Beveiligingsbeheer v3: Netwerkbeveiliging
Netwerkbeveiliging omvat besturingselementen voor het beveiligen en beveiligen van Azure-netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS.
NS-1: Netwerksegmentatiegrenzen vaststellen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: zorg ervoor dat de implementatie van uw virtuele netwerk overeenkomt met uw bedrijfssegmentatiestrategie die is gedefinieerd in het beveiligingsbeheer van GS-2. Elke workload die een hoger risico kan lopen voor de organisatie, moet zich in geïsoleerde virtuele netwerken bevinden. Voorbeelden van workload met een hoog risico zijn:
- Een toepassing die zeer gevoelige gegevens opslaat of verwerkt.
- Een externe netwerkgerichte toepassing die toegankelijk is voor het publiek of gebruikers buiten uw organisatie.
- Een toepassing die gebruikmaakt van onveilige architectuur of beveiligingsproblemen die niet eenvoudig kunnen worden hersteld.
Om uw bedrijfssegmentatiestrategie te verbeteren, beperkt of bewaakt u verkeer tussen interne resources met behulp van netwerkbesturingselementen. Voor specifieke, goed gedefinieerde toepassingen (zoals een app met drie lagen) kan dit een zeer veilige 'standaard weigeren, toestaan per uitzondering'-benadering zijn door de poorten, protocollen, bron- en doel-IP-adressen van het netwerkverkeer te beperken. Als u veel toepassingen en eindpunten hebt die met elkaar communiceren, kan het blokkeren van verkeer mogelijk niet goed worden geschaald en kunt u mogelijk alleen verkeer bewaken.
Azure-richtlijnen: maak een virtueel netwerk (VNet) als een fundamentele segmentatiebenadering in uw Azure-netwerk, zodat resources zoals VM's kunnen worden geïmplementeerd in het VNet binnen een netwerkgrens. Als u het netwerk verder wilt segmenteren, kunt u subnetten binnen VNet maken voor kleinere subnetwerken.
Gebruik netwerkbeveiligingsgroepen (NSG) als netwerklaagbeheer om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres.
U kunt ook toepassingsbeveiligingsgroepen (ASG's) gebruiken om complexe configuratie te vereenvoudigen. In plaats van beleid te definiëren op basis van expliciete IP-adressen in netwerkbeveiligingsgroepen, kunt u met ASG's netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing, zodat u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van deze groepen.
Implementatie en aanvullende context:
- Concepten en best practices voor Azure Virtual Network
- Een subnet van een virtueel netwerk maken, wijzigen of verwijderen
- Een netwerkbeveiligingsgroep maken met beveiligingsregels
- Toepassingsbeveiligingsgroepen begrijpen en gebruiken
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: Cloudservices beveiligen door een privétoegangspunt voor de resources tot stand te brengen. U moet de toegang van het openbare netwerk ook indien mogelijk uitschakelen of beperken.
Azure-richtlijnen: privé-eindpunten implementeren voor alle Azure-resources die ondersteuning bieden voor de functie Private Link, om een privétoegangspunt voor de resources tot stand te brengen. U moet ook de toegang van openbare netwerken tot services uitschakelen of beperken, indien mogelijk.
Voor bepaalde services hebt u ook de mogelijkheid om VNet-integratie voor de service te implementeren, waar u het VNET kunt beperken tot het tot stand brengen van een privétoegangspunt voor de service.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-3: Firewall implementeren aan de rand van het bedrijfsnetwerk
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: Implementeer een firewall om geavanceerd filteren op netwerkverkeer naar en van externe netwerken uit te voeren. U kunt ook firewalls tussen interne segmenten gebruiken ter ondersteuning van een segmentatiestrategie. Gebruik indien nodig aangepaste routes voor uw subnet om de systeemroute te overschrijven wanneer u moet afdwingen dat het netwerkverkeer via een netwerkapparaat gaat voor beveiligingsbeheer.
Blokkeer minimaal bekende slechte IP-adressen en protocollen met een hoog risico, zoals extern beheer (bijvoorbeeld RDP en SSH) en intranetprotocollen (bijvoorbeeld SMB en Kerberos).
Azure-richtlijnen: gebruik Azure Firewall om verkeerbeperking op de stateful toepassingslaag (zoals URL-filtering) en/of centraal beheer te bieden voor een groot aantal bedrijfssegmenten of spokes (in een hub/spoke-topologie).
Als u een complexe netwerktopologie hebt, zoals een hub/spoke-installatie, moet u mogelijk door de gebruiker gedefinieerde routes (UDR) maken om ervoor te zorgen dat het verkeer de gewenste route doorloopt. U kunt bijvoorbeeld een UDR gebruiken om uitgaand internetverkeer om te leiden via een specifieke Azure Firewall of een virtueel netwerkapparaat.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-4: Inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Beveiligingsprincipe: gebruik inbraakdetectie en inbraakpreventiesystemen (IDS/IPS) om het netwerk- en nettoladingverkeer naar of van uw workload te inspecteren. Zorg ervoor dat IDS/IPS altijd is afgestemd op het leveren van waarschuwingen van hoge kwaliteit voor uw SIEM-oplossing.
Gebruik voor uitgebreidere detectie- en preventiemogelijkheden op hostniveau id's/IPS of een eindpuntdetectie en -respons -oplossing (EDR) op basis van een host in combinatie met de netwerk-id's/IPS.
Azure-richtlijnen: gebruik de IDPS-mogelijkheid van Azure Firewall in uw netwerk om verkeer naar en/of van bekende schadelijke IP-adressen en domeinen te waarschuwen en/of te blokkeren.
Voor uitgebreidere detectie- en preventiemogelijkheden op hostniveau implementeert u op host-id's/IPS of een eindpuntdetectie en -respons -oplossing (EDR) op hostniveau, zoals Microsoft Defender voor Eindpunt, op VM-niveau in combinatie met de netwerk-id's/IPS.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-5: DDOS-beveiliging implementeren
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Beveiligingsprincipe: DDoS-beveiliging (Distributed Denial of Service) implementeren om uw netwerk en toepassingen te beschermen tegen aanvallen.
Azure-richtlijnen: Schakel DDoS-standaardbeveiligingsplan in op uw VNet om resources te beveiligen die beschikbaar zijn voor de openbare netwerken.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-6: Web Application Firewall implementeren
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: Implementeer een webtoepassingsfirewall (WAF) en configureer de juiste regels om uw webtoepassingen en API's te beschermen tegen toepassingsspecifieke aanvallen.
Azure-richtlijnen: WaF-mogelijkheden (Web Application Firewall) gebruiken in Azure Application Gateway, Azure Front Door en Azure Content Delivery Network (CDN) om uw toepassingen, services en API's te beveiligen tegen aanvallen op toepassingslagen aan de rand van uw netwerk. Stel uw WAF in 'detectie' of 'preventiemodus' in, afhankelijk van uw behoeften en bedreigingslandschap. Kies een ingebouwde regelset, zoals OWASP Top 10-beveiligingsproblemen, en stem deze af op uw toepassing.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-7: Netwerkbeveiligingsconfiguratie vereenvoudigen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: Wanneer u een complexe netwerkomgeving beheert, gebruikt u hulpprogramma's om het netwerkbeveiligingsbeheer te vereenvoudigen, te centraliseren en te verbeteren.
Azure-richtlijnen: gebruik de volgende functies om de implementatie en het beheer van de NSG en Azure Firewall regels te vereenvoudigen:
- Gebruik Microsoft Defender voor Cloud Adaptive Network Hardening om NSG-beveiligingsregels aan te bevelen die poorten, protocollen en bron-IP's verder beperken op basis van het resultaat van bedreigingsinformatie en verkeersanalyse.
- Gebruik Azure Firewall Manager om het firewallbeleid en routebeheer van het virtuele netwerk te centraliseren. U kunt ook de sjabloon Azure Firewall Manager ARM (Azure Resource Manager) gebruiken om de implementatie van firewallregels en netwerkbeveiligingsgroepen te vereenvoudigen.
Implementatie en aanvullende context:
- Adaptieve netwerkbeveiliging in Microsoft Defender voor Cloud
- Azure Firewall Manager
- Een Azure Firewall en een firewallbeleid maken - ARM-sjabloon
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-8: Onveilige services en protocollen detecteren en uitschakelen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Beveiligingsprincipe: onveilige services en protocollen detecteren en uitschakelen op de laag van het besturingssysteem, de toepassing of het softwarepakket. Compenserende besturingselementen implementeren als het uitschakelen van onveilige services en protocollen niet mogelijk is.
Azure-richtlijnen: Gebruik de ingebouwde Insecure Protocol Workbook van Azure Sentinel om het gebruik van onveilige services en protocollen zoals SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds en zwakke coderingen in Kerberos te detecteren. Schakel onveilige services en protocollen uit die niet voldoen aan de juiste beveiligingsstandaard.
Opmerking: als het uitschakelen van onveilige services of protocollen niet mogelijk is, gebruikt u compenserende besturingselementen zoals het blokkeren van de toegang tot de resources via de netwerkbeveiligingsgroep, Azure Firewall of Azure Web Application Firewall om het kwetsbaarheid voor aanvallen te verminderen.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-9: Verbinding maken on-premises of cloudnetwerk privé
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N.v.t. |
Beveiligingsprincipe: gebruik privéverbindingen voor veilige communicatie tussen verschillende netwerken, zoals datacenters van cloudserviceproviders en on-premises infrastructuur in een colocatieomgeving.
Azure-richtlijnen: gebruik privéverbindingen voor veilige communicatie tussen verschillende netwerken, zoals datacenters van cloudserviceproviders en on-premises infrastructuur in een co-locatieomgeving.
Voor lichtgewicht connectiviteit tussen site-naar-site of punt-naar-site gebruikt u Vpn (Virtual Private Network) van Azure om een beveiligde verbinding te maken tussen uw on-premises site of eindgebruikerapparaat naar het virtuele Azure-netwerk.
Gebruik Azure ExpressRoute (of Virtual WAN) om Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving te verbinden voor een verbinding op ondernemingsniveau met hoge prestaties.
Wanneer u twee of meer virtuele Azure-netwerken met elkaar verbindt, gebruikt u peering van virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.
Implementatie en aanvullende context:
- Overzicht van Azure VPN
- Wat zijn de ExpressRoute-connectiviteitsmodellen?
- Peering op virtueel netwerk
Belanghebbenden voor klantbeveiliging (meer informatie):
NS-10: Zorg voor DNS-beveiliging (Domain Name System)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N.v.t. |
Beveiligingsprincipe: zorg ervoor dat de dns-beveiligingsconfiguratie (Domain Name System) beschermt tegen bekende risico's:
- Gebruik vertrouwde gezaghebbende en recursieve DNS-services in uw cloudomgeving om ervoor te zorgen dat de client (zoals besturingssystemen en toepassingen) het juiste omzettingsresultaat ontvangt.
- Scheid de openbare en persoonlijke DNS-resolutie zodat het DNS-omzettingsproces voor het privénetwerk kan worden geïsoleerd van het openbare netwerk.
- Zorg ervoor dat uw DNS-beveiligingsstrategie ook oplossingen bevat voor veelvoorkomende aanvallen, zoals het afdanken van DNS, DNS-amplifications-aanvallen, DNS-vergiftiging en adresvervalsing, enzovoort.
Azure-richtlijnen: Gebruik recursieve DNS van Azure of een vertrouwde externe DNS-server in uw workload recursieve DNS-installatie, zoals in het besturingssysteem van de VM of in de toepassing.
Gebruik Azure Privé-DNS voor het instellen van privé-DNS-zones waarbij het DNS-omzettingsproces het virtuele netwerk niet verlaat. Gebruik een aangepaste DNS om de DNS-omzetting te beperken die alleen de vertrouwde omzetting naar uw client toestaat.
Gebruik Azure Defender voor DNS voor geavanceerde beveiliging tegen de volgende beveiligingsrisico's voor uw workload of uw DNS-service:
- Gegevensexfiltratie van uw Azure-resources met behulp van DNS-tunneling
- Malware die communiceert met de opdracht- en controleserver
- Communicatie met schadelijke domeinen als phishing en crypto mining
- DNS-aanvallen in communicatie met schadelijke DNS-resolvers
U kunt Ook Azure Defender voor App Service gebruiken om zwevende DNS-records te detecteren als u een App Service website buiten gebruik stelt zonder het aangepaste domein van uw DNS-registrar te verwijderen.
Implementatie en aanvullende context:
- Overzicht van Azure DNS
- Implementatiehandleiding voor Secure Domain Name System (DNS):
- Azure Privé-DNS
- Azure Defender voor DNS
- Vermijd zwevende DNS-vermeldingen en voorkom overname van subdomeinen:
Belanghebbenden voor klantbeveiliging (meer informatie):