網路安全性涵蓋保護及保護 Azure 網路的控件,包括保護虛擬網路、建立私人連線、防止和減輕外部攻擊,以及保護 DNS。
NS-1:建立網路分割界限
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性原則:確定您的虛擬網路部署符合 GS-2 安全性控制中定義的企業分割策略。 任何可能給組織帶來較高風險的工作負載都應該位於隔離的虛擬網路中。 高風險工作負載的範例包括:
- 儲存或處理高度敏感性資料的應用程式。
- 由組織外部人員或使用者存取的外部網路面向應用程式。
- 使用不安全架構的應用程式,或包含無法輕易補救的弱點。
若要增強企業分割策略,請使用網路控制來限制或監視內部資源之間的流量。 針對特定且定義完善的應用程式 (例如 3 層應用程式),這可以是高度安全的「預設為拒絕、根據例外狀況允許」方法,也就是限制網路流量的連接埠、通訊協定、來源和目的地 IP。 如果您有許多應用程式和端點彼此互動,則封鎖流量可能無法妥善調整,且您僅能監視流量。
Azure 指引:在 Azure 網路中建立虛擬網路 (VNet) 作為基本分割方法,因此 VM 等資源可以部署到網路界限內的 VNet。 若要進一步區隔網路,您可以在 VNet 內為較小的子網路建立子網路。
使用網路安全性群組 (NSG) 作為網路層控制,以透過連接埠、通訊協定、來源 IP 位址或目的地 IP 位址來限制或監視流量。
您也可以使用應用程式安全性群組 (ASG) 來簡化複雜的設定。 ASG 不會根據網路安全性群組中的明確 IP 位址來定義原則,而是讓您將網路安全設定為應用程式結構的自然延伸,以便您根據這些群組來分組虛擬機器和定義網路安全性原則。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-2:使用網路控制保護雲端服務
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:藉由為資源建立私人存取點來保護雲端服務。 您也可以盡可能停用或限制來自公用網路的存取。
Azure 指引:針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私人存取點。 您也應該在可行的情況下停用或限制對服務的公用網路存取。
針對特定服務,您也可以選擇為服務部署 VNet 整合,而您可以在其中限制 VNet 以建立服務的私人存取點。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-3:在商業網路邊緣部署防火牆
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4、SC-7、CM-7 | 1.1, 1.2, 1.3 |
安全性準則:部署防火牆,以對來自外部網路的網路流量執行進階篩選。 您也可以使用內部區段之間的防火牆來支援分割策略。 如有需要,當您需要強制網路流量通過網路設備以進行安全性控制時,請使用子網路的自訂路由來覆寫系統路由。
至少封鎖已知的不良 IP 位址和高風險通訊協定,例如遠端系統管理 (例如 RDP 和 SSH) 和內部網路通訊協定 (例如 SMB 和 Kerberos)。
Azure 指引:使用 Azure 防火牆提供完整的具狀態應用層流量限制(例如 URL 篩選),並/或針對大量企業網路區段或從屬節點進行集中管理(在中樞/從屬拓撲中)。
如果您有複雜的網路拓撲,例如中樞/輪輻設定,您可能需要建立使用者定義的路由 (UDR),以確保流量通過所需的路由。 例如,您可以選擇使用 UDR,透過特定的 Azure 防火牆或網路虛擬設備將輸出網際網路流量重新導向。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-4:部署入侵偵測/入侵預防系統 (IDS/IPS)
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7、SI-4 | 11.4 |
安全性原則:使用網路入侵檢測和入侵預防系統 (IDS/IPS) 來檢查您工作負載的網路和承載流量。 確保 IDS/IPS 一律調整為將高品質警示提供給您的 SIEM 解決方案。
如需更深入的主機層級偵測和預防功能,請搭配網路 IDS/IPS 使用主機型 IDS/IPS 或主機型端點偵測及回應 (EDR) 解決方案。
Azure 指引:在您的網路上使用 Azure 防火牆的 IDPS 功能來警示和/或封鎖來自已知惡意 IP 位址和網域的流量。
如需更深入的主機層級偵測和預防功能,請部署主機型 IDS/IPS 或主機型端點偵測及回應 (EDR) 解決方案,例如適用於端點的 Microsoft Defender,並在 VM 層級與網路 IDS/IPS 搭配使用。
實作和其他內容:
- Azure 防火牆 入侵偵測與防禦系統 (IDPS)
- 適用於端點的 Microsoft Defender 功能
客戶安全利害關係人(深入瞭解):
NS-5:部署 DDoS 保護
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1, 1.2, 1.3, 6.6 |
安全性原則:部署分散式阻斷服務 (DDoS) 保護,以保護您的網路和應用程式免於遭受攻擊。
Azure 指引:在您的 VNet 上啟用 DDoS 標準保護計劃,以保護公開至公用網路的資源。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-6:部署 Web 應用程式防火牆
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 系列 | 1.1, 1.2, 1.3 |
安全性原則:部署 Web 應用程式防火牆 (WAF)並設定適當的規則,以保護 Web 應用程式和 API 免於應用程式特定的攻擊。
Azure 指引:使用 Azure 應用程式閘道、Azure Front Door 和 Azure 內容傳遞網路 (CDN) 中的 Web 應用程式防火牆 (WAF) 功能來保護應用程式、服務和 API,以防止網路邊緣的應用程式、服務和 API 遭受應用層攻擊。 根據您的需求和威脅環境,在「偵測」或「預防模式」中設定 WAF。 選擇內建規則集,例如 OWASP 前 10 大弱點,並其微調至您的應用程式。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-7:簡化網路安全性設定
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性原則:管理複雜的網路環境時,請使用工具來簡化、集中及增強網路安全性管理。
Azure 指引:使用下列功能來簡化 NSG 和 Azure 防火牆規則的實作和管理:
- 使用適用於雲端的 Microsoft Defender 自適性網路強化來建議 NSG 強化規則,以根據威脅情報和流量分析結果進一步限制連接埠、通訊協定和來源 IP。
- 使用 Azure 防火牆管理員來集中處理虛擬網路的防火牆原則和路由管理。 若要簡化防火牆規則和網路安全性群組實作,您也可以使用 Azure 防火牆管理員 ARM (Azure Resource Manager) 範本。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-8:偵測和停用不安全的服務和通訊協定
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
安全性原則:在 OS、應用程式或軟體套件層偵測和停用不安全的服務與通訊協定。 如果無法停用不安全的服務和通訊協定,請部署補償控制項。
Azure 指引:使用 Azure Sentinel 的內建 Insecure 通訊協定活頁簿來探索使用不安全的服務與通訊協定,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Unsigned LDAP Binds 和 Kerberos 中的弱式加密。 停用不符合適當安全性標準的不安全服務和通訊協定。
注意:如果無法停用不安全的服務或通訊協定,請使用補償控件,例如封鎖透過網路安全組、Azure 防火牆或 Azure Web 應用程式防火牆存取資源,以減少受攻擊面。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-9:私密地連接內部部署或雲端網路
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | N/A |
安全性準則:使用私人連線來保護不同網路之間的通訊,例如共置環境中的雲端服務提供者數據中心和內部部署基礎結構。
Azure 指引:使用私人連線來保護不同網路之間的通訊,例如共置環境中的雲端服務提供者數據中心和內部部署基礎結構。
針對站對站或點對站之間的輕量連線,請使用 Azure 虛擬私人網路 (VPN) 建立內部部署站台或使用者裝置與 Azure 虛擬網路之間的安全連線。
針對企業級高效能連線,請使用 Azure ExpressRoute (或虛擬 WAN) 在共置環境中連線 Azure 資料中心和內部部署基礎結構。
將兩個以上的 Azure 虛擬網路連線在一起時,請使用虛擬網路對等互連。 對等互連虛擬網路之間的網路流量是私人的,並保留在 Azure 骨幹網路上。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
NS-10:確保網域名稱系統 (DNS) 安全性
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20、SC-21 | N/A |
安全性原則:確定網域名稱系統(DNS)安全性設定可防範已知風險:
- 在雲端環境中使用受信任的授權和遞迴 DNS 服務,以確保用戶端 (例如作業系統和應用程式) 收到正確的解析結果。
- 分隔公用和私人 DNS 解析,讓私人網路的 DNS 解析程序可以與公用網路隔離。
- 請確定您的 DNS 安全性策略也包含一般攻擊的風險降低措施,例如懸空 DNS、DNS 放大攻擊、DNS 污染和詐騙等。
Azure 指引:在您的工作負載遞歸 DNS 設定中使用 Azure 遞歸 DNS 或受信任的外部 DNS 伺服器,例如在 VM 的作系統或應用程式中。
使用 Azure 私人 DNS 進行私人 DNS 區域設定,其中 DNS 解析程序不會離開虛擬網路。 使用自訂 DNS 來限制只允許對用戶端進行信任解析的 DNS 解析。
針對工作負載或 DNS 服務的下列安全性威脅,使用適用於 DNS 的 Azure Defender 提供進階保護:
- 使用 DNS 通道從 Azure 資源外流資料
- 與命令和控制伺服器通訊的惡意程式碼
- 以網路釣魚和加密貨幣採礦的形式與惡意網域通訊
- 與惡意 DNS 解析程式通訊的 DNS 攻擊
如果您解除委任 App Service 網站而不從 DNS 登錄器移除其自訂網域,您也可以使用適用於 App Service 的 Azure Defender 來偵測懸空的 DNS 記錄。
實作和其他內容:
客戶安全利害關係人(深入瞭解):