適用于 Azure Load Balancer 的 Azure 安全性基準
此安全性基準會將Microsoft 雲端安全性基準測試 1.0 版的指引套用至Azure Load Balancer。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控制項分組,以及適用于Azure Load Balancer的相關指引。
您可以使用雲端Microsoft Defender來監視此安全性基準及其建議。 Azure 原則定義將會列在雲端入口網站Microsoft Defender頁面的 [法規合規性] 區段中。
當功能具有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量與 Microsoft 雲端安全性基準測試控制項和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於Azure Load Balancer的功能。 若要查看Azure Load Balancer如何完全對應至 Microsoft 雲端安全性基準測試,請參閱完整的Azure Load Balancer安全性基準對應檔案。
安全性設定檔
安全性設定檔摘要說明Azure Load Balancer的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 網路 |
| 客戶可以存取主機/OS | 無存取權 |
| 服務可以部署至客戶的虛擬網路 | False |
| 儲存待用客戶內容 | False |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援將部署至客戶的私人虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:雖然Azure Load Balancer資源不會直接部署到虛擬網路,但內部 SKU 可以使用目標 Azure 虛擬網路建立一或多個前端 IP 組態。
設定指引:Azure 提供兩種類型的Load Balancer供應專案:標準和基本。 使用內部 Azure Load Balancer 只允許來自特定虛擬網路或對等互連虛擬網路內後端資源的流量,而不會暴露在網際網路上。 使用來源網路位址轉譯 (SNAT) 實作外部Load Balancer,以偽裝後端資源的 IP 位址,以防範直接網際網路暴露。
網路安全性群組支援
描述:服務網路流量會遵守其子網上的網路安全性群組規則指派。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:使用者可以在其虛擬網路上設定 NSG,但不能直接在Load Balancer上設定 NSG。
設定指引:實作網路安全性群組,只允許存取您應用程式信任的埠和 IP 位址範圍。 如果沒有網路安全性群組指派給後端虛擬機器的後端子網或 NIC,則不允許流量從負載平衡器存取這些資源。 標準 Load Balancer 提供輸出規則,以定義具有網路安全性群組的輸出 NAT。 檢閱這些輸出規則,以微調輸出連線的行為。
Standard Load Balancer設計為預設為安全,以及私人和隔離虛擬網路的一部分。 除非網路安全性群組開啟,以明確允許允許的流量,以及不允許已知的惡意 IP 位址,否則會關閉輸入流程。 除非虛擬機器資源子網或 NIC 上的網路安全性群組存在於Load Balancer後方,否則不允許流量連線到此資源。
注意:建議針對生產工作負載使用Standard Load Balancer,而且通常只會使用基本Load Balancer進行測試,因為基本類型預設會開啟網際網路的連線,而且不需要網路安全性群組進行作業。
參考:Azure Load Balancer前端 IP 組態
適用於雲端的 Microsoft Defender 監視
Azure 原則內建定義 - Microsoft.Network:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準測試:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:服務組態可以透過Azure 原則進行監視和強制執行。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 原則 定義及實作 Azure 資源的標準安全性設定。 指派與特定Azure Load Balancer資源相關的內建原則定義。 如果沒有可用的內建原則定義,您可以使用Azure 原則別名來建立自訂原則,以稽核或強制執行 'Microsoft.Network' 命名空間中Azure Load Balancer資源的設定。
後續步驟
- 請參閱 Microsoft 雲端安全性基準測試概觀
- 深入了解 Azure 資訊安全性基準