Tworzenie punktu odniesienia sieci

  • 5 min

Zgodnie z projektem usługi sieciowe platformy Azure maksymalizują elastyczność, dostępność, odporność, zabezpieczenia i integralność. Łączność sieciowa jest możliwa między zasobami znajdującymi się na platformie Azure, między zasobami lokalnymi i hostowanymi na platformie Azure oraz z Internetu i platformy Azure.

Rekomendacje dotyczące zabezpieczeń sieci platformy Azure

W poniższych sekcjach opisano zalecenia dotyczące sieci Azure, które znajdują się w CIS Microsoft Azure Foundations Security Benchmark v3.0.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń. Pamiętaj, że opcje na poziomie 2 mogą ograniczać niektóre funkcje lub działania, dlatego dokładnie zastanów się, które opcje zabezpieczeń mają być wymuszane.

Ograniczanie dostępu RDP i SSH z Internetu — poziom 1

Możesz uzyskać dostęp do maszyn wirtualnych platformy Azure przy użyciu protokołu RDP (Remote Desktop Protocol) i protokołu Secure Shell (SSH). Za pomocą tych protokołów można zarządzać maszynami wirtualnymi z lokalizacji zdalnych. Protokoły są standardami przetwarzania w centrach danych.

Potencjalny problem z zabezpieczeniami podczas korzystania z protokołów RDP i SSH przez Internet polega na tym, że osoby atakujące mogą używać technik siłowych w celu uzyskania dostępu do maszyn wirtualnych platformy Azure. Gdy osoby atakujące uzyskają dostęp, mogą użyć maszyny wirtualnej jako konsoli uruchamiania w celu naruszenia zabezpieczeń innych maszyn w sieci wirtualnej, a nawet zaatakować urządzenia sieciowe spoza platformy Azure.

Zalecamy wyłączenie bezpośredniego dostępu RDP i SSH z Internetu dla maszyn wirtualnych platformy Azure. Wykonaj następujące kroki dla każdej maszyny wirtualnej w ramach subskrypcji platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz maszyny wirtualne.

  2. Wybierz maszynę wirtualną.

  3. W menu po lewej stronie w obszarze Sieć wybierz pozycję Ustawienia sieci.

  4. Sprawdź, czy sekcja Reguły portów wejściowych nie ma reguły dla protokołu RDP, na przykład: port=3389, protocol = TCP, Source = Any or Internet. Aby usunąć regułę , możesz użyć ikony Usuń .

  5. Sprawdź, czy sekcja Reguły portów wejściowych nie ma reguły dla protokołu SSH, na przykład: port=22, protocol = TCP, Source = Any or Internet. Aby usunąć regułę , możesz użyć ikony Usuń .

Zrzut ekranu przedstawiający okienko ustawień sieci maszyny wirtualnej.

Gdy bezpośredni dostęp RDP i SSH z Internetu są wyłączone, dostępne są inne opcje, których można użyć do uzyskiwania dostępu do tych maszyn wirtualnych na potrzeby zdalnego zarządzania:

  • Sieć VPN typu punkt-lokacja
  • VPN między lokalizacjami
  • Azure ExpressRoute
  • Host usługi Azure Bastion

Ograniczanie dostępu do programu SQL Server z Internetu — poziom 1

Systemy zapory zapobiegają nieautoryzowanemu dostępowi do zasobów komputera. Jeśli zapora jest włączona, ale nie jest poprawnie skonfigurowana, próby nawiązania połączenia z programem SQL Server mogą zostać zablokowane.

Aby uzyskać dostęp do wystąpienia programu SQL Server za pośrednictwem zapory, należy skonfigurować zaporę na komputerze z uruchomionym programem SQL Server. Zezwalanie na ruch przychodzący dla zakresu 0.0.0.0/0 adresów IP (od adresu początkowego 0.0.0.0 do adresu końcowego 0.0.0.0) umożliwia nieograniczony dostęp do wszelkiego ruchu, co potencjalnie naraża bazę danych SQL Server na ataki. Upewnij się, że żadne bazy danych programu SQL Server nie zezwalają na ruch przychodzący z Internetu. Wykonaj następujące kroki dla każdego wystąpienia programu SQL Server.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz serwery SQL.

  2. W okienku menu w obszarze Zabezpieczenia wybierz pozycję Sieć.

  3. W okienku Sieć na karcie Dostęp publiczny upewnij się, że istnieje reguła zapory. Upewnij się, że żadna reguła nie ma lub innej kombinacji, która umożliwia dostęp do szerszych zakresów publicznych adresów IP.

  4. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający okienko Zapory i sieci wirtualne.

Włączanie usługi Network Watcher — poziom 1

Dzienniki przepływu NSG to funkcja usługi Azure Network Watcher, która udostępnia informacje o ruchu przychodzącym i wychodzącym IP przez NSG. Dzienniki przepływu są zapisywane w formacie JSON i pokazują:

  • Przepływy wychodzące i przychodzące na podstawie poszczególnych reguł.
  • Interfejs sieciowy (NIC), do którego przepływ ma zastosowanie.
  • 5-krotka informacja o ruchu: źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół użyty.
  • Czy ruch był dozwolony, czy blokowany.
  • W wersji 2 dostępne są informacje o przepustowości, takie jak ilość bajtów i liczba pakietów.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Network Watcher.

  2. Wybierz Network Watcher dla subskrypcji i lokalizacji.

  3. Jeśli dla twojej subskrypcji nie istnieją żadne dzienniki przepływu NSG, utwórz taki dziennik.

Ustaw okres przechowywania dziennika przepływu NSG na więcej niż 90 dni — poziom 2

Podczas tworzenia lub aktualizowania sieci wirtualnej w ramach subskrypcji usługa Network Watcher jest automatycznie włączona w regionie sieci wirtualnej. Nie ma to wpływu na Zasoby i nie są naliczane żadne opłaty, gdy usługa Network Watcher jest automatycznie włączona.

Dzienniki przepływu sieciowej grupy zabezpieczeń można użyć do sprawdzania anomalii i uzyskiwania wglądu w podejrzane naruszenia.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Network Watcher.

  2. W lewym menu pod Dzienniki, wybierz Dzienniki przepływu NSG.

    Zrzut ekranu przedstawiający okienko dziennika przepływu N S G.

  3. Wybierz dziennik przepływu NSG.

  4. Upewnij się, że okres przechowywania (dni) jest dłuższy niż 90 dni.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.