Azure-säkerhetsbaslinje för Azure Load Balancer
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure Load Balancer. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Azure Load Balancer.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte är tillämpliga på Azure Load Balancer har exkluderats. Om du vill se hur Azure Load Balancer helt mappar till Microsofts prestandamått för molnsäkerhet kan du läsa den fullständiga mappningsfilen för Azure Load Balancer säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet för Azure Load Balancer, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Nätverk |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Falskt |
| Lagrar kundinnehåll i vila | Falskt |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta nätverkssegmenteringsgränser
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Även om den Azure Load Balancer resursen inte distribueras direkt till en Virtual Network, kan den interna SKU:n skapa en eller flera IP-konfigurationer för klientdelen med hjälp av ett Azure-mål Virtual Network.
Konfigurationsvägledning: Azure erbjuder två typer av Load Balancer erbjudanden, Standard och Basic. Använd interna Azure Load Balancers för att endast tillåta trafik till serverdelsresurser inifrån vissa virtuella nätverk eller peerkopplade virtuella nätverk utan exponering för Internet. Implementera en extern Load Balancer med SNAT (Source Network Address Translation) för att maskera IP-adresserna för serverdelsresurser för skydd mot direkt internetexponering.
Referens: Intern ip-konfiguration för Load Balancer klientdel
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Användare kan konfigurera en NSG i sitt virtuella nätverk, men inte direkt på Load Balancer.
Konfigurationsvägledning: Implementera nätverkssäkerhetsgrupper och tillåt endast åtkomst till programmets betrodda portar och IP-adressintervall. I de fall där ingen nätverkssäkerhetsgrupp har tilldelats serverdelsundernätet eller nätverkskortet för de virtuella datorerna i serverdelen tillåts inte trafik att komma åt dessa resurser från lastbalanseraren. Standard Load Balancers tillhandahåller regler för utgående trafik för att definiera utgående NAT med en nätverkssäkerhetsgrupp. Granska dessa regler för utgående trafik för att justera beteendet för dina utgående anslutningar.
Den Standard Load Balancer är utformad för att vara säker som standard och en del av en privat och isolerad Virtual Network. Den är stängd för inkommande flöden om den inte öppnas av nätverkssäkerhetsgrupper för att uttryckligen tillåta tillåten trafik och för att neka kända skadliga IP-adresser. Såvida inte en nätverkssäkerhetsgrupp i ett undernät eller ett nätverkskort för din virtuella datorresurs finns bakom Load Balancer, tillåts inte trafik att nå den här resursen.
Obs! Användning av en Standard Load Balancer rekommenderas för dina produktionsarbetsbelastningar och vanligtvis används Basic-Load Balancer endast för testning eftersom den grundläggande typen är öppen för anslutningar från Internet som standard och inte kräver nätverkssäkerhetsgrupper för drift.
Referens: Azure Load Balancer IP-konfiguration för klientdelen
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Network:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Definiera och implementera standardsäkerhetskonfigurationer för Azure-resurser med hjälp av Azure Policy. Tilldela inbyggda principdefinitioner relaterade till dina specifika Azure Load Balancer resurser. Om det inte finns inbyggda principdefinitioner kan du använda Azure Policy alias för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Azure Load Balancer resurser i namnområdet Microsoft.Network.