网络观察程序的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指南应用于网络观察程序。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控件”分组,这些控件根据适用于网络观察程序的 Azure 安全基准和相关指南定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将列在 Microsoft Defender for Cloud 仪表板的“法规合规性”部分中。

当某个部分具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于网络观察程序的控制以及需要完全按照全局指导来实施的控制。 若要查看网络观察程序如何完全映射到 Azure 安全基准,请参阅完整的网络观察程序安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-7:安全域名服务 (DNS)

指导:网络观察程序不公开其基础 DNS 配置。 这些设置由 Microsoft 维护。

责任:Microsoft

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:网络观察程序与 Azure RBAC 集成以管理对其资源的访问。 使用 Azure RBAC 可通过角色分配来管理 Azure 资源访问。 将这些角色分配给:

  • 用户
  • 服务主体
  • 托管标识

某些资源有预定义的内置角色。 可以通过以下工具清点或查询这些角色:

  • Azure CLI
  • Azure PowerShell
  • Azure 门户

始终将通过 Azure RBAC 分配给资源的特权限制为角色所需的特权。 此做法是对 Azure AD Privileged Identity Management (PIM) 实时 (JIT) 方法的补充。 定期查看这些特权。

使用内置角色授予权限。 仅在必要时创建自定义角色。

若要使用网络观察程序功能,请将登录到 Azure 时使用的帐户分配给以下内置角色之一:

  • 所有者
  • 参与者
  • 网络参与者

或使用自定义角色(已为其分配针对网络观察程序特定功能列出的操作)。

责任:客户

PA-8:选择 Microsoft 支持的审批流程

指导:Azure 网络观察程序不支持客户密码箱。 Microsoft 可以通过非密码箱方式与客户协作,以便获得批准来访问客户数据。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-3:监视未经授权的敏感数据传输

指导:Microsoft 会管理 Azure 网络观察程序和相关资源的底层基础结构。 它实施了严格的控制措施来防止客户数据丢失或泄露。

责任:Microsoft

DP-4:加密传输中的敏感信息

指导:Azure 网络观察程序支持使用 TLS v1.2 或更高版本进行的传输中数据加密。 默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

责任:Microsoft

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-2:确保安全团队有权访问资产清单和元数据

指导:确保安全团队有权访问 Azure 上持续更新的资产清单,例如网络观察程序。 安全团队通常需要此清单来评估其组织面临新兴风险的可能性。 此清单还有助于持续提高安全性。 创建一个 Azure AD 组以包含组织的授权安全团队。 授予安全团队对所有网络观察程序资源的读取访问权限。 可以通过在订阅中分配单个高级角色来简化这些操作。

若要按逻辑将这些资源进行分类组织,请将标记应用于:

  • Azure 资源
  • 资源组
  • 订阅

每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:网络观察程序不具备可用于监视与其资源相关的安全威胁的本机功能。

将与 Azure 网络观察程序相关的任何日志转发到 SIEM。 可以使用 SIEM 设置自定义威胁检测。 监视不同类型的 Azure 资产,以发现潜在的威胁和异常情况。 若要减少误报,便于分析人员进行分类整理,请专注于获取高质量的警报。 可以确定日志数据、代理或其他数据的警报来源。

责任:客户

LT-3:为 Azure 网络活动启用日志记录

指导:启用和收集网络安全组 (NSG) 资源日志和 NSG 流日志。 使用这些日志进行安全分析以支持:

  • 调查事件
  • 威胁搜寻
  • 安全警报生成

将流日志发送到 Azure Monitor Log Analytics 工作区。 然后,使用流量分析提供见解。 网络观察程序不会生成或处理 DNS 查询日志。

责任:共享

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0

LT-4:为 Azure 资源启用日志记录

指导:使用 Azure 活动日志监视 Azure 网络观察程序实例的配置并检测更改。 除了在控制平面(例如 Azure 门户)以外,网络观察程序本身不会生成审核日志。 对于 Azure 虚拟网络中的资源,网络观察程序提供具备以下用途的工具:

  • 监视
  • 诊断
  • 查看指标
  • 启用或禁用日志

有关详细信息,请阅读以下文章:

责任:客户

LT-5:集中管理和分析安全日志

指导:若要让 Azure 网络观察程序日志数据相互关联,请集中记录存储和分析。 对于每个日志源,分配以下项:

  • 数据所有者
  • 访问指导
  • 存储位置
  • 用于处理和访问数据的工具
  • 数据保留要求

将 Azure 活动日志集成到中心日志记录中。 通过 Azure Monitor 引入日志来聚合以下对象生成的安全数据:

  • 终结点设备
  • 网络资源
  • 其他安全系统

在 Azure Monitor 中,使用 Log Analytics 工作区执行查询和分析。 将 Azure 存储帐户用于长期存储和存档存储。

另外,请启用 Microsoft Sentinel 或第三方 SIEM,并在其中加入数据。 许多组织选择将 Microsoft Sentinel 用于“热”数据(频繁使用的数据)。 然后,组织会将 Azure 存储用于“冷”数据(不太频繁使用的数据)。

责任:客户

LT-7:使用批准的时间同步源

指导:网络观察程序服务依赖于 Microsoft 时间同步源,它未公开给客户进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-1:为所有 Azure 服务建立安全配置

指导:使用 Azure Policy 为 Azure 网络观察程序定义和实施标准安全配置。 在“Microsoft.Network”命名空间中使用 Azure Policy 别名创建自定义策略以审核或强制执行网络观察程序实例的网络配置。 还可以利用内置策略定义,例如:

责任:客户

PV-2:为所有 Azure 服务维护安全配置

指导:若要在 Azure 网络观察程序中强制执行安全设置,请使用 Azure Policy 中的 Deny 和 DeployIfNotExists 策略定义。

责任:客户

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源执行渗透测试或红队活动。 确保修正所有发现的关键安全问题。

是否担心渗透测试会违反 Microsoft 政策? 可遵循 Microsoft Cloud 渗透测试参与规则。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 管理的以下项执行的现场渗透测试:

  • 云基础结构
  • 服务
  • 应用程序

有关详细信息,请阅读以下文章:

责任:共享

终结点安全性

有关详细信息,请参阅 Azure 安全基线:终结点安全性

ES-2:使用集中管理的新式反恶意软件

指导:Azure 网络观察程序不会部署任何面向客户的计算资源,这些资源需要客户配置反恶意软件保护。 Microsoft 会处理 Azure 网络观察程序的底层基础结构。 此基础结构包括反恶意软件处理。

责任:Microsoft

ES-3:确保反恶意软件和签名已更新

指导:Azure 网络观察程序不会部署任何面向客户的计算资源,这些资源需要客户配置反恶意软件保护。 Microsoft 会处理 Azure 网络观察程序的底层基础结构。 此基础结构包括反恶意软件处理。

责任:Microsoft

后续步骤