Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
A segurança de rede abrange controles para proteger redes do Azure. Isso inclui proteger redes virtuais, estabelecer conexões privadas, prevenir e atenuar ataques externos e proteger o DNS.
Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Segurança de Rede
NS-1: implementar a segurança para o tráfego interno
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Verifique se todas as redes virtuais do Azure seguem um princípio de segmentação empresarial que se alinha aos riscos de negócios. Qualquer sistema que possa incorrer em maior risco para a organização deve ser isolado dentro de sua própria rede virtual e suficientemente protegido com um NSG (grupo de segurança de rede) e/ou firewall do Azure.
Com base em seus aplicativos e na estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base nas regras do grupo de segurança de rede. Para aplicativos bem definidos específicos (como um aplicativo de 3 camadas), essa pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção". Isso pode não escalar bem se você tiver muitos aplicativos e pontos de extremidade interagindo entre si. Você também pode usar o Firewall do Azure em circunstâncias em que o gerenciamento central é necessário em um grande número de segmentos corporativos ou pontos de conexão (em uma topologia de hub e pontos de conexão).
Use a Proteção de Rede Adaptável da Central de Segurança do Azure para recomendar configurações de grupo de segurança de rede que limitem portas e IPs de origem com base em regras de tráfego de rede externas.
Use o Azure Sentinel para descobrir o uso de protocolos não seguros herdados, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Associações LDAP não assinados e criptografias fracas em Kerberos.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
NS-2: conectar redes privadas juntas
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | Não aplicável | CA-3, AC-17, MA-4 |
Use o Azure ExpressRoute ou a VPN (rede virtual privada) do Azure para criar conexões privadas entre datacenters do Azure e a infraestrutura local em um ambiente de colocação. As conexões do ExpressRoute não passam pela Internet pública e oferecem mais confiabilidade, velocidades mais rápidas e latências mais baixas do que as conexões de Internet típicas. Para VPN ponto a site e VPN site a site, você pode conectar dispositivos ou redes locais a uma rede virtual usando qualquer combinação dessas opções de VPN e do Azure ExpressRoute.
Para conectar duas ou mais redes virtuais no Azure, use o emparelhamento de rede virtual ou o Link Privado. O tráfego de rede entre redes virtuais em modo de peering é privado e é mantido na rede principal do Azure.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
NS-3: Estabelecer acesso à rede privada aos serviços do Azure
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
Use o Link Privado do Azure para habilitar o acesso privado aos serviços do Azure de suas redes virtuais, sem cruzar a Internet. Em situações em que o Link Privado do Azure ainda não está disponível, use pontos de extremidade de serviço da Rede Virtual do Azure. Os pontos de extremidade de serviço de Rede Virtual do Azure fornecem acesso seguro aos serviços por meio de uma rota otimizada pela rede de backbone do Azure.
O acesso privado é uma medida adicional de defesa detalhada, além da autenticação e segurança de tráfego oferecida pelos serviços do Azure.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
NS-4: proteger aplicativos e serviços de ataques de rede externa
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Proteja os recursos do Azure contra ataques de redes externas, incluindo ataques de DDoS (negação de serviço distribuído), ataques específicos do aplicativo e tráfego de Internet não solicitado e potencialmente mal-intencionado. O Azure inclui recursos nativos para isso:
Use o Firewall do Azure para proteger aplicativos e serviços contra tráfego potencialmente mal-intencionado da Internet e de outros locais externos.
Use recursos do WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo do Azure, no Azure Front Door e na CDN (Rede de Distribuição de Conteúdo) do Azure para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo.
Proteja seus ativos contra ataques de DDoS habilitando a proteção padrão DDoS em suas redes virtuais do Azure.
Use a Central de Segurança do Azure para detectar riscos de configuração incorreta relacionados ao indicado acima.
Gerenciar a Proteção contra DDoS do Azure Standard usando o portal do Azure
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
NS-5: implantar sistemas de detecção de intrusão/prevenção contra intrusões (IDS/IPS)
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Use a filtragem baseada em inteligência contra ameaças do Firewall do Azure para alertar e/ou bloquear o tráfego de e para domínios e endereços IP mal-intencionados conhecidos. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft. Quando a inspeção de pacotes é necessária, você pode usar o recurso IDPS Premium do Firewall do Azure ou implantar um sistema de detecção/prevenção de intrusão (IDS/IPS) de terceiros no Azure Marketplace com capacidade de inspeção de pacotes. Como alternativa, você pode usar IDS/IPS baseados em host ou uma solução EDR baseada em host, em conjunto com ou em vez de IDS/IPS baseados em rede.
Observação: se você tiver um requisito regulatório ou outro requisito para uso do IDS/IPS, verifique se ele está sempre ajustado para fornecer alertas de alta qualidade para sua solução SIEM.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
NS-6: Simplificar regras de segurança de rede
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Simplifique as regras de segurança de rede aproveitando as marcas de serviço e os ASGs (grupos de segurança do aplicativo).
Use marcas de serviço de Rede Virtual para definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço no campo de origem ou destino de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço abrangidos pela marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços são alterados.
Você também pode usar grupos de segurança de aplicativos para ajudar a simplificar a configuração de segurança complexa. Em vez de definir a política com base em endereços IP explícitos em grupos de segurança de rede, os grupos de segurança de aplicativos permitem que você configure a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo que você agrupe máquinas virtuais e defina políticas de segurança de rede com base nesses grupos.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
NS-7: serviço de nomes de domínio seguro (DNS)
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| NS-7 | Não aplicável | SC-20, SC-21 |
Siga as práticas recomendadas de segurança DNS para atenuar ataques comuns, como DNS pendente, ataques de amplificações de DNS, envenenamento por DNS e falsificação, etc.
Quando o DNS do Azure é usado como seu serviço DNS autoritativo, verifique se as zonas E registros DNS estão protegidos contra modificações acidentais ou mal-intencionadas usando o RBAC do Azure e bloqueios de recursos.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):