Hämta nätverkssäkerhetsrekommendationer med Microsoft Defender för molnet

  • 12 minuter

Nätverkssäkerhet omfattar en mängd olika tekniker, enheter och processer. Den innehåller en uppsättning regler och konfigurationer som är utformade för att skydda integritet, konfidentialitet och tillgänglighet för datornätverk och data. Varje organisation, oavsett storlek, bransch eller infrastruktur, kräver en viss grad av nätverkssäkerhetslösningar för att skydda den mot de ständigt växande riskerna med attacker.

För Microsoft Azure är det av största vikt att skydda resurser som mikrotjänster, virtuella datorer, data och andra. Microsoft Azure säkerställer det via en distribuerad virtuell brandvägg.

Ett virtuellt nätverk i Microsoft Azure är isolerat från andra nätverk och kommunicerar via privata IP-adresser.

Nätverkssäkerhet

Nätverkssäkerhet omfattar kontroller för att skydda Azure-nätverk, inklusive att skydda virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS. Fullständig beskrivning av kontrollerna finns på Security Control V3: Network Security på Microsoft Docs.

NS-1: Upprätta gränser för nätverkssegmentering

Säkerhetsprincip: Se till att distributionen av det virtuella nätverket överensstämmer med företagets segmenteringsstrategi som definieras i GS-2-säkerhetskontrollen. Alla arbetsbelastningar som kan medföra högre risk för organisationen bör finnas i isolerade virtuella nätverk. Exempel på högriskarbetsbelastningar är:

  • Ett program som lagrar eller bearbetar mycket känsliga data.
  • Ett externt nätverksanslutet program som är tillgängligt för allmänheten eller användare utanför organisationen.
  • Ett program som använder osäker arkitektur eller som innehåller säkerhetsrisker som inte enkelt kan åtgärdas.

Om du vill förbättra din strategi för företagssegmentering begränsar eller övervakar du trafiken mellan interna resurser med hjälp av nätverkskontroller. För specifika, väldefinierade program (till exempel en app med tre nivåer) kan detta vara en mycket säker "neka som standard, tillåt som undantag" genom att begränsa portar, protokoll, käll- och mål-IP-adresser för nätverkstrafiken. Om du har många program och slutpunkter som interagerar med varandra kan det hända att blockerande trafik inte kan skalas bra och du kanske bara kan övervaka trafiken.

Azure-vägledning: Skapa ett virtuellt nätverk (VNet) som en grundläggande segmenteringsmetod i ditt Azure-nätverk, så att resurser som virtuella datorer kan distribueras till det virtuella nätverket inom en nätverksgräns. Om du vill segmentera nätverket ytterligare kan du skapa undernät i det virtuella nätverket för mindre undernätverk.

Använd nätverkssäkerhetsgrupper (NSG) som en nätverksnivåkontroll för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress.

Du kan också använda programsäkerhetsgrupper (ASG: er) för att förenkla komplex konfiguration. I stället för att definiera principer baserat på explicita IP-adresser i nätverkssäkerhetsgrupper kan du med HJÄLP av ASG:er konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.

NS-2: Skydda molntjänster med nätverkskontroller

Säkerhetsprincip: Skydda molntjänster genom att upprätta en privat åtkomstpunkt för resurserna. Du bör också inaktivera eller begränsa åtkomsten från det offentliga nätverket när det är möjligt.

Azure-vägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder Private Link-funktionen för att upprätta en privat åtkomstpunkt för resurserna. Du bör också inaktivera eller begränsa åtkomsten till offentliga nätverk till tjänster där det är möjligt.

För vissa tjänster har du också möjlighet att distribuera VNet-integrering för tjänsten där du kan begränsa det virtuella nätverket för att upprätta en privat åtkomstpunkt för tjänsten.

NS-3: Distribuera brandväggen i utkanten av företagsnätverket

Säkerhetsprincip: Distribuera en brandvägg för att utföra avancerad filtrering av nätverkstrafik till och från externa nätverk. Du kan också använda brandväggar mellan interna segment för att stödja en segmenteringsstrategi. Om det behövs kan du använda anpassade vägar för ditt undernät för att åsidosätta systemvägen när du behöver tvinga nätverkstrafiken att gå igenom en nätverksinstallation i säkerhetskontrollsyfte.

Blockera åtminstone kända felaktiga IP-adresser och högriskprotokoll, till exempel fjärrhantering (till exempel RDP och SSH) och intranätprotokoll (till exempel SMB och Kerberos).

Azure-vägledning: Använd Azure Firewall för att tillhandahålla helt tillståndskänslig trafikbegränsning på programnivå (till exempel URL-filtrering) och/eller central hantering över ett stort antal företagssegment eller ekrar (i en nav-/ekertopologi).

Om du har en komplex nätverkstopologi, till exempel en hubb-/ekerkonfiguration, kan du behöva skapa användardefinierade vägar (UDR) för att säkerställa att trafiken går via önskad väg. Du kan till exempel använda en UDR för att omdirigera utgående Internettrafik via en specifik Azure Firewall eller en virtuell nätverksinstallation.

NS-4: Distribuera system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Säkerhetsprincip: Använd system för identifiering av nätverksintrång och intrångsskydd (IDS/IPS) för att inspektera nätverket och nyttolasttrafik till eller från din arbetsbelastning. Se till att IDS/IPS alltid är justerat för att tillhandahålla högkvalitativa aviseringar till SIEM-lösningen.

Använd värdbaserade IDS/IPS eller en värdbaserad identifiering och åtgärd på slutpunkt-lösning (Identifiering och åtgärd på slutpunkt) tillsammans med nätverks-ID:n/IPS för mer djupgående identifiering och förebyggande av värdnivå.

Azure-vägledning: Använd Azure Firewalls IDPS-funktion i nätverket för att varna om och/eller blockera trafik till och från kända skadliga IP-adresser och domäner.

Om du vill ha mer djupgående identifiering och förebyggande funktioner på värdnivå distribuerar du värdbaserad IDS/IPS eller en värdbaserad identifiering och åtgärd på slutpunkt -lösning (Identifiering och åtgärd på slutpunkt), till exempel Microsoft Defender för Endpoint, på VM-nivå tillsammans med nätverks-IDS/IPS.

NS-5: Distribuera DDOS-skydd

Säkerhetsprincip: Distribuera DDoS-skydd (Distribuerad överbelastning) för att skydda nätverket och programmen mot attacker.

Azure-vägledning: Aktivera DDoS Network Protection-planen på ditt virtuella nätverk för att skydda resurser som exponeras för de offentliga nätverken.

NS-6: Distribuera brandvägg för webbprogram

Säkerhetsprincip: Distribuera en brandvägg för webbprogram (WAF) och konfigurera lämpliga regler för att skydda dina webbprogram och API:er från programspecifika attacker.

Azure-vägledning: Använd waf-funktioner (web application firewall) i Azure Application Gateway, Azure Front Door och Azure Content Delivery Network (CDN) för att skydda dina program, tjänster och API:er mot programnivåattacker i utkanten av nätverket. Ange WAF i "identifiering" eller "förebyggande läge", beroende på dina behov och hotlandskap. Välj en inbyggd regeluppsättning, till exempel OWASP Top 10 vulnerabilities, och justera den till ditt program.

NS-7: Förenkla nätverkssäkerhetskonfigurationen

Säkerhetsprincip: När du hanterar en komplex nätverksmiljö använder du verktyg för att förenkla, centralisera och förbättra nätverkssäkerhetshanteringen.

Azure-vägledning: Använd följande funktioner för att förenkla implementeringen och hanteringen av NSG- och Azure Firewall-reglerna:

  • Använd Microsoft Defender för molnet Adaptive Network Hardening för att rekommendera NSG-härdningsregler som ytterligare begränsar portar, protokoll och käll-IP-adresser baserat på resultat av hotinformation och trafikanalys.
  • Använd Azure Firewall Manager för att centralisera brandväggsprincipen och väghanteringen för det virtuella nätverket. För att förenkla implementeringen av brandväggsregler och nätverkssäkerhetsgrupper kan du även använda ARM-mallen (Azure Resource Manager) i Azure Firewall Manager.

NS-8: Identifiera och inaktivera osäkra tjänster och protokoll

Säkerhetsprincip: Identifiera och inaktivera osäkra tjänster och protokoll i skiktet os, program eller programpaket. Distribuera kompenserande kontroller om det inte går att inaktivera osäkra tjänster och protokoll.

Azure-vägledning: Använd Azure Sentinels inbyggda arbetsbok för osäkert protokoll för att identifiera användningen av osäkra tjänster och protokoll som SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Osignerade LDAP-bindningar och svaga chiffer i Kerberos. Inaktivera osäkra tjänster och protokoll som inte uppfyller lämplig säkerhetsstandard.

Kommentar

Om det inte går att inaktivera osäkra tjänster eller protokoll kan du använda kompenserande kontroller som att blockera åtkomsten till resurserna via nätverkssäkerhetsgruppen, Azure Firewall eller Azure Web Application Firewall för att minska attackytan.

NS-9: Anslut lokalt nätverk eller molnnätverk privat

Säkerhetsprincip: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.

Azure-vägledning: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.

För enkel anslutning mellan plats-till-plats eller punkt-till-plats använder du Azure virtual private network (VPN) för att skapa en säker anslutning mellan din lokala plats eller slutanvändarenhet till det virtuella Azure-nätverket.

För anslutning med höga prestanda på företagsnivå använder du Azure ExpressRoute (eller Virtual WAN) för att ansluta Azure-datacenter och lokal infrastruktur i en samplatsmiljö.

När du ansluter två eller flera virtuella Azure-nätverk tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat och behålls i Azure-stamnätverket.

NS-10: Se till att DNS-säkerhet (Domain Name System)

Säkerhetsprincip: Se till att DNS-säkerhetskonfigurationen (Domain Name System) skyddar mot kända risker:

  • Använd betrodda auktoritativa och rekursiva DNS-tjänster i din molnmiljö för att säkerställa att klienten (till exempel operativsystem och program) får rätt lösningsresultat.
  • Separera den offentliga och privata DNS-matchningen så att DNS-matchningsprocessen för det privata nätverket kan isoleras från det offentliga nätverket.
  • Se till att DNS-säkerhetsstrategin även innehåller åtgärder mot vanliga attacker, till exempel dangling DNS, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning och så vidare.

Azure-vägledning: Använd Rekursiv DNS i Azure eller en betrodd extern DNS-server i din rekursiva DNS-konfiguration för arbetsbelastningen, till exempel i den virtuella datorns operativsystem eller i programmet.

Använd Azure Privat DNS för konfiguration av privata DNS-zoner där DNS-matchningsprocessen inte lämnar det virtuella nätverket. Använd en anpassad DNS för att begränsa DNS-matchningen som endast tillåter den betrodda lösningen för klienten.

Använd Azure Defender för DNS för avancerat skydd mot följande säkerhetshot mot din arbetsbelastning eller DNS-tjänsten:

  • Dataexfiltrering från dina Azure-resurser med DNS-tunneltrafik
  • Skadlig kod som kommunicerar med kommando- och kontrollservern
  • Kommunikation med skadliga domäner som nätfiske och kryptoutvinning
  • DNS-attacker i kommunikation med skadliga DNS-matchare

Du kan också använda Azure Defender för App Service för att identifiera dinglande DNS-poster om du inaktiverar en App Service-webbplats utan att ta bort dess anpassade domän från DNS-registratorn.

Microsoft Cloud Security Benchmark

Microsoft har upptäckt att användning av säkerhetsmått kan hjälpa dig att snabbt skydda molndistributioner. Ett omfattande ramverk för bästa praxis för säkerhet från molntjänstleverantörer kan ge dig en startpunkt för att välja specifika säkerhetskonfigurationsinställningar i din molnmiljö, över flera tjänstleverantörer och låta dig övervaka dessa konfigurationer med hjälp av en enda fönsterruta.

Microsoft Cloud Security Benchmark (MCSB) innehåller en samling säkerhetsrekommendationer med hög påverkan som du kan använda för att skydda dina molntjänster i en enda miljö eller i en miljö med flera moln. MCSB-rekommendationer innehåller två viktiga aspekter:

  • Säkerhetskontroller: De här rekommendationerna gäller vanligtvis för dina molnarbetsbelastningar. Varje rekommendation identifierar en lista över intressenter som vanligtvis deltar i planering, godkännande eller implementering av riktmärket.
  • Tjänstbaslinjer: Dessa tillämpar kontrollerna på enskilda molntjänster för att ge rekommendationer om den specifika tjänstens säkerhetskonfiguration. Vi har för närvarande endast tjänstbaslinjer tillgängliga för Azure.

Implementera Microsoft cloud security benchmark

  • Planera MCSB-implementeringen genom att granska dokumentationen för företagskontroller och tjänstspecifika baslinjer för att planera ditt kontrollramverk och hur det mappar till vägledning som CIS-kontroller (Center for Internet Security), National Institute of Standards and Technology (NIST) och ramverket Payment Card Industry Data Security Standard (PCI-DSS).
  • Övervaka din kompatibilitet med MCSB-status (och andra kontrolluppsättningar) med hjälp av instrumentpanelen Microsoft Defender för molnet – Regelefterlevnad för din multimolnmiljö.
  • Upprätta skyddsräcken för att automatisera säkra konfigurationer och framtvinga efterlevnad med MCSB (och andra krav i din organisation) med hjälp av funktioner som Azure Blueprints, Azure Policy eller motsvarande tekniker från andra molnplattformar.

Terminologi

Termerna kontroll och baslinje används ofta i Microsoft cloud security benchmark-dokumentationen, och det är viktigt att förstå hur Azure använder dessa termer.

Term Beskrivning Exempel
Ctrl En kontroll är en beskrivning på hög nivå av en funktion eller aktivitet som måste åtgärdas och som inte är specifik för en teknik eller implementering. Dataskydd är en av säkerhetskontrollfamiljerna. Dataskydd innehåller specifika åtgärder som måste åtgärdas för att säkerställa att data skyddas.
Baslinje En baslinje är implementeringen av kontrollen för de enskilda Azure-tjänsterna. Varje organisation dikterar en benchmark-rekommendation och motsvarande konfigurationer behövs i Azure. Obs! I dag har vi endast tjänstbaslinjer tillgängliga för Azure. Contoso-företaget ser ut att aktivera Azure SQL-säkerhetsfunktioner genom att följa konfigurationen som rekommenderas i Säkerhetsbaslinjen för Azure SQL.

Använda Microsoft Defender för molnet för regelefterlevnad

Microsoft Defender för molnet hjälper till att förenkla processen för att uppfylla efterlevnadskrav med instrumentpanelen för regelefterlevnad.

Instrumentpanelen för regelefterlevnad visar status för alla utvärderingar i din miljö för dina valda standarder och regler. När du arbetar med rekommendationerna och minskar riskfaktorerna i din miljö förbättras din efterlevnadsstatus.

Instrumentpanel för regelefterlevnad

Screenshot showing Microsoft Defender for Cloud regulatory compliance dashboard.

Instrumentpanelen visar en översikt över din efterlevnadsstatus med uppsättningen efterlevnadsregler som stöds. Du ser din övergripande efterlevnadspoäng och antalet skickande utvärderingar jämfört med misslyckade utvärderingar som är associerade med varje standard.

Efterlevnadskontroller

Screenshot showing the regulatory compliance dashboard with drilldown to compliance controls.

  1. Prenumerationer som standarden tillämpas på.
  2. Lista över alla kontroller för den standarden.
  3. Visa information om att skicka och misslyckas med utvärderingar som är associerade med den kontrollen.
  4. Antal berörda resurser.

Vissa kontroller är nedtonade. Dessa kontroller har inga Microsoft Defender för molnet utvärderingar associerade med dem. Kontrollera deras krav och utvärdera dem i din miljö. Vissa av dessa kan vara processrelaterade och inte tekniska.

Utforska information om efterlevnad med en specifik standard

Om du vill generera en PDF-rapport med en sammanfattning av din aktuella efterlevnadsstatus för en viss standard väljer du Ladda ned rapport.

Screenshot showing the download regulatory compliance report.

Rapporten innehåller en översikt över din efterlevnadsstatus för den valda standarden baserat på Microsoft Defender för molnet utvärderingsdata. Rapporten är ordnad enligt kontrollerna i den standarden. Rapporten kan delas med relevanta intressenter och kan utgöra bevis för interna och externa revisorer.

Aviseringar i Microsoft Defender för molnet

Microsoft Defender för molnet automatiskt samlar in, analyserar och integrerar loggdata från dina Azure-resurser, nätverket och anslutna partnerlösningar – till exempel brandväggs- och slutpunktsskyddslösningar – för att identifiera verkliga hot och minska falska positiva identifieringar. En lista över prioriterade säkerhetsaviseringar visas i Microsoft Defender för molnet tillsammans med den information du behöver för att snabbt undersöka problemet och vidta åtgärder för att åtgärda ett angrepp.

Hantera säkerhetsaviseringar

På sidan Microsoft Defender för molnet översikt visas panelen Säkerhetsaviseringar överst på sidan och som en länk från sidofältet.

Screenshot that shows Microsoft Defender for Cloud overview page and the Security alerts tile.

Sidan säkerhetsaviseringar visar aktiva aviseringar. Du kan sortera listan efter allvarlighetsgrad, aviseringsrubrik, påverkad resurs, starttid för aktivitet. MITRE ATTACK-taktik och status.

Screenshot of the Active security alerts list.

Om du vill filtrera aviseringslistan väljer du något av de relevanta filtren. Du kan lägga till ytterligare filter med alternativet Lägg till filter.

Screenshot of adding filters to the alerts view.

Listan uppdateras enligt de filtreringsalternativ som du har valt. Filtrering kan vara till stor hjälp. Du kanske till exempel vill hantera säkerhetsaviseringar som inträffat under de senaste 24 timmarna eftersom du undersöker ett potentiellt intrång i systemet.

Åtgärda säkerhetsaviseringar

Välj en avisering i listan Säkerhetsaviseringar. En sidoruta öppnas och visar en beskrivning av aviseringen och alla berörda resurser.

Screenshot showing the mini details view of a security alert.

Visa fullständig information visar ytterligare information, som du ser i följande bild:

Screenshot showing the full details view of a security alert and take action pane.

Den vänstra rutan på sidan med säkerhetsaviseringar visar information på hög nivå om säkerhetsaviseringen: rubrik, allvarlighetsgrad, status, aktivitetstid, beskrivning av den misstänkta aktiviteten och den berörda resursen. Vid sidan av den berörda resursen finns De Azure-taggar som är relevanta för resursen. Använd dessa för att härleda resursens organisationskontext när du undersöker aviseringen.

Det högra fönstret innehåller fliken Aviseringsinformation som innehåller ytterligare information om aviseringen som hjälper dig att undersöka problemet: IP-adresser, filer, processer med mera.

I den högra rutan finns också fliken Vidta åtgärd. Använd den här fliken om du vill vidta ytterligare åtgärder när det gäller säkerhetsaviseringen. Åtgärder som:

  • Minimera hotet: Tillhandahåller manuella reparationssteg för den här säkerhetsaviseringen.
  • Förhindra framtida attacker: Ger säkerhetsrekommendationer för att minska attackytan, öka säkerhetsstatusen och därmed förhindra framtida attacker.
  • Automatiserat svar för utlösare: Ger möjlighet att utlösa en logikapp som ett svar på den här säkerhetsaviseringen.
  • Ignorera liknande aviseringar: Ger möjlighet att förhindra framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisation.

Testa dina kunskaper

1.

Vilken Azure-tjänst kan vi använda för att skapa en privat anslutning mellan Azure PaaS och värdbaserade tjänster?

2.

Vilket verktyg i Azure samlar automatiskt in, analyserar och integrerar loggdata från dina Azure-resurser?