Security Control V2: segurança de rede

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

A segurança de rede abrange controles para proteger redes do Azure. Isso inclui a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a redução de ataques externos e a proteção do DNS.

Para ver o Azure Policy interno aplicável, confira Detalhes da iniciativa interna de conformidade regulatória do Azure Security Benchmark: segurança de rede

NS-1: implementar segurança para tráfego interno

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-1	9.2, 9.4, 14.1, 14.2, 14.3	AC-4, CA-3, SC-7

Verifique se todas as redes virtuais do Azure seguem um princípio de segmentação empresarial que se alinha aos riscos de negócios. Qualquer sistema que possa incorrer em maior risco para a organização deve ser isolado em sua própria rede virtual e suficientemente protegido com um NSG e/ou o Firewall do Azure.

Com base em seus aplicativos e estratégia de segmentação corporativa, restrinja ou permita o tráfego entre os recursos internos com base nas regras do grupo de segurança de rede. Para aplicativos específicos bem definidos (como um aplicativo de três camadas), isso pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção". Isso poderá não ser bem escalado se você tiver muitos aplicativos e pontos de extremidade interagindo entre si. Também é possível usar o Firewall do Azure em circunstâncias em que o gerenciamento central é necessário em vários segmentos corporativos ou spokes (em uma topologia hub/spoke).

Use a Proteção de Rede Adaptável da Central de Segurança do Azure para recomendar configurações de grupo de segurança de rede que limitam portas e IPs de origem com base em regras de tráfego de rede externa.

Use o Azure Sentinel para descobrir o uso de protocolos inseguros herdados, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, associações LDAP não assinadas e criptografias fracas no Kerberos.

• Como criar um grupo de segurança de rede com uma configuração de segurança

• Como implantar e configurar o Firewall do Azure

• Proteção de Rede Adaptável na Central de Segurança do Azure

• Pasta de trabalho de protocolos inseguros do Azure Sentinel

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps

NS-2: conectar redes privadas

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-2	N/D	CA-3, AC-17, MA-4

Use o Azure ExpressRoute ou a VPN (rede virtual privada) do Azure para criar conexões privadas entre os data centers do Azure e a infraestrutura local em um ambiente de colocação. As conexões do ExpressRoute não passam pela Internet pública e oferecem maior confiabilidade e velocidade, além de latências menores e mais segurança do que as conexões típicas. Para VPN ponto a site e VPN site a site, você pode conectar dispositivos ou redes locais a uma rede virtual usando qualquer combinação dessas opções de VPN e do Azure ExpressRoute.

Para conectar duas ou mais redes virtuais no Azure, use o emparelhamento de rede virtual ou o Link Privado. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.

• O que são modelos de conectividade do ExpressRoute

• Visão geral da VPN do Azure

• Emparelhamento de rede virtual

• Link Privado do Azure

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps

NS-3: estabelecer o acesso de rede privada aos serviços do Azure

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-3	14,1	AC-4, CA-3, SC-7

Use o Link Privado do Azure para habilitar o acesso privado de suas redes virtuais aos serviços do Azure sem cruzar a Internet. Em situações em que o Link Privado do Azure ainda não está disponível, use pontos de extremidade de serviço de rede virtual do Azure. Os pontos de extremidade de serviço da Rede Virtual do Azure fornecem acesso seguro aos serviços por meio de uma rota otimizada na rede de backbone do Azure.

O acesso privado é uma medida adicional de defesa aprofundada, além da segurança de autenticação e tráfego oferecida pelos serviços do Azure.

• Entenda o Link Privado do Azure

• Entenda os pontos de extremidade do serviço de Rede Virtual

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps

NS-4: proteger aplicativos e serviços de ataques de rede externa

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-4	9.5, 12.3, 12.9	SC-5, SC-7

Proteja os recursos do Azure contra ataques de redes externas, incluindo ataques de DDoS (negação de serviço distribuída), ataques específicos de aplicativo e tráfego de Internet não solicitado e potencialmente mal-intencionado. O Azure inclui recursos nativos para isso:

• Use o Firewall do Azure para proteger aplicativos e serviços contra tráfego potencialmente mal-intencionado da Internet e de outros locais externos.

• Use os recursos do WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo do Azure, no Azure Front Door e na CDN (Rede de Distribuição de Conteúdo) do Azure para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo.

• Proteja seus ativos contra ataques de DDoS habilitando a proteção padrão de DDoS em suas redes virtuais do Azure.

• Use a Central de Segurança do Azure para detectar riscos de configuração incorreta relacionados ao mencionado acima.

• Documentação do Firewall do Azure

• Como implantar o WAF do Azure

• Gerenciar a Proteção contra DDoS do Azure Standard usando o portal do Azure

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps

NS-5: implantar IDS/IPS (sistemas de detecção/prevenção de intrusões)

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-5	12.6, 12.7	SI-4

Use a filtragem baseada em inteligência contra ameaças do Firewall do Azure para alertar e/ou bloquear tráfego de e para endereços e domínios IP mal-intencionados. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft. Quando a inspeção de carga é necessária, você pode usar Firewall do Azure recurso IDPS Premium ou implantar um IDS/IPS (sistema de prevenção contra intrusões/detecção de intrusões) de terceiros de Azure Marketplace com recursos de inspeção de carga. Como alternativa, você pode usar IDS/IPS baseado em host ou uma solução EDR (detecção e resposta de ponto de extremidade) baseada em host em conjunto com ou em vez de IDS/IPS baseado em rede.

Observação: se você tiver uma regulamentação ou outro requisito para o uso de IDS/IPS, verifique se o ajuste adequado está sempre em vigor para fornecer alertas de alta qualidade para sua solução de SIEM.

• Como implantar o Firewall do Azure

• O Azure Marketplace inclui recursos de IDS de terceiros

• Recurso Microsoft Defender para Ponto de Extremidade

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps

NS-6: simplificar as regras de segurança de rede

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-6	1.5	IA-4

Simplifique as regras de segurança de rede utilizando as marcas de serviço e os ASGs (grupos de segurança de aplicativo).

Use as marcas de serviço da Rede Virtual para definir os controles de acesso à rede nos grupos de segurança de rede ou no Firewall do Azure. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço no campo de origem ou de destino, é possível permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços.

Também é possível usar grupos de segurança de aplicativo para ajudar a simplificar configurações de segurança complexas. Em vez de definir a política com base em endereços IP explícitos nos grupos de segurança de rede, os grupos de segurança de aplicativo permitem configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.

• Noções básicas e uso das marcas de serviço

• Entender e usar grupos de segurança de aplicativos

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps

NS-7: serviço de nomes de domínio seguro (DNS)

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
NS-7	N/D	SC-20, SC-21

Siga as práticas recomendadas para a segurança do DNS para mitigar ataques comuns, como DNS final, ataques de amplificações de DNS, envenenamento e falsificação de DNS etc.

Quando o DNS do Azure for usado como seu serviço de DNS autoritativo, verifique se as zonas e os registros de DNS estão protegidos contra modificações acidentais ou mal-intencionadas usando o RBAC do Azure e os bloqueios de recursos.

• Visão geral do DNS do Azure

• Guia de implantação do DNS (sistema de nomes de domínio) seguro

• Impedir entradas DNS pendente e evitar subdomínio tomada

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gerenciamento de postura

• Segurança de aplicativo e DevOps