Beveiligingsbeheer: Netwerkbeveiliging
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Aanbevelingen voor netwerkbeveiliging zijn gericht op het opgeven van welke netwerkprotocollen, TCP/UDP-poorten en netwerkconnectieve services toegang tot Azure-services zijn toegestaan of geweigerd.
1.1: Azure-resources beveiligen binnen virtuele netwerken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Klant |
Zorg ervoor dat alle Virtual Network subnetimplementaties een netwerkbeveiligingsgroep hebben toegepast met netwerktoegangsbeheer die specifiek zijn voor de vertrouwde poorten en bronnen van uw toepassing. Gebruik privé-eindpunten indien beschikbaar met Private Link om uw Azure-servicebronnen naar uw virtuele netwerk te beveiligen door de VNet-identiteit uit te breiden naar de service. Wanneer privé-eindpunten en Private Link niet beschikbaar, gebruikt u Service-eindpunten. Raadpleeg de beveiligingsaanveling voor die specifieke service voor servicespecifieke vereisten.
Als u een specifieke use-case hebt, kan aan de vereiste worden voldaan door Azure Firewall te implementeren.
1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Klant |
Gebruik Azure Security Center en volg aanbevelingen voor netwerkbeveiliging om uw netwerkbronnen in Azure te beveiligen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.
1.3: Essentiële webtoepassingen beveiligen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.3 | 9.5 | Klant |
Implementeer Azure Web Application Firewall (WAF) voor kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Schakel diagnostische instelling in voor WAF en opnamelogboeken in een opslagaccount, Event Hub of Log Analytics-werkruimte.
1.4: Communicatie met bekende schadelijke IP-adressen weigeren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.4 | 12.3 | Klant |
Schakel DDoS Standard-beveiliging in voor uw virtuele Azure-netwerken om DDoS-aanvallen te beschermen. Gebruik Azure Security Center Integrated Threat Intelligence om communicatie met bekende schadelijke IP-adressen te weigeren.
Implementeer Azure Firewall op elk van de netwerkgrenzen van de organisatie met Bedreigingsinformatie ingeschakeld en geconfigureerd voor 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.
Gebruik Azure Security Center Just-In-Time-netwerktoegang om NSG's te configureren om de blootstelling van eindpunten aan goedgekeurde IP-adressen gedurende een beperkte periode te beperken.
Gebruik Azure Security Center Adaptive Network Hardening om NSG-configuraties aan te bevelen die poorten en bron-IP-adressen beperken op basis van werkelijke verkeers- en bedreigingsinformatie.
Inzicht in Azure Security Center Integrated Threat Intelligence
Inzicht in Azure Security Center adaptieve netwerkbeveiliging
Inzicht in Azure Security Center Just-In-Time Network-Access Control
1.5: Netwerkpakketten vastleggen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.5 | 12.5 | Klant |
Schakel Network Watcher pakketopname in om afwijkende activiteiten te onderzoeken.
1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.6 | 12.6, 12.7 | Klant |
Selecteer een aanbieding in de Azure Marketplace die ondersteuning biedt voor IDS-/IPS-functionaliteit met inspectiemogelijkheden voor nettoladingen. Als inbraakdetectie en/of preventie op basis van nettoladinginspectie geen vereiste is, kan Azure Firewall met Bedreigingsinformatie worden gebruikt. Azure Firewall filteren op basis van bedreigingsinformatie kan verkeer naar en van bekende schadelijke IP-adressen en domeinen waarschuwen en weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.
Implementeer de firewalloplossing van uw keuze op elk van de netwerkgrenzen van uw organisatie om schadelijk verkeer te detecteren en/of te weigeren.
1.7: Verkeer naar webtoepassingen beheren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1,7 | 12.9, 12.10 | Klant |
Implementeer Azure Application Gateway voor webtoepassingen waarvoor HTTPS/TLS is ingeschakeld voor vertrouwde certificaten.
1.8: Complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.8 | 1.5 | Klant |
Gebruik Virtual Network servicetags om netwerktoegangsbeheer in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.
U kunt ook Toepassingsbeveiligingsgroepen gebruiken om complexe beveiligingsconfiguratie te vereenvoudigen. Met behulp van toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijk verlengstuk van de structuur van een toepassing, waarbij u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van die groepen.
1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1,9 | 11,1 | Klant |
Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkbronnen met Azure Policy.
U kunt Azure Blueprints ook gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie te verpakken. U kunt de blauwdruk toepassen op nieuwe abonnementen en controle en beheer verfijnen via versiebeheer.
1.10: Configuratieregels voor documentverkeer
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1,10 | 11.2 | Klant |
Gebruik tags voor NSG's en andere resources met betrekking tot netwerkbeveiliging en verkeersstroom. Gebruik voor afzonderlijke NSG-regels het veld Beschrijving om bedrijfsbehoefte en/of duur (enzovoort) op te geven voor regels die verkeer naar/van een netwerk toestaan.
Gebruik een van de ingebouwde Azure Policy definities met betrekking tot taggen, zoals Tag vereisen en de waarde ervan, om ervoor te zorgen dat alle resources worden gemaakt met Tags en u op de hoogte te stellen van bestaande resources zonder vlag.
U kunt Azure PowerShell of Azure CLI gebruiken om acties op te zoeken of uit te voeren op resources op basis van hun tags.
1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 1.11 | 11.3 | Klant |
Gebruik Azure-activiteitenlogboek om resourceconfiguraties te bewaken en wijzigingen in uw Azure-resources te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke resources plaatsvinden.
Volgende stappen
- Zie het volgende beveiligingsbeheer: logboekregistratie en bewaking