Standardní hodnoty zabezpečení Azure pro Azure Load Balancer
Tento standardní plán zabezpečení používá na Azure Load Balancer pokyny z srovnávacího testu cloudového zabezpečení microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů týkajících se Azure Load Balancer.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Azure Load Balancer, byly vyloučeny. Pokud chcete zjistit, jak Azure Load Balancer zcela namapovat na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Load Balancer.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure Load Balancer s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Sítě |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ne |
| Ukládá obsah zákazníka v klidovém stavu. | Ne |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: I když se prostředek Azure Load Balancer nenasadí přímo do Virtual Network, interní skladová položka může vytvořit jednu nebo více konfigurací front-endových IP adres pomocí cílového azure Virtual Network.
Pokyny ke konfiguraci: Azure nabízí dva typy nabídek Load Balancer, Standard a Basic. Interní nástroje pro vyrovnávání zatížení Azure můžete použít k povolení provozu do back-endových prostředků jenom z určitých virtuálních sítí nebo partnerských virtuálních sítí bez vystavení internetu. Implementujte externí Load Balancer s překladem SNAT (Source Network Address Translation), který maskuje IP adresy back-endových prostředků pro ochranu před přímým internetovým vystavením.
Referenční informace: Interní konfigurace ip adresy Load Balancer front-endu
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Uživatelé můžou nakonfigurovat skupinu zabezpečení sítě ve své virtuální síti, ale ne přímo na Load Balancer.
Pokyny ke konfiguraci: Implementujte skupiny zabezpečení sítě a povolte přístup jenom k důvěryhodným portům a rozsahům IP adres vaší aplikace. V případech, kdy back-endové podsíti nebo síťové kartě back-endových virtuálních počítačů není přiřazená žádná skupina zabezpečení sítě, provoz nebude mít přístup k těmto prostředkům z nástroje pro vyrovnávání zatížení. Nástroje pro vyrovnávání zatížení úrovně Standard poskytují odchozí pravidla pro definování odchozího překladu adres se skupinou zabezpečení sítě. Projděte si tato odchozí pravidla a vylaďte chování odchozích připojení.
Standard Load Balancer je navržený tak, aby byl ve výchozím nastavení zabezpečený a byl součástí privátního a izolovaného Virtual Network. Je uzavřený pro příchozí toky, pokud je neotevřený skupinami zabezpečení sítě, aby explicitně povoloval povolený provoz a nepovoloval známé škodlivé IP adresy. Pokud za Load Balancer neexistuje skupina zabezpečení sítě v podsíti nebo síťové kartě prostředku virtuálního počítače, provoz se k tomuto prostředku nesmí dostat.
Poznámka: Pro produkční úlohy se doporučuje používat Standard Load Balancer a základní Load Balancer se obvykle používá jenom k testování, protože základní typ je ve výchozím nastavení otevřený pro připojení z internetu a nevyžaduje pro provoz skupiny zabezpečení sítě.
Referenční informace: Azure Load Balancer konfigurace front-endové IP adresy
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Network:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami omezením přístupu k ní pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, Zakázáno | 3.0.0 |
Správa aktiv
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
AM-2: Používejte jenom schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte a implementujte standardní konfigurace zabezpečení pro prostředky Azure pomocí Azure Policy. Přiřaďte předdefinované definice zásad související s vašimi konkrétními Azure Load Balancer prostředky. Pokud nejsou k dispozici předdefinované definice zásad, můžete pomocí aliasů Azure Policy vytvořit vlastní zásady pro auditování nebo vynucení konfigurace Azure Load Balancer prostředků v oboru názvů Microsoft.Network.
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure