Управление безопасностью V2. Безопасность сети
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Безопасность сети охватывает аспекты управления, касающиеся защиты сетей Azure. Сюда входят защита виртуальных сетей, установка частных подключений, предотвращение и устранение внешних атак, а также защита DNS.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Безопасность сети.
NS-1: реализация безопасности для внутреннего трафика
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Убедитесь, что все виртуальные сети Azure следуют принципу сегментации предприятия, который соответствует бизнес-рискам. Любая система, с которой связан повышенный риск для организации, должна быть изолирована в собственной виртуальной сети и достаточно хорошо защищена с помощью группы безопасности сети (NSG) или при помощи Брандмауэра Azure.
В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам группы безопасности сети. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию, разрешать в порядке исключения". Если множество приложений и конечных точек взаимодействуют друг с другом, это может сказаться на эффективности масштабирования. Брандмауэр Azure можно также использовать в тех случаях, когда необходимо централизованное управление большим количеством сегментов предприятия или периферийных зон (при звездообразной топологии).
Используйте функции Адаптивной защиты сети в Центре безопасности Azure, чтобы рекомендовать конфигурации групп безопасности сети с ограничениями для портов и исходных IP-адресов на основе внешних правил сетевого трафика.
С помощью Azure Sentinel вы можете выявить использование устаревших небезопасных протоколов, таких как SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, неподписанные привязки LDAP и слабые шифры в Kerberos.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
NS-2: совместное подключение частных сетей
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | Н/Д | CA-3, AC-17, MA-4 |
Воспользуйтесь Azure ExpressRoute или виртуальной частной сетью (VPN) Azure для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой в среде совместного размещения. Подключения ExpressRoute осуществляются не через общедоступный Интернет и обеспечивают повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями. В случае VPN "точка — сеть" и VPN типа "сеть — сеть" локальные устройства или сети можно подключить к виртуальной сети с помощью любого сочетания параметров VPN и Azure ExpressRoute.
Для подключения двух или более виртуальных сетей в Azure используйте пиринг между виртуальными сетями или Приватный канал. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
NS-3: установка доступа к частной сети для служб Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
Используйте Приватный канал Azure для разрешения частного доступа к службам Azure из ваших виртуальных сетей без перехода в Интернет. В случае, когда Приватный канал Azure еще недоступен, используйте конечные точки службы для виртуальной сети Azure. Конечные точки службы виртуальной сети Azure обеспечивают безопасный доступ к службам с использованием оптимизированного маршрута через магистральную сеть Azure.
Частный доступ — это дополнительная мера глубокой защиты в дополнение к проверке подлинности и безопасности трафика, предоставляемых службами Azure.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
NS-4: защита приложений и служб от внешних сетевых атак
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Защитите ресурсы Azure от атак из внешних сетей, включая распределенные атаки типа "отказ в обслуживании" (DDoS), атаки на определенные приложения, а также нежелательный и потенциально вредоносный интернет-трафик. В Azure есть собственные возможности для такой защиты:
Воспользуйтесь Брандмауэром Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений.
Используйте возможности Брандмауэра веб-приложений (WAF) в Шлюзе приложений Azure, в Azure Front Door и сети доставки содержимого Azure (CDN) для защиты приложений, служб и интерфейсов API от атак на уровне приложения.
Защитите свои ресурсы от распределенных атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS.
Используйте Центр безопасности Azure для обнаружения рисков, которые относятся к неправильным настройкам указанных выше ресурсов.
Управление защитой от атак DDoS Azure уровня "Стандартный" с помощью портала Azure
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
NS-5: развертывание систем обнаружения и предотвращения вторжений (IDS/IPS)
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Используйте фильтрацию Брандмауэра Azure на основе аналитики угроз, чтобы предупреждать о трафике, поступающем с известных вредоносных IP-адресов и доменов, а также передающемся на них, или запрещать его. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence. Если требуется проверка полезных данных, можно использовать функцию Брандмауэр Azure idPS уровня "Премиум" или развернуть стороннюю систему обнаружения и предотвращения вторжений (IDS/IPS) из Azure Marketplace с возможностями проверки полезных данных. Кроме того, можно использовать идентификаторы и IPS на основе узла или решение обнаружения конечных точек на основе узла (EDR) в сочетании с идентификаторами или IPS на основе сети.
Примечание. Если у вас есть нормативное или иное требование к использованию решения IDS/IPS, проследите, чтобы в его настройках всегда выбиралось предоставление высококачественных оповещений для решения SIEM.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
NS-6: упрощение правил безопасности сети
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Упростите правила безопасности сети, используя теги службы и группы безопасности приложений (ASG).
Теги служб виртуальной сети можно использовать для определения элементов управления доступом к сети в группах безопасности сети, а также в Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.
Кроме того, группы безопасности приложений позволяют упростить конфигурацию безопасности. Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения, вместо того чтобы определять политику на основе явных IP-адресов для групп безопасности сети. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
NS-7: безопасная служба доменных имен (DNS)
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| NS-7 | Н/Д | SC-20, SC-21 |
Следуйте рекомендациям по обеспечению безопасности DNS для защиты от распространенных атак, например с использованием ссылок на несуществующие объекты, лавинообразного умножения данных, отравления кэша и спуфинга DNS.
Если в качестве полномочной службы DNS используется Azure DNS, убедитесь, что зоны и записи DNS защищены от случайного или вредоносного изменения через Azure RBAC и блокировки ресурсов.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):