網路安全性涵蓋用來保護 Azure 網路的控制措施。 這包括保護虛擬網路、建立私人連線、防止和減輕外部攻擊,以及保護 DNS。
若要查看適用的內建 Azure 原則,請參閱 Azure 安全性效能評定法規合規性內建方案的詳細數據:網路安全性
NS-1:強化內部流量的安全性
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-1 型 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4、CA-3、SC-7 |
請確定所有 Azure 虛擬網路都遵循符合商務風險的企業分割原則。 任何可能給組織帶來較高風險的系統都應該隔離在自己的虛擬網路內,並充分保護網路安全組 (NSG) 和/或 Azure 防火牆。
根據您的應用程式和企業分割策略,根據網路安全組規則限制或允許內部資源之間的流量。 對於特定定義完善的應用程式(例如 3 層應用程式),這可以是高度安全的「預設拒絕,允許例外狀況」方法。 如果您有許多應用程式和端點彼此互動,這可能無法有效擴展。 在需要對大量企業分區或分支進行集中管理的情況下(例如在中樞/輪輻拓撲中),您也可以使用 Azure 防火牆。
使用 Azure 資訊安全中心自適性網路強化來建議網路安全組設定,以根據外部網路流量規則限制埠和來源 IP。
使用 Azure Sentinel 探索舊版不安全通訊協定的使用,例如 SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、Unsigned LDAP Binds,以及 Kerberos 中的弱式加密。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
NS-2:將私人網路連接在一起
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-2 | N/A | CA-3、AC-17、MA-4 |
使用 Azure ExpressRoute 或 Azure 虛擬專用網 (VPN) 在共置環境中建立 Azure 資料中心與內部部署基礎結構之間的私人連線。 ExpressRoute 連線不會經過公用因特網,而且比一般因特網連線提供更高的可靠性、更快的速度和較低的延遲。 針對點對站 VPN 和站對站 VPN,您可以使用這些 VPN 選項和 Azure ExpressRoute 的任何組合,將內部部署裝置或網路連線到虛擬網路。
若要將 Azure 中的兩個或多個虛擬網路連線在一起,請使用虛擬網路對等互連或 Private Link。 對等互連虛擬網路之間的網路流量是私人的,並保留在 Azure 骨幹網路上。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
NS-3:建立 Azure 服務的專用網路存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-3 系列 | 14.1 | AC-4、CA-3、SC-7 |
使用 Azure Private Link 從您的虛擬網路啟用對 Azure 服務的私人存取,而不需跨越因特網。 在 Azure Private Link 尚無法使用的情況下,請使用 Azure 虛擬網路服務端點。 Azure 虛擬網路服務端點可透過 Azure 骨幹網路透過優化路由,安全地存取服務。
除了 Azure 服務所提供的驗證和流量安全性之外,私人存取是額外的深度防禦措施。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
NS-4:保護應用程式和服務免受外部網路攻擊
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-4 系列 | 9.5, 12.3, 12.9 | SC-5、SC-7 |
保護 Azure 資源免受來自外部網路的攻擊,包括分散式阻斷服務 (DDoS) 攻擊、應用程式特定攻擊,以及未經請求且可能惡意的因特網流量。 Azure 包含此功能的原生功能:
使用 Azure 防火牆來保護應用程式和服務,以防止來自因特網和其他外部位置的潛在惡意流量。
使用 Azure 應用程式閘道、Azure Front Door 和 Azure 內容傳遞網路 (CDN) 中的 Web 應用程式防火牆 (WAF) 功能,以保護您的應用程式、服務和 API 免於應用層攻擊。
在 Azure 虛擬網路上啟用 DDoS 標準保護,以保護您的資產免受 DDoS 攻擊。
使用 Azure 資訊安全中心來偵測與上述相關的錯誤設定風險。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
NS-5:部署入侵檢測/入侵預防系統 (IDS/IPS)
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-5 系列 | 12.6, 12.7 | SI-4 |
使用 Azure 防火牆威脅情報型篩選來警示和/或封鎖來自已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 需要承載檢查時,您可以使用 Azure 防火牆進階 IDPS 功能,或從 Azure Marketplace 部署具有承載檢查功能的第三方入侵檢測/入侵預防系統(IDS/IPS)。 或者,您可以使用主機型 IDS/IPS 或主機型端點偵測和回應(EDR)解決方案,搭配使用或取代網路型 IDS/IPS。
注意:如果您有使用 IDS/IPS 的法規或其他需求,請確保系統定期調整,以為您的 SIEM 解決方案提供高品質的警報。
適用於端點的 Microsoft Defender 功能
責任:客戶
客戶安全性項目關係人 (深入瞭解):
NS-6:簡化網路安全性規則
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-6 系列 | 1.5 | IA-4 |
利用服務標籤和應用程式安全組(ASG)來簡化網路安全性規則。
使用虛擬網路服務標籤來定義網路安全組或 Azure 防火牆的網路存取控制。 您可在建立安全性規則時,使用服務標籤替代特定的 IP 位址。 藉由在規則的來源或目的地字段中指定服務標籤名稱,您可以允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤。
您也可以使用應用程式安全組來協助簡化複雜的安全性設定。 應用程式安全組可讓您將網路安全組設定為應用程序結構的自然延伸模組,讓您能夠根據這些群組來分組虛擬機並定義網路安全策略,而不是根據網路安全組中明確IP位址來定義原則。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
NS-7:安全域名稱服務 (DNS)
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| NS-7 系列 | N/A | SC-20、SC-21 |
請遵循 DNS 安全性的最佳做法,以抵禦常見的攻擊,例如懸空 DNS、DNS 放大攻擊、DNS 中毒和詐騙等。
使用 Azure DNS 作為您的授權 DNS 服務時,請確定 DNS 區域和記錄會受到保護,以免使用 Azure RBAC 和資源鎖定進行意外或惡意修改。
責任:客戶
客戶安全性項目關係人 (深入瞭解):