Controle de segurança: segurança de rede
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
As recomendações de segurança de rede se concentram na especificação de quais protocolos de rede, portas TCP/UDP e serviços conectados à rede têm acesso permitido ou negado aos serviços do Azure.
1.1: Proteger os recursos do Azure nas redes virtuais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1,1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Cliente |
Certifique-se de que todas as implantações de sub-rede de Rede Virtual tenham um grupo de segurança de rede aplicado com controles de acesso à rede específicos às portas e fontes confiáveis do seu aplicativo. Quando disponível, use pontos de extremidade privados com o link privado para proteger seus recursos de serviço do Azure para sua rede virtual, estendendo a identidade de VNet para o serviço. Quando os pontos de extremidade privados e o link privado não estiverem disponíveis, use pontos de extremidade de serviço. Para requisitos específicos do serviço, consulte a recomendação de segurança para esse serviço específico.
Como alternativa, em caso de algum uso específico, esse requisito poderá ser atendido implementando o Firewall do Azure.
1.2: monitorar e registrar em log a configuração e o tráfego de redes virtuais, sub-redes e NICs
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Cliente |
Use a Central de Segurança do Azure e siga as recomendações de proteção de rede para ajudar a proteger recursos de rede no Azure. Habilite logs de fluxo de NSG e envie logs para uma conta de armazenamento para auditoria de tráfego. Também envie logs de fluxo de NSG para um workspace do Log Analytics e use a Análise de Tráfego para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Algumas vantagens da Análise de Tráfego são a capacidade de visualizar a atividade de rede e identificar pontos de acesso, identificar ameaças de segurança, compreender os padrões de fluxo de tráfego e identificar configurações de rede incorretas.
1.3: proteger aplicativos Web críticos
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1,3 | 9,5 | Cliente |
Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web críticos para que haja uma inspeção adicional do tráfego de entrada. Habilite a configuração de diagnóstico para WAF e ingestão de logs em uma Conta de Armazenamento, Hub de Eventos ou workspace do Log Analytics.
1.4: rejeitar comunicações com endereços IP maliciosos conhecidos
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.4 | 12.3 | Cliente |
Habilite a proteção padrão de DDoS em suas redes virtuais do Azure para proteger contra ataques de DDoS. Use a inteligência contra ameaças integrada da Central de Segurança do Azure para negar comunicações com endereços IP públicos conhecidos mal-intencionados ou não usados.
Implante o Firewall do Azure em cada um dos limites de rede da organização com a inteligência contra ameaças habilitada e configurada para "Alertar e negar" tráfego de rede mal-intencionado.
Use o acesso da Rede Just In Time da Central de Segurança do Azure para configurar os NSGs a fim de limitar a exposição dos pontos de extremidade a endereços IP aprovados por um período limitado.
Use a proteção de rede adaptável da Central de Segurança do Azure para recomendar configurações de NSG que limitam portas e IPs de origem com base no tráfego real e na inteligência contra ameaças.
Compreender a inteligência contra ameaças integrada da Central de Segurança do Azure
Compreender a Proteção de Rede Adaptável da Central de Segurança do Azure
Entender o Controle de Acesso à Rede Just In Time da Central de Segurança do Azure
1.5: Registrar os pacotes de rede
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.5 | 12.5 | Cliente |
Habilite a captura de pacotes do observador de rede para investigar atividades anormais.
1.6: implantar sistemas de detecção/prevenção de intrusões (IDS/IPS) baseados em rede
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.6 | 12.6, 12.7 | Cliente |
Selecione uma oferta do Azure Marketplace que dê suporte à funcionalidade de IDS/IPS com funcionalidades de inspeção de conteúdo. Se a detecção de intrusão e/ou prevenção baseada na inspeção de conteúdo não for um requisito, o Firewall do Azure com a inteligência contra ameaças poderá ser usado. A filtragem baseada em inteligência contra ameaças do Firewall do Azure pode alertar e rejeitar o tráfego de e para endereços IP e domínios conhecidos mal-intencionados. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft.
Implante a solução de firewall de sua escolha em cada um dos limites de rede da sua organização para detectar e/ou negar tráfego mal-intencionado.
1.7: gerenciar o tráfego para aplicativos Web
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.7 | 12.9, 12.10 | Cliente |
Implante o Gateway de Aplicativo do Azure para aplicativos Web com HTTPS/TLS habilitado para certificados confiáveis.
1.8: Minimizar a complexidade e a sobrecarga administrativa de regras de segurança de rede
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.8 | 1.5 | Cliente |
Use as marcas de serviço da rede virtual para definir os controles de acesso à rede nos grupos de segurança de rede ou no Firewall do Azure. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, ApiManagement) no campo correto de origem ou destino de uma regra, você poderá permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços.
Você também poderá usar grupos de segurança de aplicativo para ajudar a simplificar a configuração de segurança complexa. Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.
1.9: Manter configurações de segurança padrão para dispositivos de rede
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1,9 | 11,1 | Cliente |
Defina e implemente configurações de segurança padrão para recursos de rede com o Azure Policy.
Também é possível usar o Azure Blueprints para simplificar implantações do Azure em grande escala por meio do empacotamento de artefatos de ambiente importantes, como modelos do Azure Resource Manager, controles RBAC do Azure e políticas em uma definição de blueprint. Você pode aplicar o blueprint a assinaturas novas e ajustar o controle e o gerenciamento por meio do controle de versão.
1.10: Documentar regras de configuração de tráfego
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1,10 | 11.2 | Cliente |
Use marcas para NSGs e outros recursos relacionados à segurança de rede e ao fluxo de tráfego. Para regras de NSG individuais, use o campo "Descrição" para especificar a necessidade empresarial e/ou a duração (etc.) para regras que permitam tráfego de/para uma rede.
Use qualquer uma das definições integradas do Azure Policy relacionadas à marcação, como “Exigir marca e seu valor”, para que todos os recursos sejam criados com marcas e para gerar notificações quando há recursos não marcados.
Você pode usar o Azure PowerShell ou o CLI do Azure para pesquisar ou executar ações em recursos com base em suas marcas.
1.11: Usar ferramentas automatizadas para monitorar as configurações de recursos de rede e detectar alterações
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 1.11 | 11.3 | Cliente |
Use o Log de Atividades do Azure para monitorar as configurações de recursos e detectar alterações nos recursos do Azure. Crie alertas no Azure Monitor que serão acionados quando ocorrerem alterações em recursos críticos.
Próximas etapas
- Consulte o próximo controle de segurança: registro em log e monitoramento