VPN 网关的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指导应用于 VPN 网关。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制由适用于 VPN 网关的 Azure 安全基准和相关指南定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将列在 Microsoft Defender for Cloud 仪表板的“法规合规性”部分中。

当某个部分具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 VPN 网关的控制以及建议逐字使用全局指导的控制。 若要查看 VPN 网关如何完全映射到 Azure 安全基准,请参阅完整的 VPN 网关安全基准映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-1:实现内部流量的安全性

指导:创建一个虚拟网络或使用现有的虚拟网络来部署 Azure VPN 网关资源。确保所有 Azure 虚拟网络遵循与业务风险相符的企业分段原则。 将任何高风险系统隔离在其自身的虚拟网络中。

使用网络安全组 (NSG) 和/或 Azure 防火墙来保护虚拟网络。 根据外部网络流量规则建议 NSG 配置。 使用 Microsoft Defender for Cloud 自适应网络强化功能限制端口和源 IP。

使用 NSG 规则限制或允许内部资源之间的流量。 根据应用程序和企业分段策略制定规则。 对于定义完善的特定应用程序(例如第三层应用),这些规则可以是一种高度安全的默认拒绝规则。

Azure 基础结构通信需要未发布的端口。 Azure 证书保护并锁定端口。 如果没有适当的证书,外部实体(包括网关客户)不能影响这些终结点。

责任:共享

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 Microsoft Defender for Cloud 已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 AuditIfNotExists、Disabled 3.0.0-preview
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0

NS-2:将专用网络连接在一起

指导:在共置环境中,使用 Azure ExpressRoute 或 Azure VPN 在 Azure 数据中心与本地基础结构之间创建专用连接。 ExpressRoute 连接不经过公共 Internet。 与典型的 Internet 连接相比,ExpressRoute 可靠性更高、速度更快、延迟更低。

对于点到站点和站点到站点 VPN,可使用这些 VPN 选项的任意组合以及 Azure ExpressRoute 将本地设备或网络连接到虚拟网络。

若要在 Azure 中连接两个或更多虚拟网络,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且始终在 Azure 主干网络上。

责任:共享

NS-3:建立对 Azure 服务的专用网络访问

指导:Azure VPN 支持标准 IPsec/IKE 协议:

  • UDP 端口 500 和 4500
  • ESP 协议

点到站点 VPN 使用 TCP 端口 443 进行基于 TLS 的安全连接。

VPN 网关不允许使用专用链接在专用网络中保护其管理终结点。

VPN 网关无法配置 Azure 虚拟网络服务终结点。

责任:共享

NS-4:保护应用程序和服务不受外部网络攻击

指导:保护 VPN 网关资源免受外部网络的攻击。 外部攻击可能包括分布式拒绝服务 (DDoS)、特定于应用程序的攻击,以及未经请求的和潜在的恶意 Internet 流量。

使用 Azure 防火墙保护应用程序和服务免受来自 Internet 和其他外部位置的潜在恶意流量的侵害。 通过在 Azure 虚拟网络上启用 Azure DDoS 标准保护,保护资产免受 DDoS 攻击。 使用 Microsoft Defender for Cloud 检测网络资源的错误配置风险。

VPN 网关不运行 Web 应用程序,因此你无需配置任何设置或部署任何网络服务,即可防范针对 Web 应用程序的外部攻击。

责任:共享

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 Microsoft Defender for Cloud 已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 AuditIfNotExists、Disabled 3.0.0-preview
应启用 Azure DDoS 防护标准 应为属于应用程序网关且具有公共 IP 子网的所有虚拟网络启用 DDoS 保护标准。 AuditIfNotExists、Disabled 3.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.1
应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.1

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:Azure VPN 使用 Azure Active Directory (Azure AD) 作为默认标识和访问管理服务。 使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft Cloud 资源。 资源包括:

    • Azure 门户

    • Azure 存储

    • Azure Linux 和 Windows 虚拟机

    • Azure Key Vault

    • 平台即服务 (PaaS)

    • 服务即软件 (SaaS) 应用程序

  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应将保护 Azure AD 列为高优先级事项。 Azure AD 提供标识安全分数,可帮助你将标识安全状况与 Microsoft 的最佳做法建议进行比较。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

注意:Azure AD 支持外部标识,因此没有 Microsoft 帐户的用户可登录到其应用程序和资源。

Azure 点到站点 (P2S) VPN 支持 Azure AD 身份验证。 客户还可将 P2S VPN 配置为使用本机身份验证、基于证书的身份验证或基于 RADIUS 的身份验证。

责任:客户

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:VPN 网关使用 Azure AD 提供对 Azure 资源、云应用程序和本地应用程序的标识和访问管理。 Azure AD 管理企业标识(例如员工标识)和外部标识(例如合作伙伴、卖方和提供商)。 Azure AD 通过单一登录 (SSO) 来管理组织存储在本地和云中的数据和资源,并确保对这些数据和资源进行安全访问。

将所有用户、应用程序和设备连接到 Azure AD。 Azure AD 提供无缝、安全的访问,以及更高的可见性和控制能力。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-6:使用特权访问工作站

指导:受保护的独立工作站对敏感角色(如管理员、开发者和关键服务操作员)的安全性至关重要。 使用高度安全的用户工作站和 Azure Bastion 执行管理任务。

使用 Azure AD、Microsoft Defender 高级威胁防护 (ATP) 或 Microsoft Intune 来部署安全的托管用户工作站。 可以集中管理安全工作站,以强制执行安全配置,其中包括:

责任:客户

PA-7:对管理工作遵循最低特权原则

指导:与 Azure RBAC 集成以管理其资源。 使用 RBAC 可以通过角色分配来管理 Azure 资源访问权限。 可以将角色分配给用户、组、服务主体和托管标识。 某些资源具有预定义的内置角色。 可以使用工具(例如 Azure CLI、Azure PowerShell 或 Azure 门户)来清点或查询这些角色。 将通过 Azure RBAC 分配给资源的特权限制为角色所需的特权。 此做法是对 Azure AD PIM 实时 (JIT) 方法的补充。 定期审查角色和分配。

请使用内置角色来分配权限,仅在必要时创建自定义角色。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-4:加密传输中的敏感信息

指导:站点到站点 VPN 使用 IPsec/IKE。 数据路径协议为封装安全性有效负载 (ESP)。

使用加密来保护传输中数据免受流量捕获等带外攻击。 加密可确保攻击者无法轻松读取或修改数据。 VPN 网关支持通过传输层安全性 (TLS) v1.2 或更高版本来加密传输中数据。

此要求对于专用网络上的流量来说是可选的,但对于外部和公用网络上的流量来说是至关重要的。 对于 HTTP 流量,需确保连接到 Azure 资源的所有客户端都可以使用 TLS v1.2 或更高版本。

对于远程管理,需使用安全外壳 (SSH)(适用于 Linux)或远程桌面协议 (RDP) 和 TLS(适用于 Windows)。 不能使用未加密的协议。 禁用弱密码和已过时的 SSL、TLS 和 SSH 版本及协议。

默认情况下,Azure 会对 Azure 数据中心之间传输中的数据加密。

责任:客户

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队能够了解资产风险

指导:确保在 Azure 租户和订阅中向安全团队授予安全读取者权限,以使他们可以使用 Microsoft Defender for Cloud 监视安全风险。

监视安全风险可能是中心安全团队或本地团队的责任,具体取决于团队责任划分方式。 一律在组织内集中聚合安全见解和风险。

可以将安全读取者权限广泛应用于整个租户的根管理组,也可以将权限范围限制为特定管理组或订阅。

注意:如果要了解工作负载和服务,可能需要更多权限。

责任:客户

AM-2:确保安全团队有权访问资产清单和元数据

指导:确保安全团队有权访问 Azure 上持续更新的资产清单,例如 VPN 网关。 安全团队通常需要此清单以评估其组织遭遇新出现的风险的可能性,并据此不断提高安全性。 创建 Azure AD 组,以包含组织的授权安全团队。 为他们分配对所有 VPN 网关资源的读取访问权限。 可以在订阅中使用单个高级别角色分配来简化此过程。

将标记应用到 Azure 资源、资源组和订阅,以便有条理地将它们组织成分类。 每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

使用 Azure 虚拟机清单自动收集有关虚拟机 (VM) 上的软件的信息。 可从 Azure 门户获得软件名称、版本、发布者和刷新时间。 若要访问安装日期和其他信息,请启用来宾级诊断,并将 Windows 事件日志导入 Log Analytics 工作区。

Azure VPN 不允许在其资源上运行应用程序或安装软件。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:请使用 Azure Policy 来审核和限制用户可以在你的环境中预配哪些服务。 使用 Azure Resource Graph 在订阅中查询和发现资源。 也可以使用 Azure Monitor 创建规则,以便在检测到未经批准的服务时触发警报。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:VPN 网关不提供本机功能来监视与其资源相关的安全威胁。

将 VPN 网关日志转发到安全信息和事件管理 (SIEM) 系统。 可以使用 SIEM 设置自定义威胁检测。

确保监视不同类型的 Azure 资产,以发现潜在的威胁和异常情况。 专注于获取高质量警报以减少误报,便于分析人员进行分类整理。 可从日志数据、代理或其他数据探寻警报来源。

责任:客户

LT-2:启用 Azure 标识和访问管理的威胁检测

指导:Azure AD 提供以下用户日志。 可以在 Azure AD 报告中查看这些日志。 对于复杂的监视和分析用例,可以将其与 Azure Monitor、Microsoft Sentinel 或其他 SIEM 和监视工具集成。

  • 登录 - 提供有关托管应用程序使用情况和用户登录活动的信息。

  • 审核日志 - 对于通过 Azure AD 的各种功能所做的所有更改,通过日志提供可跟踪性。 审核日志包含对 Azure AD 中的任何资源所做的更改。 这些更改包括添加或删除用户、应用、组、角色和策略。

  • 风险登录 - 指示可能有非合法用户帐户所有者尝试登录。

  • 标记为存在风险的用户 - 指示某个用户帐户可能已遭入侵。

Microsoft Defender for Cloud 还可对身份验证尝试失败次数过多等特定可疑活动触发警报。 订阅中已弃用的帐户也可能触发警报。

除了基本的安全运行监视以外,Microsoft Defender for Cloud 的威胁防护模块还可以从以下资源中收集更多深层安全警报:

  • 单独的 Azure 计算资源,如 VM、容器和应用服务

  • 数据资源,如 Azure SQL 数据库和 Azure 存储

  • Azure 服务层

通过此功能可了解各个资源中的帐户异常情况。

责任:客户

LT-3:为 Azure 网络活动启用日志记录

指导:启用并收集网络安全组 (NSG) 资源日志、NSG 流日志、Azure 防火墙日志和 Web 应用程序防火墙 (WAF) 日志进行安全分析。 日志支持事件调查、威胁搜寻和安全警报生成。 可将流日志发送到 Azure Monitor Log Analytics 工作区,并使用流量分析提供见解。

VPN 网关会记录它为客户访问处理的所有网络流量。 在部署的 VPN 网关中启用 NSG 流日志功能。

VPN 网关不生成或处理 DNS 查询日志。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Network:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0

LT-4:为 Azure 资源启用日志记录

指导:系统自动提供活动日志。 这些日志包含对 VPN 网关资源执行的所有 PUT、POST 和 DELETE 操作,但不包含 GET 操作。 可以在排除故障时使用活动日志来查找错误,或监视用户如何修改资源。

为 VPN 网关启用 Azure 资源日志。 可以使用 Microsoft Defender for Cloud 和 Azure Policy 启用资源日志和日志数据收集。 这些日志可能对调查安全事件和执行取证演练至关重要。

责任:客户

LT-6:配置日志存储保留期

指导:对于存储 VPN 网关日志的存储帐户或 Log Analytics 工作区,请设置符合组织合规性条例的日志保留期。

责任:客户

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-1:为所有 Azure 服务建立安全配置

指导:使用 Azure 蓝图自动部署和配置服务和应用程序环境。 单个蓝图定义可以包含 Azure 资源管理器模板、RBAC 控制和策略。

可以使用 Azure 门户、PowerShell 或 Azure CLI 为 VPN 网关配置自定义加密策略。

责任:客户

PV-2:为所有 Azure 服务维护安全配置

指导:可以使用 Azure 门户、PowerShell 或 Azure CLI 为 VPN 网关配置自定义 IPsec/IKE 策略。

责任:客户

PV-3:为计算资源建立安全配置

指导:使用 Microsoft Defender for Cloud 和 Azure Policy 在所有计算资源(包括 VM 和容器)上建立安全配置。

责任:客户

PV-6:执行软件漏洞评估

指导:不适用。 Microsoft 对支持 VPN 网关的基础系统进行漏洞管理。

责任:Microsoft

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源执行渗透测试和红队活动,确保修正所有关键的安全发现结果。

按照 Microsoft Cloud 渗透测试参与规则操作,以确保渗透测试不违反 Microsoft 策略。 按照 Microsoft Cloud 渗透测试参与规则操作,以确保渗透测试不违反 Microsoft 策略。 采用并执行 Microsoft 的红队演练策略。 对 Microsoft 托管的云基础结构、服务和应用程序进行实时站点渗透测试。

责任:Microsoft

终结点安全性

有关详细信息,请参阅 Azure 安全基线:终结点安全性

ES-2:使用集中管理的新式反恶意软件

指导:使用集中管理的新式反恶意软件保护 VPN 网关或其资源。

  • 使用集中管理的终结点反恶意软件解决方案,可实时和定期扫描。

  • 使用适用于 Azure 云服务的防恶意软件作为 Windows VM 的默认反恶意软件解决方案。

  • 对于 Linux VM,请使用第三方反恶意软件解决方案。

  • 可针对数据服务使用 Microsoft Defender for Cloud 威胁检测,以检测上传到 Azure 存储帐户的恶意软件。

  • 使用 Microsoft Defender for Cloud 以自动执行以下操作:

    • 识别 VM 的几个常用反恶意软件解决方案
    • 报告终结点保护运行状态
    • 做出建议

责任:Microsoft

ES-3:请务必更新反恶意软件和签名

指导:确保快速一致地更新反恶意软件签名。

请按照 Microsoft Defender for Cloud 中的建议(“计算和应用”)操作,确保所有 VM 和容器都具有最新的签名。

对于 Windows,Microsoft Antimalware 将默认自动安装最新的签名和引擎更新。 对于 Linux,请使用第三方反恶意软件解决方案。

责任:Microsoft

备份和恢复

有关详细信息,请参阅 Azure 安全基准:备份和恢复

BR-1:确保运行定期自动备份

指导:不适用。 VPN 网关不支持数据备份,且不需要数据备份。

责任:Microsoft

BR-2:加密备份数据

指导:VPN 网关服务对其存储的系统元数据使用 Azure 存储自动数据复制。 VPN 网关还使用 Azure 存储静态加密功能。

责任:Microsoft

BR-3:验证所有备份,包括客户管理的密钥

指导:VPN 网关使用 Azure 存储复制功能。

责任:Microsoft

BR-4:缓解密钥丢失风险

指导:确保采取适当的措施来防止密钥丢失,并确保可以恢复丢失的密钥。 在 Azure Key Vault 中启用软删除和清除保护,以防止意外删除或恶意删除密钥。

VPN 网关使用 Azure 存储复制功能。

责任:客户

后续步骤