Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera omówienie zasad zabezpieczeń DNS i źródła danych analizy zagrożeń.
Aby uzyskać więcej informacji na temat konfiguracji zasad zabezpieczeń DNS i źródła danych analizy zagrożeń, zobacz następujące przewodniki z instrukcjami:
Co to są zasady zabezpieczeń DNS?
Zasady zabezpieczeń DNS umożliwiają filtrowanie i rejestrowanie zapytań DNS na poziomie sieci wirtualnej. Zasady dotyczą zarówno publicznego, jak i prywatnego ruchu DNS w sieci wirtualnej. Dzienniki DNS można wysyłać do konta magazynu, obszaru roboczego usługi Log Analytics lub centrów zdarzeń. Możesz wybrać opcję zezwalania, alertu lub blokowania zapytań DNS.
Za pomocą zasad zabezpieczeń DNS można wykonywać następujące czynności:
- Utwórz reguły ochrony przed atakami opartymi na systemie DNS, blokując rozpoznawanie nazw znanych lub złośliwych domen.
- Zapisz i wyświetl szczegółowe dzienniki DNS, aby uzyskać wgląd w ruch DNS.
Zasady zabezpieczeń DNS mają następujące skojarzone elementy i właściwości:
- Lokalizacja: region świadczenia usługi Azure, w którym są tworzone i wdrażane zasady zabezpieczeń.
- Reguły ruchu DNS: reguły zezwalające, blokujące lub wywołujące alerty na podstawie priorytetu i list domen.
- Łącza sieci wirtualnej: link, który kojarzy zasady zabezpieczeń z siecią wirtualną.
- Listy domen DNS: listy domen DNS oparte na lokalizacji.
Zasady zabezpieczeń DNS można skonfigurować przy użyciu programu Azure PowerShell lub witryny Azure Portal.
Co to jest analiza zagrożeń DNS?
Zasady zabezpieczeń usługi Azure DNS z kanałem informacyjnym analizy zagrożeń umożliwiają wczesne wykrywanie i zapobieganie zdarzeniu zabezpieczeń w sieciach wirtualnych klienta, w których znane złośliwe domeny pochodzące z centrum zabezpieczeń firmy Microsoft (MSRC) mogą być blokowane z rozpoznawania nazw.
Oprócz funkcji już udostępnionych zasad zabezpieczeń DNS kanał informacyjny jest dostępny jako lista domen zarządzanych i umożliwia ochronę obciążeń przed znanymi złośliwymi domenami za pomocą własnego zarządzanego źródła danych inteligentnego zagrożeń firmy Microsoft.
Poniżej przedstawiono zalety korzystania z polityki bezpieczeństwa DNS z kanałem informacji o zagrożeniach:
Ochrona inteligentna:
- Prawie wszystkie ataki zaczynają się od zapytania DNS. Zarządzana lista domen z analizy zagrożeń umożliwia wczesne wykrywanie i zapobieganie incydentom bezpieczeństwa.
Ciągłe aktualizacje:
- Firma Microsoft automatycznie aktualizuje kanał informacyjny w celu ochrony przed nowo wykrytymi złośliwymi domenami.
Złośliwe monitorowanie i blokowanie domeny:
Możliwość obserwacji tylko w trybie alertu lub blokowania podejrzanego działania w trybie blokowania.
Włączenie rejestrowania zapewnia wgląd we cały ruch DNS w sieci wirtualnej.
Przypadki użycia
Skonfiguruj analizę zagrożeń jako listę domen zarządzanych w zasadach zabezpieczeń DNS, aby uzyskać dodatkową warstwę ochrony przed znanymi złośliwymi domenami.
Uzyskaj wgląd w naruszone hosty, które próbują rozpoznać znane złośliwe domeny z sieci wirtualnych.
Rejestruj i konfiguruj alerty, gdy złośliwe domeny są rozpoznawane w sieciach wirtualnych, w których skonfigurowano źródło danych firmy Threat Intel.
Bezproblemowa integracja z sieciami wirtualnymi i innymi usługami, takimi jak prywatne strefy DNS platformy Azure, usługa Private Resolver i inne usługi w sieci wirtualnej.
Lokalizacja
Zasady zabezpieczeń mogą dotyczyć tylko sieci wirtualnych w tym samym regionie. W poniższym przykładzie dwie zasady są tworzone w każdym z dwóch różnych regionów (Wschodnie stany USA i Środkowe stany USA).
Ważne
Relacja policy:VNet jest 1:N. Jeśli sieć wirtualna jest skojarzona z zasadami zabezpieczeń (za pośrednictwem łączy sieci wirtualnej), nie można skojarzyć tej sieci wirtualnej z innymi zasadami zabezpieczeń bez uprzedniego usunięcia istniejącego łącza sieci wirtualnej. Pojedyncze zasady zabezpieczeń DNS można skojarzyć z wieloma sieciami wirtualnymi w tym samym regionie.
Reguły ruchu DNS
Reguły ruchu DNS określają akcję wykonywaną dla zapytania DNS.
Aby wyświetlić reguły ruchu DNS w witrynie Azure Portal, wybierz zasady zabezpieczeń DNS, a następnie w obszarze Ustawienia wybierz pozycję Reguły ruchu DNS. Zobacz następujący przykład:
- Reguły są przetwarzane według priorytetu w zakresie 100-65000. Niższe liczby mają wyższy priorytet.
- Jeśli nazwa domeny jest zablokowana w regule o niższym priorytcie, a ta sama domena jest dozwolona w regule o wyższym priorytcie, nazwa domeny jest dozwolona.
- Reguły są zgodne z hierarchią DNS. Jeśli contoso.com jest dozwolona w regule o wyższym priorytcie, sub.contoso.com jest dozwolona, nawet jeśli sub.contoso.com jest blokowana w regule o niższym priorytcie.
- Zasady można skonfigurować we wszystkich domenach, tworząc regułę, która ma zastosowanie do domeny ".". Należy zachować ostrożność podczas blokowania domen, aby nie blokować niezbędnych usług platformy Azure.
- Możesz dynamicznie dodawać i usuwać reguły z listy. Pamiętaj, aby zapisz zmiany po edytowaniu reguł w portalu.
- Wiele list domen DNS jest dozwolonych na regułę. Musisz mieć co najmniej jedną listę domen DNS.
- Każda reguła jest skojarzona z jedną z trzech akcji ruchu: Zezwalaj, Blokuj lub Alert.
- Zezwalaj: zezwól na zapytanie na skojarzone listy domen i zarejestruj zapytanie.
- Blokuj: Blokuj zapytanie na skojarzonych listach domen i rejestruj akcję bloku.
- Alert: Zezwól na zapytanie na listy skojarzonych domen i zarejestruj alert.
- Reguły mogą być indywidualnie włączone lub wyłączone.
Wirtualne połączenia sieciowe
Zasady zabezpieczeń DNS dotyczą tylko sieci wirtualnych (VNet) powiązanych z zasadami zabezpieczeń. Można połączyć pojedyncze zasady zabezpieczeń z wieloma sieciami wirtualnymi, jednak jedna sieć wirtualna może być połączona tylko z jednymi zasadami zabezpieczeń DNS.
W poniższym przykładzie przedstawiono zasady zabezpieczeń DNS połączone z dwiema sieciami wirtualnymi (myeastvnet-40, myeastvnet-50):
- Możesz łączyć sieci wirtualne tylko z tymi, które znajdują się w tym samym regionie co zasady zabezpieczeń.
- Po połączeniu sieci wirtualnej z zasadami zabezpieczeń DNS przy użyciu linku sieci wirtualnej zasady zabezpieczeń DNS mają zastosowanie do wszystkich zasobów wewnątrz sieci wirtualnej.
Listy domen DNS
Listy domen DNS to zestawienia domen, które powiązujesz z regułami ruchu.
Wybierz pozycję Listy domen DNS w obszarze Ustawienia zasad zabezpieczeń DNS, aby wyświetlić bieżące listy domen skojarzone z zasadami.
Uwaga / Notatka
Łańcuchy CNAME są badane ("ścigane"), aby określić, czy powinny być stosowane reguły ruchu skojarzone z domeną. Na przykład reguła, która ma zastosowanie do malicious.contoso.com dotyczy również adatum.com, jeśli adatum.com mapuje malicious.contoso.comlub jeśli malicious.contoso.com pojawia się w dowolnym miejscu w łańcuchu CNAME dla adatum.com.
W poniższym przykładzie przedstawiono listy domen DNS skojarzone z zasadami zabezpieczeń DNS myeast-secpol:
Listę domen można skojarzyć z wieloma regułami ruchu DNS w różnych zasadach zabezpieczeń. Zasady zabezpieczeń muszą zawierać co najmniej jedną listę domen. Poniżej przedstawiono przykład listy domen DNS (blocklist-1), która zawiera dwie domeny (malicious.contoso.com, exploit.adatum.com):
- Lista domen DNS musi zawierać co najmniej jedną domenę. Domeny z symbolami wieloznacznymi są dozwolone.
Ważne
Podczas tworzenia list domen z symbolami wieloznacznymi należy zachować ostrożność. Jeśli na przykład utworzysz listę domen, która ma zastosowanie do wszystkich domen (wprowadzając . jako domenę DNS), a następnie skonfigurujesz regułę ruchu DNS, aby zablokować zapytania do tej listy domen, możesz uniemożliwić działanie wymaganych usług.
Podczas wyświetlania listy domen DNS w witrynie Azure Portal możesz również wybrać pozycję Ustawienia>Skojarzone reguły ruchu DNS , aby wyświetlić listę wszystkich reguł ruchu i skojarzonych zasad zabezpieczeń DNS odwołujących się do listy domen DNS.
Wymagania i ograniczenia
| Typ ograniczenia | Limit/reguła |
|---|---|
| Ograniczenia wirtualnej sieci | - Zasady zabezpieczeń DNS można stosować tylko do sieci wirtualnych w tym samym regionie co zasady zabezpieczeń DNS. — Można powiązać jedną zasadę zabezpieczeń z każdą siecią wirtualną. |
| Ograniczenia zasad zabezpieczeń | 1000 |
| Ograniczenia reguły ruchu DNS | 100 |
| Ograniczenia listy domen | 2 000 |
| Ograniczenia listy dużych domen | 100 000 |
| Ograniczenia domeny | 100 000 |