安全性控制 v3:網路安全性
網路安全性涵蓋保護及保護 Azure 網路的控制措施,包括保護虛擬網路、建立私人連線、防止及減輕外部攻擊,以及保護 DNS。
NS-1:建立網路分割界限
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:確定您的虛擬網路部署符合 GS-2 安全性控制中定義的企業分割策略。 任何可能會對組織產生較高風險的工作負載,都應該位於隔離的虛擬網路中。 高風險工作負載的範例包括:
- 儲存或處理高度敏感性資料的應用程式。
- 由組織外部的公用或使用者存取的外部網路對應應用程式。
- 使用不安全架構的應用程式,或包含無法輕易補救的弱點。
若要增強企業分割策略,請使用網路控制來限制或監視內部資源之間的流量。 針對特定、定義完善的應用程式 (例如 3 層應用程式) ,這可以是高度安全的「預設拒絕,允許例外狀況」方法,方法是限制網路流量的埠、通訊協定、來源和目的地 IP。 如果您有許多應用程式和端點彼此互動,封鎖流量可能無法妥善調整,而且您只能監視流量。
Azure 指引:建立虛擬網路 (VNet) 作為 Azure 網路中的基本分割方法,因此 VM 等資源可以部署到網路界限內的 VNet。 若要進一步區隔網路,您可以在 VNet 內為較小的子網路建立子網。
使用網路安全性群組 (NSG) 作為網路層控制,以透過埠、通訊協定、來源 IP 位址或目的地 IP 位址來限制或監視流量。
您也可以使用應用程式安全性群組 (ASG) 來簡化複雜的設定。 ASG 可讓您將網路安全性設定為應用程式結構的自然延伸,讓您能夠根據這些群組來分組虛擬機器,並定義網路安全性原則,而不是根據網路安全性群組中明確 IP 位址來定義原則。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-2:使用網路控制保護雲端服務
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:為資源建立私人存取點來保護雲端服務。 您也應該盡可能停用或限制來自公用網路的存取。
Azure 指引:針對支援Private Link功能的所有 Azure 資源部署私人端點,以建立資源的私用存取點。 您也應該在可行的情況下停用或限制對服務的公用網路存取。
對於某些服務,您也可以選擇為服務部署 VNet 整合,其中您可以限制 VNET 為服務建立私人存取點。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-3:在商業網路邊緣部署防火牆
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4、SC-7、CM-7 | 1.1, 1.2, 1.3 |
安全性準則:部署防火牆,以對外部網路的網路流量執行進階篩選。 您也可以在內部區段之間使用防火牆來支援分割策略。 如有需要,請在需要強制網路流量通過網路設備以進行安全性控制時,使用子網的自訂路由來覆寫系統路由。
至少封鎖已知的不良 IP 位址和高風險通訊協定,例如遠端系統管理 (例如 RDP 和 SSH) 和內部網路通訊協定 (,例如 SMB 和 Kerberos) 。
Azure 指引:使用 Azure 防火牆 提供完整具狀態應用層流量限制 (,例如在中樞/輪輻) 拓撲中,透過大量企業區段或輪 (輻) 和/或集中管理 URL 篩選和/或集中管理。
如果您有複雜的網路拓撲,例如中樞/輪輻設定,您可能需要建立使用者定義的路由 (UDR) ,以確保流量通過所需的路由。 例如,您可以選擇使用 UDR,透過特定Azure 防火牆或網路虛擬裝置重新導向輸出網際網路流量。
實作和其他內容:
- 如何部署Azure 防火牆
- 虛擬網路流量路由 \(部分機器翻譯\)
客戶安全性專案關係人 (深入瞭解) :
NS-4:部署入侵偵測/入侵防護系統 (IDS/IPS)
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7、SI-4 | 11.4 |
安全性準則:使用網路入侵偵測和入侵防護系統 (IDS/IPS) 來檢查您工作負載的網路和承載流量。 請確定 IDS/IPS 一律經過微調,為 SIEM 解決方案提供高品質的警示。
如需更深入的主機層級偵測和防護功能,請使用主機型 IDS/IPS 或主機型端點偵測及回應 (EDR) 解決方案搭配網路識別碼/IPS。
Azure 指引:在您的網路上使用Azure 防火牆的 IDPS 功能來警示和/或封鎖來自已知惡意 IP 位址和網域的流量。
如需更深入的主機層級偵測和防護功能,請部署主機型 IDS/IPS 或主機型端點偵測及回應 (EDR) 解決方案,例如在 VM 層級與網路識別碼/IPS 搭配使用適用於端點的 Microsoft Defender。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-5:部署 DDOS 保護
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1, 1.2, 1.3, 6.6 |
安全性準則:部署分散式阻斷服務 (DDoS) 保護,以保護網路和應用程式免于遭受攻擊。
Azure 指引:在您的 VNet 上啟用 DDoS 標準保護計劃,以保護公開至公用網路的資源。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-6:部署 Web 應用程式防火牆
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
安全性準則: (WAF 部署 Web 應用程式防火牆) ,並設定適當的規則,以保護 Web 應用程式和 API 免于應用程式特定的攻擊。
Azure 指引:使用 Web 應用程式防火牆 (WAF) 功能,Azure 應用程式閘道、Azure Front Door 和 Azure 內容傳送網絡 (CDN) 來保護應用程式、服務和 API,以防止網路邊緣的應用程式、服務和 API 遭受應用層攻擊。 根據您的需求和威脅環境,以「偵測」或「預防模式」設定 WAF。 選擇內建規則集,例如 OWASP 前 10 個弱點,並將其調整為您的應用程式。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-7:簡化網路安全性設定
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:管理複雜的網路環境時,請使用工具來簡化、集中並增強網路安全性管理。
Azure 指引:使用下列功能來簡化 NSG 和Azure 防火牆規則的實作和管理:
- 使用適用於雲端的 Microsoft Defender調適型網路強化來建議 NSG 強化規則,以根據威脅情報和流量分析結果進一步限制埠、通訊協定和來源 IP。
- 使用Azure 防火牆管理員集中化防火牆原則和路由管理虛擬網路。 若要簡化防火牆規則和網路安全性群組實作,您也可以使用 Azure 防火牆 Manager ARM (Azure Resource Manager) 範本。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-8:偵測和停用不安全的服務與通訊協定
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
安全性準則:在 OS、應用程式或軟體套件層偵測及停用不安全的服務與通訊協定。 如果無法停用不安全的服務與通訊協定,請部署補償控制項。
Azure 指引:使用 Azure Sentinel 的內建不安全通訊協定活頁簿,探索使用 Kerberos 中的不安全服務和通訊協定,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Unsigned LDAP Binds 和弱式加密。 停用不符合適當安全性標準的不安全服務和通訊協定。
注意:如果無法停用不安全的服務或通訊協定,請使用補償控制項,例如封鎖透過網路安全性群組、Azure 防火牆或 Azure Web 應用程式防火牆存取資源,以減少受攻擊面。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-9:私下連線內部部署或雲端網路
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | N/A |
安全性準則:使用私人連線來保護不同網路之間的通訊,例如雲端服務提供者資料中心和共置環境中的內部部署基礎結構。
Azure 指引:使用私人連線來保護不同網路之間的通訊,例如雲端服務提供者資料中心和共置環境中的內部部署基礎結構。
針對站對站或點對站之間的輕量型連線,請使用 Azure 虛擬私人網路 (VPN) 建立內部部署網站或使用者裝置與 Azure 虛擬網路之間的安全連線。
針對企業級高效能連線,請使用 Azure ExpressRoute (或Virtual WAN) ,在共置環境中連線 Azure 資料中心和內部部署基礎結構。
將兩個或多個 Azure 虛擬網路連線在一起時,請使用虛擬網路對等互連。 對等互連虛擬網路之間的網路流量是私人的,而且會保留在 Azure 骨幹網路上。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-10:確定網域名稱系統 (DNS) 安全性
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20、SC-21 | N/A |
安全性準則:確定網域名稱系統 (DNS) 安全性設定可防範已知風險:
- 在您的雲端環境中使用受信任的授權和遞迴 DNS 服務,以確保用戶端 (,例如作業系統和應用程式) 收到正確的解析結果。
- 分隔公用和私人 DNS 解析,讓私人網路的 DNS 解析程式可以與公用網路隔離。
- 請確定您的 DNS 安全性策略也包含防護功能,以防止常見的攻擊,例如空空的 DNS、DNS 放大攻擊、DNS 有害和詐騙等等。
Azure 指引:在工作負載遞迴 DNS 設定中使用 Azure 遞迴 DNS 或受信任的外部 DNS 伺服器,例如 VM 的作業系統或應用程式中。
針對 DNS 解析程式不會離開虛擬網路的私人 DNS 區域設定使用 Azure 私用 DNS。 使用自訂 DNS 來限制只允許用戶端信任解析的 DNS 解析。
針對工作負載或 DNS 服務的下列安全性威脅,使用適用于 DNS 的 Azure Defender 進行進階保護:
- 使用 DNS 通道從您的 Azure 資源將資料外流
- 與命令與控制伺服器通訊的惡意程式碼
- 與惡意網域通訊,以進行網路釣魚和密碼編譯採礦
- 與惡意 DNS 解析程式通訊中的 DNS 攻擊
如果您解除委任App Service網站而不從 DNS 註冊機構移除其自訂網域,您也可以使用適用于 App Service 的 Azure Defender 來偵測 DNS 記錄。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :