Security Control v3: Nätverkssäkerhet
Nätverkssäkerhet omfattar kontroller för att skydda Azure-nätverk, inklusive att skydda virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS.
NS-1: Upprätta gränser för nätverkssegmentering
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Se till att distributionen av det virtuella nätverket överensstämmer med den företagsstrategi för segmentering som definierats i GS-2-säkerhetskontrollen. Alla arbetsbelastningar som kan medföra högre risk för organisationen bör finnas i isolerade virtuella nätverk. Exempel på högriskarbetsbelastningar är:
- Ett program som lagrar eller bearbetar mycket känsliga data.
- Ett externt nätverksanslutet program som är tillgängligt för allmänheten eller användare utanför organisationen.
- Ett program som använder osäker arkitektur eller som innehåller säkerhetsrisker som inte enkelt kan åtgärdas.
Om du vill förbättra din strategi för företagssegmentering begränsar eller övervakar du trafiken mellan interna resurser med hjälp av nätverkskontroller. För specifika, väldefinierade program (till exempel en app på tre nivåer) kan detta vara en mycket säker "neka som standard, tillåt med undantag" genom att begränsa portar, protokoll, käll- och mål-IP-adresser för nätverkstrafiken. Om du har många program och slutpunkter som interagerar med varandra kan det hända att blockerande trafik inte skalas bra och du kanske bara kan övervaka trafiken.
Azure-vägledning: Skapa ett virtuellt nätverk (VNet) som en grundläggande segmenteringsmetod i ditt Azure-nätverk, så att resurser som virtuella datorer kan distribueras till det virtuella nätverket inom en nätverksgräns. Om du vill segmentera nätverket ytterligare kan du skapa undernät i VNet för mindre undernätverk.
Använd nätverkssäkerhetsgrupper (NSG) som en nätverksnivåkontroll för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress.
Du kan också använda programsäkerhetsgrupper (ASG:er) för att förenkla komplex konfiguration. I stället för att definiera principer som baseras på explicita IP-adresser i nätverkssäkerhetsgrupper kan du med HJÄLP av ASG:er konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.
Implementering och ytterligare kontext:
- Begrepp och metodtips för Azure Virtual Network
- Lägga till, ändra eller ta bort ett virtuellt nätverksundernät
- Så här skapar du en nätverkssäkerhetsgrupp med säkerhetsregler
- Förstå och använda programsäkerhetsgrupper
Intressenter för kundsäkerhet (läs mer):
NS-2: Skydda molntjänster med nätverkskontroller
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Skydda molntjänster genom att upprätta en privat åtkomstpunkt för resurserna. Du bör också inaktivera eller begränsa åtkomsten från det offentliga nätverket när det är möjligt.
Azure-vägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna. Du bör också inaktivera eller begränsa åtkomsten till offentliga nätverk till tjänster där det är möjligt.
För vissa tjänster har du också möjlighet att distribuera VNet-integrering för tjänsten där du kan begränsa det virtuella nätverket för att upprätta en privat åtkomstpunkt för tjänsten.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-3: Distribuera brandväggen i utkanten av företagsnätverket
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Distribuera en brandvägg för att utföra avancerad filtrering av nätverkstrafik till och från externa nätverk. Du kan också använda brandväggar mellan interna segment för att stödja en segmenteringsstrategi. Om det behövs använder du anpassade vägar för ditt undernät för att åsidosätta systemvägen när du behöver tvinga nätverkstrafiken att gå igenom en nätverksinstallation i säkerhetskontrollsyfte.
Blockera minst kända felaktiga IP-adresser och högriskprotokoll, till exempel fjärrhantering (till exempel RDP och SSH) och intranätprotokoll (till exempel SMB och Kerberos).
Azure-vägledning: Använd Azure Firewall för att tillhandahålla helt tillståndskänslig trafikbegränsning på programnivå (till exempel URL-filtrering) och/eller central hantering över ett stort antal företagssegment eller ekrar (i en hubb-/ekertopologi).
Om du har en komplex nätverkstopologi, till exempel en hubb-/ekerkonfiguration, kan du behöva skapa användardefinierade vägar (UDR) för att säkerställa att trafiken går via önskad väg. Du kan till exempel använda en UDR för att omdirigera utgående Internettrafik via en specifik Azure Firewall eller en virtuell nätverksinstallation.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-4: Distribuera system för intrångsidentifiering/intrångsskydd (IDS/IPS)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Säkerhetsprincip: Använd system för identifiering av nätverksintrång och intrångsskydd (IDS/IPS) för att inspektera nätverket och nyttolasttrafik till eller från din arbetsbelastning. Se till att IDS/IPS alltid är justerat för att tillhandahålla högkvalitativa aviseringar till SIEM-lösningen.
Använd värdbaserad IDS/IPS eller en värdbaserad identifiering och åtgärd på slutpunkt-lösning (Identifiering och åtgärd på slutpunkt) tillsammans med nätverks-IDS/IPS för mer djupgående identifiering och skydd på värdnivå.
Azure-vägledning: Använd Azure Firewall IDPS-funktionen i nätverket för att varna om och/eller blockera trafik till och från kända skadliga IP-adresser och domäner.
För mer djupgående identifiering och skydd på värdnivå kan du distribuera värdbaserad IDS/IPS eller en värdbaserad identifiering och åtgärd på slutpunkt(Identifiering och åtgärd på slutpunkt) lösning, till exempel Microsoft Defender för Endpoint , på VM-nivå tillsammans med nätverks-IDS/IPS.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-5: Distribuera DDOS-skydd
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Säkerhetsprincip: Distribuera DDoS-skydd (Distributed Denial of Service) för att skydda nätverket och programmen mot attacker.
Azure-vägledning: Aktivera DDoS standardskyddsplan för ditt VNet för att skydda resurser som exponeras för de offentliga nätverken.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-6: Distribuera brandvägg för webbaserade program
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Distribuera en brandvägg för webbaserade program (WAF) och konfigurera lämpliga regler för att skydda dina webbprogram och API:er från programspecifika attacker.
Azure-vägledning: Använd waf-funktioner (brandvägg för webbaserade program) i Azure Application Gateway, Azure Front Door och Azure Content Delivery Network (CDN) för att skydda dina program, tjänster och API:er mot attacker på programnivå i utkanten av nätverket. Ange waf i "identifiering" eller "förebyggande läge", beroende på dina behov och hotlandskap. Välj en inbyggd regeluppsättning, till exempel OWASP Top 10 vulnerabilities, och justera den till ditt program.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-7: Förenkla nätverkssäkerhetskonfigurationen
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: När du hanterar en komplex nätverksmiljö använder du verktyg för att förenkla, centralisera och förbättra nätverkssäkerhetshanteringen.
Azure-vägledning: Använd följande funktioner för att förenkla implementeringen och hanteringen av NSG och Azure Firewall regler:
- Använd Microsoft Defender för molnet anpassningsbar nätverkshärdning för att rekommendera NSG-härdningsregler som ytterligare begränsar portar, protokoll och käll-IP-adresser baserat på resultat av hotinformation och trafikanalys.
- Använd Azure Firewall Manager för att centralisera brandväggsprincipen och väghanteringen för det virtuella nätverket. För att förenkla implementeringen av brandväggsregler och nätverkssäkerhetsgrupper kan du också använda arm-mallen Azure Firewall Manager (Azure Resource Manager).
Implementering och ytterligare kontext:
- Anpassningsbar nätverkshärdning i Microsoft Defender för molnet
- Azure Firewall Manager
- Skapa en Azure Firewall och en brandväggsprincip – ARM-mall
Intressenter för kundsäkerhet (läs mer):
NS-8: Identifiera och inaktivera osäkra tjänster och protokoll
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Säkerhetsprincip: Identifiera och inaktivera osäkra tjänster och protokoll på paketlagret för operativsystem, program eller programvara. Distribuera kompenserande kontroller om det inte går att inaktivera osäkra tjänster och protokoll.
Azure-vägledning: Använd Azure Sentinels inbyggda arbetsbok för osäkert protokoll för att identifiera användningen av osäkra tjänster och protokoll som SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, osignerade LDAP-bindningar och svaga chiffer i Kerberos. Inaktivera osäkra tjänster och protokoll som inte uppfyller lämplig säkerhetsstandard.
Obs! Om det inte går att inaktivera osäkra tjänster eller protokoll kan du använda kompenserande kontroller som att blockera åtkomsten till resurserna via nätverkssäkerhetsgruppen, Azure Firewall eller Azure Web Application Firewall för att minska attackytan.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-9: Anslut lokalt eller molnbaserat nätverk privat
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | Ej tillämpligt |
Säkerhetsprincip: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.
Azure-vägledning: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.
För enkel anslutning mellan plats-till-plats eller punkt-till-plats använder du Azures virtuella privata nätverk (VPN) för att skapa en säker anslutning mellan din lokala plats eller slutanvändarens enhet till det virtuella Azure-nätverket.
För anslutning med höga prestanda på företagsnivå använder du Azure ExpressRoute (eller Virtual WAN) för att ansluta Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö.
När du ansluter två eller flera virtuella Azure-nätverk tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och behålls i Azure-stamnätverket.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-10: Säkerställ dns-säkerhet (Domain Name System)
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | Ej tillämpligt |
Säkerhetsprincip: Se till att DNS-säkerhetskonfigurationen (Domain Name System) skyddar mot kända risker:
- Använd betrodda auktoritativa och rekursiva DNS-tjänster i din molnmiljö för att säkerställa att klienten (till exempel operativsystem och program) får rätt lösningsresultat.
- Separera den offentliga och privata DNS-matchningen så att DNS-matchningsprocessen för det privata nätverket kan isoleras från det offentliga nätverket.
- Se till att din DNS-säkerhetsstrategi även omfattar åtgärder mot vanliga attacker, till exempel dangling DNS, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning och så vidare.
Azure-vägledning: Använd Rekursiv DNS i Azure eller en betrodd extern DNS-server i din arbetsbelastningsrekursiva DNS-konfiguration, till exempel i den virtuella datorns operativsystem eller i programmet.
Använd Azure Privat DNS för konfiguration av privat DNS-zon där DNS-matchningsprocessen inte lämnar det virtuella nätverket. Använd en anpassad DNS för att begränsa DNS-matchningen som endast tillåter betrodd matchning till klienten.
Använd Azure Defender för DNS för avancerat skydd mot följande säkerhetshot mot din arbetsbelastning eller DNS-tjänsten:
- Dataexfiltrering från dina Azure-resurser med DNS-tunnel
- Skadlig kod som kommunicerar med kommando- och kontrollservern
- Kommunikation med skadliga domäner som nätfiske och kryptoutvinning
- DNS-attacker i kommunikation med skadliga DNS-matchare
Du kan också använda Azure Defender för App Service för att identifiera dinglande DNS-poster om du inaktiverar en App Service webbplats utan att ta bort dess anpassade domän från DNS-registratorn.
Implementering och ytterligare kontext:
- Översikt över Azure DNS
- Distributionsguide för Secure Domain Name System (DNS):
- Privat DNS i Azure
- Azure Defender för DNS
- Förhindra dinglande DNS-poster och undvik underdomänövertagande:
Intressenter för kundsäkerhet (läs mer):