安全性控制 V2:網路安全性
注意
這裡 提供最新的Azure 安全性基準測試。
網路安全性涵蓋保護及保護 Azure 網路的控制項。 這包括保護虛擬網路、建立私人連線、防止和減輕外部攻擊,以及保護 DNS。
若要查看適用的內建Azure 原則,請參閱Azure 安全性基準法規合規性內建方案的詳細資料:網路安全性
NS-1:為內部流量實作安全性
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4、CA-3、SC-7 |
請確定所有 Azure 虛擬網路都遵循符合業務風險的企業分割原則。 任何可能會對組織產生較高風險的系統都應該隔離在自己的虛擬網路內,並充分保護網路安全性群組 (NSG) 和/或Azure 防火牆。
根據您的應用程式和企業分割策略,根據網路安全性群組規則來限制或允許內部資源之間的流量。 對於特定定義完善的應用程式 (,例如 3 層應用程式) ,這可以是高度安全的「預設拒絕,允許例外狀況」方法。 如果您有許多應用程式與端點彼此互動,這可能無法正常調整。 您也可以在大量企業區段或輪輻 (中樞/輪輻拓撲) 需要集中管理的情況下,使用Azure 防火牆。
使用Azure 資訊安全中心調適型網路強化,建議根據外部網路流量規則限制埠和來源 IP 的網路安全性群組組態。
使用 Azure Sentinel 探索使用舊版不安全的通訊協定,例如 SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、Unsigned LDAP Binds 和 Kerberos 中的弱式加密。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
NS-2:將私人網路連在一起
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-2 | N/A | CA-3、AC-17、MA-4 |
在共置環境中,使用 Azure ExpressRoute 或 Azure 虛擬私人網路 (VPN),在 Azure 資料中心與內部部署基礎結構之間建立私人連線。 ExpressRoute 連線不會通過公用網際網路,而且它們提供比一般網際網路連線更多的可靠性、更快速且延遲較低的延遲。 針對點對站 VPN 和站對站 VPN,您可以使用這些 VPN 選項和 Azure ExpressRoute 的任何組合,將內部部署裝置或網路連線到虛擬網路。
若要將 Azure 中的兩個或多個虛擬網路連線在一起,請使用虛擬網路對等互連或Private Link。 對等互連虛擬網路之間的網路流量是私人的,而且會保留在 Azure 骨幹網路上。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
NS-3:建立 Azure 服務的私人網路存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-3 | 14.1 | AC-4、CA-3、SC-7 |
使用 Azure Private Link,從虛擬網路啟用 Azure 服務的私人存取,而不需跨越網際網路。 在尚未提供Azure Private Link的情況下,請使用 Azure 虛擬網路服務端點。 Azure 虛擬網路服務端點可透過 Azure 骨幹網路透過優化的路由,安全地存取服務。
除了 Azure 服務所提供的驗證和流量安全性之外,私人存取也是一項額外的深度防禦措施。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
NS-4:保護應用程式與服務不受外部網路攻擊
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5、SC-7 |
保護 Azure 資源免于遭受外部網路的攻擊,包括分散式阻斷服務 (DDoS) 攻擊、應用程式特定攻擊,以及未經請求且可能惡意的網際網路流量。 Azure 包含下列專案的原生功能:
使用Azure 防火牆來保護應用程式和服務,以防止來自網際網路和其他外部位置的潛在惡意流量。
使用 Web 應用程式防火牆 (WAF) 功能,Azure 應用程式閘道、Azure Front Door 和 Azure 內容傳遞網路 (CDN) 來保護您的應用程式、服務和 API 免于應用層攻擊。
藉由在 Azure 虛擬網路上啟用 DDoS 標準保護,保護您的資產免于遭受 DDoS 攻擊。
使用Azure 資訊安全中心來偵測與上述相關的錯誤設定風險。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
NS-5:部署入侵偵測/入侵預防系統 (IDS/IPS)
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
使用 Azure 防火牆以威脅情報為依據的篩選,警示及 (或) 封鎖進出已知惡意 IP 位址與網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 需要承載檢查時,您可以使用 Azure 防火牆 Premium IDPS功能,或使用承載檢查功能部署 Azure Marketplace協力廠商入侵偵測/入侵防護系統 (IDS/IPS) 。 或者,您也可以使用主機型 IDS/IPS 或主機型端點偵測和回應, (EDR) 解決方案搭配 或 ,而不是網路型 IDS/IPS。
注意:如果您有 IDS/IPS 使用的法規或其他需求,請確定它一律經過微調,以提供高品質的警示給 SIEM 解決方案。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
NS-6:簡化網路安全性規則
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
利用服務標籤和應用程式安全性群組 (ASG) 來簡化網路安全性規則。
使用虛擬網路服務標籤來定義網路安全性群組或Azure 防火牆的網路存取控制。 建立安全性規則時,您可以使用服務標籤取代特定的 IP 位址。 藉由在規則的來源或目的地欄位中指定服務標籤名稱,您可以允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤。
您也可以使用應用程式安全性群組來協助簡化複雜的安全性設定。 應用程式安全性群組可讓您將網路安全性群組設定為應用程式結構的自然延伸,讓您能夠根據這些群組將虛擬機器分組,並定義網路安全性原則,而不是根據網路安全性群組中明確 IP 位址來定義原則。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
NS-7:安全網域名稱服務 (DNS)
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| NS-7 | N/A | SC-20、SC-21 |
遵循 DNS 安全性的最佳做法來降低常見攻擊的風險,例如無關聯 DNS、DNS 放大攻擊、DNS 中毒與詐騙等等。
使用 Azure DNS 作為您的授權 DNS 服務時,請確定 DNS 區域和記錄會受到保護,以免使用 Azure RBAC 和資源鎖定進行意外或惡意的修改。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :