Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
O mais up-torecente Benchmark de Segurança do Azure está disponível aqui.
A Segurança de Rede abrange controlos para proteger e proteger as redes do Azure. Isso inclui proteger redes virtuais, estabelecer conexões privadas, prevenir e mitigar ataques externos e proteger o DNS.
Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Segurança de Rede
NS-1: Implementar segurança para o tráfego interno
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Certifique-se de que todas as redes virtuais do Azure sigam um princípio de segmentação empresarial alinhado aos riscos de negócios. Qualquer sistema que possa incorrer em maior risco para a organização deve ser isolado dentro de sua própria rede virtual e suficientemente protegido com um NSG (grupo de segurança de rede) e/ou Firewall do Azure.
Com base em seus aplicativos e estratégia de segmentação corporativa, restrinja ou permita o tráfego entre recursos internos com base em regras de grupo de segurança de rede. Para aplicativos específicos bem definidos (como um aplicativo de 3 camadas), essa pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção". Isso pode não escalar bem se tiver muitos aplicativos e endpoints a interagir entre si. Você também pode utilizar o Firewall do Azure em situações em que é necessário um gerenciamento central sobre um grande número de segmentos empresariais ou ramificações, em uma topologia de concentrador e ramificação.
Use a Proteção de Rede Adaptável da Central de Segurança do Azure para recomendar configurações de grupo de segurança de rede que limitam portas e IPs de origem com base em regras de tráfego de rede externa.
Use o Azure Sentinel para descobrir o uso de protocolos inseguros herdados, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Ligações LDAP não assinadas e cifras fracas em Kerberos.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
NS-2: Conecte redes privadas
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-2 | N/A | CA-3, AC-17, MA-4 |
Use o Azure ExpressRoute ou a rede virtual privada (VPN) do Azure para criar conexões privadas entre datacenters do Azure e infraestrutura local em um ambiente de colocation. As ligações ExpressRoute não passam pela Internet pública e oferecem mais fiabilidade, velocidades mais rápidas e latências mais baixas do que as ligações de Internet típicas. Para VPN ponto a site e VPN site a site, você pode conectar dispositivos ou redes locais a uma rede virtual usando qualquer combinação dessas opções de VPN e da Rota Expressa do Azure.
Para conectar duas ou mais redes virtuais no Azure juntas, use emparelhamento de rede virtual ou Link Privado. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
NS-3: Estabelecer acesso de rede privada aos serviços do Azure
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-3 | 14.1 | AC-4, CA-3, SC-7 |
Utilize a Ligação Privada do Azure para ativar o acesso privado aos serviços do Azure a partir das suas redes virtuais, sem atravessar a Internet. Em situações em que o Azure Private Link ainda não está disponível, use os pontos de extremidade de serviço da Rede Virtual do Azure. Os pontos de extremidade de serviço da Rede Virtual do Azure fornecem acesso seguro aos serviços por meio de uma rota otimizada pela rede de backbone do Azure.
O acesso privado é uma medida adicional de defesa aprofundada, além da autenticação e da segurança de tráfego oferecidas pelos serviços do Azure.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
NS-4: Proteja aplicativos e serviços contra ataques externos à rede
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-4 | 9,5, 12,3, 12,9 | SC-5, SC-7 |
Proteja os recursos do Azure contra ataques de redes externas, incluindo ataques distribuídos de negação de serviço (DDoS), ataques específicos de aplicativos e tráfego da Internet não solicitado e potencialmente mal-intencionado. O Azure inclui recursos nativos para isso:
Use o Firewall do Azure para proteger aplicativos e serviços contra tráfego potencialmente mal-intencionado da Internet e de outros locais externos.
Use os recursos do Web Application Firewall (WAF) no Azure Application Gateway, Azure Front Door e Azure Content Delivery Network (CDN) para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo.
Proteja seus ativos contra ataques DDoS habilitando a proteção padrão DDoS em suas redes virtuais do Azure.
Use a Central de Segurança do Azure para detetar riscos de configuração incorreta relacionados aos itens acima.
Gerenciar o Azure DDoS Protection Standard usando o portal do Azure
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
NS-5: Implante sistemas de deteção e prevenção de intrusão (IDS/IPS)
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Use a filtragem baseada em inteligência de ameaças do Firewall do Azure para alertar e/ou bloquear o tráfego de e para endereços e domínios IP mal-intencionados conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. Quando a inspeção de carga útil é necessária, você pode usar o recurso IDPS Premium do Firewall do Azure ou implantar um sistema de deteção de intrusão/prevenção de intrusão (IDS/IPS) de terceiros do Azure Marketplace com recursos de inspeção de carga útil. Como alternativa, você pode usar IDS/IPS baseado em host ou uma solução EDR (deteção e resposta de ponto final) baseada em host em conjunto com ou em vez de IDS/IPS baseado em rede.
Nota: Se você tiver um requisito regulatório ou outro para o uso do IDS/IPS, certifique-se de que ele esteja sempre ajustado para fornecer alertas de alta qualidade para sua solução SIEM.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
NS-6: Simplifique as regras de segurança de rede
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Simplifique as regras de segurança de rede aproveitando tags de serviço e grupos de segurança de aplicativos (ASGs).
Use marcas de serviço de Rede Virtual para definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure. Ao criar regras de segurança, pode utilizar etiquetas de serviço em vez de endereços IP específicos. Ao especificar o nome da etiqueta de serviço no campo de origem ou destino de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.
Você também pode usar grupos de segurança de aplicativos para ajudar a simplificar a configuração de segurança complexa. Em vez de definir políticas com base em endereços IP explícitos em grupos de segurança de rede, os grupos de segurança de aplicativos permitem configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
NS-7: Serviço de Nomes de Domínio Seguro (DNS)
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| NS-7 | N/A | SC-20, SC-21 |
Siga as melhores práticas de segurança de DNS para mitigar ataques comuns, como DNS pendente, ataques de amplificação de DNS, envenenamento e falsificação de DNS, etc.
Quando o DNS do Azure for usado como seu serviço DNS autoritativo, verifique se as zonas e os registros DNS estão protegidos contra modificações acidentais ou mal-intencionadas usando o RBAC do Azure e bloqueios de recursos.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):