Управление безопасностью: сетевая безопасность
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Рекомендации по сетевой безопасности определяют, каким сетевым протоколам, портам TCP/UDP и подключенным к сети службам разрешен или запрещен доступ к службам Azure.
1.1. Защита ресурсов Azure в виртуальных сетях
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1,1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Customer |
Убедитесь, что все развернутые подсети виртуальной сети используют группу безопасности сети, у которой есть элементы управления доступом к сети, относящиеся к доверенным портам и источникам приложения. По возможности используйте частные конечные точки с приватным каналом, чтобы защитить ресурсы службы Azure в виртуальной сети путем расширения удостоверения виртуальной сети на эту службу. Если частные конечные точки и приватный канал недоступны, используйте конечные точки службы. Требования для конкретной службы см. в рекомендациях по безопасности для этой службы.
Кроме того, в определенных сценариях использования это требование можно удовлетворить за счет внедрения Брандмауэра Azure.
1.2. Мониторинг и запись конфигурации и трафика виртуальных сетей, подсетей и сетевых адаптеров
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Customer |
Используйте Центр безопасности Azure и следуйте рекомендациям по защите сети для защиты сетевых ресурсов в Azure. Включите журналы потоков NSG и отправьте журналы в учетную запись хранения для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать Аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.
1.3. Защита критических веб-приложений
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1,3 | 9,5 | Customer |
Разверните Брандмауэр веб-приложений Azure (WAF) перед критически важными веб-приложениями для дополнительной проверки входящего трафика. Включите параметр диагностики для брандмауэра WAF и журналы приема в учетной записи хранения, концентраторе событий или рабочей области Log Analytics.
1.4. Запрет взаимодействия с известными опасными IP-адресами
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.4 | 12,3 | Customer |
Чтобы защититься от атак DDoS, включите стандартную защиту от таких атак в виртуальных сетях Azure. Запретить обмен данными с известными вредоносными IP-адресами вам поможет интегрированная аналитика угроз Центра безопасности Azure.
Разверните на всех границах корпоративной сети Брандмауэр Azure с включенной службой Threat Intelligence и настроенной логикой "Предупреждение и отклонение" для вредоносного сетевого трафика.
С помощью JIT-доступа к сети в Центре безопасности Azure настройте группы безопасности сети так, чтобы ограничить время предоставления конечных точек одобренным IP адресам.
Используйте адаптивную защиту сети в Центре безопасности Azure, чтобы рекомендовать конфигурации групп безопасности сети, ограничивающие порты и исходные IP-адреса с учетом фактического трафика и аналитики угроз.
Общие сведения об интегрированной аналитике угроз в Центре безопасности Azure
Общие сведения об адаптивной защите сети в Центре безопасности Azure
Общие сведения об элементе управления JIT-доступом к сети в Центре безопасности Azure
1.5. Запись сетевых пакетов
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.5 | 12,5 | Customer |
Включите сбор пакетов Наблюдателя за сетями для изучения аномальных действий.
1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.6 | 12.6, 12.7 | Customer |
Выберите предложение из Azure Marketplace, которое поддерживает функции IDS/IPS с возможностью проверки атакующего кода. Если система обнаружения или предотвращения вторжений на основе проверки атакующего кода не является обязательной, можно использовать Брандмауэр Azure с аналитикой угроз. Фильтрация Брандмауэра Azure на основе аналитики угроз может создавать оповещения и запрещать трафик, поступающий с известных вредоносных IP-адресов и доменов, а также передающий на них. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence.
Разверните выбранное решение брандмауэра на всех границах корпоративной сети, чтобы обнаруживать и (или) запрещать вредоносный трафик.
1.7. Управление трафиком к веб-приложениям
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.7 | 12.9, 12.10 | Customer |
Разверните Шлюз приложений Azure для веб-приложений с включенным HTTPS/TLS для доверенных сертификатов.
Настройка Шлюза приложений для использования протокола HTTPS
Общие сведения о балансировке нагрузки уровня 7 с помощью шлюзов веб-приложений Azure
1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.8 | 1.5 | Customer |
Теги служб виртуальной сети можно использовать для определения элементов управления доступом к сети в группах безопасности сети, а также в Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ApiManagement) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.
Кроме того, группы безопасности приложений позволяют упростить конфигурацию безопасности. Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.
1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1,9 | 11,1 | Customer |
Политика Azure позволяет определить и реализовать стандартные конфигурации безопасности для сетевых ресурсов.
Вы также можете использовать Azure Blueprints для упрощения крупномасштабных развертываний Azure посредством упаковки ключевых артефактов среды, таких как шаблоны Azure Resource Manager, элементы управления Azure RBAC и политики, в единое определение схемы. Вы можете применять созданные схемы к новым подпискам, а также осуществлять точный контроль с помощью управления версиями.
1.10. Документация по правилам конфигурации трафика
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1,10 | 11.2 | Customer |
Используйте теги для групп безопасности сети (NSG) и других ресурсов, связанных с сетевой безопасностью и потоком трафика. Для отдельных правил NSG используйте поле "Описание", чтобы указать бизнес-потребности и длительность (и т. д.) любых правил, которые разрешают трафик в сеть и из нее.
Используйте любые встроенные определения Политики Azure, связанные с расстановкой тегов, например "Требовать тег и его значение", чтобы все ресурсы создавались с тегами, а вам отправлялись уведомления о существующих ресурсах без тегов.
Вы можете использовать Azure PowerShell или Azure CLI для поиска ресурсов или выполнения действий с ними с учетом их тегов.
1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 1.11 | 11,3 | Customer |
Используйте журнал действий Azure для мониторинга конфигураций ресурсов и обнаружения изменений ресурсов Azure. Создавайте оповещения в Azure Monitor, которые будут срабатывать при изменении критических ресурсов.
Дальнейшие действия
- См. следующую статью по управлению безопасностью: Ведение журналов и мониторинг.