注释
此处提供了最 up-to日期的 Azure 安全基准。
网络安全涵盖各种用于保护 Azure 网络的控制措施。 这包括保护虚拟网络、建立专用连接、防止和缓解外部攻击以及保护 DNS。
若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准法规符合性内置方案的详细信息:网络安全
NS-1:实现内部流量的安全性
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-1 型 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4、CA-3、SC-7 |
确保所有 Azure 虚拟网络都遵循与业务风险相匹配的企业分段原则。 任何可能给组织带来较高风险的系统都应在其自己的虚拟网络中隔离,并使用网络安全组(NSG)和/或 Azure 防火墙进行充分保护。
考虑应用程序和企业分段策略的实际情况,根据网络安全组规则限制或允许内部资源之间的流量传递。 对于明确定义的特定应用程序(例如 3 层应用),可采用高度安全的“默认拒绝,允许例外”方法。 如果有多个应用程序和终结点彼此交互,那么这种方法的扩展性可能并不好。 还可以在需要对大量企业段或分支节点进行集中式管理(在中心/分支拓扑中)的情况下使用 Azure 防火墙。
使用 Azure 安全中心自适应网络强化来推荐基于外部网络流量规则限制端口和源 IP 的网络安全组配置。
使用 Azure Sentinel 发现使用传统不安全的协议,例如 SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、未签名的 LDAP 绑定和 Kerberos 中的弱加密算法。
责任:客户
客户安全利益干系人 (了解详细信息):
NS-2:将专用网络连接在一起
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-2 系列 | 无 | CA-3、AC-17、MA-4 |
使用 Azure ExpressRoute 或 Azure 虚拟专用网络(VPN)在托管环境中的 Azure 数据中心与本地基础结构之间创建专用连接。 ExpressRoute 连接不会通过公共 Internet,它们提供比典型 Internet 连接更高的可靠性、更快的速度和更低的延迟。 对于点到站点 VPN 和站点到站点 VPN,可以使用这些 VPN 选项和 Azure ExpressRoute 的任意组合将本地设备或网络连接到虚拟网络。
若要将 Azure 中的两个或多个虚拟网络连接在一起,请使用虚拟网络对等互连或专用链接。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。
责任:客户
客户安全利益干系人 (了解详细信息):
NS-3:建立对 Azure 服务的专用网络访问权限
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-3 系列 | 14.1 | AC-4、CA-3、SC-7 |
使用 Azure 专用链接从虚拟网络启用对 Azure 服务的专用访问,而无需通过 Internet。 如果 Azure 专用链接尚不可用,请使用 Azure 虚拟网络服务终结点。 Azure 虚拟网络服务终结点通过 Azure 主干网络优化路由提供对服务的安全访问。
除了 Azure 服务提供的身份验证和流量安全性外,专用访问也是一项额外的深层防御措施。
责任:客户
客户安全利益干系人 (了解详细信息):
NS-4:保护应用程序和服务不受外部网络攻击
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-4 系列 | 9.5, 12.3, 12.9 | SC-5、SC-7 |
保护 Azure 资源免受来自外部网络的攻击,包括分布式拒绝服务(DDoS)攻击、特定于应用程序的攻击以及未经请求和潜在的恶意 Internet 流量。 Azure 具备原生功能来实现此目的。
使用 Azure 防火墙保护应用程序和服务免受来自 Internet 和其他外部位置的潜在恶意流量的影响。
使用 Azure 应用程序网关、Azure Front Door 和 Azure 内容分发网络(CDN)中的 Web 应用程序防火墙(WAF)功能来保护应用程序、服务和 API 免受应用程序层攻击。
通过在 Azure 虚拟网络上启用 DDoS 标准保护,保护资产免受 DDoS 攻击。
使用 Azure 安全中心检测与上述相关的错误配置风险。
责任:客户
客户安全利益干系人 (了解详细信息):
NS-5:部署入侵检测/入侵防护系统 (IDS/IPS)
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-5 系列 | 12.6, 12.7 | SI-4 系列 |
使用基于 Azure 防火墙威胁情报的筛选来提醒和/或阻止来自已知恶意 IP 地址和域的流量。 IP 地址和域名来源于 Microsoft 威胁智能源数据。 当需要有效负载检查时,可以使用 Azure 防火墙高级 IDPS 功能,或者从具有有效负载检查功能的 Azure 市场部署第三方入侵检测/入侵防护系统(IDS/IPS)。 或者,您可以将基于主机的 IDS/IPS 或基于主机的终端检测和响应(EDR)解决方案,与基于网络的 IDS/IPS 结合使用,或者代替基于网络的 IDS/IPS。
注意:如果你有 IDS/IPS 使用的法规或其他要求,请确保始终对其进行优化,以便为 SIEM 解决方案提供高质量的警报。
责任:客户
客户安全利益干系人 (了解详细信息):
NS-6:简化网络安全规则
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-6 系列 | 1.5 | IA-4 |
利用服务标记和应用程序安全组(ASG)简化网络安全规则。
使用虚拟网络服务标记定义网络安全组或 Azure 防火墙上的网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 通过在规则的源或目标字段中指定服务标记名称,可以允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。
还可以使用应用程序安全组来帮助简化复杂的安全配置。 应用程序安全组允许将网络安全配置为应用程序结构的自然扩展,而不是基于网络安全组中的显式 IP 地址定义策略,从而允许对虚拟机进行分组,并根据这些组定义网络安全策略。
责任:客户
客户安全利益干系人 (了解详细信息):
NS-7:安全域名服务(DNS)
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-7 系列 | 无 | SC-20、SC-21 |
遵循 DNS 安全性的最佳做法,以防范诸如悬空 DNS、DNS 放大攻击、DNS 中毒和欺骗等常见攻击。
使用 Azure DNS 作为权威 DNS 服务时,请确保使用 Azure RBAC 和资源锁保护 DNS 区域和记录免受意外或恶意修改的影响。
责任:客户
客户安全利益干系人 (了解详细信息):