Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.
Netzwerksicherheit deckt Steuerelemente zum Sichern und Schützen von Azure-Netzwerken ab. Dazu gehört das Sichern virtueller Netzwerke, das Einrichten privater Verbindungen, das Verhindern und Verringern externer Angriffe und das Sichern von DNS.
Für die anwendbare integrierte Azure-Richtlinie finden Sie Informationen unter Details zur eingebauten Azure Security Benchmark Compliance-Initiative: Netzwerksicherheit.
NS-1: Implementieren der Sicherheit für internen Datenverkehr
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Stellen Sie sicher, dass alle virtuellen Azure-Netzwerke einem Unternehmenssegmentierungsprinzip entsprechen, das sich an die Geschäftsrisiken richtet. Jedes System, das ein höheres Risiko für die Organisation verursachen könnte, sollte innerhalb seines eigenen virtuellen Netzwerks isoliert und ausreichend durch eine Netzwerksicherheitsgruppe (Network Security Group, NSG) und/oder Azure Firewall gesichert werden.
Basierend auf Ihrer Anwendungs- und Unternehmenssegmentierungsstrategie können Sie den Datenverkehr zwischen internen Ressourcen basierend auf Den Regeln der Netzwerksicherheitsgruppe einschränken oder zulassen. Bei bestimmten gut definierten Anwendungen (z. B. einer 3-stufigen App) kann dies ein hochsicherer Ansatz "Standardmäßig ablehnen, ausnahmeweise zulassen" sein. Dies kann bei vielen Anwendungen und Endpunkten, die miteinander interagieren, möglicherweise nicht gut skaliert werden. Sie können azure Firewall auch in Situationen verwenden, in denen eine zentrale Verwaltung über eine große Anzahl von Unternehmenssegmenten oder Speichen (in einer Hub-/Speichentopologie) erforderlich ist.
Verwenden Sie die Azure Security Center Adaptive Network-Härtung, um Netzwerksicherheitsgruppenkonfigurationen zu empfehlen, die Ports und Quell-IPs basierend auf externen Netzwerkdatenverkehrsregeln einschränken.
Verwenden Sie Azure Sentinel, um die Verwendung von älteren unsicheren Protokollen wie SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds und schwachen Verschlüsselungen in Kerberos zu ermitteln.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-2: Verbinden privater Netzwerke
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | Nicht verfügbar | CA-3, AC-17, MA-4 |
Verwenden Sie Azure ExpressRoute oder virtuelles privates Azure-Netzwerk (VPN), um private Verbindungen zwischen Azure-Rechenzentren und lokaler Infrastruktur in einer Colocation-Umgebung zu erstellen. ExpressRoute-Verbindungen gehen nicht über das öffentliche Internet, und sie bieten mehr Zuverlässigkeit, schnellere Geschwindigkeiten und niedrigere Latenzen als typische Internetverbindungen. Für Point-to-Site-VPN und Standort-zu-Standort-VPN können Sie lokale Geräte oder Netzwerke mit einem virtuellen Netzwerk verbinden, indem Sie eine beliebige Kombination dieser VPN-Optionen und Azure ExpressRoute verwenden.
Um zwei oder mehr virtuelle Netzwerke in Azure zusammen zu verbinden, verwenden Sie virtuelles Netzwerk-Peering oder private Verknüpfung. Der Netzwerkdatenverkehr zwischen virtuellen Netzwerken mit Peering ist privat und wird im Azure-Backbonenetzwerk gespeichert.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-3: Einrichten eines privaten Netzwerkzugriffs auf Azure-Dienste
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
Verwenden Sie azure Private Link, um den privaten Zugriff auf Azure-Dienste aus Ihren virtuellen Netzwerken zu ermöglichen, ohne das Internet zu überschreiten. Verwenden Sie in Situationen, in denen Azure Private Link noch nicht verfügbar ist, Azure Virtual Network-Dienstendpunkte. Azure Virtual Network-Dienstendpunkte bieten sicheren Zugriff auf Dienste über eine optimierte Route über das Azure-Backbone-Netzwerk.
Der private Zugriff ist zusätzlich zur Authentifizierungs- und Datenverkehrssicherheit, die von Azure-Diensten angeboten wird, eine zusätzliche umfassende Verteidigungsmaßnahme.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-4: Schützen von Anwendungen und Diensten vor Externen Netzwerkangriffen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Schützen Sie Azure-Ressourcen vor Angriffen aus externen Netzwerken, einschließlich verteilter Denial of Service (DDoS)-Angriffe, anwendungsspezifischer Angriffe und unerwünschtem und potenziell schädlichem Internetdatenverkehr. Azure umfasst systemeigene Funktionen für folgendes:
Verwenden Sie Azure Firewall, um Anwendungen und Dienste vor potenziell schädlichem Datenverkehr aus dem Internet und anderen externen Speicherorten zu schützen.
Verwenden Sie die Funktionen der Webanwendungsfirewall (WAF) in Azure Application Gateway, Azure Front Door und Azure Content Delivery Network (CDN), um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsschicht zu schützen.
Schützen Sie Ihre Ressourcen vor DDoS-Angriffen, indem Sie den DDoS-Standardschutz in Ihren virtuellen Azure-Netzwerken aktivieren.
Verwenden Sie Das Azure Security Center, um Falschkonfigurationsrisiken im Zusammenhang mit den oben genannten Zu erkennen.
Verwalten von Azure DDoS Protection Standard mithilfe des Azure-Portals
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-5: Bereitstellen von Einbruchserkennungs-/Einbruchverhinderungssystemen (IDS/IPS)
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Verwenden Sie die azure Firewall Threat Intelligence-basierte Filterung, um den Datenverkehr zu und von bekannten bösartigen IP-Adressen und Domänen zu benachrichtigen und/oder zu blockieren. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. Wenn die Nutzlastüberprüfung erforderlich ist, können Sie das Azure Firewall Premium IDPS-Feature verwenden oder ein Angriffserkennungs-/Eindringschutzsystem (IDS/IPS) von Azure Marketplace mit Nutzlastüberprüfungsfunktionen bereitstellen. Alternativ können Sie hostbasierte IDS/IPS oder eine hostbasierte Endpunkterkennungs- und Antwortlösung (EDR) in Verbindung mit oder anstelle von netzwerkbasierten IDS/IPS verwenden.
Hinweis: Wenn Sie über eine behördliche oder andere Anforderung für die Verwendung von IDS/IPS verfügen, stellen Sie sicher, dass sie immer abgestimmt ist, um Ihrer SIEM-Lösung qualitativ hochwertige Warnungen bereitzustellen.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-6: Vereinfachen von Netzwerksicherheitsregeln
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Vereinfachen Sie Netzwerksicherheitsregeln, indem Sie Diensttags und Anwendungssicherheitsgruppen (APPLICATION Security Groups, ASGs) nutzen.
Verwenden Sie Virtual Network-Diensttags, um Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen oder Azure Firewall zu definieren. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen. Durch Angeben des Diensttagnamens im Quell- oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern. Microsoft verwaltet die Adresspräfixe, die von der Dienstmarke umfasst werden, und aktualisiert die Dienstmarke automatisch, wenn sich die Adressen ändern.
Sie können auch Anwendungssicherheitsgruppen verwenden, um die komplexe Sicherheitskonfiguration zu vereinfachen. Anstatt Richtlinien basierend auf expliziten IP-Adressen in Netzwerksicherheitsgruppen zu definieren, können Sie die Netzwerksicherheit als natürliche Erweiterung der Struktur einer Anwendung konfigurieren, sodass Sie virtuelle Computer gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen definieren können.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-7: Sicherer Domain Name Service (DNS)
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| NS-7 | Nicht verfügbar | SC-20, SC-21 |
Befolgen Sie die bewährten Methoden für die DNS-Sicherheit, um häufige Angriffe wie beispielsweise dangling DNS, DNS-Amplifikationsangriffe, DNS-Vergiftung und Spoofing abzuschwächen.
Wenn Azure DNS als autoritativer DNS-Dienst verwendet wird, stellen Sie sicher, dass DNS-Zonen und -Einträge mithilfe von Azure RBAC und Ressourcensperren vor versehentlicher oder böswilliger Änderung geschützt sind.
Bereitstellungshandbuch für sicheres Domain Name System (DNS)
Verhinderung hängender DNS-Einträge und Vermeidung von Subdomain-Übernahmen
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):