Azure 负载均衡器的 Azure 安全基线
此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于Azure 负载均衡器。 Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按 Microsoft 云安全基准定义的安全控制措施以及适用于Azure 负载均衡器的相关指南进行分组。
可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将在 Microsoft Defender for Cloud 门户页的“合规性”部分列出。
当功能具有相关的Azure Policy定义时,这些定义将列在此基线中,以帮助你衡量对 Microsoft 云安全基准控制和建议的合规性。 某些建议可能需要付费Microsoft Defender计划来实现某些安全方案。
注意
不适用于Azure 负载均衡器的功能已被排除。 若要查看Azure 负载均衡器如何完全映射到 Microsoft 云安全基准,请参阅完整的Azure 负载均衡器安全基线映射文件。
安全配置文件
安全配置文件汇总了Azure 负载均衡器的高影响行为,这可能会导致增加安全注意事项。
| 服务行为属性 | 值 |
|---|---|
| 产品类别 | 网络 |
| 客户可以访问主机/OS | 无访问权限 |
| 可以将服务部署到客户的虚拟网络中 | False |
| 存储静态客户内容 | False |
网络安全
有关详细信息,请参阅 Microsoft 云安全基准:网络安全。
NS-1:建立网络分段边界
功能
虚拟网络集成
说明:服务支持部署到客户的专用虚拟网络 (VNet) 。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| 正确 | False | 客户 |
功能说明:虽然Azure 负载均衡器资源不会直接部署到虚拟网络,但内部 SKU 可以使用目标 Azure 虚拟网络创建一个或多个前端 IP 配置。
配置指南:Azure 提供两种类型的负载均衡器产品/服务:标准和基本。 使用内部 Azure 负载均衡器仅允许流量从某些虚拟网络或对等互连虚拟网络中的后端资源流向 Internet,而不会暴露在 Internet 上。 实现采用源网络地址转换 (SNAT) 的外部负载均衡器,以伪装后端资源的 IP 地址,防止直接暴露到 Internet。
网络安全组支持
说明:服务网络流量遵循其子网上的网络安全组规则分配。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| 正确 | False | 客户 |
功能说明:用户可以在其虚拟网络上配置 NSG,但不能直接在负载均衡器上配置 NSG。
配置指南:实现网络安全组,仅允许访问应用程序的受信任端口和 IP 地址范围。 如果没有网络安全组分配给后端虚拟机的后端子网或 NIC,则不允许流量从负载均衡器访问这些资源。 标准负载均衡器提供出站规则来定义网络安全组的出站 NAT。 查看这些出站规则以优化出站连接的行为。
默认情况下,标准负载均衡器是安全的,并且是专用/独立虚拟交换机的一部分。 除非由网络安全组打开入站流来显式允许流量或不允许已知恶意 IP 地址,否则将关闭入站流。 除非负载均衡器上存在子网的网络安全组或虚拟机资源的 NIC,否则不允许流量到达该资源。
注意:建议对生产工作负荷使用标准负载均衡器,并且通常基本负载均衡器仅用于测试,因为基本类型默认对来自 Internet 的连接开放,不需要网络安全组进行操作。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Network:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
资产管理
有关详细信息,请参阅 Microsoft 云安全基准:资产管理。
AM-2:仅使用已获批准的服务
功能
Azure Policy 支持
说明:可以通过Azure Policy监视和强制实施服务配置。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| 正确 | False | 客户 |
配置指南:使用 Azure Policy 定义和实施 Azure 资源的标准安全配置。 分配与特定Azure 负载均衡器资源相关的内置策略定义。 如果没有可用的内置策略定义,可以使用Azure Policy别名创建自定义策略,以审核或强制实施“Microsoft.Network”命名空间中Azure 负载均衡器资源的配置。
后续步骤
- 请参阅 Microsoft 云安全基准概述
- 详细了解 Azure 安全基线