Security Control V2: Nätverkssäkerhet

Anteckning

Den senaste Azure Security Benchmark finns här.

Nätverkssäkerhet omfattar kontroller för att skydda och skydda Azure-nätverk. Detta omfattar att skydda virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS.

Mer information om det inbyggda Azure Policy finns i Information om det inbyggda initiativet Azure Security Benchmark Regulatory Compliance: Network Security

NS-1: Implementera säkerhet för intern trafik

Azure-ID CIS Controls v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-1 9.2, 9.4, 14.1, 14.2, 14.3 AC-4, CA-3, SC-7

Se till att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Alla system som kan medföra högre risk för organisationen bör isoleras i sitt eget virtuella nätverk och skyddas tillräckligt med antingen en nätverkssäkerhetsgrupp (NSG) och/eller Azure Firewall.

Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på regler för nätverkssäkerhetsgrupper. För specifika väldefinierade program (till exempel en app på 3 nivåer) kan detta vara en mycket säker "neka som standard, tillåt med undantag"-metod. Det här kanske inte kan skalas bra om du har många program och slutpunkter som interagerar med varandra. Du kan också använda Azure Firewall i situationer där central hantering krävs för ett stort antal företagssegment eller ekrar (i en hubb-/ekertopologi).

Använd Azure Security Center Anpassningsbar nätverkshärdning för att rekommendera konfigurationer av nätverkssäkerhetsgrupper som begränsar portar och käll-IP-adresser baserat på regler för extern nätverkstrafik.

Använd Azure Sentinel för att identifiera användningen av äldre osäkra protokoll som SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, osignerade LDAP-bindningar och svaga chiffer i Kerberos.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

NS-2: Koppla samman privata nätverk

Azure-ID CIS Controls v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-2 Ej tillämpligt CA-3, AC-17, MA-4

Använd Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet, och de erbjuder mer tillförlitlighet, snabbare hastigheter och lägre svarstider än vanliga Internetanslutningar. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk eller Private Link. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och sparas i Azure-stamnätverket.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Azure-ID CIS Controls v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-3 14,1 AC-4, CA-3, SC-7

Använd Azure Private Link för att aktivera privat åtkomst till Azure-tjänster från dina virtuella nätverk, utan att korsa Internet. I situationer där Azure Private Link ännu inte är tillgängligt använder du Azure Virtual Network tjänstslutpunkter. Azure Virtual Network tjänstslutpunkter ger säker åtkomst till tjänster via en optimerad väg över Azure-stamnätverket.

Privat åtkomst är ytterligare ett djupgående skydd utöver autentisering och trafiksäkerhet som erbjuds av Azure-tjänster.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

NS-4: Skydda program och tjänster från externa nätverksattacker

Azure-ID CIS Controls v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-4 9.5, 12.3, 12.9 SC-5, SC-7

Skydda Azure-resurser mot attacker från externa nätverk, inklusive DDoS-attacker (Distributed Denial of Service), programspecifika attacker och oönskad och potentiellt skadlig Internettrafik. Azure innehåller inbyggda funktioner för detta:

  • Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser.

  • Använd funktionerna Web Application Firewall (WAF) i Azure Application Gateway, Azure Front Door och Azure Content Delivery Network (CDN) för att skydda dina program, tjänster och API:er mot programnivåattacker.

  • Skydda dina tillgångar mot DDoS-attacker genom att aktivera DDoS-standardskydd i dina virtuella Azure-nätverk.

  • Använd Azure Security Center för att identifiera felkonfigurationsrisker relaterade till ovanstående.

  • Azure Firewall dokumentation

  • Så här distribuerar du Azure WAF

  • Hantera Azure DDoS Protection Standard med hjälp av Azure Portal

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

NS-5: Distribuera system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Azure-ID CIS Controls v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-5 12.6, 12.7 SI-4

Använd Azure Firewall hotinformationsbaserad filtrering för att avisera om och/eller blockera trafik till och från kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet. När nyttolastgranskning krävs kan du använda Azure Firewall Premium IDPS-funktion eller distribuera ett intrångsidentifierings-/intrångsskyddssystem (IDS/IPS) från Azure Marketplace med funktioner för granskning av nyttolast. Alternativt kan du använda värdbaserad IDS/IPS eller en värdbaserad lösning för slutpunktsidentifiering och svar (EDR) tillsammans med eller i stället för nätverksbaserad IDS/IPS.

Obs! Om du har ett regelmässigt eller annat krav för IDS/IPS-användning kontrollerar du att det alltid är anpassat för att tillhandahålla aviseringar av hög kvalitet till SIEM-lösningen.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

NS-6: Förenkla nätverkssäkerhetsregler

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-6 1.5 IA-4

Förenkla nätverkssäkerhetsregler genom att använda tjänsttaggar och programsäkerhetsgrupper (ASG: er).

Använd Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen i käll- eller målfältet i en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Du kan också använda programsäkerhetsgrupper för att förenkla komplex säkerhetskonfiguration. I stället för att definiera principer baserade på explicita IP-adresser i nätverkssäkerhetsgrupper kan du med programsäkerhetsgrupper konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

NS-7: Secure Domain Name Service (DNS)

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
NS-7 Ej tillämpligt SC-20, SC-21

Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker som dangling DNS, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning osv.

När Azure DNS används som din auktoritativa DNS-tjänst kontrollerar du att DNS-zoner och -poster skyddas från oavsiktliga eller skadliga ändringar med hjälp av Azure RBAC och resurslås.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):