Поделиться через


Управление безопасностью версии 3. Безопасность сети

Сетевая безопасность охватывает элементы управления для защиты и защиты сетей Azure, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак и защиту DNS.

NS-1. Установка границ сегментации сети

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
3.12, 13.4, 4.4 АС-4, ПК-2, ПК-7 1.1, 1.2, 1.3

Принцип безопасности. Убедитесь, что развертывание виртуальной сети соответствует стратегии сегментации предприятия, определенной в элементе управления безопасностью GS-2. Любая рабочая нагрузка, которая может привести к более высокому риску для организации, должна находиться в изолированных виртуальных сетях. Примеры рабочей нагрузки с высоким риском включают:

  • Приложение, в котором хранятся или обрабатываются высокочувствительные данные.
  • Внешнее приложение с доступом к сети, доступное общедоступным или пользователям за пределами вашей организации.
  • Приложение, использующее небезопасную архитектуру или содержащие уязвимости, которые не могут быть легко устранены.

Чтобы улучшить стратегию сегментации предприятия, ограничить или отслеживать трафик между внутренними ресурсами с помощью сетевых элементов управления. Для конкретных хорошо определенных приложений (таких как 3-уровневое приложение), это может быть высокобезопасным подходом "запретить по умолчанию, разрешать по исключению", ограничивая порты, протоколы, исходные и целевые IP-адреса сетевого трафика. Если у вас есть множество приложений и конечных точек, взаимодействующих друг с другом, блокировка трафика может не масштабироваться, и вы можете только отслеживать трафик.

Руководство по Azure. Создание виртуальной сети в качестве основного подхода к сегментации в сети Azure, поэтому такие ресурсы, как виртуальные машины, можно развертывать в виртуальной сети в пределах сети. Чтобы дополнительно сегментировать сеть, можно создать подсети внутри виртуальной сети для небольших подсетей.

Используйте группы безопасности сети (NSG) в качестве элемента управления уровнем сети, чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения.

Вы также можете использовать группы безопасности приложений (ASG) для упрощения сложной конфигурации. Вместо определения политики на основе явных IP-адресов в группах безопасности сети ASG позволяет настроить сетевую безопасность как естественное расширение структуры приложения, позволяя группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-2. Защита облачных служб с помощью сетевых элементов управления

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
3.12, 4.4 АС-4, ПК-2, ПК-7 1.1, 1.2, 1.3

Принцип безопасности: защита облачных служб путем создания частной точки доступа для ресурсов. По возможности следует отключать или ограничивать доступ из общедоступной сети.

Руководство по Azure. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию Приватного канала, чтобы установить частную точку доступа для ресурсов. Кроме того, необходимо отключить или ограничить доступ к службам, где это возможно.

Для некоторых служб также можно развернуть интеграцию виртуальной сети для службы, где можно ограничить виртуальную сеть, чтобы установить частную точку доступа для службы.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-3: развертывание брандмауэра на границе корпоративной сети

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8, 13.10 АС-4, СК-7, СМ-7 1.1, 1.2, 1.3

Принцип безопасности. Развертывание брандмауэра для расширенной фильтрации сетевого трафика в внешние сети и из нее. Брандмауэры можно использовать и между внутренними сегментами, поддерживая стратегию сегментации. При необходимости используйте настраиваемые маршруты для подсети, чтобы переопределить системный маршрут, когда необходимо принудительно передать сетевой трафик через сетевое устройство для управления безопасностью.

Как минимум, блокируют известные плохие IP-адреса и протоколы с высоким риском, такие как удаленное управление (например, протоколы RDP и SSH) и интрасети (например, SMB и Kerberos).

Руководство по Azure. Использование брандмауэра Azure для обеспечения полного ограничения трафика уровня приложений с отслеживанием состояния (например, фильтрации URL-адресов) и (или) централизованного управления на большом количестве корпоративных сегментов или периферийных сегментов (в топологии концентратора или периферийной топологии).

Если у вас есть сложная топология сети, например настройка концентратора или периферийной сети, может потребоваться создать определяемые пользователем маршруты (UDR), чтобы обеспечить передачу трафика через нужный маршрут. Например, вы можете использовать UDR для перенаправления исходящего трафика через определенный брандмауэр Azure или сетевое виртуальное устройство.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-4: развертывание систем обнаружения и предотвращения вторжений (IDS/IPS)

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
13.2, 13.3, 13.7, 13.8 СК-7, СИ-4 11,4

Принцип безопасности: Используйте системы обнаружения и предотвращения вторжений в сеть (IDS/IPS) для проверки сетевого трафика и полезной нагрузки, поступающих в вашу рабочую нагрузку или исходящих из нее. Убедитесь, что IDS и IPS всегда настроены на предоставление высококачественных оповещений для вашего решения SIEM.

Для более глубокого обнаружения и предотвращения на уровне узла используйте системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на уровне узла или решение для обнаружения и реагирования на конечных точках (EDR) на уровне узла в сочетании с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).

Руководство по Azure: Используйте функцию системы обнаружения и предотвращения вторжений (IDPS) брандмауэра Azure в вашей сети, чтобы оповещать о и/или блокировать входящий и исходящий трафик с известных вредоносных IP-адресов и доменов.

Чтобы получить более подробную возможность обнаружения и предотвращения на уровне узла, разверните идентификаторы и IPS на основе узла или решение обнаружения конечных точек на основе узла (EDR), например Microsoft Defender для конечной точки, на уровне виртуальной машины в сочетании с сетевыми идентификаторами и IPS.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-5: развертывание защиты от атак DDoS

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
13.10 СК-5, ПК-7 1.1, 1.2, 1.3, 6.6

Принцип безопасности. Развертывание распределенной защиты от атак типа "отказ в обслуживании" (DDoS) для защиты сети и приложений от атак.

Руководство по Azure. Включение стандартного плана защиты DDoS в виртуальной сети для защиты ресурсов, предоставляемых общедоступным сетям.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-6: развертывание брандмауэра веб-приложения

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Принцип безопасности. Развертывание брандмауэра веб-приложения (WAF) и настройка соответствующих правил для защиты веб-приложений и API от атак, относящихся к приложениям.

Руководство по Azure. Использование возможностей брандмауэра веб-приложений (WAF) в Шлюзе приложений Azure, Azure Front Door и сети доставки содержимого Azure (CDN) для защиты приложений, служб и API от атак на уровне приложений в пограничной сети. Задайте WAF в режиме обнаружения или предотвращения в зависимости от потребностей и ландшафта угроз. Выберите встроенный набор правил, например, уязвимости из списка OWASP Top 10, и настройте его под ваше приложение.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-7: упрощение конфигурации безопасности сети

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8 АС-4, ПК-2, ПК-7 1.1, 1.2, 1.3

Принцип безопасности. При управлении сложной сетевой средой используйте средства для упрощения, централизации и улучшения управления безопасностью сети.

Руководство по Azure. Используйте следующие функции, чтобы упростить реализацию и управление правилами NSG и брандмауэра Azure.

  • Используйте Microsoft Defender для адаптивного усиления сети в облаке, чтобы рекомендовать правила безопасности сети (NSG), которые ограничивают порты, протоколы и исходные IP-адреса на основе информации о текущих угрозах и результатов анализа трафика.
  • Используйте диспетчер брандмауэра Azure, чтобы централизировать политику брандмауэра и управление маршрутизацией виртуальной сети. Чтобы упростить правила брандмауэра и реализацию групп безопасности сети, можно также использовать шаблон AZURE Firewall Manager ARM (Azure Resource Manager).

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-8: обнаружение и отключение небезопасных служб и протоколов

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8 СМ-2, СМ-6, СМ-7 4.1, А2.1, А2.2, А2.3

Принцип безопасности: обнаружение и отключение небезопасных служб и протоколов на уровне ОС, приложения или пакета программного обеспечения. Развертывание компенсирующих элементов управления, если отключение небезопасных служб и протоколов невозможно.

Руководство по Azure. Используйте встроенную книгу протокола Azure Sentinel для обнаружения использования небезопасных служб и протоколов, таких как SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, неназначенные привязки LDAP и слабые шифры в Kerberos. Отключите небезопасные службы и протоколы, которые не соответствуют соответствующему стандарту безопасности.

Примечание. Если отключение небезопасных служб или протоколов невозможно, используйте компенсирующие элементы управления, такие как блокировка доступа к ресурсам через группу безопасности сети, брандмауэр Azure или брандмауэр веб-приложения Azure, чтобы уменьшить область атаки.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-9: подключение к локальной или облачной сети в частном режиме

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
12.7 СА-3, АС-17, АС-4 Не применимо

Принцип безопасности. Используйте частные подключения для безопасного обмена данными между разными сетями, например центрами обработки данных поставщика облачных служб и локальной инфраструктурой в среде совместного размещения.

Руководство по Azure. Используйте частные подключения для безопасного взаимодействия между разными сетями, например центрами обработки данных поставщика облачных служб и локальной инфраструктурой в среде совместного размещения.

Для легкого подключения между сайтами или точками и сайтами используйте виртуальную частную сеть Azure (VPN), чтобы создать безопасное соединение между вашей локальной сетью или конечным устройством пользователя и виртуальной сетью Azure.

Для высокопроизводительного подключения корпоративного уровня используйте Azure ExpressRoute (или виртуальную глобальную сеть) для подключения центров обработки данных Azure и локальной инфраструктуры в среде совместного расположения.

При подключении двух или нескольких виртуальных сетей Azure используйте пиринг между виртуальными сетями. Сетевой трафик между одноранговой виртуальной сетью является частным и хранится в магистральной сети Azure.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

NS-10: обеспечение безопасности системы доменных имен (DNS)

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.9, 9.2 СК-20, ПК-21 Не применимо

Принцип безопасности. Убедитесь, что конфигурация безопасности системы доменных имен (DNS) защищает от известных рисков:

  • Используйте доверенные и рекурсивные службы DNS в облачной среде, чтобы клиенты (например, операционные системы и приложения) получали корректные результаты разрешения.
  • Отделите разрешение общедоступных и частных DNS, чтобы процесс разрешения DNS для частной сети можно изолировать от общедоступной сети.
  • Убедитесь, что стратегия безопасности DNS также включает в себя устранение распространенных атак, таких как зависшие записи DNS, атаки усиления DNS, отравление DNS, спуфинг и т. д.

Руководство по Azure. Используйте рекурсивную DNS-службу Azure или доверенный внешний DNS-сервер в рекурсивной настройке DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте частную настройку DNS Azure для частной зоны DNS, в которой процесс разрешения DNS не покидает виртуальную сеть. Используйте пользовательский DNS, чтобы ограничить разрешение DNS, которое разрешает только доверенное разрешение клиенту.

Используйте Azure Defender для DNS для расширенной защиты от следующих угроз безопасности для рабочей нагрузки или службы DNS:

  • Утечка данных из ресурсов Azure с помощью туннелирования DNS
  • Вредоносные программы, взаимодействующие с сервером командного управления
  • Взаимодействие с вредоносными доменами, такими как фишинг и криптомайнинг.
  • Атаки DNS при взаимодействии с вредоносными резолверами DNS

Вы также можете использовать Azure Defender для службы приложений для обнаружения оставшихся записей DNS, если вы удаляете веб-сайт службы приложений без удаления его пользовательского домена из регистратора DNS.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):