com marcas e notificar você sobre os recursos não registrados existentes.
Você pode usar o Azure PowerShell ou a Azure CLI para procurar ou executar ações em recursos com base em suas tags.
1.11: Usar ferramentas automatizadas para monitorar as configurações de recursos de rede e detectar alterações
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 1.11 | 11.3 | Cliente |
Use o Log de Atividades do Azure para monitorar as configurações de recursos e detectar alterações nos recursos do Azure. Crie alertas no Azure Monitor que serão disparados quando ocorrerem alterações em recursos críticos.
Próximas etapas
- Confira o próximo controle de segurança: registro em log e monitoramento