Controlo de Segurança: Segurança da rede
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
As recomendações de segurança da rede centram-se em especificar quais protocolos de rede, portas TCP/UDP e serviços ligados à rede são permitidos ou impedidos de aceder aos serviços Azure.
1.1: Proteger os recursos do Azure nas redes virtuais
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | Cliente |
Certifique-se de que todas as implementações Rede Virtual sub-redes têm um Grupo de Segurança de Rede aplicado com controlos de acesso à rede específicos das portas e fontes fidedignas da sua aplicação. Quando disponível, utilize private endpoints com Private Link para garantir os seus recursos de serviço Azure à sua rede virtual, alargando a identidade VNet ao serviço. Quando os pontos finais privados e Private Link não estiverem disponíveis, utilize pontos de assistência. Para obter requisitos específicos do serviço, consulte a recomendação de segurança para esse serviço específico.
Em alternativa, se tiver um caso de utilização específico, a exigência poderá ser satisfeita através da implementação de Azure Firewall.
1.2: Monitorizar e registar a configuração e tráfego de redes virtuais, sub-redes e NICs
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | Cliente |
Utilize Centro de Segurança do Azure e siga as recomendações de proteção da rede para ajudar a proteger os recursos da sua rede em Azure. Ativar os registos de fluxo NSG e enviar registos para uma conta de armazenamento para auditoria de tráfego. Também pode enviar registos de fluxo NSG para um espaço de trabalho do Log Analytics e utilizar o Traffic Analytics para fornecer informações sobre o fluxo de tráfego na sua nuvem Azure. Algumas vantagens do Traffic Analytics são a capacidade de visualizar a atividade da rede e identificar pontos quentes, identificar ameaças de segurança, compreender padrões de fluxo de tráfego e identificar configurações erradas da rede.
1.3: Proteger aplicações web críticas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.3 | 9.5 | Cliente |
Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web críticas para inspeção adicional do tráfego de entrada. Ativar a Definição de Diagnóstico para WAF e ingerir registos numa conta de armazenamento, no Centro de Eventos ou no Espaço de Trabalho do Log Analytics.
1.4: Negar comunicações com endereços IP maliciosos conhecidos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.4 | 12.3 | Cliente |
Ativar a proteção DDoS Standard nas redes virtuais Azure para proteger contra ataques DDoS. Utilize Centro de Segurança do Azure Inteligência Integrada de Ameaças para negar comunicações com endereços IP maliciosos conhecidos.
Implementar Azure Firewall em cada uma das fronteiras de rede da organização com a Threat Intelligence habilitada e configurada a "alertar e negar" para tráfego de rede malicioso.
Utilize Centro de Segurança do Azure Acesso à Rede Just In Time para configurar NSGs para limitar a exposição dos pontos finais a endereços IP aprovados por um período limitado.
Utilize Centro de Segurança do Azure Endurecimento de Rede Adaptável para recomendar configurações NSG que limitem portas e IPs de origem com base em inteligência real de tráfego e ameaça.
Compreender Centro de Segurança do Azure Inteligência Integrada de Ameaças
Compreender Centro de Segurança do Azure endurecimento da rede adaptável
Compreender Centro de Segurança do Azure Just In Time Network Controlo de Acesso
1.5: Pacotes de rede de registos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.5 | 12.5 | Cliente |
Permitir Observador de Rede captura de pacotes para investigar atividades anómalas.
1.6: Implementar sistemas de deteção/prevenção de intrusões baseados em rede (IDS/IPS)
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.6 | 12.6, 12.7 | Cliente |
Selecione uma oferta a partir do Azure Marketplace que suporta a funcionalidade IDS/IPS com capacidades de inspeção de carga útil. Se a deteção e/ou prevenção de intrusões baseada na inspeção da carga útil não for um requisito, Azure Firewall com a Inteligência de Ameaça podem ser usadas. Azure Firewall A filtragem baseada em inteligência da Ameaça pode alertar e negar tráfego de e para endereços ip maliciosos conhecidos e domínios. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft.
Implemente a solução de firewall à sua escolha em cada um dos limites de rede da sua organização para detetar e/ou negar tráfego malicioso.
1.7: Gerir o tráfego para aplicações web
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.7 | 12.9, 12.10 | Cliente |
Implementar Gateway de Aplicação do Azure para aplicações web com HTTPS/TLS habilitados para certificados fidedignos.
1.8: Minimizar a complexidade e a sobrecarga administrativa das regras de segurança da rede
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.8 | 1.5 | Cliente |
Utilize Rede Virtual Tags de Serviço para definir controlos de acesso à rede em Grupos de Segurança de Rede ou Azure Firewall. Ao criar regras de segurança, pode utilizar etiquetas de serviço em vez de endereços IP específicos. Ao especificar o nome da etiqueta de serviço (por exemplo, ApiManagement) no campo de origem ou destino adequado de uma regra, pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gere os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.
Também pode utilizar grupos de segurança de aplicações para ajudar a simplificar a configuração complexa de segurança. Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.
1.9: Manter configurações de segurança padrão para dispositivos de rede
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.9 | 11.1 | Cliente |
Definir e implementar configurações de segurança padrão para recursos de rede com Azure Policy.
Também pode usar plantas Azure para simplificar as implementações de Azure em larga escala através de artefactos de ambiente chave de embalagem, tais como modelos de Gestor de Recursos Azure, controlos RBAC Azure e políticas, numa única definição de planta. Pode aplicar o projeto a novas subscrições e afinar o controlo e a gestão através da versão.
1.10: Regras de configuração do tráfego documental
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.10 | 11.2 | Cliente |
Utilize Tags para NSGs e outros recursos relacionados com a segurança da rede e fluxo de tráfego. Para regras individuais de NSG, utilize o campo "Descrição" para especificar a necessidade e/ou duração do negócio (etc.) para quaisquer regras que permitam o tráfego de/para uma rede.
Utilize qualquer uma das definições de Azure Policy incorporadas relacionadas com a marcação, tais como "Exigir etiqueta e seu valor" para garantir que todos os recursos são criados com Tags e para notificá-lo dos recursos existentes não marcados.
Pode utilizar Azure PowerShell ou Azure CLI para procurar ou realizar ações em recursos baseados nas suas Tags.
1.11: Utilizar ferramentas automatizadas para monitorizar as configurações de recursos de rede e detetar alterações
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 1.11 | 11,3 | Cliente |
Utilize o Registo de Atividades Azure para monitorizar as configurações dos recursos e detetar alterações nos seus recursos Azure. Crie alertas dentro do Azure Monitor que irão desencadear quando ocorrerem alterações nos recursos críticos.
Passos seguintes
- Ver o próximo Controlo de Segurança: Registo e Monitorização