建立網路基準

5 分鐘

依設計，Azure 網路服務會將彈性、可用性、復原能力、安全性及完整性最大化。網路連線可存在於 Azure 中的資源之間、內部部署與 Azure 裝載資源之間，以及往返於網際網路和 Azure 之間。

Azure 網路安全性建議

下列各節將描述 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的 Azure 網路建議。每個建議都會包括可在 Azure 入口網站中完成的基本步驟。建議對您自己的訂閱完成所述步驟，並使用自己的資源來驗證每項安全性建議。請記住，層級 2 選項可能會限制一些功能或活動，因此請仔細考慮您要強制執行哪一些安全性選項。

限制來自網際網路的 RDP 和 SSH 存取 - 層級 1

您能夠使用遠端桌面通訊協定 (RDP) 和安全殼層 (SSH) 通訊協定來連線 Azure VM。您可以使用這些通訊協定，管理來自遠端位置的 VM。在資料中心運算過程中，這些是標準通訊協定。

在網際網路上使用 RDP 和 SSH 的潛在安全性問題，在於攻擊者可以使用暴力密碼破解技術來取得 Azure VM 的存取權。當攻擊者取得存取權後，就可以使用您的 VM 作為入侵虛擬網路上的其他機器，或甚至是攻擊 Azure 外部網路裝置的跳板。

建議針對您的 Azure VM 停用來自網際網路的直接 RDP 和 SSH 存取。針對 Azure 訂用帳戶中的每部 VM 完成下列步驟。

登入 Azure 入口網站。搜尋並選取 [虛擬機器]。
在左側功能表的 [設定] 底下，選取 [網路]。
在 [網路] 窗格中，確認 [輸入連接埠規則] 索引標籤沒有適用於 RDP 的規則，例如：port=3389, protocol = TCP, Source = Any or Internet。
確認 [輸入連接埠規則] 索引標籤沒有適用於 SSH 的規則，例如：port=22, protocol = TCP, Source = Any or Internet。

停用來自網際網路的直接 RDP 和 SSH 存取時，您還有其他選項可用於存取這些 VM 以進行遠端管理：

點對站 VPN
站對站 VPN
Azure ExpressRoute
Azure 堡壘主機

限制來自網際網路的 SQL Server 存取 - 層級 1

防火牆系統有助於防止未經授權存取電腦資源。如果防火牆已啟用但未正確設定，系統可能會封鎖與 SQL Server 連線的嘗試。

若要透過防火牆存取 SQL Server 的執行個體，您必須在執行 SQL Server 的電腦上設定防火牆。允許針對 IP 範圍 0.0.0.0/0 (起始 IP 為 0.0.0.0 且結束 IP 為 0.0.0.0) 的輸入，會允許開放存取任何及所有流量，並可能會使 SQL Server 資料庫容易受到攻擊。確定沒有任何 SQL Server 資料庫允許來自網際網路的輸入。針對每個 SQL Server 執行個體完成下列步驟。

登入 Azure 入口網站。搜尋並選取 [SQL 伺服器]。
在功能表窗格的 [安全性] 底下，選取 [網路]。
在 [網路] 窗格的 [公用存取] 索引標籤上，確定防火牆規則存在。確定沒有任何規則具有起始 IP 0.0.0.0 及結束 IP 0.0.0.0，或具有允許存取更廣泛 IP 範圍的其他組合。
若您變更任何設定，請選取 [儲存]。

啟用網路監看員 - 層級 1

NSG 流量記錄是一個 Azure 網路監看員功能，可為您提供通過 NSG 的 IP 輸入和輸出流量相關資訊。流量記錄會以 JSON 格式寫入，並顯示：

每個規則的輸出和輸入流量。
流量適用的網路介面 (NIC)。
關於流量的 5 元組資訊：來源和目的地 IP 位址、來源和目的地連接埠，以及使用的通訊協定。
是否要允許或拒絕流量。
在第 2 版中，位元組和封包等輸送量資訊。

登入 Azure 入口網站。搜尋並選取 [網路監看員]。
針對您的訂用帳戶和位置，選取 [網路監看員]。
如果您的訂用帳戶沒有任何 NSG 流量記錄，請建立 NSG 流量記錄。

設定超過 90 天的 NSG 流量記錄保留期間 - 層級 2

當您建立或更新訂用帳戶中的虛擬網路時，網路監看員會在虛擬網路的區域中自動啟用。自動啟用網路監看員時，您的資源不會受到影響且不會收取任何費用。

您可以使用 NSG 流量記錄來檢查異常狀況，並深入了解可疑的缺口。

登入 Azure 入口網站。搜尋並選取 [網路監看員]。
在左側功能表的 [記錄] 底下，選取 [NSG 流量記錄]。
選取 NSG 流量記錄。
確定 [保留 (天數)] 大於 90 天。
如果要變更任何設定，請在功能表列中選取 [儲存]。