Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej aktualny up-tostandard zabezpieczeń platformy Azure jest dostępny tutaj.
Zabezpieczenia sieciowe obejmują mechanizmy kontroli zabezpieczania i ochrony sieci platformy Azure. Obejmuje to zabezpieczanie sieci wirtualnych, ustanawianie połączeń prywatnych, zapobieganie atakom zewnętrznym i zabezpieczanie systemu DNS oraz ich ograniczanie.
Aby wyświetlić odpowiednie wbudowane zasady usługi Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Zabezpieczenia sieciowe
NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Zobacz materiał NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa, która jest zgodna z ryzykiem biznesowym. Każdy system, który może stanowić większe ryzyko dla organizacji, powinien być odizolowany we własnej sieci wirtualnej i wystarczająco zabezpieczony za pomocą sieciowej grupy zabezpieczeń i/lub usługi Azure Firewall.
Na podstawie aplikacji i strategii segmentacji aplikacji i przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł grup zabezpieczeń sieciowych. W przypadku określonych dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być wysoce bezpieczne podejście "odmów domyślnie, zezwól na wyjątek". Może to nie być dobrze skalowane, jeśli masz wiele aplikacji i punktów końcowych współdziałających ze sobą. Usługi Azure Firewall można również używać w sytuacjach, gdy centralne zarządzanie jest wymagane w dużej liczbie segmentów lub szprych przedsiębiorstwa (w topologii piasty/szprych).
Użyj adaptacyjnego wzmacniania sieci w usłudze Azure Security Center, aby zalecić konfiguracje grup zabezpieczeń sieciowych, które ograniczają porty i źródłowe adresy IP na podstawie zewnętrznych reguł ruchu sieciowego.
Użyj usługi Azure Sentinel, aby odnaleźć użycie starszych niezabezpieczonych protokołów, takich jak SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds i słabe szyfry w protokole Kerberos.
Jak utworzyć sieciową grupę zabezpieczeń przy użyciu reguł zabezpieczeń
Adaptacyjne wzmacnianie zabezpieczeń sieci w usłudze Azure Security Center
Skoroszyt niezabezpieczonych protokołów usługi Azure Sentinel
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-2: Łączenie sieci prywatnych
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | N/A | CA-3, AC-17, MA-4 |
Użyj usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć lokalne urządzenia lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.
Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych lub usługi Private Link. Ruch sieciowy między równorzędnymi sieciami wirtualnymi jest prywatny i przekazywany w sieci szkieletowej platformy Azure.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-3: Ustanawianie dostępu do sieci prywatnej do usług platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Zobacz materiał NS-3 | 14.1 | AC-4, CA-3, SC-7 |
Użyj usługi Azure Private Link, aby włączyć prywatny dostęp do usług platformy Azure z sieci wirtualnych bez przekraczania Internetu. W sytuacjach, gdy usługa Azure Private Link nie jest jeszcze dostępna, użyj punktów końcowych usługi Azure Virtual Network. Punkty końcowe usługi Azure Virtual Network zapewniają bezpieczny dostęp do usług za pośrednictwem zoptymalizowanej trasy przez sieć szkieletową platformy Azure.
Dostęp prywatny to dodatkowa ochrona w głębi systemu oprócz uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-4: Ochrona aplikacji i usług przed atakami sieci zewnętrznej
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Zobacz materiał NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Ochrona zasobów platformy Azure przed atakami z sieci zewnętrznych, w tym atakami typu "rozproszona odmowa usługi", atakami specyficznymi dla aplikacji oraz niepożądanym i potencjalnie złośliwym ruchem internetowym. Platforma Azure oferuje natywne możliwości dla tego:
Użyj usługi Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych.
Korzystanie z funkcji zapory aplikacji internetowej (WAF) w usłudze Azure Application Gateway, usłudze Azure Front Door i usłudze Azure Content Delivery Network (CDN) w celu ochrony aplikacji, usług i interfejsów API przed atakami warstwy aplikacji.
Ochrona zasobów przed atakami DDoS przez włączenie standardowej ochrony przed atakami DDoS w sieciach wirtualnych platformy Azure.
Usługa Azure Security Center umożliwia wykrywanie zagrożeń związanych z błędną konfiguracją związanych z powyższymi elementami.
Zarządzanie Azure DDoS Protection Standard za pomocą portalu Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-5: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Zobacz materiał NS-5 | 12.6, 12.7 | SI-4 |
Użyj filtrowania opartego na analizie zagrożeń usługi Azure Firewall, aby otrzymywać alerty dotyczące ruchu i/lub blokować ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. Jeśli wymagana jest inspekcja ładunku, możesz użyć funkcji IDPS usługi Azure Firewall w warstwie Premium lub wdrożyć system wykrywania/zapobiegania włamaniom intruzów innych firm (IDS/IPS) z witryny Azure Marketplace z funkcjami inspekcji ładunku. Alternatywnie, można użyć systemu IDS/IPS opartego na hoście lub hostowego rozwiązania wykrywania i reagowania (EDR) w połączeniu z IDS/IPS opartym na sieci lub zamiast niego.
Uwaga: jeśli masz przepisy prawne lub inne wymagania dotyczące użycia usług IDS/IPS, upewnij się, że zawsze jest dostrojony w celu zapewnienia wysokiej jakości alertów do rozwiązania SIEM.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-6: Uproszczenie reguł zabezpieczeń sieci
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Zobacz materiał NS-6 | 1.5 | IA-4 |
Uprość reguły zabezpieczeń sieci, wykorzystując tagi usługowe i grupy zabezpieczeń aplikacji (ASG).
Użyj tagów usługi Sieci wirtualnej, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi w polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.
Możesz również użyć grup zabezpieczeń aplikacji, aby uprościć złożoną konfigurację zabezpieczeń. Zamiast definiować zasady na podstawie jawnych adresów IP w sieciowych grupach zabezpieczeń, grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co umożliwia grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
NS-7: Bezpieczna usługa nazw domen (DNS)
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Zobacz materiał NS-7 | N/A | SC-20, SC-21 |
Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby wyeliminować typowe ataki, takie jak zwisające ataki DNS, ataki wzmacniania DNS, zatrucie DNS i fałszowanie itp.
Gdy usługa Azure DNS jest używana jako autorytatywna usługa DNS, upewnij się, że strefy i rekordy DNS są chronione przed przypadkowymi lub złośliwymi modyfikacjami przy użyciu Azure RBAC i blokad zasobów.
Zapobieganie zwisaniu wpisów DNS i unikanie przejęcia poddomeny
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):