Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en översikt över DNS-säkerhetsprincipen. Se även följande instruktionsguide:
Vilken DNS-säkerhetsprincip?
DNS-säkerhetsprincip ger möjlighet att filtrera och logga DNS-frågor på VNet-nivå (virtuellt nätverk). Principen gäller både offentlig och privat DNS-trafik i ett virtuellt nätverk. DNS-loggar kan skickas till ett lagringskonto, en log analytics-arbetsyta eller till händelsehubbar. Du kan välja att tillåta, avisera eller blockera DNS-frågor.
Med DNS-säkerhetsprincip kan du:
- Skapa regler för att skydda mot DNS-baserade attacker genom att blockera namnmatchning av kända eller skadliga domäner.
- Spara och visa detaljerade DNS-loggar för att få insikt i din DNS-trafik.
En DNS-säkerhetsprincip har följande associerade element och egenskaper:
- Plats: Den Azure-region där säkerhetsprincipen skapas och distribueras.
- DNS-trafikregler: Regler som tillåter, blockerar eller aviserar baserat på prioritets- och domänlistor.
- Länkar till virtuella nätverk: En länk som kopplar säkerhetsprincipen till ett virtuellt nätverk.
- DNS-domänlistor: Platsbaserade listor över DNS-domäner.
DNS-säkerhetsprincip kan konfigureras med hjälp av Azure PowerShell eller Azure Portal.
Plats
En säkerhetsprincip kan bara gälla för virtuella nätverk i samma region. I följande exempel skapas två principer i var och en av två olika regioner (USA, östra och USA, centrala).
Viktigt!
Relationen policy:VNet är 1:N. När ett virtuellt nätverk är associerat med en säkerhetsprincip (via länkar till virtuella nätverk) kan det virtuella nätverket inte associeras med en annan säkerhetsprincip utan att först ta bort den befintliga länken för det virtuella nätverket. En enda DNS-säkerhetsprincip kan associeras med flera virtuella nätverk i samma region.
DNS-trafikregler
DNS-trafikregler avgör vilken åtgärd som vidtas för en DNS-fråga.
Om du vill visa DNS-trafikregler i Azure Portal väljer du en DNS-säkerhetsprincip och väljer sedan DNS-trafikregler under Inställningar. Se följande exempel:
- Regler bearbetas i prioritetsordning i intervallet 100–65000. Lägre tal har högre prioritet.
- Om ett domännamn blockeras i en regel med lägre prioritet och samma domän tillåts i en regel med högre prioritet tillåts domännamnet.
- Regler följer DNS-hierarkin. Om contoso.com tillåts i en regel med högre prioritet tillåts sub.contoso.com, även om sub.contoso.com blockeras i en regel med lägre prioritet.
- Du kan konfigurera en princip på alla domäner genom att skapa en regel som gäller för domänen ".". Var försiktig när du blockerar domäner så att du inte blockerar nödvändiga Azure-tjänster.
- Du kan dynamiskt lägga till och ta bort regler från listan. Se till att spara efter redigeringsregler i portalen.
- Flera DNS-domänlistor tillåts per regel. Du måste ha minst en DNS-domänlista.
- Varje regel är associerad med någon av tre trafikåtgärder: Tillåt, Blockera eller Avisering.
- Tillåt: Tillåt frågan till de associerade domänlistorna och logga frågan.
- Blockera: Blockera frågan till de associerade domänlistorna och logga blockeringsåtgärden.
- Avisering: Tillåt frågan till de associerade domänlistorna och logga en avisering.
- Regler kan vara individuellt aktiverade eller inaktiverade.
Virtuella nätverkslänkar
DNS-säkerhetsprinciper gäller endast för virtuella nätverk som är länkade till säkerhetsprincipen. Du kan länka en enskild säkerhetsprincip till flera virtuella nätverk, men ett enda virtuellt nätverk kan bara länkas till en DNS-säkerhetsprincip.
I följande exempel visas en DNS-säkerhetsprincip som är länkad till två virtuella nätverk (myeastvnet-40, myeastvnet-50):
- Du kan bara länka virtuella nätverk som finns i samma region som säkerhetsprincipen.
- När du länkar ett virtuellt nätverk till en DNS-säkerhetsprincip med hjälp av en länk till ett virtuellt nätverk gäller DNS-säkerhetsprincipen för alla resurser i det virtuella nätverket.
DNS-domänlistor
DNS-domänlistor är listor över DNS-domäner som du associerar med trafikregler.
Välj DNS-domänlistor under Inställningar för en DNS-säkerhetsprincip för att visa de aktuella domänistor som är associerade med principen.
Kommentar
CNAME-kedjor undersöks ("jagade") för att avgöra om trafikreglerna som är associerade med en domän ska gälla. En regel som till exempel gäller för malicious.contoso.com gäller även för adatum.com om adatum.com mappar till malicious.contoso.com eller om malicious.contoso.com visas någonstans i en CNAME-kedja för adatum.com.
I följande exempel visas DE DNS-domänlistor som är associerade med DNS-säkerhetsprincipen myeast-secpol:
Du kan associera en domänlista med flera DNS-trafikregler i olika säkerhetsprinciper. En säkerhetsprincip måste innehålla minst en domänlista. Följande är ett exempel på en DNS-domänlista (blocklist-1) som innehåller två domäner (malicious.contoso.com, exploit.adatum.com):
- En DNS-domänlista måste innehålla minst en domän. Jokerteckendomäner tillåts.
Viktigt!
Var försiktig när du skapar jokerteckendomänlistor. Om du till exempel skapar en domänlista som gäller för alla domäner (genom att ange . som DNS-domän) och sedan konfigurerar en DNS-trafikregel för att blockera frågor till den här domänlistan kan du förhindra att nödvändiga tjänster fungerar.
När du visar en DNS-domänlista i Azure Portal kan du också välja Inställningar>Associerade DNS-trafikregler för att se en lista över alla trafikregler och tillhörande DNS-säkerhetsprinciper som refererar till DNS-domänlistan.
Krav och begränsningar
| Begränsningstyp | Gräns/regel |
|---|---|
| Begränsningar för virtuellt nätverk | – DNS-säkerhetsprinciper kan endast tillämpas på virtuella nätverk i samma region som DNS-säkerhetsprincipen. – Du kan länka en säkerhetspolicy per virtuellt nätverk. |
| Begränsningar för säkerhetsprinciper | 1 000 |
| Begränsningar för DNS-trafikregler | 10 |
| Begränsningar för domänlista | 1 000 |
| Domänbegränsningar | 100 000 |