Controlo de Segurança V2: Segurança da rede

Nota

O benchmark de segurança Azure mais atualizado está disponível aqui.

A Segurança da Rede cobre controlos para proteger e proteger as redes Azure. Isto inclui a segurança de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a segurança de DNS.

Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Network Security

NS-1: Implementar a segurança para o tráfego interno

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-1	9.2, 9.4, 14.1, 14.2, 14.3	AC-4, CA-3, SC-7

Certifique-se de que todas as redes virtuais Azure seguem um princípio de segmentação empresarial que se alinha aos riscos do negócio. Qualquer sistema que possa incorrer em maior risco para a organização deve ser isolado dentro da sua própria rede virtual e suficientemente protegido com um grupo de segurança de rede (NSG) e/ou Azure Firewall.

Com base nas suas aplicações e estratégia de segmentação empresarial, restringir ou permitir o tráfego entre recursos internos com base nas regras do grupo de segurança de rede. Para aplicações específicas bem definidas (como uma aplicação de 3 níveis), esta pode ser uma abordagem altamente segura de "negar por defeito, permitir por exceção". Isto pode não ser uma escala boa se tiver muitas aplicações e pontos finais interagindo entre si. Você também pode usar Azure Firewall em circunstâncias em que a gestão central é necessária sobre um grande número de segmentos ou porta-vozes de empresas (em um hub/spoke topology).

Utilize Centro de Segurança do Azure Hardening de Rede Adaptável para recomendar configurações de grupos de segurança de rede que limitem as portas e os IPs de origem com base em regras de tráfego de rede externas.

Utilize o Azure Sentinel para descobrir o uso de protocolos de insegurança como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Ligações LDAP não assinadas e cifras fracas em Kerberos.

• Como criar um grupo de segurança de rede com regras de segurança

• Como implantar e configurar Azure Firewall

• Endurecimento adaptativo da rede em Centro de Segurança do Azure

• Livro de protocolos inseguros Azure Sentinel

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps

NS-2: Ligar redes privadas em conjunto

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-2	N/D	CA-3, AC-17, MA-4

Utilize a rede privada virtual Azure ExpressRoute ou Azure (VPN) para criar ligações privadas entre centros de dados Azure e infraestruturas no local num ambiente de cosão. As ligações ExpressRoute não passam pela internet pública , e oferecem mais fiabilidade, velocidades mais rápidas e latências mais baixas do que as ligações típicas à Internet. Para VPN ponto a local e VPN local-a-local, pode ligar dispositivos ou redes no local a uma rede virtual usando qualquer combinação destas opções VPN e Azure ExpressRoute.

Para ligar duas ou mais redes virtuais em Azure, utilize o espreitamento de rede virtual ou Private Link. O tráfego de rede entre redes virtuais espreitadas é privado e é mantido na rede de espinha dorsal Azure.

• Quais são os modelos de conectividade ExpressRoute

• Visão geral da VPN de Azure

• Peering de rede virtual

• Azure Private Link

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps

NS-3: Estabelecer o acesso à rede privada para os serviços do Azure

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-3	14,1	AC-4, CA-3, SC-7

Utilize Azure Private Link para permitir o acesso privado aos serviços Azure a partir das suas redes virtuais, sem atravessar a internet. Nas situações em que Azure Private Link ainda não esteja disponível, utilize os pontos finais de serviço Azure Rede Virtual. Os pontos finais de serviço Azure Rede Virtual fornecem acesso seguro aos serviços através de uma rota otimizada através da rede de espinha dorsal Azure.

O acesso privado é uma medida adicional de defesa aprofundada, além da autenticação e segurança de tráfego oferecida pelos serviços Azure.

• Compreenda Azure Private Link

• Compreender Rede Virtual pontos finais de serviço

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps

NS-4: Proteger aplicações e serviços contra ataques de rede externa

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-4	9.5, 12.3, 12.9	SC-5, SC-7

Proteja os recursos do Azure contra ataques de redes externas, incluindo ataques de negação de serviço distribuídos (DDoS), ataques específicos de aplicações e tráfego de internet não solicitado e potencialmente malicioso. O Azure inclui capacidades nativas para isto:

• Utilize Azure Firewall para proteger aplicações e serviços contra tráfego potencialmente malicioso da internet e de outros locais externos.

• Utilize Firewall de Aplicações Web capacidades (WAF) em Gateway de Aplicação do Azure, Azure Front Door e Azure Content Delivery Network (CDN) para proteger as suas aplicações, serviços e APIs contra ataques de camadas de aplicação.

• Proteja os seus ativos contra ataques DDoS, permitindo a proteção padrão do DDoS nas suas redes virtuais Azure.

• Utilize Centro de Segurança do Azure para detetar riscos de configuração erradas relacionados com o acima referido.

• Documentação Azure Firewall

• Como implementar a Azure WAF

• Gerir o Padrão de Proteção Azure DDoS utilizando o portal do Azure

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps

NS-5: Implementar sistemas de deteção/prevenção de intrusões (IDS/IPS)

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-5	12.6, 12.7	SI-4

Utilize Azure Firewall filtragem baseada em ameaças baseadas em inteligência para alertar e/ou bloquear o tráfego de e para e de endereços ip maliciosos conhecidos e domínios. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. Quando for necessária uma inspeção de carga útil, pode utilizar Azure Firewall funcionalidade Premium IDPS ou implementar um sistema de deteção/prevenção de intrusões de terceiros (IDS/IPS) a partir de Azure Marketplace com capacidades de inspeção de carga útil. Em alternativa, pode utilizar iDS/IPS baseado em hospedeiro ou uma solução de deteção e resposta de ponto final (EDR) baseada no hospedeiro em conjunto com ou em vez de IDS/IPS baseados em rede.

Nota: Se tiver um requisito regulamentar ou outro para a utilização do IDS/IPS, certifique-se de que está sempre sintonizado para fornecer alertas de alta qualidade à sua solução SIEM.

• Como implantar Azure Firewall

• Azure Marketplace inclui capacidades IDS de terceiros

• Microsoft Defender para Endpoint capacidade

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps

NS-6: Simplificar as regras de segurança da rede

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-6	1.5	IA-4

Simplificar as regras de segurança da rede, aproveitando etiquetas de serviço e grupos de segurança de aplicações (ASGs).

Utilize Rede Virtual etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou Azure Firewall. Ao criar regras de segurança, pode utilizar etiquetas de serviço em vez de endereços IP específicos. Ao especificar o nome da etiqueta de serviço no campo de origem ou destino de uma regra, pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gere os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.

Também pode utilizar grupos de segurança de aplicações para ajudar a simplificar a configuração complexa de segurança. Em vez de definir a política com base em endereços IP explícitos em grupos de segurança de rede, os grupos de segurança de aplicações permitem-lhe configurar a segurança da rede como uma extensão natural da estrutura de uma aplicação, permitindo-lhe agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

• Compreender e utilizar tags de serviço

• Compreender e utilizar grupos de segurança de aplicações

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps

NS-7: Serviço de nome de domínio seguro (DNS)

Azure ID	Controlos do CIS v7.1 ID(s)	NIST SP 800-53 r4 ID
NS-7	N/D	SC-20, SC-21

Siga as melhores práticas para a segurança do DNS para mitigar ataques comuns como DNS pendentes, ataques de amplificações de DNS, envenenamento de DNS e falsificação, etc.

Quando o Azure DNS for utilizado como o seu serviço de DNS autoritário, certifique-se de que as zonas e registos DNS estão protegidos contra modificações acidentais ou maliciosas utilizando o RBAC Azure e as fechaduras de recursos.

• Visão geral do Azure DNS

• Guia de implementação do sistema de nome de domínio seguro (DNS)

• Evitar entradas DNS pendentes e controlo de domínios

Responsabilidade: Cliente

Stakeholders de Segurança do Cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de postura

• Segurança de Aplicações e DevOps