Linha de base de segurança do Azure para o Azure Load Balancer
Essa linha de base de segurança aplica diretrizes do microsoft cloud security benchmark versão 1.0 para Azure Load Balancer. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a Azure Load Balancer.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, eles são listados nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetros de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Observação
Recursos não aplicáveis a Azure Load Balancer foram excluídos. Para ver como Azure Load Balancer mapeia completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo completo Azure Load Balancer mapeamento de linha de base de segurança.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Azure Load Balancer, o que pode resultar em maiores considerações de segurança.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | Rede |
| O cliente pode acessar HOST/SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Falso |
| Armazena o conteúdo do cliente em repouso | Falso |
Segurança de rede
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de rede.
NS-1: estabelecer limites de segmentação de rede
Recursos
Integração de rede virtual
Descrição: o serviço dá suporte à implantação na VNet (Rede Virtual privada) do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de recurso: embora o recurso Azure Load Balancer não seja implantado diretamente em um Rede Virtual, o SKU interno pode criar uma ou mais configurações de IP de front-end usando um Rede Virtual do Azure de destino.
Diretrizes de configuração: o Azure oferece dois tipos de ofertas de Load Balancer, Standard e Basic. Use balanceadores de carga internos do Azure para permitir apenas o tráfego para recursos de back-end de determinadas redes virtuais ou redes virtuais emparelhadas sem exposição à Internet. Implemente um Load Balancer externo com a SNAT (Conversão de Endereços de Rede de Origem) para mascarar os endereços IP dos recursos de back-end para proteção contra exposição direta à Internet.
Referência: Configuração de IP de front-end de Load Balancer interno
Suporte ao Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regra de Grupos de Segurança de Rede em suas sub-redes. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas sobre o recurso: os usuários podem configurar um NSG em sua rede virtual, mas não diretamente no Load Balancer.
Diretrizes de Configuração: implemente grupos de segurança de rede e permita apenas o acesso às portas confiáveis do aplicativo e aos intervalos de endereços IP. Nos casos em que não houver nenhum grupo de segurança de rede atribuído à sub-rede de back-end ou à NIC das máquinas virtuais de back-end, o tráfego não terá permissão para acessar esses recursos do balanceador de carga. Os Balanceadores de Carga Standard fornecem regras de saída para definir a NAT de saída com um grupo de segurança de rede. Examine essas regras de saída para ajustar o comportamento de suas conexões de saída.
O Standard Load Balancer é desenvolvido para ser seguro por padrão e parte de uma Rede Virtual do Microsoft Azure privada e isolada. Ele é fechado para fluxos de entrada, a menos que sejam abertos por grupos de segurança de rede para permitir explicitamente o tráfego permitido e para não permitir endereços IP mal-intencionados conhecidos. A menos que um grupo de segurança de rede em uma sub-rede ou NIC de seu recurso de máquina virtual exista por trás do Load Balancer, o tráfego não tem permissão para acessar esse recurso.
Observação: o uso de um Standard Load Balancer é recomendado para suas cargas de trabalho de produção e, normalmente, a Load Balancer Básica é usada apenas para teste, pois o tipo básico está aberto a conexões da Internet por padrão e não requer grupos de segurança de rede para operação.
Referência: Azure Load Balancer configuração de IP de front-end
Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy – Microsoft.Network:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Gerenciamento de ativos
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: Gerenciamento de ativos.
AM-2: usar apenas serviços aprovados
Recursos
Suporte ao Azure Policy
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Diretrizes de configuração: defina e implemente configurações de segurança padrão para recursos do Azure usando Azure Policy. Atribua definições de política internas relacionadas aos recursos de Azure Load Balancer específicos. Quando não há definições de política internas disponíveis, você pode usar Azure Policy aliases para criar políticas personalizadas para auditar ou impor a configuração de seus recursos de Azure Load Balancer no namespace 'Microsoft.Network'.
Próximas etapas
- Confira a visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
- Saiba mais sobre a Linhas de base de segurança do Azure