Security Control V2: Zabezpieczenia sieciowe
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Zabezpieczenia sieciowe obejmują mechanizmy kontroli zabezpieczania i ochrony sieci platformy Azure. Obejmuje to zabezpieczanie sieci wirtualnych, ustanawianie połączeń prywatnych, zapobieganie atakom zewnętrznym i zabezpieczanie systemu DNS oraz zapobieganie im.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Zabezpieczenia sieciowe
NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa, która jest zgodna z ryzykiem biznesowym. Każdy system, który może stanowić większe ryzyko dla organizacji, powinien być odizolowany w ramach własnej sieci wirtualnej i wystarczająco zabezpieczony za pomocą sieciowej grupy zabezpieczeń i/lub Azure Firewall.
Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być wysoce bezpieczne podejście "odmów domyślnie, zezwól na wyjątek". Może to nie być dobrze skalowane, jeśli masz wiele aplikacji i punktów końcowych współdziałających ze sobą. Można również użyć Azure Firewall w sytuacjach, gdy centralne zarządzanie jest wymagane w dużej liczbie segmentów lub szprych przedsiębiorstwa (w topologii piasty/szprych).
Użyj Azure Security Center adaptacyjnego wzmacniania zabezpieczeń sieci, aby zalecić konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP na podstawie zewnętrznych reguł ruchu sieciowego.
Użyj usługi Azure Sentinel, aby odnaleźć użycie starszych niezabezpieczonych protokołów, takich jak SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Niepodpisane powiązania LDAP i słabe szyfry w protokole Kerberos.
Jak utworzyć sieciową grupę zabezpieczeń z regułami zabezpieczeń
Adaptacyjne wzmocnienie zabezpieczeń sieci w Azure Security Center
Skoroszyt niezabezpieczonych protokołów usługi Azure Sentinel
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-2: Łączenie sieci prywatnych
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | Nie dotyczy | CA-3, AC-17, MA-4 |
Użyj usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć lokalne urządzenia lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.
Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych lub Private Link. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
Użyj Azure Private Link, aby włączyć prywatny dostęp do usług platformy Azure z sieci wirtualnych bez przekraczania Internetu. W sytuacjach, w których Azure Private Link nie jest jeszcze dostępna, użyj punktów końcowych usługi Azure Virtual Network. Punkty końcowe usługi Azure Virtual Network zapewniają bezpieczny dostęp do usług za pośrednictwem zoptymalizowanej trasy przez sieć szkieletową platformy Azure.
Dostęp prywatny to dodatkowa ochrona w głębi systemu oprócz uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Ochrona zasobów platformy Azure przed atakami z sieci zewnętrznych, w tym atakami DDoS ,atakami DDoS,atakami specyficznymi dla aplikacji oraz niepożądanym i potencjalnie złośliwym ruchem internetowym. Platforma Azure oferuje natywne możliwości dla tego:
Użyj Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych.
Korzystanie z funkcji Web Application Firewall (WAF) w usługach Azure Application Gateway, Azure Front Door i Azure Content Delivery Network (CDN) w celu ochrony aplikacji, usług i interfejsów API przed atakami warstwy aplikacji.
Ochrona zasobów przed atakami DDoS przez włączenie standardowej ochrony przed atakami DDoS w sieciach wirtualnych platformy Azure.
Użyj Azure Security Center do wykrywania zagrożeń związanych z błędną konfiguracją związanych z powyższymi elementami.
Zarządzanie usługą Azure DDoS Protection w warstwie Standardowa przy użyciu Azure Portal
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-5: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Użyj Azure Firewall filtrowania opartego na analizie zagrożeń, aby otrzymywać alerty dotyczące i/lub blokować ruch do i z znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. Gdy wymagana jest inspekcja ładunku, możesz użyć funkcji Azure Firewall Premium IDPS lub wdrożyć system wykrywania włamań/zapobiegania włamaniom intruzów intruzów (IDS/IPS) z poziomu Azure Marketplace z możliwościami inspekcji ładunku. Alternatywnie można użyć rozwiązania idS/IPS opartego na hoście lub rozwiązania wykrywania i odpowiedzi (EDR) opartego na hoście w połączeniu z usługą IDS/IPS opartą na sieci.
Uwaga: Jeśli masz wymagania prawne lub inne wymagania dotyczące użycia usługi IDS/IPS, upewnij się, że zawsze jest dostrojony, aby zapewnić wysokiej jakości alerty do rozwiązania SIEM.
Azure Marketplace obejmuje możliwości identyfikatorów innych firm
Ochrona punktu końcowego w usłudze Microsoft Defender możliwości
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-6: Uproszczenie reguł zabezpieczeń sieci
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Uprość reguły zabezpieczeń sieci, korzystając z tagów usług i grup zabezpieczeń aplikacji (ASG).
Użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi w polu źródłowym lub docelowym reguły, można zezwolić lub odrzucić ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.
Możesz również użyć grup zabezpieczeń aplikacji, aby uprościć złożoną konfigurację zabezpieczeń. Zamiast definiować zasady na podstawie jawnych adresów IP w sieciowych grupach zabezpieczeń, grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala grupować maszyny wirtualne i definiować zasady zabezpieczeń sieci na podstawie tych grup.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-7: Bezpieczna usługa nazw domen (DNS)
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-7 | Nie dotyczy | SC-20, SC-21 |
Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby wyeliminować typowe ataki, takie jak zwisające ataki DNS, wzmacnianie DNS, zatrucia DNS i fałszowanie itp.
Gdy usługa Azure DNS jest używana jako autorytatywna usługa DNS, upewnij się, że strefy i rekordy DNS są chronione przed przypadkowymi lub złośliwymi modyfikacjami przy użyciu kontroli dostępu opartej na rolach platformy Azure i blokad zasobów.
Przewodnik wdrażania systemu secure domain name system (DNS)
Zapobieganie zwisaniu wpisów DNS i unikanie przejęcia poddomeny
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):