Kontrola zabezpieczeń: zabezpieczenia sieci
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Zalecenia dotyczące zabezpieczeń sieci koncentrują się na określeniu, które protokoły sieciowe, porty TCP/UDP i połączone usługi sieciowe są dozwolone lub odmawiane dostępu do usług platformy Azure.
1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Klient |
Upewnij się, że wszystkie wdrożenia podsieci Virtual Network mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji. Jeśli jest dostępna, użyj prywatnych punktów końcowych z Private Link, aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej, rozszerzając tożsamość sieci wirtualnej na usługę. Jeśli prywatne punkty końcowe i Private Link niedostępne, użyj punktów końcowych usługi. Aby uzyskać szczegółowe wymagania dotyczące usługi, zapoznaj się z zaleceniami dotyczącymi zabezpieczeń dla tej konkretnej usługi.
Alternatywnie, jeśli masz określony przypadek użycia, może zostać spełnione wymaganie, implementując Azure Firewall.
1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.2 | 9.3, 12.2, 12.8 | Klient |
Użyj Azure Security Center i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby zabezpieczyć zasoby sieciowe na platformie Azure. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i użyć analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.
Jak włączyć dzienniki przepływu sieciowej grupy zabezpieczeń
Omówienie zabezpieczeń sieci udostępnianych przez Azure Security Center
1.3: Ochrona krytycznych aplikacji internetowych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.3 | 9.5 | Klient |
Wdróż usługę Azure Web Application Firewall (WAF) przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Włącz ustawienie diagnostyczne zapory aplikacji internetowej i pozyskiwanie dzienników do konta magazynu, centrum zdarzeń lub obszaru roboczego usługi Log Analytics.
1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.4 | 12.3 | Klient |
Włącz ochronę przed atakami DDoS w warstwie Standardowa w sieciach wirtualnych platformy Azure, aby chronić przed atakami DDoS. Użyj Azure Security Center zintegrowanej analizy zagrożeń, aby odmówić komunikacji ze znanymi złośliwymi adresami IP.
Wdróż Azure Firewall na wszystkich granicach sieci organizacji z włączoną funkcją Analizy zagrożeń i skonfigurowaną na wartość "Alert i odmów" pod kątem złośliwego ruchu sieciowego.
Użyj Azure Security Center dostęp just in time network, aby skonfigurować sieciowe grupy zabezpieczeń, aby ograniczyć narażenie punktów końcowych na zatwierdzone adresy IP przez ograniczony okres.
Użyj Azure Security Center adaptacyjnego wzmacniania zabezpieczeń sieci, aby zalecić konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP na podstawie rzeczywistego ruchu i analizy zagrożeń.
Omówienie zintegrowanej analizy zagrożeń Azure Security Center
Omówienie Azure Security Center adaptacyjnego wzmacniania zabezpieczeń sieci
Omówienie Azure Security Center Access Control sieci just in time
1.5: Rejestrowanie pakietów sieciowych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.5 | 12.5 | Klient |
Włącz przechwytywanie pakietów Network Watcher w celu zbadania nietypowych działań.
1.6: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom opartym na sieci (IDS/IPS)
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.6 | 12.6, 12.7 | Klient |
Wybierz ofertę z Azure Marketplace, która obsługuje funkcje idS/IPS z możliwościami inspekcji ładunku. Jeśli wykrywanie włamań i/lub zapobieganie na podstawie inspekcji ładunku nie jest wymagane, można użyć Azure Firewall z analizą zagrożeń. Azure Firewall filtrowanie oparte na inteligencji zagrożeń może wysyłać alerty i odrzucać ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.
Wdróż wybrane rozwiązanie zapory w granicach sieci w każdej organizacji, aby wykrywać i/lub odrzucać złośliwy ruch.
1.7: Zarządzanie ruchem do aplikacji internetowych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.7 | 12.9, 12.10 | Klient |
Wdróż Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/TLS dla zaufanych certyfikatów.
Jak skonfigurować Application Gateway do korzystania z protokołu HTTPS
Omówienie równoważenia obciążenia warstwy 7 za pomocą bram aplikacji internetowych platformy Azure
1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.8 | 1.5 | Klient |
Użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.
Możesz również użyć grup zabezpieczeń aplikacji, aby uprościć złożoną konfigurację zabezpieczeń. Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.
1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.9 | 11,1 | Klient |
Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych przy użyciu Azure Policy.
Za pomocą usługi Azure Blueprints można również uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resources Manager, kontrolki RBAC platformy Azure i zasady, w jednej definicji strategii. Strategię można zastosować do nowych subskrypcji oraz dostosować kontrolę i zarządzanie przy użyciu przechowywania wersji.
1.10: Dokumentowanie reguł konfiguracji ruchu
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.10 | 11.2 | Klient |
Użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i przepływem ruchu. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania (itp.) dla wszystkich reguł, które zezwalają na ruch do/z sieci.
Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.
Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na zasobach na podstawie ich tagów.
1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
1.11 | 11,3 | Klient |
Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów i wykrywać zmiany w zasobach platformy Azure. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach.
Następne kroki
- Zobacz następną kontrolę zabezpieczeń: rejestrowanie i monitorowanie