使用適用於雲端的 Microsoft Defender 取得網路安全性建議
網路安全性涵蓋眾多技術、裝置和程序。 其提供一組規則和設定,設計目的是為了保護電腦網路和資料的完整性、機密性和可及性。 無論大小、產業或基礎結構為何,所有組織都需要有某種程度的網路安全性解決方案,以防範不斷成長的攻擊風險。
對 Microsoft Azure 來說,保護微服務、VM、資料和其他項目,或是提供保護上述項目的能力至關重要。 Microsoft Azure 會透過分散式虛擬防火牆確保這點。
Microsoft Azure 中的虛擬網路會與其他網路隔離,同時透過私人 IP 位址通訊。
網路安全性
網路安全性涵蓋保護與防護 Azure 網路的控制措施,包括保護虛擬網路、建立私人連線、預防及減少外部攻擊,以及保護 DNS。 如需控制措施的完整描述,可以前往 Microsoft Docs 上的安全性控制措施 V3 網路安全性。
NS-1:建立網路分割界限
安全性準則:確定您的虛擬網路部署符合 GS-2 安全性控制中定義的企業分割策略。 任何可能給組織帶來較高風險的工作負載都應該位於隔離的虛擬網路中。 高風險工作負載的範例包括:
- 儲存或處理高度敏感性資料的應用程式。
- 由組織外部人員或使用者存取的外部網路面向應用程式。
- 使用不安全架構的應用程式,或包含無法輕易補救的弱點。
若要增強企業分割策略,請使用網路控制來限制或監視內部資源之間的流量。 針對特定且定義完善的應用程式 (例如 3 層應用程式),這可以是高度安全的「預設為拒絕、根據例外狀況允許」方法,也就是限制網路流量的連接埠、通訊協定、來源和目的地 IP。 如果您有許多應用程式和端點彼此互動,則封鎖流量可能無法妥善調整,且您僅能監視流量。
Azure 指導:在 Azure 網路中建立虛擬網路 (VNet) 作為基本分割方法,因此 VM 等資源可以部署至網路界限內的 VNet。 若要進一步區隔網路,您可以在 VNet 內為較小的子網路建立子網路。
使用網路安全性群組 (NSG) 作為網路層控制,以透過連接埠、通訊協定、來源 IP 位址或目的地 IP 位址來限制或監視流量。
您也可以使用應用程式安全性群組 (ASG) 來簡化複雜的設定。 ASG 不會根據網路安全性群組中的明確 IP 位址來定義原則,而是讓您將網路安全設定為應用程式結構的自然延伸,以便您根據這些群組來分組虛擬機器和定義網路安全性原則。
NS-2:使用網路控制保護雲端服務
安全性準則:藉由為資源建立私人存取點來保護雲端服務。 您也可以盡可能停用或限制來自公用網路的存取。
Azure 指導:針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私人存取點。 您也應該在可行的情況下停用或限制對服務的公用網路存取。
針對特定服務,您也可以選擇為服務部署 VNet 整合,而您可以在其中限制 VNet 以建立服務的私人存取點。
NS-3:在商業網路邊緣部署防火牆
安全性準則:部署防火牆,以對來自外部網路的網路流量執行進階篩選。 您也可以使用內部區段之間的防火牆來支援分割策略。 如有需要,當您需要強制網路流量通過網路設備以進行安全性控制時,請使用子網路的自訂路由來覆寫系統路由。
至少封鎖已知的不良 IP 位址和高風險通訊協定,例如遠端系統管理 (例如 RDP 和 SSH) 和內部網路通訊協定 (例如 SMB 和 Kerberos)。
Azure 指導:使用 Azure 防火牆提供完整具狀態應用程式層流量限制 (例如 URL 篩選) 和/或大量企業區段或輪輻的集中管理 (在中樞/輪輻拓撲中)。
如果您有複雜的網路拓撲,例如中樞/輪輻設定,您可能需要建立使用者定義的路由 (UDR),以確保流量通過所需的路由。 例如,您可以選擇使用 UDR,透過特定的 Azure 防火牆或網路虛擬設備將輸出網際網路流量重新導向。
NS-4:部署入侵偵測/入侵預防系統 (IDS/IPS)
安全性準則:使用網路入侵偵測和入侵預防系統 (IDS/IPS) 來檢查您工作負載的網路和承載流量。 確保 IDS/IPS 一律調整為將高品質警示提供給您的 SIEM 解決方案。
如需更深入的主機層級偵測和預防功能,請搭配網路 IDS/IPS 使用主機型 IDS/IPS 或主機型端點偵測及回應 (EDR) 解決方案。
Azure 指導:在您的網路上使用 Azure 防火牆的 IDPS 功能來警示和/或封鎖來自已知惡意 IP 位址和網域的流量。
如需更深入的主機層級偵測和預防功能,請部署主機型 IDS/IPS 或主機型端點偵測及回應 (EDR) 解決方案,例如適用於端點的 Microsoft Defender,並在 VM 層級與網路 IDS/IPS 搭配使用。
NS-5:部署 DDoS 保護
安全性準則:部署分散式阻斷服務 (DDoS) 保護,以保護您的網路和應用程式免於遭受攻擊。
Azure 指導:在您的 VNet 上啟用 DDoS 網路保護計劃,以保護公開至公用網路的資源。
NS-6:部署 Web 應用程式防火牆
安全性準則:部署 Web 應用程式防火牆 (WAF) 並設定適當的規則,以保護 Web 應用程式和 API 免於應用程式特定的攻擊。
Azure 指導:使用 Azure 應用程式閘道、Azure Front Door 和 Azure 內容傳遞網路 (CDN) 中的 Web 應用程式防火牆 (WAF) 功能來保護應用程式、服務和 API,以防止應用程式、服務和 API 在網路邊緣遭受應用程式層攻擊。 根據您的需求和威脅環境,在「偵測」或「預防模式」中設定 WAF。 選擇內建規則集,例如 OWASP 前 10 大弱點,並其微調至您的應用程式。
NS-7:簡化網路安全性設定
安全性準則:管理複雜的網路環境時,使用工具來簡化、集中及增強網路安全性管理。
Azure 指導:使用下列功能來簡化 NSG 和 Azure 防火牆規則的實作和管理:
- 使用適用於雲端的 Microsoft Defender 自適性網路強化來建議 NSG 強化規則,以根據威脅情報和流量分析結果進一步限制連接埠、通訊協定和來源 IP。
- 使用 Azure 防火牆管理員來集中處理虛擬網路的防火牆原則和路由管理。 若要簡化防火牆規則和網路安全性群組實作,您也可以使用 Azure 防火牆管理員 ARM (Azure Resource Manager) 範本。
NS-8:偵測和停用不安全的服務和通訊協定
安全性準則:在 OS、應用程式或軟體套件層偵測和停用不安全的服務與通訊協定。 如果無法停用不安全的服務和通訊協定,請部署補償控制項。
Azure 指導:使用 Azure Sentinel 的內建 Insecure 通訊協定活頁簿來探索不安全服務與通訊協定的使用,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、未簽署的 LDAP 繫結和 Kerberos 中的弱式加密。 停用不符合適當安全性標準的不安全服務和通訊協定。
注意
如果無法停用不安全的服務或通訊協定,請使用補償控制項,例如封鎖透過網路安全性群組、Azure 防火牆或 Azure Web 應用程式防火牆存取資源,以縮小受攻擊面。
NS-9:私人連線內部部署或雲端網路
安全性準則:使用私人連線來保護不同網路之間的通訊,例如共置環境中的雲端服務提供者資料中心和內部部署基礎結構。
Azure 指導:使用私人連線來保護不同網路之間的通訊,例如共置環境中的雲端服務提供者資料中心和內部部署基礎結構。
針對站對站或點對站之間的輕量連線,請使用 Azure 虛擬私人網路 (VPN) 建立內部部署站台或使用者裝置與 Azure 虛擬網路之間的安全連線。
針對企業級高效能連線,請使用 Azure ExpressRoute (或虛擬 WAN) 在共置環境中連線 Azure 資料中心和內部部署基礎結構。
將兩個以上的 Azure 虛擬網路連線在一起時,請使用虛擬網路對等互連。 對等互連虛擬網路之間的網路流量是私人的,且會保留在 Azure 骨幹網路上。
NS-10:確保網域名稱系統 (DNS) 安全性
安全性準則:確定網域名稱系統 (DNS) 安全性設定可防範已知風險:
- 在雲端環境中使用受信任的授權和遞迴 DNS 服務,以確保用戶端 (例如作業系統和應用程式) 收到正確的解析結果。
- 分隔公用和私人 DNS 解析,讓私人網路的 DNS 解析程序可以與公用網路隔離。
- 請確定您的 DNS 安全性策略也包含一般攻擊的風險降低措施,例如懸空 DNS、DNS 放大攻擊、DNS 污染和詐騙等。
Azure 指導:在您的工作負載遞迴 DNS 設定中使用 Azure 遞迴 DNS 或受信任的外部 DNS 伺服器,例如在 VM 的作業系統或應用程式中。
使用 Azure 私人 DNS 進行私人 DNS 區域設定,其中 DNS 解析程序不會離開虛擬網路。 使用自訂 DNS 來限制只允許對用戶端進行信任解析的 DNS 解析。
針對工作負載或 DNS 服務的下列安全性威脅,使用適用於 DNS 的 Azure Defender 提供進階保護:
- 使用 DNS 通道從 Azure 資源外流資料
- 與命令和控制伺服器通訊的惡意程式碼
- 以網路釣魚和加密貨幣採礦的形式與惡意網域通訊
- 與惡意 DNS 解析程式通訊的 DNS 攻擊
如果您解除委任 App Service 網站而不從 DNS 登錄器移除其自訂網域,您也可以使用適用於 App Service 的 Azure Defender 來偵測懸空的 DNS 記錄。
Microsoft 雲端安全性基準
Microsoft 發現使用安全性基準測試可協助您快速保護雲端部署。 來自雲端服務提供者的完整安全性最佳做法架構可提供您在雲端環境中選取特定安全性組態設定、跨多個服務提供者,以及讓您使用單一管理平台來監視這些設定的起點。
Microsoft 雲端安全性基準 (MCSB) 包含一系列具有高度影響的安全性建議,可用來協助保護單一或多重雲端環境中的雲端服務。 MCSB 建議包含兩個關鍵層面:
- 安全性控制:這些建議通常適用於您的雲端工作負載。 每項建議都會找出一組清單,列出通常與規劃、核准或基準實作相關的利害關係人。
- 服務基準:這些基準會對個別 Azure 服務套用控制,以針對該特定服務的安全性設定提供建議。 我們目前只有 Azure 可用的服務基準。
實作 Microsoft 雲端安全性基準
- 檢閱企業控制項和服務特定基準的文件來規劃您的控制架構,以及如何對應至 Center for Internet Security (CIS) 控制、國家標準暨技術研究院 (NIST) 和支付卡產業資料安全性標準 (PCI-DSS) 架構等指導方針,以規劃您的 MCSB 實作。
- 使用適用於雲端的 Microsoft Defender – 多雲端環境的法規合規性儀表板,監視您 MCSB 狀態 (和其他控制集) 的合規性。
- 建立防護措施,以使用 Azure 藍圖、Azure 原則或來自其他雲端平台的對等技術等功能,將安全設定自動化,並強制執行 MCSB (和其他需求) 的合規性。
辭彙
Microsoft 雲端安全性基準文件中經常使用控制及基準,了解 Azure 如何使用這些字詞相當重要。
| 字詞 | 說明 | 範例 |
|---|---|---|
| 控制 | 「控制」是需要解決之功能或活動的概略描述,且不限於特定技術或實作。 | 資料保護就是其中一種安全性控制系列。 資料保護包含必須解決以確保資料受到保護的特定動作。 |
| 基準 | 基準是在個別 Azure 服務上實作控制。 每個組織會各自指定基準建議,而在 Azure 中需要對應的設定。 注意:目前我們只有 Azure 可用的服務基準。 | Contoso 公司想要藉由遵循 Azure SQL 安全性基準中建議的設定,來獲得 Azure SQL 安全性功能。 |
使用適用於雲端的 Microsoft Defender 符合法規
適用於雲端的 Microsoft Defender 會利用法規合規性儀表板,協助您簡化達到法規合規性需求的程序。
法規合規性儀表板會針對您所選擇的標準與法規,顯示您環境內所有評定的狀態。 當您對建議採取動作並降低環境中的風險因素時,您的合規性態勢也會隨著改善。
法規合規性儀表板
該儀表板會顯示您的合規性狀態概觀,與一組支援的合規性法規。 您可以看到整體的合規性分數,以及與各項標準相關之通過和未通過的評定數目。
合規性控制措施
- 套用標準的訂閱。
- 該標準的所有控制措施清單。
- 檢視該控制措施相關評定的通過與未通過詳細資料。
- 受影響資源的數目。
有些控制項呈現灰色。這些控制項沒有任何相關聯之適用於雲端的 Microsoft Defender 評定。 檢查其需求,並在您的環境中加以評定。 其中有些需求可能與程序相關,而非技術性。
探索具有特定標準的合規性詳細資料
若要產生具有特定標準之目前合規性狀態摘要的 PDF 報告,請選取 [下載報告]。
報告會根據適用於雲端的 Microsoft Defender 評定資料,為所選標準提供合規性狀態的概略摘要。 報告會根據該標準的控制措施呈現資料。 此報告可與相關利害關係人共用,並且可以向內部與外部稽核者提供證據。
適用於雲端之 Microsoft Defender 的警示
適用於雲端的 Microsoft Defender 會自動收集、分析及整合您 Azure 資源、網路和已連線合作夥伴解決方案 (例如防火牆和端點保護解決方案) 的記錄資料,來偵測真正的威脅並減少誤判情形。 適用於雲端的 Microsoft Defender 會顯示按優先順序排列的安全性警訊清單,以及快速調查問題所需的資訊和補救攻擊的步驟。
管理安全性警示
適用於雲端的 Microsoft Defender 概觀頁面在頁面頂端顯示 [安全性警訊] 磚,並在側邊欄中顯示其連結。
[安全性警示] 頁面顯示作用中警示。 您可以依嚴重性、警示標題、受影響的資源、活動開始時間、 MITRE ATTACK 策略與狀態來排序清單。
若要篩選警示清單,請選取任何相關的篩選。 您可以使用 [新增篩選] 選項進一步新增篩選。
清單會根據您已選取的篩選選項進行更新。 篩選很有幫助。 例如,您在調查系統中可能的安全性缺口,因此想要處理過去 24 小時內所發生的安全性警示。
回應安全性警示
在 [安全性警示] 清單選取警示。 側邊窗格開啟後,會顯示警示和所有受影響資源的描述。
檢視完整的詳細資料會顯示進一步的資訊,如下圖所示:
[安全性警示] 頁面左側的窗格會顯示有關安全性警示的高階資訊:標題、嚴重性、狀態、活動時間、可疑活動的描述和受影響的資源。 受影響的資源旁是資源相關的 Azure 標籤。 調查警示時,請使用這些資訊推斷資源的組織內容。
右側窗格的 [警示詳細資料] 索引標籤,包含警示進一步的詳細資料,協助您調查 IP 位址、檔案、流程等問題。
[採取動作] 索引標籤同樣在右側窗格。使用此索引標籤可針對安全性警示採取進一步的動作。 這些動作包括:
- 減少威脅:提供此安全性警示的手動補救步驟。
- 預防未來的攻擊:提供安全性建議以協助縮小受攻擊面、提高安全性態勢,藉此預防未來的攻擊。
- 觸發自動回應:提供觸發邏輯應用程式的選項,作為此安全性警示的回應。
- 隱藏類似警示:當警示與組織無關時,可以選擇隱藏未來具類似特性的警示。