Kontrola zabezpieczeń: zabezpieczenia sieci

  • Artykuł

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Zalecenia dotyczące zabezpieczeń sieci koncentrują się na określeniu, które protokoły sieciowe, porty TCP/UDP i połączone usługi sieciowe są dozwolone lub odmawiane dostępu do usług platformy Azure.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.1 9.2, 9.4, 14.1, 14.2, 14.3 Klient

Upewnij się, że wszystkie wdrożenia podsieci Virtual Network mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji. Jeśli jest dostępna, użyj prywatnych punktów końcowych z Private Link, aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej, rozszerzając tożsamość sieci wirtualnej na usługę. Jeśli prywatne punkty końcowe i Private Link niedostępne, użyj punktów końcowych usługi. Aby uzyskać szczegółowe wymagania dotyczące usługi, zapoznaj się z zaleceniami dotyczącymi zabezpieczeń dla tej konkretnej usługi.

Alternatywnie, jeśli masz określony przypadek użycia, może zostać spełnione wymaganie, implementując Azure Firewall.

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.2 9.3, 12.2, 12.8 Klient

Użyj Azure Security Center i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby zabezpieczyć zasoby sieciowe na platformie Azure. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i użyć analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

1.3: Ochrona krytycznych aplikacji internetowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.3 9.5 Klient

Wdróż usługę Azure Web Application Firewall (WAF) przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Włącz ustawienie diagnostyczne zapory aplikacji internetowej i pozyskiwanie dzienników do konta magazynu, centrum zdarzeń lub obszaru roboczego usługi Log Analytics.

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.4 12.3 Klient

Włącz ochronę przed atakami DDoS w warstwie Standardowa w sieciach wirtualnych platformy Azure, aby chronić przed atakami DDoS. Użyj Azure Security Center zintegrowanej analizy zagrożeń, aby odmówić komunikacji ze znanymi złośliwymi adresami IP.

Wdróż Azure Firewall na wszystkich granicach sieci organizacji z włączoną funkcją Analizy zagrożeń i skonfigurowaną na wartość "Alert i odmów" pod kątem złośliwego ruchu sieciowego.

Użyj Azure Security Center dostęp just in time network, aby skonfigurować sieciowe grupy zabezpieczeń, aby ograniczyć narażenie punktów końcowych na zatwierdzone adresy IP przez ograniczony okres.

Użyj Azure Security Center adaptacyjnego wzmacniania zabezpieczeń sieci, aby zalecić konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP na podstawie rzeczywistego ruchu i analizy zagrożeń.

1.5: Rejestrowanie pakietów sieciowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.5 12.5 Klient

Włącz przechwytywanie pakietów Network Watcher w celu zbadania nietypowych działań.

1.6: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom opartym na sieci (IDS/IPS)

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.6 12.6, 12.7 Klient

Wybierz ofertę z Azure Marketplace, która obsługuje funkcje idS/IPS z możliwościami inspekcji ładunku. Jeśli wykrywanie włamań i/lub zapobieganie na podstawie inspekcji ładunku nie jest wymagane, można użyć Azure Firewall z analizą zagrożeń. Azure Firewall filtrowanie oparte na inteligencji zagrożeń może wysyłać alerty i odrzucać ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.

Wdróż wybrane rozwiązanie zapory w granicach sieci w każdej organizacji, aby wykrywać i/lub odrzucać złośliwy ruch.

1.7: Zarządzanie ruchem do aplikacji internetowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.7 12.9, 12.10 Klient

Wdróż Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/TLS dla zaufanych certyfikatów.

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.8 1.5 Klient

Użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Możesz również użyć grup zabezpieczeń aplikacji, aby uprościć złożoną konfigurację zabezpieczeń. Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.9 11,1 Klient

Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych przy użyciu Azure Policy.

Za pomocą usługi Azure Blueprints można również uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resources Manager, kontrolki RBAC platformy Azure i zasady, w jednej definicji strategii. Strategię można zastosować do nowych subskrypcji oraz dostosować kontrolę i zarządzanie przy użyciu przechowywania wersji.

1.10: Dokumentowanie reguł konfiguracji ruchu

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.10 11.2 Klient

Użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i przepływem ruchu. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania (itp.) dla wszystkich reguł, które zezwalają na ruch do/z sieci.

Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na zasobach na podstawie ich tagów.

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
1.11 11,3 Klient

Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów i wykrywać zmiany w zasobach platformy Azure. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach.

Następne kroki