Security Control v3: Hálózati biztonság

  • Cikk

A Hálózati biztonság az Azure-hálózatok védelmének és védelmének szabályozására terjed ki, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létrehozását, a külső támadások megelőzését és enyhítését, valamint a DNS védelmét.

NS-1: Hálózati szegmentálási határok létrehozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági elv: Győződjön meg arról, hogy a virtuális hálózat üzembe helyezése igazodik a GS-2 biztonsági vezérlőben meghatározott vállalati szegmentálási stratégiához. Minden olyan számítási feladatnak, amely nagyobb kockázatot jelenthet a szervezet számára, elkülönített virtuális hálózatokban kell lennie. A nagy kockázatú számítási feladatok közé tartoznak például a következők:

  • Az alkalmazások rendkívül bizalmas adatokat tárolnak vagy dolgoznak fel.
  • Külső, hálózattal rendelkező alkalmazás, amelyet a nyilvánosság vagy a szervezeten kívüli felhasználók érhetnek el.
  • Nem biztonságos architektúrát használó vagy nem könnyen orvosolható biztonsági réseket tartalmazó alkalmazás.

A vállalati szegmentálási stratégia továbbfejlesztéséhez korlátozza vagy monitorozza a belső erőforrások közötti forgalmat hálózati vezérlőkkel. Adott, jól definiált alkalmazások (például háromrétegű alkalmazások) esetében ez egy rendkívül biztonságos "alapértelmezés szerint megtagadás, kivétel szerinti engedélyezés" megközelítés lehet a hálózati forgalom portjainak, protokolljainak, forrás- és cél IP-címeinek korlátozásával. Ha sok alkalmazás és végpont kommunikál egymással, előfordulhat, hogy a forgalom blokkolása nem skálázható megfelelően, és előfordulhat, hogy csak a forgalmat tudja figyelni.

Azure-útmutató: Hozzon létre egy virtuális hálózatot (VNet) alapvető szegmentálási megközelítésként az Azure-hálózatban, hogy az erőforrások, például a virtuális gépek üzembe helyezhetők legyenek a virtuális hálózatban a hálózat határain belül. A hálózat további szegmentálásához alhálózatokat hozhat létre a VNeten belül a kisebb alhálózatokhoz.

Hálózati biztonsági csoportok (NSG) használata hálózati rétegbeli vezérlőként a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához vagy figyeléséhez.

Az összetett konfiguráció egyszerűsítéséhez alkalmazásbiztonsági csoportokat (ASG-ket) is használhat. Ahelyett, hogy explicit IP-címeken alapuló házirendet határoz meg a hálózati biztonsági csoportokban, az ASG-k lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként, lehetővé téve a virtuális gépek csoportosítását és a csoportok alapján történő hálózati biztonsági szabályzatok meghatározását.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági elv: A felhőszolgáltatások biztonságossá tételéhez hozzon létre egy privát hozzáférési pontot az erőforrásokhoz. Ha lehetséges, tiltsa le vagy korlátozza a nyilvános hálózatról való hozzáférést.

Azure-útmutató: Privát végpontok üzembe helyezése az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, privát hozzáférési pont létrehozása az erőforrásokhoz. Lehetőség szerint le kell tiltania vagy korlátoznia kell a nyilvános hálózati hozzáférést a szolgáltatásokhoz.

Bizonyos szolgáltatások esetében a virtuális hálózatok integrációját is üzembe helyezheti a szolgáltatásban, ahol korlátozhatja, hogy a virtuális hálózat privát hozzáférési pontot hozzon létre a szolgáltatás számára.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-3: Tűzfal üzembe helyezése a vállalati hálózat peremhálózatán

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Biztonsági elv: Tűzfal üzembe helyezése a külső hálózatokra érkező és kimenő hálózati forgalom speciális szűréséhez. A belső szegmensek közötti tűzfalak használatával is támogathatja a szegmentálási stratégiát. Ha szükséges, egyéni útvonalakat használjon az alhálózathoz a rendszerútvonal felülbírálásához, amikor a hálózati forgalmat biztonsági ellenőrzés céljából hálózati berendezésen kell áthaladnia.

Legalább blokkolja az ismert rossz IP-címeket és a magas kockázatú protokollokat, például a távfelügyeletet (például RDP és SSH) és az intranetes protokollokat (például SMB és Kerberos).

Azure-útmutató: A Azure Firewall használatával teljes mértékben állapotalapú alkalmazásrétegbeli forgalomkorlátozást (például URL-szűrést) és/vagy központi felügyeletet biztosít számos nagyvállalati szegmens vagy küllő felett (küllős topológiában).

Ha összetett hálózati topológiával rendelkezik, például küllős beállítással rendelkezik, előfordulhat, hogy felhasználói útvonalakat (UDR) kell létrehoznia, hogy a forgalom áthaladjon a kívánt útvonalon. Egy UDR használatával például átirányíthatja a kimenő internetes forgalmat egy adott Azure Firewall vagy egy hálózati virtuális berendezésen keresztül.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-4: Behatolásészlelő/behatolás-megelőzési rendszerek üzembe helyezése (IDS/IPS)

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Biztonsági elv: A hálózati behatolásészlelési és behatolás-megelőzési rendszerek (IDS/IPS) használatával vizsgálja meg a hálózati és hasznos adatforgalmat a számítási feladatba vagy onnan. Győződjön meg arról, hogy az IDS/IPS mindig úgy van hangolva, hogy kiváló minőségű riasztásokat biztosítson a SIEM-megoldásnak.

A gazdagépszintű észlelési és megelőzési képesség részletesebb megismerése érdekében használja a gazdagépalapú IDS/IPS-t vagy egy gazdagépalapú végponti észlelés és reagálás (EDR) megoldást a hálózati azonosítókkal/IPS-sel együtt.

Azure-útmutató: A hálózat Azure Firewall IDPS-képességének használatával riasztást küldhet és/vagy letilthat az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat.

A gazdagépszintű észlelési és megelőzési képesség részletesebb megismerése érdekében telepítsen gazdagépalapú IDS/IPS-t vagy gazdagépalapú végponti észlelés és reagálás (EDR) megoldást, például Végponthoz készült Microsoft Defender a virtuális gép szintjén, a hálózati azonosítókkal/IPS-sel együtt.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-5: DDOS-védelem üzembe helyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Biztonsági elv: Elosztott szolgáltatásmegtagadási (DDoS) védelem üzembe helyezése a hálózat és az alkalmazások támadások elleni védelme érdekében.

Azure-útmutató: Engedélyezze a DDoS standard védelmi tervét a virtuális hálózaton a nyilvános hálózatok számára elérhető erőforrások védelméhez.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-6: Webalkalmazási tűzfal üzembe helyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Biztonsági elv: Webalkalmazási tűzfal (WAF) üzembe helyezése és a megfelelő szabályok konfigurálása a webalkalmazások és API-k alkalmazásspecifikus támadások elleni védelméhez.

Azure-útmutató: A webalkalmazási tűzfal (WAF) képességeinek használata a Azure Application Gateway, az Azure Front Door és az Azure Content Delivery Network (CDN) esetében az alkalmazások, szolgáltatások és API-k védelméhez a hálózat peremén található alkalmazásrétegbeli támadásokkal szemben. Állítsa be a WAF-ot "észlelési" vagy "megelőzési módban" az igényeitől és a fenyegetési környezettől függően. Válasszon ki egy beépített szabálykészletet, például az OWASP Top 10 biztonsági réseit, és hangolja azt az alkalmazásához.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-7: A hálózati biztonsági konfiguráció egyszerűsítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági elv: Összetett hálózati környezetek kezelésekor eszközökkel egyszerűsítheti, központosíthatja és javíthatja a hálózati biztonság kezelését.

Azure-útmutató: Az NSG- és Azure Firewall-szabályok implementálásának és kezelésének egyszerűsítéséhez használja az alábbi funkciókat:

  • Az Felhőhöz készült Microsoft Defender Adaptív hálózatmegerősítés használatával olyan NSG-korlátozási szabályokat javasolhat, amelyek tovább korlátozzák a portokat, protokollokat és forrás IP-címeket a fenyegetésfelderítés és a forgalomelemzés eredménye alapján.
  • A Azure Firewall Managerrel központosíthatja a virtuális hálózat tűzfalszabályzatát és útvonalkezelését. A tűzfalszabályok és a hálózati biztonsági csoportok implementálásának egyszerűsítése érdekében használhatja a Azure Firewall Manager ARM (Azure Resource Manager) sablont is.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-8: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Biztonsági elv: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása az operációs rendszer, az alkalmazás vagy a szoftvercsomag rétegében. Kompenzáló vezérlők üzembe helyezése, ha nem lehet letiltani a nem biztonságos szolgáltatásokat és protokollokat.

Azure-útmutató: Az Azure Sentinel beépített nem biztonságos protokoll-munkafüzetével felderítheti az olyan nem biztonságos szolgáltatások és protokollok használatát, mint az SSL/TLSv1, az SSHv1, az SMBv1, az LM/NTLMv1, a wDigest, az aláíratlan LDAP-kötések és a gyenge titkosítások a Kerberosban. Tiltsa le azokat a nem biztonságos szolgáltatásokat és protokollokat, amelyek nem felelnek meg a megfelelő biztonsági szabványnak.

Megjegyzés: Ha nem lehet letiltani a nem biztonságos szolgáltatásokat vagy protokollokat, használjon kompenzáló vezérlőket, például tiltsa le az erőforrásokhoz való hozzáférést a hálózati biztonsági csoporton, a Azure Firewall vagy az Azure Web Application Firewall keresztül a támadási felület csökkentése érdekében.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-9: helyszíni vagy felhőalapú hálózat privát Csatlakozás

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
12.7 CA-3, AC-17, AC-4 N/A

Biztonsági elv: Privát kapcsolatok használata a különböző hálózatok, például a felhőszolgáltató adatközpontok és a helyszíni infrastruktúra közötti biztonságos kommunikációhoz közös elhelyezési környezetben.

Azure-útmutató: Privát kapcsolatok használata a különböző hálózatok, például a felhőszolgáltató adatközpontok és a helyszíni infrastruktúra közötti biztonságos kommunikációhoz közös elhelyezési környezetben.

A helyek közötti vagy pont–hely kapcsolatok egyszerű csatlakoztatásához az Azure-beli virtuális magánhálózat (VPN) használatával hozzon létre biztonságos kapcsolatot a helyszíni hely vagy a végfelhasználói eszköz és az Azure virtuális hálózat között.

Nagyvállalati szintű, nagy teljesítményű kapcsolat esetén az Azure ExpressRoute (vagy Virtual WAN) használatával csatlakoztassa az Azure-adatközpontokat és a helyszíni infrastruktúrát egy közös elhelyezésű környezetben.

Két vagy több Azure-beli virtuális hálózat összekapcsolásakor használjon virtuális társhálózat-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

NS-10: A tartománynévrendszer (DNS) biztonságának biztosítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.9, 9.2 SC-20, SC-21 N/A

Biztonsági elv: Győződjön meg arról, hogy a tartománynévrendszer (DNS) biztonsági konfigurációja védelmet nyújt az ismert kockázatok ellen:

  • Használjon megbízható mérvadó és rekurzív DNS-szolgáltatásokat a felhőkörnyezetben, hogy az ügyfél (például az operációs rendszerek és az alkalmazások) a megfelelő felbontást kapja.
  • Válassza el a nyilvános és a privát DNS-feloldásokat, hogy a magánhálózat DNS-feloldási folyamata elkülöníthető legyen a nyilvános hálózattól.
  • Győződjön meg arról, hogy a DNS biztonsági stratégiája tartalmazza a gyakori támadásokkal szembeni kockázatcsökkentést is, például a dangoló DNS-t, a DNS-erősítő támadásokat, a DNS-mérgezést és a hamisítást stb.

Azure-útmutató: Használjon Azure rekurzív DNS-t vagy megbízható külső DNS-kiszolgálót a számítási feladat rekurzív DNS-beállításában, például a virtuális gép operációs rendszerében vagy az alkalmazásban.

Az Azure saját DNS privát DNS-zóna beállításához használja, ha a DNS-feloldási folyamat nem hagyja el a virtuális hálózatot. Egyéni DNS-sel korlátozhatja a DNS-feloldásokat, amelyek csak az ügyfél számára engedélyezik a megbízható feloldásokat.

Az Azure Defender for DNS használatával speciális védelmet nyújt a számítási feladatra vagy a DNS-szolgáltatásra vonatkozó alábbi biztonsági fenyegetések ellen:

  • Adatkiszivárgás az Azure-erőforrásokból DNS-bújtatás használatával
  • Parancs- és vezérlési kiszolgálóval kommunikáló kártevők
  • Rosszindulatú tartományokkal folytatott kommunikáció adathalászatként és kriptográfiai bányászatként
  • DNS-támadások rosszindulatú DNS-feloldókkal folytatott kommunikáció során

Az Azure Defender for App Service használatával is észlelheti a dangoló DNS-rekordokat, ha leszerel egy App Service webhelyet anélkül, hogy eltávolítaná az egyéni tartományát a DNS-regisztrálóból.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):