Beveiligingsbeheer V2: Netwerkbeveiliging

  • Artikel

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Netwerkbeveiliging omvat besturingselementen voor het beveiligen en beveiligen van Azure-netwerken. Dit omvat het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS.

Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving in Azure Security Benchmark: Netwerkbeveiliging

NS-1: Beveiliging implementeren voor intern verkeer

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
NS-1 9.2, 9.4, 14.1, 14.2, 14.3 AC-4, CA-3, SC-7

Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Elk systeem dat een hoger risico voor de organisatie kan lopen, moet worden geïsoleerd binnen een eigen virtueel netwerk en voldoende worden beveiligd met een netwerkbeveiligingsgroep (NSG) en/of Azure Firewall.

Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van regels voor netwerkbeveiligingsgroepen. Voor specifieke goed gedefinieerde toepassingen (zoals een app met drie lagen) kan dit een zeer veilige benadering 'standaard weigeren, toestaan per uitzondering' zijn. Dit kan niet goed worden geschaald als u veel toepassingen en eindpunten hebt die met elkaar communiceren. U kunt ook Azure Firewall gebruiken in omstandigheden waarin centraal beheer is vereist voor een groot aantal bedrijfssegmenten of spokes (in een hub/spoke-topologie).

Gebruik Azure Security Center Adaptieve netwerkbeveiliging om configuraties van netwerkbeveiligingsgroepen aan te bevelen die poorten en bron-IP-adressen beperken op basis van regels voor extern netwerkverkeer.

Gebruik Azure Sentinel om het gebruik van verouderde onveilige protocollen zoals SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds en zwakke coderingen in Kerberos te detecteren.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

NS-2: Privénetwerken met elkaar verbinden

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
NS-2 N.v.t. CA-3, AC-17, MA-4

Gebruik Azure ExpressRoute of vpn (Virtual Private Network) van Azure om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden meer betrouwbaarheid, snellere snelheden en lagere latenties dan typische internetverbindingen. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering van virtuele netwerken of Private Link. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
NS-3 14.1 AC-4, CA-3, SC-7

Gebruik Azure Private Link om privétoegang tot Azure-services vanuit uw virtuele netwerken mogelijk te maken, zonder internet te overschrijden. In situaties waarin Azure Private Link nog niet beschikbaar is, gebruikt u Azure Virtual Network service-eindpunten. Azure Virtual Network-service-eindpunten bieden beveiligde toegang tot services via een geoptimaliseerde route via het Azure-backbonenetwerk.

Privétoegang is een aanvullende diepgaande verdedigingsmaatregel naast verificatie en verkeersbeveiliging die wordt aangeboden door Azure-services.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
NS-4 9.5, 12.3, 12.9 SC-5, SC-7

Beveilig Azure-resources tegen aanvallen van externe netwerken, waaronder DDoS-aanvallen (Distributed Denial of Service), toepassingsspecifieke aanvallen en ongevraagd en mogelijk schadelijk internetverkeer. Azure bevat systeemeigen mogelijkheden voor dit:

  • Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties.

  • Gebruik Web Application Firewall (WAF)-mogelijkheden in Azure Application Gateway, Azure Front Door en Azure Content Delivery Network (CDN) om uw toepassingen, services en API's te beveiligen tegen aanvallen op de toepassingslaag.

  • Bescherm uw assets tegen DDoS-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw virtuele Azure-netwerken.

  • Gebruik Azure Security Center om onjuiste configuratierisico's met betrekking tot het bovenstaande te detecteren.

  • documentatie voor Azure Firewall

  • Azure WAF implementeren

  • Azure DDoS Protection Standard beheren met behulp van de Azure Portal

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

NS-5: Inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
NS-5 12.6, 12.7 SI-4

Gebruik Azure Firewall filteren op basis van bedreigingsinformatie om verkeer naar en/of te blokkeren van bekende schadelijke IP-adressen en domeinen. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed. Wanneer inspectie van de nettolading is vereist, kunt u Azure Firewall Premium IDPS-functie gebruiken of een inbraakdetectie-/inbraakpreventiesysteem (IDS/IPS) van derden implementeren vanuit Azure Marketplace met inspectiemogelijkheden voor nettoladingen. U kunt ook host-id's/IPS of een EDR-oplossing (Endpoint Detection and Response) op basis van een host gebruiken in combinatie met of in plaats van netwerk-id's/IPS.

Opmerking: als u een wettelijke of andere vereiste hebt voor het gebruik van IDS/IPS, moet u ervoor zorgen dat deze altijd is afgestemd om waarschuwingen van hoge kwaliteit te bieden aan uw SIEM-oplossing.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Azure-id CIS Controls v7.1 ID('s) NIST SP 800-53 r4 ID('s)
NS-6 1.5 IA-4

Vereenvoudig netwerkbeveiligingsregels door gebruik te maken van servicetags en toepassingsbeveiligingsgroepen (ASG's).

Gebruik Virtual Network servicetags om besturingselementen voor netwerktoegang in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven in het bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

U kunt ook toepassingsbeveiligingsgroepen gebruiken om complexe beveiligingsconfiguratie te vereenvoudigen. In plaats van beleid te definiëren op basis van expliciete IP-adressen in netwerkbeveiligingsgroepen, kunt u met toepassingsbeveiligingsgroepen netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing, zodat u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van deze groepen.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

NS-7: Secure Domain Name Service (DNS)

Azure-id CIS Controls v7.1 ID('s) NIST SP 800-53 r4 ID('s)
NS-7 N.v.t. SC-20, SC-21

Volg de aanbevolen procedures voor DNS-beveiliging om te beperken tegen veelvoorkomende aanvallen, zoals zwevende DNS- en DNS-amplifications-aanvallen, DNS-vergiftiging en spoofing, enzovoort.

Wanneer Azure DNS wordt gebruikt als uw gezaghebbende DNS-service, moet u ervoor zorgen dat DNS-zones en -records worden beschermd tegen onbedoelde of schadelijke wijzigingen met behulp van Azure RBAC en resourcevergrendelingen.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):