Az Azure biztonsági alapkonfigurációja VPN Gateway
Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a VPN Gateway. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a VPN Gateway vonatkozó kapcsolódó útmutató szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A VPN Gateway nem alkalmazható vezérlők, valamint azok, amelyek esetében a globális útmutatást szó szerint javasolták, ki lettek zárva. Annak megtekintéséhez, hogy VPN Gateway hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes VPN Gateway biztonsági alapkonfiguráció-leképezési fájlt.
Hálózati biztonság
További információ: Azure Security Benchmark: Hálózati biztonság.
NS-1: Belső forgalom biztonságának megvalósítása
Útmutató: Hozzon létre vagy használjon egy meglévő virtuális hálózatot az Azure VPN Gateway-erőforrások üzembe helyezéséhez. Győződjön meg arról, hogy minden Azure-beli virtuális hálózat egy vállalati szegmentálási elvet követ, amely megfelel az üzleti kockázatoknak. A nagy kockázatú rendszerek elkülönítése a saját virtuális hálózatán belül.
Biztonságossá teheti a virtuális hálózatot egy hálózati biztonsági csoporttal (NSG) és/vagy Azure Firewall. NSG-konfigurációk ajánlása külső hálózati forgalmi szabályok alapján. A Microsoft Defender for Cloud adaptív hálózati megerősített szolgáltatásával korlátozhatja a portokat és a forrás IP-címeket.
NSG-szabályok használatával korlátozhatja vagy engedélyezheti a belső erőforrások közötti forgalmat. A szabályokat az alkalmazásokra és a vállalati szegmentálási stratégiára alapozhatja. Bizonyos, jól definiált alkalmazások, például a háromrétegű alkalmazások esetében ezek a szabályok alapértelmezés szerint rendkívül biztonságos megtagadásnak minősülhetnek.
Az Azure-infrastruktúra kommunikációja megköveteli a portokat, amelyek nincsenek közzétéve. Az Azure-tanúsítványok védik és zárolják a portokat. Megfelelő tanúsítványok nélkül a külső entitások, beleértve az átjáró ügyfeleit, nem befolyásolhatják ezeket a végpontokat.
Hálózati biztonsági csoport létrehozása biztonsági szabályokkal
Adaptív hálózati megkeményedés a Microsoft Defender for Cloudban
Felelősség: Megosztott
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az összes internetes forgalmat az üzembe helyezett Azure Firewall | A Microsoft Defender for Cloud azt észlelte, hogy egyes alhálózatok nem védettek a következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetések ellen azáltal, hogy korlátozza a hozzáférésüket Azure Firewall vagy egy támogatott következő generációs tűzfal használatával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Egy hálózati biztonsági csoporttal (NSG- vel) megvédheti az alhálózatot a potenciális fenyegetésektől. Az NSG-k Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Privát hálózatok összekapcsolása
Útmutató: Az Azure ExpressRoute vagy az Azure VPN használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem lépnek át a nyilvános interneten. Az ExpressRoute nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést kínál, mint a tipikus internetkapcsolatok.
Pont–hely típusú és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármely kombinációjával csatlakoztathatja egy virtuális hálózathoz.
Két vagy több azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.
VPN és ExpressRoute beállítása ugyanazon a virtuális hálózaton
VPN beállítása ExpressRoute-beli privát társviszony-létesítésen keresztül
VPN Gateway-átvitel konfigurálása virtuális hálózatok közötti társviszony-létesítéssel
Felelősség: Megosztott
NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz
Útmutató: Az Azure VPN támogatja a standard IPsec/IKE protokollokat:
- 500-os és 4500-os UDP-port
- ESP protokoll
A pont–hely VPN a 443-as TCP-portot használja a biztonságos TLS-alapú kapcsolatokhoz.
VPN Gateway nem teszi lehetővé a felügyeleti végpontok számára, hogy biztonságossá tegyék a Private Link magánhálózaton.
VPN Gateway nem tudja konfigurálni az Azure Virtual Network szolgáltatásvégpontokat.
Felelősség: Megosztott
NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadásokkal szemben
Útmutató: Az VPN Gateway-erőforrások védelme a külső hálózatok támadásai ellen. A külső támadások közé tartozhat az elosztott szolgáltatásmegtagadás (DDoS), az alkalmazásspecifikus támadások, valamint a kéretlen és potenciálisan rosszindulatú internetes forgalom.
Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalomtól. Az azure-beli virtuális hálózatokon az Azure DDoS Standard védelmének engedélyezésével megvédheti eszközeit a DDoS-támadásokkal szemben. A Microsoft Defender for Cloud használatával észlelheti a hálózati erőforrások helytelen konfigurációs kockázatait.
VPN Gateway nem futtat webalkalmazásokat, így nem kell beállításokat konfigurálnia vagy hálózati szolgáltatásokat telepítenie a webalkalmazásokat célzó külső támadások elleni védelem érdekében.
Felelősség: Megosztott
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az összes internetes forgalmat az üzembe helyezett Azure Firewall | A Microsoft Defender for Cloud azt észlelte, hogy egyes alhálózatok nem védettek a következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetések ellen azáltal, hogy korlátozza a hozzáférésüket Azure Firewall vagy egy támogatott következő generációs tűzfal használatával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Engedélyezni kell az Azure DDoS Protection Standardot | A DDoS protection szabványt minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Egy hálózati biztonsági csoporttal (NSG- vel) megvédheti az alhálózatot a potenciális fenyegetésektől. Az NSG-k Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) engedélyezve kell lennie Application Gateway | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) központi védelmet biztosít a webalkalmazásoknak az olyan gyakori biztonsági résekkel és biztonsági résekkel szembeni ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országok, IP-címtartományok és más HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Web Application Firewall (WAF) engedélyezve kell lennie az Azure Front Door Service szolgáltatáshoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) központi védelmet biztosít a webalkalmazásoknak az olyan gyakori biztonsági résekkel és biztonsági résekkel szembeni ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országok, IP-címtartományok és más HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.1 |
Identitáskezelés
További információ: Azure Security Benchmark: Identitáskezelés.
IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása
Útmutató: Az Azure VPN az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához a következőben:
Microsoft Cloud-erőforrások. Az erőforrások a következők:
Azure Portal
Azure Storage
Azure Linux és Windows rendszerű virtuális gépek
Azure Key Vault
Szolgáltatásként nyújtott platform (PaaS)
Szolgáltatott szoftver (SaaS) alkalmazások
a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.
A Azure AD biztonságossá tételének kiemelt fontosságúnak kell lennie a szervezet felhőbiztonsági gyakorlata számára. Azure AD identitásbiztonsági pontszámot biztosít, amellyel összehasonlíthatja identitásbiztonsági helyzetét a Microsoft ajánlott eljárásaival. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.
Megjegyzés: Azure AD olyan külső identitásokat támogat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók bejelentkezhessenek alkalmazásaikba és erőforrásaikba.
Az Azure Point-to-Site (P2S) VPN támogatja Azure AD hitelesítést. Az ügyfelek úgy is konfigurálhatják a P2S VPN-t, hogy natív, tanúsítványalapú vagy RADIUS-alapú hitelesítést használjanak.
Tanúsítványalapú hitelesítés konfigurálása az Azure P2S VPN-hez
Konfigurálja a RADIUS-alapú hitelesítést az Azure P2S VPN-hez a harmadik hivatkozás URL-címéhez.
Felelősség: Ügyfél
IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez
Útmutató: VPN Gateway Azure AD használ az Azure-erőforrások, a felhőalkalmazások és a helyszíni alkalmazások identitás- és hozzáférés-kezelésének biztosításához. Azure AD kezeli az olyan vállalati identitásokat, mint az alkalmazottak és a külső identitások, például partnerek, szállítók és szállítók. Azure AD lehetővé teszi az egyszeri bejelentkezést (SSO) a szervezet helyszíni és felhőbeli adataihoz és erőforrásaihoz való hozzáférés kezeléséhez és biztonságossá tételéhez.
Csatlakoztassa az összes felhasználót, alkalmazást és eszközt a Azure AD. Azure AD zökkenőmentes, biztonságos hozzáférést, valamint nagyobb átláthatóságot és vezérlést biztosít.
Felelősség: Ügyfél
Emelt szintű hozzáférés
További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.
PA-6: Emelt szintű hozzáférésű munkaállomások használata
Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatásüzemeltető. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és Azure Bastiont használhat.
A Azure AD, a Microsoft Defender Advanced Threat Protection (ATP) vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe. A biztonságos munkaállomásokat központilag felügyelheti egy olyan biztonsági konfiguráció kényszerítéséhez, amely a következőket tartalmazza:
Erős hitelesítés
Szoftver- és hardverkonfigurációk
Korlátozott logikai és hálózati hozzáférés
Felelősség: Ügyfél
PA-7: A legkisebb jogosultsági elv követése az adminisztrációhoz
Útmutató: integrálható az Azure RBAC-vel az erőforrásainak kezeléséhez. Az RBAC-vel szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését. Szerepköröket rendelhet felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz. Bizonyos erőforrások előre definiált, beépített szerepkörökből áll. Ezeket a szerepköröket olyan eszközökkel leltárba helyezheti vagy kérdezheti le, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal. Korlátozza az erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat a szerepkörök által megköveteltre. Ez a gyakorlat kiegészíti az Azure AD PIM igény szerinti (JIT) megközelítését. Rendszeresen tekintse át a szerepköröket és a hozzárendeléseket.
A beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.
Felelősség: Ügyfél
Adatvédelem
További információ: Azure Security Benchmark: Adatvédelem.
DP-4: Bizalmas információk átvitel közbeni titkosítása
Útmutató: A helyek közötti VPN IPsec/IKE protokollt használ. Az adatelérési út protokollja a Security Payload (ESP) beágyazása.
Titkosítással megvédheti az átvitel alatt álló adatokat a sávon kívüli támadásoktól, például a forgalom rögzítésétől. A titkosítás biztosítja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat. VPN Gateway támogatja az átvitel közbeni adattitkosítást a Transport Layer Security (TLS) 1.2-es vagy újabb verziójával.
Ez a követelmény nem kötelező a magánhálózatok forgalmához, de a külső és nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek használhatják a TLS 1.2-s vagy újabb verziót.
A távfelügyelethez használja a Secure Shellt (SSH) Linux vagy távoli asztali protokoll (RDP) és TLS for Windows esetén. Ne használjon titkosítatlan protokollt. Tiltsa le a gyenge titkosításokat, valamint az elavult SSL-, TLS- és SSH-verziókat és protokollokat.
Az Azure alapértelmezés szerint titkosítja az Azure-adatközpontok közötti adatátvitel során használt adatokat.
Felelősség: Ügyfél
Asset Management (Eszközkezelés)
További információ: Azure Security Benchmark: Összetevők kezelése.
AM-1: Győződjön meg arról, hogy a biztonsági csapat betekintést nyújt az eszközkockázatokba
Útmutató: Győződjön meg arról, hogy biztonsági olvasói engedélyeket ad a biztonsági csapatoknak az Azure-bérlőben és -előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.
A biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet attól függően, hogy hogyan strukturálja a felelősségeket. A biztonsági megállapításokat és kockázatokat mindig központilag összesítheti egy szervezeten belül.
A Biztonsági olvasó engedélyeket széles körben alkalmazhatja egy teljes bérlő gyökérszintű felügyeleti csoportjára, vagy hatókör-engedélyeket adott felügyeleti csoportokra vagy előfizetésekre.
Megjegyzés: A számítási feladatok és szolgáltatások láthatósága további engedélyeket igényelhet.
Felelősség: Ügyfél
AM-2: Győződjön meg arról, hogy a biztonsági csapat hozzáfér az eszközleltárhoz és a metaadatokhoz
Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például VPN Gateway. A biztonsági csapatoknak gyakran szükségük van erre a leltárra, hogy kiértékeljék a szervezet potenciálisan felmerülő kockázatokkal szembeni kitettségét, és hogy a folyamatos biztonsági fejlesztések bemeneteként szolgálhassanak. Hozzon létre egy Azure AD csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát. és olvasási hozzáférést rendelhet hozzá az összes VPN Gateway erőforráshoz. Az előfizetésben egyetlen magas szintű szerepkör-hozzárendeléssel egyszerűsítheti a folyamatot.
Címkéket alkalmazhat az Azure-erőforrásokra, erőforráscsoportokra és előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név- és értékpárból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.
Az Azure Virtual Machine Inventory használatával automatizálhatja a virtuális gépeken (virtuális gépeken) található szoftverekkel kapcsolatos információk gyűjtését. A szoftver neve, verziója, közzétevője és frissítési ideje a Azure Portal érhető el. A telepítési dátumok és egyéb információk eléréséhez engedélyezze a vendégszintű diagnosztikát, és importálja a Windows-eseménynaplókat egy Log Analytics-munkaterületre.
Az Azure VPN nem teszi lehetővé alkalmazások futtatását vagy szoftverek telepítését az erőforrásaira.
Lekérdezések létrehozása az Azure Resource Graph Explorerrel
Microsoft Defender a felhőhöz készült eszközleltár-kezeléshez
Felelősség: Ügyfél
AM-3: Csak jóváhagyott Azure-szolgáltatások használata
Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésekben lévő erőforrásokat. Az Azure Monitor használatával olyan szabályokat is létrehozhat, amelyek riasztásokat aktiválnak, amikor egy nem jóváhagyott szolgáltatást észlelnek.
Felelősség: Ügyfél
Naplózás és fenyegetésészlelés
További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz
Útmutató: VPN Gateway nem biztosít natív képességeket az erőforrásaival kapcsolatos biztonsági fenyegetések monitorozásához.
Továbbítsa VPN Gateway naplókat a biztonsági információk és az eseménykezelő (SIEM) rendszernek. A SIEM használatával egyéni fenyegetésészleléseket állíthat be.
Ügyeljen arra, hogy az Azure-eszközök különböző típusait figyelje a potenciális fenyegetések és anomáliák szempontjából. Koncentráljon a kiváló minőségű riasztások beszerzésére, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. Riasztásokat naplóadatokból, ügynökökből vagy más adatokból is származtathat.
Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez
Az Azure VPN Gatewayek hibaelhárítása diagnosztikai naplókkal
Felelősség: Ügyfél
LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez
Útmutató: Azure AD a következő felhasználói naplókat biztosítja. A naplókat Azure AD jelentéskészítésben tekintheti meg. Integrálhatja az Azure Monitort, a Microsoft Sentinelt vagy más SIEM- és monitorozási eszközöket a kifinomult monitorozási és elemzési használati esetekhez.
Bejelentkezések – Információkat nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.
Naplók – Nyomon követhetőséget biztosít a naplókon keresztül a különböző Azure AD funkciók által végrehajtott összes módosításhoz. Az auditnaplók tartalmazzák a Azure AD bármely erőforrásán végrehajtott módosításokat. A módosítások közé tartozik a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.
Kockázatos bejelentkezések – Olyan személy bejelentkezési kísérleteinek jelzése, akik esetleg nem a felhasználói fiók jogos tulajdonosai.
Kockázatosként megjelölt felhasználók – Egy olyan felhasználói fiók jelzése, amely esetleg sérülhet.
A Microsoft Defender for Cloud bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról is riasztást küld. Az előfizetés elavult fiókjai riasztásokat is aktiválhatnak.
Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Veszélyforrások elleni védelme modulja részletesebb biztonsági riasztásokat is gyűjthet az alábbiakból:
Egyéni Azure számítási erőforrások, például virtuális gépek, tárolók és App Service
Olyan adaterőforrások, mint a Azure SQL Database és az Azure Storage
Azure-szolgáltatásrétegek
Ezzel a funkcióval áttekintheti az egyes erőforrások rendellenességeit.
Naplózott tevékenységekre vonatkozó jelentések az Azure Active Directoryban
Veszélyforrások elleni védelem a Microsoft Defender for Cloudban
Felelősség: Ügyfél
LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez
Útmutató: Hálózati biztonsági csoport (NSG) erőforrásnaplóinak, NSG-folyamatnaplóinak, Azure Firewall naplóinak és Web Application Firewall (WAF) naplóinak engedélyezése és gyűjtése biztonsági elemzéshez. A naplók támogatják az incidensek vizsgálatát, a fenyegetéskeresést és a biztonsági riasztások létrehozását. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, és a Traffic Analytics használatával elemzéseket biztosíthat.
VPN Gateway naplózza az összes olyan hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében feldolgoz. Engedélyezze az NSG-folyamatnapló-képességet az üzembe helyezett VPN-átjárón.
VPN Gateway nem készít vagy dolgoz fel DNS-lekérdezési naplókat.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Network Watcher engedélyezni kell | Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban, az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálését végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy network watcher erőforráscsoport nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
LT-4: Naplózás engedélyezése Azure-erőforrásokhoz
Útmutató: A tevékenységnaplók automatikusan elérhetők. A naplók tartalmazzák VPN Gateway erőforrások összes PUT, POST és DELETE műveletét, de GET nem. A tevékenységnaplók segítségével megkeresheti a hibaelhárítás során felmerülő hibákat, vagy figyelheti, hogy a felhasználók hogyan módosították az erőforrásokat.
Azure-erőforrásnaplók engedélyezése VPN Gateway. A Microsoft Defender for Cloud és a Azure Policy segítségével engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatokhoz.
Felelősség: Ügyfél
LT-6: Tárolt naplók megőrzésének konfigurálása
Útmutató: Olyan tárfiókok vagy Log Analytics-munkaterületek esetében, amelyek VPN Gateway naplókat tárolnak, állítson be egy naplómegőrzési időszakot, amely megfelel a szervezet megfelelőségi előírásainak.
Felelősség: Ügyfél
A biztonsági állapot és a biztonsági rések kezelése
További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.
PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz
Útmutató: Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását. Egyetlen tervdefiníció tartalmazhat Azure-Resource Manager-sablonokat, RBAC-vezérlőket és szabályzatokat.
A VPN Gateway egyéni titkosítási szabályzatait a Azure Portal, a PowerShell vagy az Azure CLI használatával konfigurálhatja.
A Guardrails nagyvállalati szintű kezdőzónában történő megvalósításának ábrája
Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez
Tudnivalók az Azure VPN Gateway titkosítási követelményeiről
Felelősség: Ügyfél
PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz
Útmutató: Egyéni IPsec/IKE-szabályzatokat konfigurálhat VPN Gateway a Azure Portal, a PowerShell vagy az Azure CLI használatával.
Felelősség: Ügyfél
PV-3: Biztonságos konfigurációk létrehozása számítási erőforrásokhoz
Útmutató: A Microsoft Defender for Cloud és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket és a tárolókat is.
Felelősség: Ügyfél
PV-6: Szoftveres biztonsági rések felmérése
Útmutató: Nem alkalmazható. A Microsoft biztonsági rések kezelését végzi az VPN Gateway támogató mögöttes rendszereken.
Felelősség: Microsoft
PV-8: Rendszeres támadásszimulációk végrehajtása
Útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.
Kövesse a Microsoft cloud behatolástesztelési szabályainak előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. Kövesse a Microsoft cloud behatolástesztelési szabályainak előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. Használja a Microsoft Red Teaming stratégiáját és végrehajtását. Végezze el az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, -szolgáltatásokon és -alkalmazásokon.
Felelősség: Microsoft
Végpontbiztonság
További információ: Azure Security Benchmark: Endpoint Security.
ES-2: Központilag felügyelt, modern kártevőirtó szoftverek használata
Útmutató: A VPN Gateway vagy erőforrásainak védelme központilag felügyelt, modern kártevőirtó szoftverekkel.
Használjon egy központilag felügyelt végpont kártevőirtó megoldást, amely képes valós idejű és rendszeres vizsgálatra.
Windows rendszerű virtuális gépek alapértelmezett kártevőirtó megoldásaként használja az Azure Cloud Services antimalware-t.
Linux rendszerű virtuális gépekhez használjon külső kártevőirtó megoldást.
A Microsoft Defender for Cloud fenyegetésészlelése az adatszolgáltatásokhoz az Azure Storage-fiókokba feltöltött kártevők észlelésére használható.
A Microsoft Defender for Cloud használatával automatikusan:
- Számos népszerű kártevőirtó megoldás azonosítása a virtuális gépekhez
- A végpontvédelem futási állapotának jelentése
- Javaslatok készítése
Felelősség: Microsoft
ES-3: Ügyeljen arra, hogy frissítse a kártevőirtó szoftvereket és aláírásokat
Útmutató: Ügyeljen arra, hogy a kártevőirtó-aláírások gyorsan és következetesen frissüljenek.
Kövesse a Microsoft Defender for Cloud "Compute & Apps" javaslatait, hogy az összes virtuális gép és tároló naprakész legyen a legújabb aláírásokkal.
Windows esetén a Microsoft Antimalware alapértelmezés szerint automatikusan telepíti a legújabb aláírásokat és motorfrissítéseket. Linux esetén használjon külső kártevőirtó megoldást.
Felelősség: Microsoft
Biztonsági másolat és helyreállítás
További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.
BR-1: Győződjön meg arról, hogy rendszeres automatikus biztonsági mentéseket futtat
Útmutató: Nem alkalmazható. VPN Gateway nem támogatja az adatok biztonsági mentését, és nincs szükség adatmentésre.
Felelősség: Microsoft
BR-2: Biztonsági mentési adatok titkosítása
Útmutató: VPN Gateway szolgáltatás az Azure Storage automatikus adatreplikációját használja az általa tárolt rendszer metaadataihoz. VPN Gateway az Azure Storage inaktív állapotban lévő titkosítási funkcióit is használja.
Felelősség: Microsoft
BR-3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is
Útmutató: VPN Gateway Az Azure Storage replikációs funkcióit használja.
Felelősség: Microsoft
BR-4: Az elveszett kulcsok kockázatának csökkentése
Útmutató: Győződjön meg arról, hogy vannak olyan intézkedések, amelyek megakadályozzák és helyreállítják a kulcsvesztést. Engedélyezze a helyreállítható törlést és a végleges törléssel szembeni védelmet az Azure Key Vaultban, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törléssel szemben.
VPN Gateway Az Azure Storage replikációs funkcióit használja.
Felelősség: Ügyfél
Következő lépések
- Az Azure Security Benchmark v2 áttekintésének megtekintése
- További tudnivalók az Azure biztonsági alapterveiről