Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Nätverkssäkerhet omfattar kontroller för att skydda Azure-nätverk, inklusive att skydda virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS.
NS-1: Upprätta gränser för nätverkssegmentering
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Se till att distributionen av ditt virtuella nätverk överensstämmer med din strategi för företagssegmentering som definieras i GS-2-säkerhetskontrollen. Alla arbetsbelastningar som kan medföra högre risk för organisationen bör finnas i isolerade virtuella nätverk. Exempel på högriskarbetsbelastningar är:
- Ett program som lagrar eller bearbetar mycket känsliga data.
- Ett externt nätverksanslutet program som är tillgängligt för allmänheten eller användare utanför organisationen.
- Ett program som använder osäker arkitektur eller som innehåller säkerhetsrisker som inte enkelt kan åtgärdas.
Om du vill förbättra din strategi för företagssegmentering begränsar eller övervakar du trafiken mellan interna resurser med hjälp av nätverkskontroller. För specifika, väldefinierade program (till exempel en app med tre nivåer) kan detta vara en mycket säker "neka som standard, tillåt som undantag" genom att begränsa portar, protokoll, käll- och mål-IP-adresser för nätverkstrafiken. Om du har många program och slutpunkter som interagerar med varandra kan det hända att blockerande trafik inte kan skalas bra och du kanske bara kan övervaka trafiken.
Azure-vägledning: Skapa ett virtuellt nätverk (VNet) som en grundläggande segmenteringsmetod i ditt Azure-nätverk, så att resurser som virtuella datorer kan distribueras till det virtuella nätverket inom en nätverksgräns. Om du vill segmentera nätverket ytterligare kan du skapa undernät i det virtuella nätverket för mindre undernätverk.
Använd nätverkssäkerhetsgrupper (NSG) som en nätverksnivåkontroll för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress.
Du kan också använda programsäkerhetsgrupper (ASG: er) för att förenkla komplex konfiguration. I stället för att definiera principer baserat på explicita IP-adresser i nätverkssäkerhetsgrupper kan du med HJÄLP av ASG:er konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.
Implementering och ytterligare kontext:
- Begrepp och metodtips för Azure Virtual Network
- Lägg till, ändra eller ta bort ett virtuellt nätverksundernät
- Skapa en nätverkssäkerhetsgrupp med säkerhetsregler
- Förstå och använda programsäkerhetsgrupper
Intressenter för kundsäkerhet (läs mer):
NS-2: Skydda molntjänster med nätverkskontroller
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Säkra molntjänster genom att upprätta en privat åtkomstpunkt för resurserna. Du bör också inaktivera eller begränsa åtkomsten från det offentliga nätverket när det är möjligt.
Azure-vägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna. Du bör också inaktivera eller begränsa åtkomsten till tjänster i det offentliga nätverket där det är möjligt.
För vissa tjänster har du också möjlighet att distribuera VNet-integrering för tjänsten där du kan begränsa det virtuella nätverket för att upprätta en privat åtkomstpunkt för tjänsten.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-3: Distribuera brandväggen i utkanten av företagsnätverket
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Distribuera en brandvägg för att utföra avancerad filtrering av nätverkstrafik till och från externa nätverk. Du kan också använda brandväggar mellan interna segment för att stödja en segmenteringsstrategi. Om det behövs använder du anpassade vägar för ditt undernät för att åsidosätta systemvägen när du behöver tvinga nätverkstrafiken att gå igenom en nätverksinstallation i säkerhetskontrollsyfte.
Blockera åtminstone kända felaktiga IP-adresser och högriskprotokoll, till exempel fjärrhantering (till exempel RDP och SSH) och intranätprotokoll (till exempel SMB och Kerberos).
Azure-vägledning: Använd Azure Firewall för att tillhandahålla fullständigt tillståndskänslig trafikbegränsning på programnivå (till exempel URL-filtrering) och/eller central hantering över ett stort antal företagssegment eller ekrar (i en topologi med nav/ekrar).
Om du har en komplex nätverkstopologi, till exempel en hubb-/ekerkonfiguration, kan du behöva skapa användardefinierade vägar (UDR) för att säkerställa att trafiken går via önskad väg. Du kan till exempel välja att använda en UDR för att omdirigera utgående Internettrafik via en specifik Azure Firewall eller en virtuell nätverksinstallation.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-4: Distribuera system för intrångsidentifiering/intrångsskydd (IDS/IPS)
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
Säkerhetsprincip: Använd IDS/IPS-system (Network Intrusion Detection and Intrusion Protection) för att inspektera nätverket och nyttolasttrafiken till eller från din arbetsbelastning. Se till att IDS/IPS alltid är justerat för att tillhandahålla högkvalitativa aviseringar till SIEM-lösningen.
Om du vill ha mer djupgående funktioner för identifiering och skydd på värdnivå använder du värdbaserad IDS/IPS eller en värdbaserad lösning för slutpunktsidentifiering och svar (EDR) tillsammans med nätverks-IDS/IPS.
Azure-vägledning: Använd Azure Firewall IDPS-funktioner i nätverket för att varna om och/eller blockera trafik till och från kända skadliga IP-adresser och domäner.
Om du vill ha mer djupgående funktioner för identifiering och förebyggande av värdnivå distribuerar du värdbaserad IDS/IPS eller en värdbaserad lösning för slutpunktsidentifiering och svar (EDR), till exempel Microsoft Defender för Endpoint, på VM-nivå tillsammans med nätverks-IDS/IPS.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-5: Distribuera DDOS-skydd
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Säkerhetsprincip: Distribuera DDoS-skydd (distributed denial of service) för att skydda ditt nätverk och dina program från attacker.
Azure-vägledning: Aktivera DDoS standardskyddsplan på ditt virtuella nätverk för att skydda resurser som exponeras för de offentliga nätverken.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-6: Distribuera brandvägg för webbprogram
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Distribuera en brandvägg för webbaserade program (WAF) och konfigurera lämpliga regler för att skydda dina webbprogram och API:er mot programspecifika attacker.
Azure-vägledning: Använd WAF-funktioner (Web Application Firewall) i Azure Application Gateway, Azure Front Door och Azure Content Delivery Network (CDN) för att skydda dina program, tjänster och API:er mot attacker på programnivå i utkanten av nätverket. Ange WAF i "identifiering" eller "förebyggande läge", beroende på dina behov och hotlandskap. Välj en inbyggd regeluppsättning, till exempel OWASP Top 10 vulnerabilities, och justera den till ditt program.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-7: Förenkla nätverkssäkerhetskonfigurationen
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: När du hanterar en komplex nätverksmiljö, använd verktyg för att förenkla, centralisera och förbättra nätverkssäkerhetshanteringen.
Azure-vägledning: Använd följande funktioner för att förenkla implementeringen och hanteringen av NSG- och Azure Firewall-reglerna:
- Använd Microsoft Defender för molnanpassad nätverkshärdning för att rekommendera NSG-härdningsregler som ytterligare begränsar portar, protokoll och käll-IP-adresser baserat på resultat av hotinformation och trafikanalys.
- Använd Azure Firewall Manager för att centralisera brandväggsprincipen och väghanteringen för det virtuella nätverket. För att förenkla implementeringen av brandväggsregler och nätverkssäkerhetsgrupper kan du också använda mallen Azure Firewall Manager ARM (Azure Resource Manager).
Implementering och ytterligare kontext:
- Anpassningsbar nätverkshärdning i Microsoft Defender för molnet
- Azure Firewall Manager
- Skapa en Azure Firewall och en brandväggsprincip – ARM-mall
Intressenter för kundsäkerhet (läs mer):
NS-8: Identifiera och inaktivera osäkra tjänster och protokoll
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Säkerhetsprincip: Identifiera och inaktivera osäkra tjänster och protokoll på operativsystem-, program- eller programvarupaketlagret. Distribuera kompenserande kontroller om det inte går att inaktivera osäkra tjänster och protokoll.
Azure-vägledning: Använd Azure Sentinels inbyggda arbetsbok för osäkra protokoll för att identifiera användningen av osäkra tjänster och protokoll som SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, osignerade LDAP-bindningar och svaga chiffer i Kerberos. Inaktivera osäkra tjänster och protokoll som inte uppfyller lämplig säkerhetsstandard.
Obs! Om det inte går att inaktivera osäkra tjänster eller protokoll kan du använda kompenserande kontroller som att blockera åtkomsten till resurserna via nätverkssäkerhetsgruppen, Azure Firewall eller Azure Web Application Firewall för att minska attackytan.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-9: Anslut lokalt eller molnbaserat nätverk privat
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 12,7 | CA-3, AC-17, AC-4 | Inte tillgänglig |
Säkerhetsprincip: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.
Azure-vägledning: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.
För enkel anslutning mellan plats-till-plats eller punkt-till-plats använder du Azure Virtual Private Network (VPN) för att skapa en säker anslutning mellan din lokala plats eller slutanvändarenhet till det virtuella Azure-nätverket.
För anslutning med höga prestanda på företagsnivå använder du Azure ExpressRoute (eller Virtual WAN) för att ansluta Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö.
När du ansluter två eller flera virtuella Azure-nätverk tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat och behålls i Azure-stamnätverket.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
NS-10: Se till att DNS-säkerhet (Domain Name System)
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | Inte tillgänglig |
Säkerhetsprincip: Se till att DNS-säkerhetskonfigurationen (Domain Name System) skyddar mot kända risker:
- Använd betrodda auktoritativa och rekursiva DNS-tjänster i din molnmiljö för att säkerställa att klienten (till exempel operativsystem och program) får rätt lösningsresultat.
- Separera den offentliga och privata DNS-matchningen så att DNS-matchningsprocessen för det privata nätverket kan isoleras från det offentliga nätverket.
- Se till att DNS-säkerhetsstrategin även innehåller åtgärder mot vanliga attacker, till exempel dangling DNS, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning och så vidare.
Azure-vägledning: Använd rekursiv DNS i Azure eller en betrodd extern DNS-server i din rekursiva DNS-konfiguration för arbetsbelastningen, till exempel i den virtuella datorns operativsystem eller i programmet.
Använd Azure Privat DNS för konfiguration av privat DNS-zon där DNS-matchningsprocessen inte lämnar det virtuella nätverket. Använd en anpassad DNS för att begränsa DNS-matchningen, vilket endast tillåter den betrodda matchningen till klienten.
Använd Azure Defender för DNS för avancerat skydd mot följande säkerhetshot mot din arbetsbelastning eller din DNS-tjänst:
- Dataexfiltrering från dina Azure-resurser med DNS-tunneltrafik
- Skadlig kod som kommunicerar med kommando- och kontrollservern
- Kommunikation med skadliga domäner som nätfiske och kryptoutvinning
- DNS-attacker i kommunikation med skadliga DNS-lösare
Du kan också använda Azure Defender för App Service för att identifiera dinglande DNS-poster om du inaktiverar en App Service webbplats utan att ta bort dess anpassade domän från DNS-registratorn.
Implementering och ytterligare kontext:
- Översikt över Azure DNS
- Distributionsguide för secure domain name system (DNS):
- Privat DNS i Azure
- Azure Defender för DNS
- Förhindra oaktiverade DNS-posteringar och undvik övertagande av underdomäner:
Intressenter för kundsäkerhet (läs mer):