Управление безопасностью версии 3. Сетевая безопасность

  • Статья

Безопасность сети охватывает аспекты управления, касающиеся защиты сетей Azure, в том числе защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак, а также защиту DNS.

NS-1: установка границы сегментации сети

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Принцип безопасности. Убедитесь, что развернутая виртуальная сеть соответствует стратегии сегментации предприятия, определенной в действиях по контролю безопасностью GS-2. Любую рабочую нагрузку, которая может создавать высокий риск для организации, следует изолировать в виртуальных сетях. Примерами рабочих нагрузок с высоким риском могут служить:

  • приложения, хранящие или обрабатывающие данные с данные высокого уровня конфиденциальности;
  • приложение, к которому можно подключаться из внешней сети и доступное пользователям за пределами организации;
  • приложение с небезопасной архитектурой или с уязвимостями, которые непросто исправить.

Чтобы улучшить стратегию сегментации предприятия, ограничьте или отслеживайте трафик между внутренними ресурсами с помощью средств управления сетью. К некоторым четко определенным приложениям, например к трехуровневому приложению, может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию, разрешать в порядке исключения" путем ограничения портов, протоколов, исходных и конечных IP-адресов в сетевом трафике. Если большое число приложений и конечных точек взаимодействуют друг с другом, блокировка трафика может не масштабироваться надлежащим образом и вам может быть доступен только мониторинг трафика.

Руководство по Azure. Создайте виртуальную сеть в рамках основного подхода сегментации в своей сети Azure, чтобы такие ресурсы, как виртуальные машины, можно было развертывать в виртуальной сети в пределах сетевых границ. В целях дальнейшего сегментирования для небольших подсетей можно создавать подсети внутри виртуальной сети.

Используйте группы безопасности сети (NSG) в качестве средства управления уровня сети, чтобы ограничивать или отслеживать трафик по порту, протоколу, IP-адресу источника или назначения.

Чтобы упростить сложную конфигурацию можно также использовать группы безопасности приложений. Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения, вместо того чтобы определять политику на основе явных IP-адресов для групп безопасности сети. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-2: защита облачных служб с помощью элементов управления сетью

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Принцип безопасности. Обеспечьте безопасность облачных служб, создав частную точку доступа к ресурсам. По возможности следует отключать или ограничивать доступ из общедоступной сети.

Руководство по Azure. Разверните частные конечные точки для всех ресурсов Azure, которые поддерживают компонент "Приватный канал", чтобы создать частную точку доступа к ресурсам. Следует также запретить или ограничить общий доступ к службам, если это возможно.

Вы также можете развернуть интеграцию с виртуальной сетью для некоторых служб, когда возможно ограничить виртуальную сеть и создать частную точку доступа.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-3: развертывание брандмауэра на границе корпоративной сети

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Принцип безопасности. Разверните брандмауэр, чтобы выполнять расширенную фильтрацию сетевого трафика, направляемого во внешние сети и из них. Брандмауэры можно использовать и между внутренними сегментами, поддерживая стратегию сегментации. При необходимости используйте настраиваемые маршруты для подсети, чтобы переопределить системный маршрут, если необходимо принудительно направлять сетевой трафик через сетевое устройство для управления безопасностью.

Следует, как минимум, блокировать известные неправильные IP-адреса и протоколы с высоким риском, такие как протоколы удаленного управления (например, RDP и SSH) и интрасети (например, SMB и Kerberos).

Руководство по Azure. Используйте Брандмауэр Azure, чтобы обеспечить ограничение трафика уровня приложения с полным отслеживанием состояния (например, фильтрацию URL-адресов) и/или централизованное управление большим количеством корпоративных сегментов или периферийных точек (в звездообразной топологии).

Если у вас используется сложная топология сети, например звездообразная, может потребоваться создать определяемые пользователем маршруты (UDR), чтобы трафик проходил по нужному маршруту. Например, определяемый пользователем маршрут можно использовать для перенаправления исходящего интернет-трафика через конкретный брандмауэр Azure или сетевой виртуальный модуль.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-4: развертывание систем обнаружения и предотвращения вторжений (IDS/IPS)

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11,4

Принцип безопасности. Используйте системы обнаружения и предотвращения вторжения (IDS/IPS) в сети, чтобы проверить сетевой и полезный трафик, поступающий в рабочую нагрузку или из нее. Проследите, чтобы решение IDS/IPS всегда было настроено для предоставления высококачественных оповещений для решения SIEM.

Чтобы получить доступ к более детальным функциям обнаружения и предотвращения на уровне узлов, используйте решение IDS/IPS на основе узла или решение для обнаружения и нейтрализации атак на конечные точки (EDR) на основе узла в сочетании с сетевой системой IDS/IPS.

Руководство по Azure. Используйте функцию IDPS в Брандмауэре Azure, чтобы получать оповещения о трафике, который передается с известных IP-адресов и доменов и на них, и (или) запрещать его.

Чтобы получить доступ к более детальным функциям обнаружения и предотвращения на уровне узлов, разверните решение IDS/IPS на основе узла или решение для обнаружения и нейтрализации атак на конечные точки (EDR) на основе узла, такое как Microsoft Defender для конечной точки, на уровне виртуальных машин в сочетании с сетевой системой IDS/IPS.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-5: развертывание защиты от атак DDoS

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Принцип безопасности. Разверните защиту от распределенных атак типа "отказ в обслуживании" (DDoS), чтобы защитить сеть и приложения от атак.

Руководство по Azure. Включите стандартный план защиты от атак DDoS в своей виртуальной сети, чтобы защитить ресурсы, к которым можно получить доступ из общедоступных сетей.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-6: развертывание брандмауэра веб-приложения

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Принцип безопасности. Разверните брандмауэр веб-приложения (WAF) и настройте соответствующие правила, чтобы защитить веб-приложения и интерфейсы API от атак, направленных на конкретное приложение.

Руководство по Azure. Используйте возможности брандмауэра веб-приложения (WAF) в Шлюзе приложений Azure, Azure Front Door и сети доставки содержимого Azure (CDN), чтобы защитить приложения, службы и интерфейсы API от атак на уровне приложения на границе сети. Настройте для WAF режим "обнаружения" или "предотвращения" в зависимости от потребностей и картины угроз. Выберите встроенный набор правил, например "10 основных уязвимостей OWASP", и настройте его для своего приложения.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-7: упрощение конфигурации безопасности сети

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Принцип безопасности. При управлении сложной сетевой средой используйте средства для упрощения, централизации и улучшения управления безопасностью сети.

Руководство по Azure. Используйте следующие функции, чтобы упростить реализацию правил брандмауэра Azure и NSG и управление ими:

  • Используйте Адаптивную защиту сети в Microsoft Defender для облака, чтобы рекомендовать правила усиления защиты NSG, которые дополнительно ограничивают порты, протоколы и исходные IP-адреса на основе анализа угроз и анализа трафика.
  • Используйте Диспетчер брандмауэра Azure для централизации управления политиками брандмауэра и маршрутами в виртуальной сети. Чтобы упростить реализацию правил брандмауэра и групп безопасности сети, можно также воспользоваться шаблоном ARM (Azure Resource Manager) Диспетчера брандмауэра Azure.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-8: обнаружение и отключение небезопасных служб и протоколов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Принцип безопасности: Обнаруживайте и отключайте небезопасные службы и протоколы на уровне операционной системы, приложения или пакета программного обеспечения. Развертывайте компенсирующие элементы управления, когда отключение небезопасных служб и протоколов невозможно.

Руководство по Azure. Используйте встроенную книгу небезопасных протоколов Azure Sentinel для обнаружения использования небезопасных служб и протоколов, таких как SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, неподписанные привязки LDAP и ненадежные шифры в Kerberos. Отключите небезопасные службы и протоколы, которые не соответствуют надлежащему стандарту безопасности.

Примечание. Если отключить небезопасные службы или протоколы невозможно, используйте компенсирующие элементы управления, такие как блокировка доступа к ресурсам с помощью группы безопасности сети, Брандмауэра Azure или брандмауэра веб-приложения Azure, чтобы сократить число направлений атак.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-9: подключение к локальной или облачной сети в частном режиме

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
12.7 CA-3, AC-17, AC-4 Н/Д

Принцип безопасности. Используйте частные подключения для безопасного обмена данными между различными сетями, например центрами обработки данных поставщиков облачных служб и локальной инфраструктурой в среде совместного размещения.

Руководство по Azure. Используйте частные подключения для безопасного обмена данными между различными сетями, например центрами обработки данных поставщиков облачных служб и локальной инфраструктурой в среде совместного размещения.

Для упрощения подключений типа "сеть — сеть" или "точка — сеть" используйте виртуальную частную сеть (VPN) Azure, чтобы создать безопасное подключение локального сайта или устройства конечного пользователя к виртуальной сети Azure.

Для обеспечения высокопроизводительного подключения корпоративного уровня используйте Azure ExpressRoute (или Виртуальную глобальную сеть), чтобы подключать центры обработки данных Azure и локальную инфраструктуру в среде совместного размещения.

При подключении двух или более виртуальных сетей Azure друг к другу используйте пиринг между виртуальными сетями. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

NS-10: обеспечение безопасности системы доменных имен (DNS)

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.9, 9.2 SC-20, SC-21 Н/Д

Принцип безопасности. Убедитесь, что конфигурация безопасности системы доменных имен (DNS) обеспечивает защиту от известных рисков:

  • Используйте надежные полномочные и рекурсивные службы DNS в облачной среде, чтобы убедиться, что клиент (например, операционные системы и приложения) получает правильный результат разрешения.
  • Разделите общедоступное и частное разрешение DNS, чтобы процесс разрешения DNS для частной сети можно было изолировать от общедоступной сети.
  • Убедитесь в том, что стратегия безопасности DNS также включает в себя устранение распространенных атак, таких как "висячие" записи DNS, атаки с усилением DNS, спуфинг и подделка записей кэша DNS и т. п.

Руководство по Azure. Используйте рекурсивную DNS Azure или доверенный внешний DNS-сервер в рамках рекурсивной настройки DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте Частную зону DNS для настройки частной зоны DNS, где процесс разрешения DNS не выходит за рамки виртуальной сети. Используйте настраиваемую DNS для ограничения разрешения DNS, чтобы обеспечить только доверенное разрешение для клиента.

Используйте Azure Defender для DNS для расширенной защиты от следующих угроз безопасности в рабочей нагрузке или службе DNS:

  • кражи данных из ресурсов Azure с помощью туннелирования DNS;
  • вредоносные программы, обменивающиеся данными с серверами контроля и управления;
  • взаимодействия с вредоносными доменами, используемыми для фишинга и майнинга криптовалют;
  • атаки DNS при обмене данными с вредоносными сопоставителями DNS;

Вы также можете использовать Azure Defender для службы приложений, чтобы обнаруживать "висячие" записи DNS, когда вывод веб-сайта службы приложений из эксплуатации выполняется без удаления личного домена из регистратора DNS.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):