備註
您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。
網路安全建議著重於指定允許或拒絕存取 Azure 服務的網路通訊協定、TCP/UDP 埠和網路連線服務。
1.1:保護虛擬網路內的 Azure 資源
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | 客戶 |
確保所有虛擬網路的子網路部署都有套用網路安全組,並針對應用程式的受信任埠和來源設置特定的網路存取控制。 當可用時,請使用私人端點搭配 Private Link,藉由將 VNet 身分識別延伸至服務,以保護您的 Azure 服務資源。 當私人端點和 Private Link 無法使用時,請使用服務端點。 如需服務特定需求,請參閱該特定服務的安全性建議。
或者,如果您有特定的使用案例,則可以藉由實作 Azure 防火牆來符合需求。
1.2:監視和記錄虛擬網路、子網路及 NIC 的設定與流量
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | 客戶 |
使用 Azure 資訊安全中心並遵循網路保護建議,協助保護 Azure 中的網路資源。 啟用 NSG 流量記錄,並將記錄傳送至記憶體帳戶以進行流量稽核。 您也可以將 NSG 流量記錄傳送至 Log Analytics 工作區,並使用流量分析來提供 Azure 雲端中流量的深入解析。 使用分析的一些優點是能夠可視化網路活動並識別熱點、識別安全性威脅、瞭解流量模式,以及找出網路設定錯誤。
1.3:保護重要的 Web 應用程式
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.3 | 9.5 | 客戶 |
在關鍵 Web 應用程式前面部署 Azure Web 應用程式防火牆 (WAF),以進一步檢查連入流量。 啟用 WAF 的診斷設定,並將記錄擷取至儲存帳戶、事件中樞或 Log Analytics 工作區。
1.4:拒絕與已知惡意 IP 位址的通訊
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.4 | 12.3 | 客戶 |
在您的 Azure 虛擬網路上啟用 DDoS 標準保護,以防範 DDoS 攻擊。 使用 Azure 資訊安全中心整合式威脅情報來拒絕與已知惡意 IP 位址的通訊。
在組織的每個網路邊界上部署 Azure 防火牆,並啟用威脅情報,將其設定為對惡意網路流量進行「警示和拒絕」。
使用 Azure 安全中心的即時網路存取功能,將 NSG 設定為在有限的期間內僅允許已核准的 IP 位址來存取端點。
使用 Azure 資訊安全中心自適性網路強化來建議 NSG 設定,根據實際的流量和威脅情報來限制埠和來源 IP。
1.5:記錄網路封包
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.5 | 12.5 | 客戶 |
啟用網路監看員封包擷取來調查異常活動。
1.6:部署網路型入侵檢測/入侵預防系統 (IDS/IPS)
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.6 | 12.6, 12.7 | 客戶 |
從 Azure Marketplace 中選取支援具有承載檢查功能的 IDS/IPS 功能的供應專案。 如果基於承載檢查的入侵檢測和/或預防並非必要條件,可以使用具有威脅情報的 Azure 防火牆。 Azure 防火牆威脅情報型篩選可以警示和拒絕來自已知惡意IP位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。
在每個組織的網路界限上部署您選擇的防火牆解決方案,以偵測和/或拒絕惡意流量。
1.7:管理 Web 應用程式的流量
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.7 | 12.9, 12.10 | 客戶 |
針對已啟用受信任憑證的 HTTPS/TLS,為 Web 應用程式部署 Azure 應用程式閘道。
1.8:將網路安全性規則的複雜度和系統管理額外負荷降至最低
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.8 | 1.5 | 客戶 |
使用虛擬網路服務標籤來定義網路安全組或 Azure 防火牆的網路存取控制。 您可在建立安全性規則時,使用服務標籤替代特定的 IP 位址。 藉由在規則的適當來源或目的地欄位中指定服務標籤名稱(例如 ApiManagement),您可以允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤。
您也可以使用應用程式安全組來協助簡化複雜的安全性設定。 應用程式安全組可讓您將網路安全設定為應用程序結構的自然延伸模組,讓您根據這些群組來分組虛擬機並定義網路安全策略。
1.9:維護網路裝置的標準安全性設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.9 | 11.1 | 客戶 |
使用 Azure 原則定義及實作網路資源的標準安全性設定。
您也可以使用 Azure 藍圖,在單一藍圖定義中封裝重要環境成品,例如 Azure Resource Manager 範本、Azure RBAC 控件和原則,以簡化大規模的 Azure 部署。 您可以將藍圖套用至新的訂用帳戶,並透過版本控制微調控制與管理。
1.10:檔案流量設定規則
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.10 | 11.2 | 客戶 |
針對 NSG 和其他與網路安全性和流量相關的資源使用標籤。 針對個別 NSG 規則,請使用 [描述] 欄位來指定允許流量進入網路的任何規則的商務需求和/或持續時間(等等)。
使用任何與標記相關的內建 Azure 原則定義,例如「需要標記和其值」,以確保所有資源都是使用標籤建立,並通知您現有的未標記資源。
您可以使用 Azure PowerShell 或 Azure CLI,依據資源的標籤來查詢或執行操作。
1.11:使用自動化工具來監視網路資源設定並偵測變更
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.11 | 11.3 | 客戶 |
使用 Azure 活動記錄來監視資源設定,並偵測 Azure 資源的變更。 在 Azure 監視器內建立警示,以在變更重要資源時觸發。
後續步驟
- 請參閱下一個安全性控制: 記錄和監視