Security Control v3: Hálózati biztonság
A Hálózati biztonság az Azure-hálózatok védelmének és védelmének szabályozására terjed ki, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létrehozását, a külső támadások megelőzését és enyhítését, valamint a DNS védelmét.
NS-1: Hálózati szegmentálási határok létrehozása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Biztonsági elv: Győződjön meg arról, hogy a virtuális hálózat üzembe helyezése igazodik a GS-2 biztonsági vezérlőben meghatározott vállalati szegmentálási stratégiához. Minden olyan számítási feladatnak, amely nagyobb kockázatot jelenthet a szervezet számára, elkülönített virtuális hálózatokban kell lennie. A nagy kockázatú számítási feladatok közé tartoznak például a következők:
- Az alkalmazások rendkívül bizalmas adatokat tárolnak vagy dolgoznak fel.
- Külső, hálózattal rendelkező alkalmazás, amelyet a nyilvánosság vagy a szervezeten kívüli felhasználók érhetnek el.
- Nem biztonságos architektúrát használó vagy nem könnyen orvosolható biztonsági réseket tartalmazó alkalmazás.
A vállalati szegmentálási stratégia továbbfejlesztéséhez korlátozza vagy monitorozza a belső erőforrások közötti forgalmat hálózati vezérlőkkel. Adott, jól definiált alkalmazások (például háromrétegű alkalmazások) esetében ez egy rendkívül biztonságos "alapértelmezés szerint megtagadás, kivétel szerinti engedélyezés" megközelítés lehet a hálózati forgalom portjainak, protokolljainak, forrás- és cél IP-címeinek korlátozásával. Ha sok alkalmazás és végpont kommunikál egymással, előfordulhat, hogy a forgalom blokkolása nem skálázható megfelelően, és előfordulhat, hogy csak a forgalmat tudja figyelni.
Azure-útmutató: Hozzon létre egy virtuális hálózatot (VNet) alapvető szegmentálási megközelítésként az Azure-hálózatban, hogy az erőforrások, például a virtuális gépek üzembe helyezhetők legyenek a virtuális hálózatban a hálózat határain belül. A hálózat további szegmentálásához alhálózatokat hozhat létre a VNeten belül a kisebb alhálózatokhoz.
Hálózati biztonsági csoportok (NSG) használata hálózati rétegbeli vezérlőként a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához vagy figyeléséhez.
Az összetett konfiguráció egyszerűsítéséhez alkalmazásbiztonsági csoportokat (ASG-ket) is használhat. Ahelyett, hogy explicit IP-címeken alapuló házirendet határoz meg a hálózati biztonsági csoportokban, az ASG-k lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként, lehetővé téve a virtuális gépek csoportosítását és a csoportok alapján történő hálózati biztonsági szabályzatok meghatározását.
Implementáció és további környezet:
- Az Azure Virtual Network fogalmai és ajánlott eljárásai
- Virtuális hálózat alhálózatának hozzáadása, módosítása vagy törlése
- Hálózati biztonsági csoport létrehozása biztonsági szabályokkal
- Alkalmazásbiztonsági csoportok megismerése és használata
Ügyfélbiztonsági érdekelt felek (további információ):
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Biztonsági elv: A felhőszolgáltatások biztonságossá tételéhez hozzon létre egy privát hozzáférési pontot az erőforrásokhoz. Ha lehetséges, tiltsa le vagy korlátozza a nyilvános hálózatról való hozzáférést.
Azure-útmutató: Privát végpontok üzembe helyezése az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, privát hozzáférési pont létrehozása az erőforrásokhoz. Lehetőség szerint le kell tiltania vagy korlátoznia kell a nyilvános hálózati hozzáférést a szolgáltatásokhoz.
Bizonyos szolgáltatások esetében a virtuális hálózatok integrációját is üzembe helyezheti a szolgáltatásban, ahol korlátozhatja, hogy a virtuális hálózat privát hozzáférési pontot hozzon létre a szolgáltatás számára.
Implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
NS-3: Tűzfal üzembe helyezése a vállalati hálózat peremhálózatán
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Biztonsági elv: Tűzfal üzembe helyezése a külső hálózatokra érkező és kimenő hálózati forgalom speciális szűréséhez. A belső szegmensek közötti tűzfalak használatával is támogathatja a szegmentálási stratégiát. Ha szükséges, egyéni útvonalakat használjon az alhálózathoz a rendszerútvonal felülbírálásához, amikor a hálózati forgalmat biztonsági ellenőrzés céljából hálózati berendezésen kell áthaladnia.
Legalább blokkolja az ismert rossz IP-címeket és a magas kockázatú protokollokat, például a távfelügyeletet (például RDP és SSH) és az intranetes protokollokat (például SMB és Kerberos).
Azure-útmutató: A Azure Firewall használatával teljes mértékben állapotalapú alkalmazásrétegbeli forgalomkorlátozást (például URL-szűrést) és/vagy központi felügyeletet biztosít számos nagyvállalati szegmens vagy küllő felett (küllős topológiában).
Ha összetett hálózati topológiával rendelkezik, például küllős beállítással rendelkezik, előfordulhat, hogy felhasználói útvonalakat (UDR) kell létrehoznia, hogy a forgalom áthaladjon a kívánt útvonalon. Egy UDR használatával például átirányíthatja a kimenő internetes forgalmat egy adott Azure Firewall vagy egy hálózati virtuális berendezésen keresztül.
Implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
NS-4: Behatolásészlelő/behatolás-megelőzési rendszerek üzembe helyezése (IDS/IPS)
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
Biztonsági elv: A hálózati behatolásészlelési és behatolás-megelőzési rendszerek (IDS/IPS) használatával vizsgálja meg a hálózati és hasznos adatforgalmat a számítási feladatba vagy onnan. Győződjön meg arról, hogy az IDS/IPS mindig úgy van hangolva, hogy kiváló minőségű riasztásokat biztosítson a SIEM-megoldásnak.
A gazdagépszintű észlelési és megelőzési képesség részletesebb megismerése érdekében használja a gazdagépalapú IDS/IPS-t vagy egy gazdagépalapú végponti észlelés és reagálás (EDR) megoldást a hálózati azonosítókkal/IPS-sel együtt.
Azure-útmutató: A hálózat Azure Firewall IDPS-képességének használatával riasztást küldhet és/vagy letilthat az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat.
A gazdagépszintű észlelési és megelőzési képesség részletesebb megismerése érdekében telepítsen gazdagépalapú IDS/IPS-t vagy gazdagépalapú végponti észlelés és reagálás (EDR) megoldást, például Végponthoz készült Microsoft Defender a virtuális gép szintjén, a hálózati azonosítókkal/IPS-sel együtt.
Implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
NS-5: DDOS-védelem üzembe helyezése
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Biztonsági elv: Elosztott szolgáltatásmegtagadási (DDoS) védelem üzembe helyezése a hálózat és az alkalmazások támadások elleni védelme érdekében.
Azure-útmutató: Engedélyezze a DDoS standard védelmi tervét a virtuális hálózaton a nyilvános hálózatok számára elérhető erőforrások védelméhez.
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
NS-6: Webalkalmazási tűzfal üzembe helyezése
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
13.10 | SC-7 | 1.1, 1.2, 1.3 |
Biztonsági elv: Webalkalmazási tűzfal (WAF) üzembe helyezése és a megfelelő szabályok konfigurálása a webalkalmazások és API-k alkalmazásspecifikus támadások elleni védelméhez.
Azure-útmutató: A webalkalmazási tűzfal (WAF) képességeinek használata a Azure Application Gateway, az Azure Front Door és az Azure Content Delivery Network (CDN) esetében az alkalmazások, szolgáltatások és API-k védelméhez a hálózat peremén található alkalmazásrétegbeli támadásokkal szemben. Állítsa be a WAF-ot "észlelési" vagy "megelőzési módban" az igényeitől és a fenyegetési környezettől függően. Válasszon ki egy beépített szabálykészletet, például az OWASP Top 10 biztonsági réseit, és hangolja azt az alkalmazásához.
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
NS-7: A hálózati biztonsági konfiguráció egyszerűsítése
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Biztonsági elv: Összetett hálózati környezetek kezelésekor eszközökkel egyszerűsítheti, központosíthatja és javíthatja a hálózati biztonság kezelését.
Azure-útmutató: Az NSG- és Azure Firewall-szabályok implementálásának és kezelésének egyszerűsítéséhez használja az alábbi funkciókat:
- Az Felhőhöz készült Microsoft Defender Adaptív hálózatmegerősítés használatával olyan NSG-korlátozási szabályokat javasolhat, amelyek tovább korlátozzák a portokat, protokollokat és forrás IP-címeket a fenyegetésfelderítés és a forgalomelemzés eredménye alapján.
- A Azure Firewall Managerrel központosíthatja a virtuális hálózat tűzfalszabályzatát és útvonalkezelését. A tűzfalszabályok és a hálózati biztonsági csoportok implementálásának egyszerűsítése érdekében használhatja a Azure Firewall Manager ARM (Azure Resource Manager) sablont is.
Megvalósítás és további környezet:
- Adaptív hálózatmegszűkítés a Felhőhöz készült Microsoft Defender-ban
- Azure Firewall Manager
- Azure Firewall és tűzfalszabályzat létrehozása – ARM-sablon
Ügyfélbiztonsági érdekelt felek (további információ):
NS-8: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Biztonsági elv: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása az operációs rendszer, az alkalmazás vagy a szoftvercsomag rétegében. Kompenzáló vezérlők üzembe helyezése, ha nem lehet letiltani a nem biztonságos szolgáltatásokat és protokollokat.
Azure-útmutató: Az Azure Sentinel beépített nem biztonságos protokoll-munkafüzetével felderítheti az olyan nem biztonságos szolgáltatások és protokollok használatát, mint az SSL/TLSv1, az SSHv1, az SMBv1, az LM/NTLMv1, a wDigest, az aláíratlan LDAP-kötések és a gyenge titkosítások a Kerberosban. Tiltsa le azokat a nem biztonságos szolgáltatásokat és protokollokat, amelyek nem felelnek meg a megfelelő biztonsági szabványnak.
Megjegyzés: Ha nem lehet letiltani a nem biztonságos szolgáltatásokat vagy protokollokat, használjon kompenzáló vezérlőket, például tiltsa le az erőforrásokhoz való hozzáférést a hálózati biztonsági csoporton, a Azure Firewall vagy az Azure Web Application Firewall keresztül a támadási felület csökkentése érdekében.
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
NS-9: helyszíni vagy felhőalapú hálózat privát Csatlakozás
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
12.7 | CA-3, AC-17, AC-4 | N/A |
Biztonsági elv: Privát kapcsolatok használata a különböző hálózatok, például a felhőszolgáltató adatközpontok és a helyszíni infrastruktúra közötti biztonságos kommunikációhoz közös elhelyezési környezetben.
Azure-útmutató: Privát kapcsolatok használata a különböző hálózatok, például a felhőszolgáltató adatközpontok és a helyszíni infrastruktúra közötti biztonságos kommunikációhoz közös elhelyezési környezetben.
A helyek közötti vagy pont–hely kapcsolatok egyszerű csatlakoztatásához az Azure-beli virtuális magánhálózat (VPN) használatával hozzon létre biztonságos kapcsolatot a helyszíni hely vagy a végfelhasználói eszköz és az Azure virtuális hálózat között.
Nagyvállalati szintű, nagy teljesítményű kapcsolat esetén az Azure ExpressRoute (vagy Virtual WAN) használatával csatlakoztassa az Azure-adatközpontokat és a helyszíni infrastruktúrát egy közös elhelyezésű környezetben.
Két vagy több Azure-beli virtuális hálózat összekapcsolásakor használjon virtuális társhálózat-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.
Megvalósítás és további környezet:
- Az Azure VPN áttekintése
- Mik azok az ExpressRoute-kapcsolati modellek?
- Virtuális hálózati társviszony
Ügyfélbiztonsági érdekelt felek (további információ):
NS-10: A tartománynévrendszer (DNS) biztonságának biztosítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.9, 9.2 | SC-20, SC-21 | N/A |
Biztonsági elv: Győződjön meg arról, hogy a tartománynévrendszer (DNS) biztonsági konfigurációja védelmet nyújt az ismert kockázatok ellen:
- Használjon megbízható mérvadó és rekurzív DNS-szolgáltatásokat a felhőkörnyezetben, hogy az ügyfél (például az operációs rendszerek és az alkalmazások) a megfelelő felbontást kapja.
- Válassza el a nyilvános és a privát DNS-feloldásokat, hogy a magánhálózat DNS-feloldási folyamata elkülöníthető legyen a nyilvános hálózattól.
- Győződjön meg arról, hogy a DNS biztonsági stratégiája tartalmazza a gyakori támadásokkal szembeni kockázatcsökkentést is, például a dangoló DNS-t, a DNS-erősítő támadásokat, a DNS-mérgezést és a hamisítást stb.
Azure-útmutató: Használjon Azure rekurzív DNS-t vagy megbízható külső DNS-kiszolgálót a számítási feladat rekurzív DNS-beállításában, például a virtuális gép operációs rendszerében vagy az alkalmazásban.
Az Azure saját DNS privát DNS-zóna beállításához használja, ha a DNS-feloldási folyamat nem hagyja el a virtuális hálózatot. Egyéni DNS-sel korlátozhatja a DNS-feloldásokat, amelyek csak az ügyfél számára engedélyezik a megbízható feloldásokat.
Az Azure Defender for DNS használatával speciális védelmet nyújt a számítási feladatra vagy a DNS-szolgáltatásra vonatkozó alábbi biztonsági fenyegetések ellen:
- Adatkiszivárgás az Azure-erőforrásokból DNS-bújtatás használatával
- Parancs- és vezérlési kiszolgálóval kommunikáló kártevők
- Rosszindulatú tartományokkal folytatott kommunikáció adathalászatként és kriptográfiai bányászatként
- DNS-támadások rosszindulatú DNS-feloldókkal folytatott kommunikáció során
Az Azure Defender for App Service használatával is észlelheti a dangoló DNS-rekordokat, ha leszerel egy App Service webhelyet anélkül, hogy eltávolítaná az egyéni tartományát a DNS-regisztrálóból.
Megvalósítás és további környezet:
- Az Azure DNS áttekintése
- Biztonságos tartománynévrendszer (DNS) telepítési útmutatója:
- Azure Private DNS
- Azure Defender DNS-hez
- A dangoló DNS-bejegyzések megakadályozása és az altartomány-átvétel elkerülése:
Ügyfélbiztonsági érdekelt felek (további információ):