安全控制 v3:网络安全
网络安全包含用于保护 Azure 网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。
NS-1:建立网络分段边界
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12、13.4、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
安全原则:确保虚拟网络部署符合 GS-2 安全控制中定义的企业分段策略。 任何可能给组织带来较高风险的工作负载都应位于独立的虚拟网络中。 高风险工作负载的示例包括:
- 存储或处理高度敏感数据的应用程序。
- 公众或组织外部用户可访问的面向外部网络的应用程序。
- 使用不安全的体系结构或包含无法轻松修正的漏洞的应用程序。
若要增强企业的分段策略,请通过网络控制限制或监视内部资源之间的流量。 对于明确定义的特定应用程序(例如 3 层应用),可采用高度安全的“默认拒绝,允许例外”方法,包括限制网络流量的端口、协议、源和目标 IP。 如果有多个应用程序和终结点彼此交互,那么阻止流量的扩展性可能并不好,你可能只能监视流量。
Azure 指南:创建虚拟网络 (VNet) 是 Azure 网络中的基本分段方法,以便可以将 VM 等资源部署到网络边界内的 VNet 中。 若要进一步细分网络,可以在 VNet 内为较小的子网络创建子网。
使用网络安全组 (NSG) 作为网络层控制,以按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。
还可以使用应用程序安全组 (ASG) 来简化复杂的配置。 ASG 不是基于网络安全组中的显式 IP 地址来定义策略,而是可将网络安全性配置为应用程序结构的固有扩展,从而能对虚拟机进行分组,并基于这些组定义网络安全策略。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-2:使用网络控制保护云服务
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
安全原则:通过为资源建立专用访问点保护云服务。 如果可能,还应禁用或限制来自公共网络的访问。
Azure 指南:为支持专用链接功能的所有 Azure 资源部署专用终结点,为资源建立专用访问点。 还应在可行的情况下禁用或限制对服务的公共网络访问。
对于某些服务,还可以选择为服务部署 VNet 集成,你可在其中限制 VNET,为服务建立专用访问点。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-3:在企业网络边缘部署防火墙
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8、13.10 | AC-4、SC-7、CM-7 | 1.1、1.2、1.3 |
安全原则:部署防火墙,对与外部网络之间的网络流量执行高级筛选。 还可以在内部段之间使用防火墙来支持分段策略。 如果需要,在需要强制网络流量通过网络设备以进行安全控制时,请使用子网的自定义路由来替代系统路由。
至少要阻止已知的不良 IP 地址和高风险协议,例如远程管理(例如 RDP 和 SSH)和 Intranet 协议(例如 SMB 和 Kerberos)。
Azure 指南:使用 Azure 防火墙提供完全有状态的应用层流量限制(例如 URL 筛选)和/或对大量企业段或分支(在中心辐射型拓扑中)的集中管理。
如果具有复杂的网络拓扑(例如中心辐射型设置),则可能需要创建用户定义的路由 (UDR) 以确保流量通过所需的路由。 例如,可以选择使用 UDR 通过特定的 Azure 防火墙或网络虚拟设备重定向出口 Internet 流量。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-4:部署入侵检测/入侵防护系统 (IDS/IPS)
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.2、13.3、13.7、13.8 | SC-7、SI-4 | 11.4 |
安全原则:使用网络入侵检测和入侵防护系统 (IDS/IPS) 检查进出工作负载的网络和有效负载流量。 请确保始终优化 IDS/IPS,为 SIEM 解决方案提供高质量的警报。
有关更深入的主机级别检测和防护功能,请将基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案与网络 ID/IPS 结合使用。
Azure 指南:在网络上使用 Azure 防火墙的 IDPS 功能,针对传入和传出已知恶意 IP 地址和域的流量发出警报和/或阻止该流量。
有关更深入的主机级别检测和防护功能,请在 VM 级别部署基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案(例如 Microsoft Defender for Endpoint),并结合使用网络 IDS/IPS。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-5:部署 DDOS 防护
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1、1.2、1.3、6.6 |
安全原则:部署分布式拒绝服务 (DDoS) 防护,以保护网络和应用程序免受攻击。
Azure 指南:在 VNet 上启用 DDoS 标准防护计划,以保护公开给公共网络的资源。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-6:部署 Web 应用程序防火墙
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1、1.2、1.3 |
安全原则:部署 Web 应用程序防火墙 (WAF) 并配置适当的规则,以保护 Web 应用程序和 API 免受特定于应用程序的攻击。
Azure 指南:使用 Azure 应用程序网关、Azure Front Door 和 Azure 内容交付网络 (CDN) 中的 Web 应用程序防火墙 (WAF) 功能来保护应用程序、服务和 API 免受网络边缘的应用程序层攻击。 根据你的需求和威胁情况,将 WAF 设置为“检测”或“预防模式”。 选择一个内置规则集,例如“OWASP 十大漏洞”,并根据你的应用程序进行调整。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-7:简化网络安全配置
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
安全原则:管理复杂的网络环境时,请使用工具来简化、集中和增强网络安全管理。
Azure 指南:使用以下功能来简化 NSG 和 Azure 防火墙规则的实现和管理:
- 使用 Microsoft Defender for Cloud 自适应网络强化建议 NSG 强化规则,这些规则将基于威胁情报和流量分析结果进一步限制端口、协议和源 IP。
- 使用 Azure 防火墙管理器集中管理虚拟网络的防火墙策略和路由。 若要简化防火墙规则和网络安全组实现,还可以使用 Azure 防火墙管理器 ARM(Azure 资源管理器)模板。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-8:检测并禁用不安全的服务和协议
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
安全原则:在操作系统、应用程序或软件包层检测并禁用不安全的服务和协议。 如果无法禁用不安全的服务和协议,请部署补偿控制。
Azure 指南:使用 Azure Sentinel 的内置不安全协议工作簿来发现不安全服务和协议的使用,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、未签名的 LDAP 绑定和 Kerberos 中的弱密码。 禁用不符合相应安全标准的不安全服务和协议。
注意:如果无法禁用不安全的服务或协议,请使用补偿控制,例如通过网络安全组、Azure 防火墙或 Azure Web 应用程序防火墙阻止对资源的访问,以减少攻击面。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-9:以私密方式连接本地或云网络
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | 空值 |
安全原则:使用专用连接在不同网络之间进行安全通信,例如在归置环境中的云服务提供商数据中心和本地基础结构之间。
Azure 指南:使用专用连接在不同网络之间进行安全通信,例如在归置环境中的云服务提供商数据中心和本地基础结构之间。
对于站点到站点或点到站点之间的轻型连接,请使用 Azure 虚拟专用网络 (VPN) 在本地站点或最终用户设备与 Azure 虚拟网络之间创建安全连接。
对于企业级高性能连接,请使用 Azure ExpressRoute(或虚拟 WAN)在共置环境中连接 Azure 数据中心和本地基础结构。
将两个或多个 Azure 虚拟网络连接在一起时,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-10:确保域名系统 (DNS) 安全性
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.9、9.2 | SC-20、SC-21 | 空值 |
安全原则:确保域名系统 (DNS) 安全配置能够防范已知风险:
- 在云环境中使用受信任的权威和递归 DNS 服务,以确保客户端(例如操作系统和应用程序)收到正确的解析结果。
- 将公共和专用 DNS 解析分开,以便可以将专用网络的 DNS 解析过程与公共网络的 DNS 解析过程隔离开来。
- 确保 DNS 安全策略还包括针对常见攻击的缓解措施,例如无关联 DNS、DNS 放大攻击、DNS 中毒和欺骗等。
Azure 指南:在工作负载递归 DNS 设置中(例如 VM 的操作系统或应用程序中)使用 Azure 递归 DNS 或受信任的外部 DNS 服务器。
使用 Azure 专用 DNS 进行专用 DNS 区域设置,其中 DNS 解析过程不会离开虚拟网络。 使用自定义 DNS 来限制 DNS 解析,只允许对客户端进行受信任的解析。
使用适用于 DNS 的 Azure Defender 针对工作负载或 DNS 服务的以下安全威胁提供高级防护:
- 使用 DNS 隧道从 Azure 资源中泄漏数据
- 与命令和控制服务器通信的恶意软件
- 以钓鱼和加密挖掘等方式与恶意域进行通信
- 与恶意 DNS 解析程序通信的 DNS 攻击
如果停用应用服务网站,而不从 DNS 注册器中删除其自定义域,则还可以使用适用于应用服务的 Azure Defender 来检测无关联的 DNS 记录。
实现和其他上下文:
客户安全利益干系人(了解详细信息):