通过 Microsoft Defender for Cloud 获取网络安全建议
网络安全涵盖多种技术、设备和流程。 它提供了一组规则和配置,旨在保护计算机网络和数据的完整性、保密性和可访问性。 无论规模、行业或基础结构如何,每个组织都需要一定程度的网络安全解决方案,以保护它免受不断增长的攻击风险的影响。
对于 Microsoft Azure,保护或提供保护微服务、VM、数据等资源的能力至关重要。 Microsoft Azure 通过分布式虚拟防火墙来实现安全性。
Microsoft Azure 中的虚拟网络与其他网络隔离,同时通过专用 IP 地址进行通信。
网络安全
网络安全包含用于保护 Azure 网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。 可在安全控件 V3:Microsoft Docs 上的网络安全上找到控件的完整说明。
NS-1:建立网络分段边界
安全原则:确保虚拟网络部署符合 GS-2 安全控制中定义的企业分段策略。 任何可能给组织带来较高风险的工作负载都应位于独立的虚拟网络中。 高风险工作负载的示例包括:
- 存储或处理高度敏感数据的应用程序。
- 公众或组织外部用户可访问的面向外部网络的应用程序。
- 使用不安全的体系结构或包含无法轻松修正的漏洞的应用程序。
若要增强企业的分段策略,请通过网络控制限制或监视内部资源之间的流量。 对于明确定义的特定应用程序(例如 3 层应用),可采用高度安全的“默认拒绝,允许例外”方法,包括限制网络流量的端口、协议、源和目标 IP。 如果有多个应用程序和终结点彼此交互,那么阻止流量的扩展性可能并不好,你可能只能监视流量。
Azure 指南:创建虚拟网络 (VNet) 是 Azure 网络中的基本分段方法,以便可以将 VM 等资源部署到网络边界内的 VNet 中。 若要进一步细分网络,可以在 VNet 内为较小的子网络创建子网。
使用网络安全组 (NSG) 作为网络层控制,以按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。
还可以使用应用程序安全组 (ASG) 来简化复杂的配置。 ASG 不是基于网络安全组中的显式 IP 地址来定义策略,而是可将网络安全性配置为应用程序结构的固有扩展,从而能对虚拟机进行分组,并基于这些组定义网络安全策略。
NS-2:使用网络控制保护云服务
安全原则:通过为资源建立专用访问点保护云服务。 如果可能,还应禁用或限制来自公共网络的访问。
Azure 指南:为支持专用链接功能的所有 Azure 资源部署专用终结点,为资源建立专用访问点。 还应在可行的情况下禁用或限制对服务的公共网络访问。
对于某些服务,还可以选择为服务部署 VNet 集成,你可在其中限制 VNET,为服务建立专用访问点。
NS-3:在企业网络边缘部署防火墙
安全原则:部署防火墙,对与外部网络之间的网络流量执行高级筛选。 还可以在内部段之间使用防火墙来支持分段策略。 如果需要,在需要强制网络流量通过网络设备以进行安全控制时,请使用子网的自定义路由来替代系统路由。
至少要阻止已知的不良 IP 地址和高风险协议,例如远程管理(例如 RDP 和 SSH)和 Intranet 协议(例如 SMB 和 Kerberos)。
Azure 指南:使用 Azure 防火墙提供完全有状态的应用层流量限制(例如 URL 筛选)和/或对大量企业段或分支(在中心辐射型拓扑中)的集中管理。
如果具有复杂的网络拓扑(例如中心辐射型设置),则可能需要创建用户定义的路由 (UDR) 以确保流量通过所需的路由。 例如,可以选择使用 UDR 通过特定的 Azure 防火墙或网络虚拟设备重定向出口 Internet 流量。
NS-4:部署入侵检测/入侵防护系统 (IDS/IPS)
安全原则:使用网络入侵检测和入侵防护系统 (IDS/IPS) 检查进出工作负载的网络和有效负载流量。 请确保始终优化 IDS/IPS,为 SIEM 解决方案提供高质量的警报。
有关更深入的主机级别检测和防护功能,请将基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案与网络 ID/IPS 结合使用。
Azure 指南:在网络上使用 Azure 防火墙的 IDPS 功能,针对传入和传出已知恶意 IP 地址和域的流量发出警报和/或阻止该流量。
有关更深入的主机级别检测和防护功能,请在 VM 级别部署基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案(例如 Microsoft Defender for Endpoint),并结合使用网络 IDS/IPS。
NS-5:部署 DDOS 防护
安全原则:部署分布式拒绝服务 (DDoS) 防护,以保护网络和应用程序免受攻击。
Azure 指导:在 VNet 上启用 DDoS 网络保护计划,以保护向公共网络公开的资源。
NS-6:部署 Web 应用程序防火墙
安全原则:部署 Web 应用程序防火墙 (WAF) 并配置适当的规则,以保护 Web 应用程序和 API 免受特定于应用程序的攻击。
Azure 指南:使用 Azure 应用程序网关、Azure Front Door 和 Azure 内容交付网络 (CDN) 中的 Web 应用程序防火墙 (WAF) 功能来保护应用程序、服务和 API 免受网络边缘的应用程序层攻击。 根据你的需求和威胁情况,将 WAF 设置为“检测”或“预防模式”。 选择一个内置规则集,例如“OWASP 十大漏洞”,并根据你的应用程序进行调整。
NS-7:简化网络安全配置
安全原则:管理复杂的网络环境时,请使用工具来简化、集中和增强网络安全管理。
Azure 指南:使用以下功能来简化 NSG 和 Azure 防火墙规则的实现和管理:
- 使用 Microsoft Defender for Cloud 自适应网络强化建议 NSG 强化规则,这些规则将基于威胁情报和流量分析结果进一步限制端口、协议和源 IP。
- 使用 Azure 防火墙管理器集中管理虚拟网络的防火墙策略和路由。 若要简化防火墙规则和网络安全组实现,还可以使用 Azure 防火墙管理器 ARM(Azure 资源管理器)模板。
NS-8:检测并禁用不安全的服务和协议
安全原则:在操作系统、应用程序或软件包层检测并禁用不安全的服务和协议。 如果无法禁用不安全的服务和协议,请部署补偿控制。
Azure 指南:使用 Azure Sentinel 的内置不安全协议工作簿来发现不安全服务和协议的使用,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、未签名的 LDAP 绑定和 Kerberos 中的弱密码。 禁用不符合相应安全标准的不安全服务和协议。
注意
如果无法禁用不安全的服务或协议,请使用补偿控制(例如,通过网络安全组、Azure 防火墙或 Azure Web 应用程序防火墙阻止对资源的访问)来减少攻击面。
NS-9:以私密方式连接本地或云网络
安全原则:使用专用连接在不同网络之间进行安全通信,例如在归置环境中的云服务提供商数据中心和本地基础结构之间。
Azure 指南:使用专用连接在不同网络之间进行安全通信,例如在归置环境中的云服务提供商数据中心和本地基础结构之间。
对于站点到站点或点到站点之间的轻型连接,请使用 Azure 虚拟专用网络 (VPN) 在本地站点或最终用户设备与 Azure 虚拟网络之间创建安全连接。
对于企业级高性能连接,请使用 Azure ExpressRoute(或虚拟 WAN)在共置环境中连接 Azure 数据中心和本地基础结构。
将两个或多个 Azure 虚拟网络连接在一起时,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。
NS-10:确保域名系统 (DNS) 安全性
安全原则:确保域名系统 (DNS) 安全配置能够防范已知风险:
- 在云环境中使用受信任的权威和递归 DNS 服务,以确保客户端(例如操作系统和应用程序)收到正确的解析结果。
- 将公共和专用 DNS 解析分开,以便可以将专用网络的 DNS 解析过程与公共网络的 DNS 解析过程隔离开来。
- 确保 DNS 安全策略还包括针对常见攻击的缓解措施,例如无关联 DNS、DNS 放大攻击、DNS 中毒和欺骗等。
Azure 指南:在工作负载递归 DNS 设置中(例如 VM 的操作系统或应用程序中)使用 Azure 递归 DNS 或受信任的外部 DNS 服务器。
使用 Azure 专用 DNS 进行专用 DNS 区域设置,其中 DNS 解析过程不会离开虚拟网络。 使用自定义 DNS 来限制 DNS 解析,只允许对客户端进行受信任的解析。
使用适用于 DNS 的 Azure Defender 针对工作负载或 DNS 服务的以下安全威胁提供高级防护:
- 使用 DNS 隧道从 Azure 资源中泄漏数据
- 与命令和控制服务器通信的恶意软件
- 以钓鱼和加密挖掘等方式与恶意域进行通信
- 与恶意 DNS 解析程序通信的 DNS 攻击
如果停用应用服务网站,而不从 DNS 注册器中删除其自定义域,则还可以使用适用于应用服务的 Azure Defender 来检测无关联的 DNS 记录。
Microsoft 云安全基准
Microsoft 已经发现,使用安全基准可以帮助你快速保护云部署。 在云环境中,当你在多个服务提供商间选择特定安全配置设置时,云服务提供商提供的全面安全最佳做法框架可以作为你的起点,并让你能通过单个平台监视这些配置。
Microsoft 云安全基准 (MCSB) 包含一系列影响重大的安全建议,你可以使用这些建议在单云或多云环境中帮助保护云服务。 MCSB 建议包括两个关键方面:
- 安全控制:一般而言,在云工作负载中,这些建议都是适用的。 每个建议都会标识出利益干系人的列表,这些利益干系人通常会涉及到基准的规划、审批或实现。
- 服务基线:这些基线将控制措施应用于各项云服务,以提供有关特定服务的安全配置的建议。 目前,我们的服务基线仅适用于 Azure。
实施 Microsoft 云安全基准
- 计划 MCSB 的实施,具体方法是:查看企业控制措施和特定于服务的基线文档,计划控制框架以及它如何与 Center for Internet Security (CIS) 控制、美国国家标准与技术研究院 (NIST) 和支付卡行业数据安全标准 (PCI-DSS) 框架等指导相对应。
- 使用 Microsoft Defender for Cloud 多云环境法规符合性仪表板监视 MCSB 状态(和其他控制集)的合规情况。
- 使用 Azure 蓝图、Azure Policy 等功能或来自其他云平台的等效技术建立防护机制,以自动进行安全配置并强制遵守 MCSB(和组织中的其他要求)。
术语
Microsoft 云安全基准文档中经常使用术语“控制”和“基线”,因此了解 Azure 如何使用这些术语很重要。
| Term | 描述 | 示例 |
|---|---|---|
| 控制 | “控制”是对需要实现的功能或活动的概要说明,并非特定于某种技术或实现。 | 数据保护是一个安全控制系列。 数据保护包含为了帮助确保数据受到保护而必须采取的具体措施。 |
| 基线 | 基线指各项 Azure 服务上的控制实施。 每个组织决定基准建议,Azure 中需要有相应的配置。 注意:目前,我们的服务基线仅适用于 Azure。 | Contoso 公司希望通过遵循 Azure SQL 安全基线中推荐的配置来启用 Azure SQL 安全功能。 |
使用 Microsoft Defender for Cloud 实现法规符合性
Microsoft Defender for Cloud 使用合规性仪表板,可以根据合规性要求简化相关过程。
在法规合规性仪表板中,可以查看在所选标准和法规下,环境中所有评估的状态。 针对建议进行操作并减少环境中的风险因素以后,合规性情况得到了改善。
法规符合性仪表板
仪表板概述了你的合规性状态以及一组支持的合规性法规。 将看到总体合规性分数,以及与每个标准相关联的已通过评估和失败的评估的数目。
合规性控件
- 应用标准的订阅。
- 该标准的所有控件列表。
- 查看与该控件关联的通过和失败评估的详细信息。
- 受影响资源的数目。
某些控件灰显。这些控件没有任何与之关联的 Microsoft Defender for Cloud 评估。 查看其要求并在环境中对其进行评估。 其中一部分可能与进程相关,与技术无关。
浏览特定标准的合规性详细信息
要生成总结特定标准的当前合规性状态的 PDF 报告,请选择“下载报告”。
该报告基于 Microsoft Defender for Cloud 评估数据简要总结了所选标准的合规性状态。 该报告按照该标准的控件进行整理。 该报告可与相关利益干系人共享,并可能为内部和外部审计员提供证据。
Microsoft Defender for Cloud 中的警报
Microsoft Defender for Cloud 会自动收集、分析以及整合 Azure 资源、网络和连接的合作伙伴解决方案(如防火墙和 Endpoint Protection 解决方案)的日志数据,检测真正的威胁并减少误报。 Microsoft Defender for Cloud 中显示了一系列按优先级排列的安全警报,以及快速调查问题所需的信息以及修正攻击所需的步骤。
管理安全警报
Microsoft Defender for Cloud 概述页在页面顶部显示“安全警报”磁贴,在侧栏中显示为链接。
“安全警报”页显示活动警报。 可以按严重性、警报标题、受影响的资源、活动开始时间对列表进行排序。 MITRE ATTACK 策略和状态。
若要筛选警报列表,请选择任何相关的筛选器。 可以通过“添加筛选器”选项添加更多筛选器。
列表会根据你选择的筛选选项进行更新。 筛选可能非常有帮助。 例如,你可能需要处理过去 24 小时内发生的安全警报,因为你正在调查系统中的潜在安全漏洞。
响应安全警报
从“安全警报”列表中,选择一个警报。 此时会打开一个侧窗格,其中显示了警报和所有受影响的资源的说明。
“查看完整详细信息”将显示更多信息,如下图所示:
安全警报页面的左窗格显示有关安全警报的大致信息:标题、严重性、状态、活动时间、可疑活动的说明以及受影响的资源。 与受影响的资源一起的还有与资源相关的 Azure 标记。 调查警报时,使用这些内容来推断资源的组织上下文。
右侧窗格包含“警报详细信息”选项卡,其中包含警报的更多详细信息,用于帮助你调查问题:IP 地址、文件、进程等。
右侧窗格中还包含“执行操作”选项卡。使用此选项卡可以对安全警报执行其他操作。 操作,例如:
- 缓解威胁:针对此安全警报提供手动修正步骤。
- 预防将来的攻击:提供安全建议来帮助减少攻击面、改进安全状况,从而防止将来的攻击。
- 触发自动响应:提供触发一个逻辑应用作为对此安全警报的响应的选项。
- 抑制类似的警报:如果警报与组织无关,则提供可抑制具有类似特征的将来警报的选项。