虚拟网络 NAT 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 1.0 中的指南应用于 Microsoft 虚拟网络 NAT。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制根据适用于虚拟网络 NAT 的 Azure 安全基准和相关指南进行定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将在 Microsoft Defender for Cloud 仪表板的“法规符合性”部分列出。

当某个部分具有相关的Azure Policy定义时,它们将列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于虚拟网络 NAT 的控制以及建议逐字使用全局指导的控制。 若要查看虚拟网络 NAT 如何完全映射到 Azure 安全基准,请参阅完整的虚拟网络 NAT 安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

1.1:保护虚拟网络中的 Azure 资源

指导:虚拟网络 NAT 提供虚拟网络的出站连接。 将某个 NAT 网关资源分配到某个子网时,从该子网到 Internet 的默认路由将映射到该 NAT 网关资源,而无需客户操作。 只有在对出站定向流做出的响应中才允许通过 NAT 网关从 Internet 返回流量。

可将网络安全组 (NSG) 配置为使用 NAT 网关从子网中的资源发送出站流量,但除非入站流量在对出站流量做出的响应中,否则入站流量不会流经 NAT 网关。

责任:Microsoft

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 Microsoft Defender for Cloud 已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 AuditIfNotExists、Disabled 3.0.0-preview
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0
虚拟机应连接到已批准的虚拟网络 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 Audit、Deny、Disabled 1.0.0
虚拟网络应使用指定的虚拟网络网关 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 AuditIfNotExists、Disabled 1.0.0

1.2:监视和记录虚拟网络、子网和 NIC 的配置与流量

指导:网络安全组 (NSG) 流日志可用于监视流经 NAT 网关资源的出站流量。

使用 Microsoft Defender for Cloud 并遵循网络保护建议,以帮助保护 Azure 网络资源。 启用网络安全组流日志,并将日志发送到 Azure 存储帐户进行审核。 你还可以将流日志发送到 Log Analytics 工作区,然后使用流量分析来提供有关 Azure 云中流量模式的见解。 流量分析的优势包括能够可视化网络活动、识别热点和安全威胁、了解通信流模式,以及查明网络不当配置。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0

1.5:记录网络数据包

指导:启用网络观察程序数据包捕获来调查异常活动。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0

1.9:维护网络设备的标准安全配置

指导:借助内置或自定义 Azure Policy 定义和分配,为配置有 NAT 网关资源的子网定义和实现标准安全配置。

责任:客户

1.11:使用自动化工具来监视网络资源配置和检测更改

指导:使用 Azure 活动日志监视资源配置,并检测 NAT 网关资源和虚拟网络资源的更改。 在 Azure Monitor 中创建警报,以便在关键资源发生更改时通知你。

责任:客户

日志记录和监视

有关详细信息,请参阅 Azure 安全基线: 日志记录和监视

2.1:使用批准的时间同步源

指导:不适用;Azure 网络 NAT 不支持配置你自己的时间同步源。 Azure 网络 NAT 服务依赖于 Microsoft 时间同步源,不会向客户公开以允许其进行配置。

责任:Microsoft

2.2:配置中心安全日志管理

指导:通过 Azure Monitor 引入与虚拟网络 NAT 相关的日志,从而将终结点设备、网络资源和其他安全系统生成的安全数据进行聚合。 在 Azure Monitor 中,使用 Log Analytics 工作区来查询和执行分析,并使用 Azure 存储帐户进行长期存档存储。

或者,可以启用此数据并将其加入 Azure Sentinel 或第三方 SIEM。

责任:客户

2.3:为 Azure 资源启用审核日志记录

指导:自动可用的活动日志包含针对 NAT 网关资源的所有写入操作(PUT、POST、DELETE),但读取操作 (GET) 除外。 活动日志可用于在进行故障排除时查找错误,或监视组织中的用户如何对资源进行修改。

虚拟网络 NAT 目前不生成客户可配置的任何其他诊断日志。

责任:客户

2.4:从操作系统收集安全日志

指导:不适用;虚拟网络 NAT 不会向客户公开任何操作系统配置或安全日志。 Microsoft 负责监视基础服务的计算基础结构。

责任:Microsoft

2.7:针对异常活动启用警报

指导:使用 Microsoft Defender for Cloud 和 Log Analytics 工作区监视安全日志和事件中发现的异常活动并发出警报。 你可以改为启用 Microsoft Sentinel 并将数据加入其中。

责任:客户

2.8:集中管理反恶意软件日志记录

指导:不适用;虚拟网络 NAT 不会生成任何反恶意软件日志,也不会向客户公开此类日志。 对于所有 Microsoft 管理的资源,Microsoft 将处理反恶意软件日志记录。

责任:Microsoft

漏洞管理

有关详细信息,请参阅 Azure 安全基线: 漏洞管理。

5.2:部署自动操作系统修补管理解决方案

指导:不适用;Microsoft 在支持虚拟网络 NAT 的基础操作系统上执行修补程序管理。

责任:Microsoft

清单和资产管理

有关详细信息,请参阅 Azure 安全基线: 清单和资产管理

6.1:使用自动化资产发现解决方案

指导:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等)。

确保租户中具有适当的(读取)权限,并枚举所有 Azure 订阅以及订阅中的资源。

尽管可通过 Resource Graph 发现经典 Azure 资源,但强烈建议你今后还是创建和使用基于 Azure 资源管理器的资源。

责任:客户

6.2:维护资产元数据

指导:将标记应用到 Azure 资源、资源组和订阅,以便有条理地将它们组织成分类。 每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

责任:客户

6.3:删除未经授权的 Azure 资源

指导:应用用于管理 Azure 资源的标记。

责任:客户

6.4:定义并维护已批准 Azure 资源的清单

指导:创建已批准的 Azure 资源清单,例如允许虚拟网络 NAT,并根据组织的需求在这些资源的整个生命周期内对其进行跟踪。

责任:客户

6.5:监视未批准的 Azure 资源

指导:使用 Azure Policy 对可以在订阅中创建的资源类型施加限制。 使用 Azure Resource Graph 查询/发现订阅中的资源。 确保环境中存在的所有 Azure 资源已获得批准。

责任:客户

6.9:仅使用已批准的 Azure 服务

指导:使用 Azure Policy 限制可在环境中预配的服务。

责任:客户

安全配置

有关详细信息,请参阅 Azure 安全基线: 安全配置

7.5:安全存储 Azure 资源的配置

指导:使用 Azure DevOps 安全地存储和管理代码,例如自定义 Azure Policy 定义、Azure 资源管理器模板和 Desired State Configuration 脚本。 若要访问在 Azure DevOps 中管理的资源,可以向特定用户、内置安全组或 Azure Active Directory (Azure AD)(如果与 Azure DevOps 集成)中定义的组或 Azure AD(如果与 TFS 集成)授予或拒绝授予权限。

责任:客户

事件响应

有关详细信息,请参阅 Azure 安全基线: 事件响应

10.1:创建事件响应指导

指导:为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理和管理从检测到事件后审查的各个阶段。

责任:客户

10.2:创建事件评分和优先级设定过程

指导:Microsoft Defender for Cloud 可以为每个警报分配严重性,以帮助你优先处理应先调查的警报。 严重性取决于 Microsoft Defender for Cloud 在发出警报时所依据的检测结果或指标的置信度,以及导致发出警报的活动背后的恶意企图的置信度。

此外,使用标记来标记订阅,并创建命名系统来对 Azure 资源进行标识和分类,特别是处理敏感数据的资源。 你的责任是根据发生事件的 Azure 资源和环境的关键性确定修正警报的优先级。

责任:客户

10.3:测试安全响应过程

指导:定期执行演练来测试系统的事件响应功能,以帮助保护 Azure 资源。 查明弱点和差距,并根据需要修改你的响应计划。

责任:客户

10.4:提供安全事件联系人详细信息,并针对安全事件配置警报通知

指导:如果 Microsoft 安全响应中心 (MSRC) 发现数据被某方非法访问或未经授权访问,Microsoft 会使用安全事件联系信息联系用户。 事后审查事件,确保问题得到解决。

责任:客户

10.5:将安全警报整合到事件响应系统中

指导:使用连续导出功能导出 Microsoft Defender for Cloud 警报和建议,以帮助确定 Azure 资源的风险。 使用连续导出可以手动导出或者持续导出警报和建议。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输给 Microsoft Sentinel。

责任:客户

10.6:自动响应安全警报

指导:使用 Microsoft Defender for Cloud 的工作流自动化功能,对安全警报和建议自动触发响应,以保护 Azure 资源。

责任:客户

渗透测试和红队练习

有关详细信息,请参阅 Azure 安全基线: 渗透测试和红队演练

11.1:定期对 Azure 资源执行渗透测试,确保修正所有发现的关键安全问题

指导:请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:客户

后续步骤