建立網路基準

  • 5 分鐘

依設計,Azure 網路服務會將彈性、可用性、復原能力、安全性及完整性最大化。 網路連線可存在於 Azure 中的資源之間、內部部署與 Azure 裝載資源之間,以及往返於網際網路和 Azure 之間。

Azure 網路安全性建議

下列各節描述 CIS Microsoft Azure Foundations Security Benchmark v.3.0.0 中的 Azure 網路建議。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。 請記住 ,層級 2 選項可能會限制某些功能或活動,因此請仔細考慮您決定強制執行的安全性選項。

限制來自網際網路的 RDP 和 SSH 存取 - 層級 1

您可以使用遠端桌面通訊協定 (RDP) 和安全殼層 (SSH) 通訊協定來連線到 Azure VM。 您可以使用這些通訊協定,管理來自遠端位置的 VM。 在資料中心運算過程中,這些是標準通訊協定。

在網際網路上使用 RDP 和 SSH 的潛在安全性問題,在於攻擊者可以使用暴力密碼破解技術來取得 Azure VM 的存取權。 當攻擊者取得存取權後,就可以使用您的 VM 作為入侵虛擬網路上的其他機器,或甚至是攻擊 Azure 外部網路裝置的跳板。

建議針對您的 Azure VM 停用來自網際網路的直接 RDP 和 SSH 存取。 針對 Azure 訂用帳戶中的每部 VM 完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [虛擬機器]

  2. 選取虛擬機器。

  3. 在左側功能表的 [網路功能] 底下,選取 [網路設定]

  4. 確認 [輸入連接埠規則] 區段沒有 RDP 的規則,例如:port=3389, protocol = TCP, Source = Any or Internet 您可以使用 [刪除] 圖示來移除規則。

  5. 確認 [輸入連接埠規則] 區段沒有 SSH 的規則,例如:port=22, protocol = TCP, Source = Any or Internet。 您可以使用 [刪除] 圖示來移除規則。

VM 網路設定窗格的螢幕快照。

停用來自網際網路的直接 RDP 和 SSH 存取時,您還有其他選項可用於存取這些 VM 以進行遠端管理:

  • 點對站 VPN
  • 站對站 VPN
  • Azure ExpressRoute
  • Azure 堡壘主機

限制來自網際網路的 SQL Server 存取 - 層級 1

防火牆系統有助於防止未經授權存取電腦資源。 如果防火牆已啟用但未正確設定,系統可能會封鎖與 SQL Server 連線的嘗試。

若要透過防火牆存取 SQL Server 的執行個體,您必須在執行 SQL Server 的電腦上設定防火牆。 允許針對 IP 範圍 0.0.0.0/0 (起始 IP 為 0.0.0.0 且結束 IP 為 0.0.0.0) 的輸入,會允許開放存取任何及所有流量,並可能會使 SQL Server 資料庫容易受到攻擊。 確定沒有任何 SQL Server 資料庫允許來自網際網路的輸入。 針對每個 SQL Server 執行個體完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [SQL 伺服器]

  2. 在功能表窗格的 [安全性] 底下,選取 [網路]

  3. 在 [網路] 窗格的 [公用存取] 索引標籤上,確定防火牆規則存在。 請確定沒有任何規則具有起始IP為結束IP為,或任何允許存取較廣泛公用IP範圍的其他組合。

  4. 若您變更任何設定,請選取 [儲存]

顯示 [防火牆和虛擬網路] 窗格的螢幕快照。

啟用網路監看員 - 層級 1

NSG 流量記錄是一個 Azure 網路監看員功能,可為您提供通過 NSG 的 IP 輸入和輸出流量相關資訊。 流量記錄會以 JSON 格式寫入,並顯示:

  • 每個規則的輸出和輸入流量。
  • 流量適用的網路介面 (NIC)。
  • 關於流量的 5 元組資訊:來源和目的地 IP 位址、來源和目的地連接埠,以及使用的通訊協定。
  • 是否要允許或拒絕流量。
  • 在第 2 版中,位元組和封包等輸送量資訊。

  1. 登入 Azure 入口網站。 搜尋並選取 [網路監看員]

  2. 針對您的訂用帳戶和位置,選取 [網路監看員]

  3. 如果您的訂用帳戶沒有 NSG 流量記錄, 請建立 NSG 流量記錄

設定超過 90 天的 NSG 流量記錄保留期間 - 層級 2

當您建立或更新訂用帳戶中的虛擬網路時,網路監看員會在虛擬網路的區域中自動啟用。 自動啟用網路監看員時,您的資源不會受到影響且不會收取任何費用。

您可以使用 NSG 流量記錄來檢查異常狀況,並深入了解可疑的缺口。

  1. 登入 Azure 入口網站。 搜尋並選取 [網路監看員]

  2. 在左側功能表的 [記錄] 底下,選取 [NSG 流量記錄]

    顯示 N S G 流量記錄窗格的螢幕快照。

  3. 選取 NSG 流量記錄。

  4. 確定 [保留 (天數)] 大於 90 天。

  5. 如果變更了任何設定,請在功能表列中選取 [儲存]