ExpressRoute 的 Azure 安全基线

此安全基线对 ExpressRoute 应用 Azure 安全基 1.0 版中的指南。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按照 Azure 安全基准定义的安全控制措施和适用于 ExpressRoute 的相关指南进行分组。

当某个功能具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 ExpressRoute 或由 Microsoft 负责的控制措施。 若要查看 ExpressRoute 如何完全映射到 Azure 安全基准,请查看完整的 ExpressRoute 安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

1.9:维护网络设备的标准安全配置

指导:使用 Azure Policy 为 Azure ExpressRoute 定义和实施标准安全配置。 在“Microsoft.Network”命名空间中使用 Azure Policy 别名创建自定义策略以审核或强制实施 ExpressRoute 的网络配置。

责任:客户

1.10:阐述流量配置规则

指导:使用 Azure ExpressRoute 实例的标记来提供元数据和逻辑组织。

使用标记相关的任何内置 Azure Policy 定义(例如“需要标记及其值”)来确保使用标记创建所有资源,并在有现有资源不带标记时发出通知。

可以使用 Azure PowerShell 或 Azure CLI 根据资源的标记查找资源或对其执行操作。

责任:客户

1.11:使用自动化工具来监视网络资源配置和检测更改

指导:使用 Azure 活动日志监视网络资源配置,并检测与 ExpressRoute 连接相关的网络资源的更改。 在 Azure Monitor 中创建当关键资源发生更改时触发的警报。

责任:客户

日志记录和监视

有关详细信息,请参阅 Azure 安全基线: 日志记录和监视

2.2:配置中心安全日志管理

指南:启用 Azure 活动日志诊断设置,并将日志发送到 Log Aalytics 工作区、Azure 事件中心或 Azure 存储帐户进行存档。 活动日志提供有关在控制平面级别对 Azure ExpressRoute 资源执行的操作的见解。 通过使用 Azure 活动日志数据,可以确定在控制平面级别针对 ExpressRoute 资源执行的任何写入操作(PUT、POST、DELETE)的“操作内容、操作人员和操作时间”。

责任:客户

2.3:为 Azure 资源启用审核日志记录

指南:启用 Azure 活动日志诊断设置,并将日志发送到 Log Aalytics 工作区、Azure 事件中心或 Azure 存储帐户进行存档。 活动日志提供有关在控制平面级别对 Azure ExpressRoute 资源执行的操作的见解。 通过使用 Azure 活动日志数据,可以确定在控制平面级别针对 ExpressRoute 资源执行的任何写入操作(PUT、POST、DELETE)的“操作内容、操作人员和操作时间”。

责任:客户

2.5:配置安全日志存储保留期

指导:在 Azure Monitor 中,根据组织的合规性规定,为与 Azure ExpressRoute 资源关联的 Log Analytics 工作区设置日志保留期。

责任:客户

2.6:监视和查看日志

指导:启用 Azure 活动日志诊断设置,并将日志发送到 Log Analytics 工作区。 在 Log Analytics 中执行查询以搜索字词、识别趋势、分析模式,并根据可能已为 Azure ExpressRoute 收集的活动日志数据提供许多其他见解。

责任:客户

2.7:针对异常活动启用警报

指导:可以配置为基于与 Azure ExpressRoute 资源相关的指标和活动日志来接收警报。 通过使用 Azure Monitor,你可以配置警报以发送电子邮件通知、调用 Webhook 或调用 Azure 逻辑应用。

责任:客户

标识和访问控制

有关详细信息,请参阅 Azure 安全基线: 标识和访问控制

3.1:维护管理帐户的清单

指导:维护对你的 Azure ExpressRoute 资源的控制平面(例如 Azure 门户)拥有管理访问权限的用户帐户清单。

可以在 Azure 门户中为你的订阅使用“标识和访问控制(IAM)”窗格来配置 Azure 基于角色的访问控制 (Azure RBAC)。 角色将应用到 Active Directory 中的用户、组、服务主体和托管标识。

此外,使用 ExpressRoute 合作伙伴资源管理器 API 的合作伙伴可以对 expressRouteCrossConnection 资源应用基于角色的访问控制。 这些控制可以定义有关哪些用户帐户可以修改 expressRouteCrossConnection 资源以及添加/更新/删除对等互连配置的权限。

责任:客户

3.2:在适用的情况下更改默认密码

指导:Azure Active Directory (Azure AD) 没有默认密码的概念。 其他需要密码的 Azure 资源会强制创建具有复杂性要求和最小密码长度的密码,该长度因服务而异。 你对可能使用默认密码的第三方应用程序和市场服务负责。

责任:客户

3.3:使用专用管理帐户

指南:围绕专用管理帐户的使用创建标准操作程序。 使用 Microsoft Defender for Cloud 的标识和访问管理功能监视管理帐户的数量。

此外,为帮助跟踪专用管理帐户,可以使用 Microsoft Defender for Cloud 或内置 Azure Policy 提供的建议,例如:

  • 应该为你的订阅分配了多个所有者
  • 应从订阅中删除拥有所有者权限的已弃用帐户
  • 应从订阅中删除拥有所有者权限的外部帐户

有关详细信息,请参阅以下资源:

责任:客户

3.4:使用 Azure Active Directory 单一登录 (SSO)

指导:不适用;当用户在 Azure Active Directory (Azure AD) 中登录到自定义应用程序时,单一登录 (SSO) 可增加安全性和便利性。 对 Azure ExpressRoute 控制平面(例如 Azure 门户)的访问已经与 Azure AD 集成,可通过 Azure 门户和 Azure 资源管理器 REST API 进行访问。

责任:客户

3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证

指导:启用 Azure Active Directory (Azure AD) 多重身份验证,并遵循 Microsoft Defender for Cloud 标识和访问管理的建议。

责任:客户

3.6:对所有管理任务使用专用计算机(特权访问工作站)

指导:使用启用了 Azure Active Directory (Azure AD) 多重身份验证的特权访问工作站 (PAW) 来登录和配置与 Microsoft Sentinel 相关的资源。

责任:客户

3.7:记录来自管理帐户的可疑活动并对其发出警报

指导:当环境中出现可疑或不安全的活动时,可使用 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 生成日志和警报。

此外,还可使用 Azure AD 风险检测来查看警报和报告有风险的用户行为。

责任:客户

3.8:仅从批准的位置管理 Azure 资源

指南:使用条件访问命名位置,仅允许从 IP 地址范围或国家/地区的特定逻辑分组访问 Azure 门户。

责任:客户

3.9:使用 Azure Active Directory

指导:使用 Azure Active Directory (Azure AD) 作为 Microsoft Sentinel 实例的中心身份验证和授权系统。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。

责任:客户

3.10:定期审查和协调用户访问

指导:Azure Active Directory (Azure AD) 提供了日志来帮助你发现过时的帐户。 此外,请使用 Azure 标识访问评审来有效管理组成员身份、对企业应用程序的访问和角色分配。 可以定期评审用户的访问权限,确保只有适当的用户才持续拥有访问权限。

责任:客户

3.11:监视尝试访问已停用凭据的行为

指导:使用 Azure Active Directory (Azure AD) 作为 Azure ExpressRoute 资源的集中身份验证和授权系统。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。

你可以访问 Azure AD 登录活动、审核和风险事件日志源,以便与 Microsoft Sentinel 或第三方 SIEM 集成。

可以通过为 Azure AD 用户帐户创建诊断设置,并将审核日志和登录日志发送到 Log Analytics 工作区,来简化此过程。 可以在 Log Analytics 中配置所需的日志警报。

责任:客户

3.12:针对帐户登录行为偏差发出警报

指导:对于控制平面(例如 Azure 门户)中帐户登录行为的偏差,请使用 Azure Active Directory (Azure AD) 标识保护和风险检测功能进行配置,实现在检测到与用户标识相关的可疑操作时自动进行响应。 还可以将数据引入 Microsoft Sentinel 中进行进一步调查。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

4.4:加密传输中的所有敏感信息

指导:IPsec 是 IETF 标准。 它在 Internet 协议 (IP) 级别或网络层 3 上加密数据。 可以使用 IPsec 加密本地网络与 Azure 上虚拟网络 (VNET) 之间的端到端连接。

责任:共享

4.6:使用 Azure RBAC 控制对资源的访问

指导:可以在 Azure 门户中为你的订阅使用“标识和访问控制(IAM)”窗格来配置 Azure 基于角色的访问控制 (Azure RBAC)。 角色将应用到 Active Directory 中的用户、组、服务主体和托管标识。 对于个人和组,可使用内置角色或自定义角色。

Azure ExpressRoute 还具有线路所有者和线路用户角色。 线路用户是虚拟网关的所有者,这些网关与 ExpressRoute 线路位于不同的订阅中。 线路所有者有权随时修改和撤消授权。 撤消授权会导致从已撤消访问权限的订阅中删除所有链路连接。 线路用户可以兑换授权(每个虚拟网络需要一个授权)。

此外,使用 ExpressRoute 合作伙伴资源管理器 API 的合作伙伴可以对 expressRouteCrossConnection 资源应用基于角色的访问控制。 这些控制可以定义有关哪些用户帐户可以修改 expressRouteCrossConnection 资源以及添加/更新/删除对等互连配置的权限。

责任:客户

4.9:记录对关键 Azure 资源的更改并对此类更改发出警报

指导:将 Azure Monitor 与 Azure 活动日志结合使用,以创建在 Azure ExpressRoute 的生产实例和其他关键或相关资源发生更改时发出的警报。

责任:客户

清单和资产管理

有关详细信息,请参阅 Azure 安全基线: 清单和资产管理

6.1:使用自动化资产发现解决方案

指导:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等)。 确保租户中具有适当的(读取)权限,并枚举所有 Azure 订阅以及订阅中的资源。

尽管可以通过 Resource Graph 发现经典 Azure 资源,但我们强烈建议你今后还是创建并使用 Azure 资源管理器资源。

责任:客户

6.3:删除未经授权的 Azure 资源

指南:在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪 Azure 资产。 定期核对清单,确保及时地从订阅中删除未经授权的资源。

此外,在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型
  • 允许的资源类型

有关详细信息,请参阅以下资源:

责任:客户

6.5:监视未批准的 Azure 资源

指导:使用 Azure Policy 对可以在订阅中创建的资源类型施加限制。

使用 Azure Resource Graph 查询/发现订阅中的资源。 确保环境中存在的所有 Azure 资源已获得批准。

责任:客户

6.9:仅使用已批准的 Azure 服务

指南:在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型
  • 允许的资源类型

有关详细信息,请参阅以下资源:

责任:客户

6.11:限制用户与 Azure 资源管理器进行交互的能力

指南:配置 Azure 条件访问,使其通过为“Microsoft Azure 管理”应用配置“阻止访问”,来限制用户与 Azure 资源管理器进行交互的能力。

责任:客户

安全配置

有关详细信息,请参阅 Azure 安全基线: 安全配置

7.1:为所有 Azure 资源建立安全配置

指导:使用 Azure Policy 为 Azure ExpressRoute 定义和实施标准安全配置。 在“Microsoft.Network”命名空间中使用 Azure Policy 别名创建自定义策略以审核或强制实施 ExpressRoute 的网络配置。

责任:客户

7.7:部署 Azure 资源的配置管理工具

指导:使用 Azure Policy 为 Azure ExpressRoute 定义和实施标准安全配置。 在“Microsoft.Network”命名空间中使用 Azure Policy 别名创建自定义策略以审核或强制实施 ExpressRoute 的网络配置。

责任:客户

7.9:为 Azure 资源实施自动配置监视

指导:在“Microsoft.Network”命名空间中使用内置的 Azure Policy 定义和 Azure Policy 别名创建自定义策略,以审核、强制实施系统配置并为其发出警报。 使用 Azure Policy“[审核]”、“[拒绝]”和“[不存在则部署]”自动强制实施 Azure 资源的配置。

责任:客户

7.13:消除意外的凭据透露

指南:实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

责任:客户

恶意软件防护

有关详细信息,请参阅 Azure 安全基线: 恶意软件防护

8.2:预先扫描要上传到非计算 Azure 资源的文件

指导:Microsoft 反恶意软件已在支持 Azure 服务(例如 Azure ExpressRoute)的基础主机上启用,但它不会针对客户内容运行。

你需要负责预先扫描要上传到非计算 Azure 资源的任何内容。 Microsoft 无法访问客户数据,因此无法代表你对客户内容执行反恶意软件扫描。

责任:客户

事件响应

有关详细信息,请参阅 Azure 安全基线: 事件响应

10.1:创建事件响应指导

指南:为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理/管理从检测到事件后审查的各个阶段。

责任:客户

10.2:创建事件评分和优先级设定过程

指导:Microsoft Defender for Cloud 可以为每个警报分配严重性,以帮助你优先处理应先调查的警报。 严重性取决于 Microsoft Defender for Cloud 在发出警报时所依据的检测结果或分析结果的置信度,以及导致发出警报的活动背后的恶意企图的置信度。

另外,还清楚标记订阅(例如生产、非生产)并创建命名系统,以便对 Azure 资源进行明确标识和分类。

责任:客户

10.3:测试安全响应过程

指导:定期执行演练来测试系统的事件响应功能。 识别弱点和差距,并根据需要修改计划。

责任:客户

10.4:提供安全事件联系人详细信息,并针对安全事件配置警报通知

指南:如果 Microsoft 安全响应中心 (MSRC) 发现非法或未经授权的某方访问了客户的数据,Microsoft 将使用安全事件联系人信息与你取得联系。 事后审查事件,确保问题得到解决。

责任:客户

10.5:将安全警报整合到事件响应系统中

指导:使用连续导出功能导出 Microsoft Defender for Cloud 警报和建议。 使用连续导出可以手动导出或者持续导出警报和建议。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输给 Microsoft Sentinel。

责任:客户

10.6:自动响应安全警报

指导:使用 Microsoft Defender for Cloud 的工作流自动化功能,通过“逻辑应用”自动触发对安全警报和建议的响应。

责任:客户

渗透测试和红队练习

有关详细信息,请参阅 Azure 安全基线: 渗透测试和红队演练

11.1:定期对 Azure 资源执行渗透测试,确保修正所有发现的关键安全问题

指导:请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:共享

后续步骤