Azure-beveiligingsbasislijn voor Azure Load Balancer
Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op Azure Load Balancer. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud is gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Load Balancer.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Notitie
Functies die niet van toepassing zijn op Azure Load Balancer zijn uitgesloten. Als u wilt zien hoe Azure Load Balancer volledig wordt toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige toewijzingsbestand Azure Load Balancer beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Azure Load Balancer, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Netwerken |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Niet waar |
| Inhoud van klanten in rust opgeslagen | False |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Hoewel de Azure Load Balancer-resource niet rechtstreeks in een Virtual Network wordt geïmplementeerd, kan de interne SKU een of meer front-end-IP-configuraties maken met behulp van een azure-doel-Virtual Network.
Configuratierichtlijnen: Azure biedt twee soorten Load Balancer aanbiedingen, Standard en Basic. Gebruik interne Azure Load Balancers om alleen verkeer naar back-endresources toe te staan vanuit bepaalde virtuele netwerken of gekoppelde virtuele netwerken zonder blootstelling aan internet. Implementeer een externe Load Balancer met SNAT (Source Network Address Translation) om de IP-adressen van back-endresources te maskeren ter bescherming tegen directe internetblootstelling.
Naslaginformatie: Ip-configuratie van interne Load Balancer front-end
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruikers kunnen een NSG configureren in hun virtuele netwerk, maar niet rechtstreeks op de Load Balancer.
Configuratierichtlijnen: implementeer netwerkbeveiligingsgroepen en sta alleen toegang toe tot de vertrouwde poorten en IP-adresbereiken van uw toepassing. In gevallen waarin er geen netwerkbeveiligingsgroep is toegewezen aan het back-endsubnet of de NIC van de virtuele back-endmachines, heeft verkeer geen toegang tot deze resources vanuit de load balancer. Standard Load Balancers bieden uitgaande regels voor het definiëren van uitgaande NAT met een netwerkbeveiligingsgroep. Bekijk deze uitgaande regels om het gedrag van uw uitgaande verbindingen af te stemmen.
De Standard Load Balancer is standaard ontworpen om te worden beveiligd en maakt deel uit van een privé- en geïsoleerde Virtual Network. Het is gesloten voor binnenkomende stromen, tenzij geopend door netwerkbeveiligingsgroepen om expliciet toegestaan verkeer toe te laten en om bekende schadelijke IP-adressen niet toe te laten. Tenzij er een netwerkbeveiligingsgroep op een subnet of NIC van uw virtuele-machineresource bestaat achter de Load Balancer, mag verkeer deze resource niet bereiken.
Opmerking: het gebruik van een Standard Load Balancer wordt aanbevolen voor uw productieworkloads en meestal wordt de Basic-Load Balancer alleen gebruikt voor tests, omdat het basistype standaard is geopend voor verbindingen vanaf internet en geen netwerkbeveiligingsgroepen nodig heeft voor gebruik.
Naslaginformatie: Azure Load Balancer front-end-IP-configuratie
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Network:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: definieer en implementeer standaardbeveiligingsconfiguraties voor Azure-resources met behulp van Azure Policy. Wijs ingebouwde beleidsdefinities toe met betrekking tot uw specifieke Azure Load Balancer resources. Als er geen ingebouwde beleidsdefinities beschikbaar zijn, kunt u Azure Policy aliassen gebruiken om aangepast beleid te maken om de configuratie van uw Azure Load Balancer resources in de naamruimte Microsoft.Network te controleren of af te dwingen.
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen