Поделиться через


Базовый план безопасности Azure для Azure Load Balancer

Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Azure Load Balancer. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Azure Load Balancer.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.

Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.

Примечание

Функции, неприменимые к Azure Load Balancer, были исключены. Чтобы узнать, как Azure Load Balancer полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Azure Load Balancer.

Профиль безопасности

Профиль безопасности содержит сведения о поведении Azure Load Balancer с высоким уровнем влияния, что может привести к повышению уровня безопасности.

Атрибут поведения службы Значение
Категория продуктов Сеть
Клиент может получить доступ к HOST/ОС Нет доступа
Служба может быть развернута в виртуальной сети клиента Неверно
Хранит неактивный контент клиента Неверно

Безопасность сети

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Хотя ресурс Azure Load Balancer не развертывается напрямую в виртуальная сеть, внутренний номер SKU может создать одну или несколько интерфейсных IP-конфигураций с помощью целевого виртуальная сеть Azure.

Руководство по настройке. Azure предлагает два типа предложений Load Balancer: "Стандартный" и "Базовый". Используйте внутренние подсистемы балансировки нагрузки Azure, чтобы разрешить трафик к внутренним ресурсам только из определенных виртуальных сетей или пиринговых виртуальных сетей без доступа к Интернету. Реализуйте внешний Load Balancer с преобразованием сетевых адресов источника (SNAT), чтобы маскировать IP-адреса внутренних ресурсов для защиты от прямого доступа из Интернета.

Справочник. Внутренняя Load Balancer интерфейсная IP-конфигурация

Поддержка групп безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Пользователи могут настроить группу безопасности сети в своей виртуальной сети, но не непосредственно на Load Balancer.

Руководство по настройке. Реализуйте группы безопасности сети и разрешите доступ только к доверенным портам и диапазонам IP-адресов приложения. В случаях, когда группа безопасности сети не назначена серверной подсети или сетевой карты серверных виртуальных машин, трафику не будет разрешен доступ к этим ресурсам из подсистемы балансировки нагрузки. Load Balancers (цен. категория "Стандартный") предоставляют правила для исходящего трафика для определения NAT для исходящего трафика с группой безопасности сети. Ознакомьтесь с этими правилами для исходящего трафика, чтобы настроить поведение исходящих подключений.

Подсистема Load Balancer (цен. категория "Стандартный") по умолчанию является безопасной и входит в состав частной и изолированной виртуальной сети. Она закрыта для входящих потоков, за исключением случаев, когда группы безопасности сети открывают ее, чтобы явно разрешить допустимый трафик и запретить известные вредоносные IP-адреса. Если группа безопасности сети в подсети или сетевой карте ресурса виртуальной машины не находится за Azure Load Balancer, трафик не может поступить на этот ресурс.

Примечание. Для рабочих нагрузок рекомендуется использовать Load Balancer (цен. категория и, как правило, базовый Load Balancer используется только для тестирования, так как базовый тип по умолчанию открыт для подключений из Интернета и не требует групп безопасности сети для работы.

Справка. Azure Load Balancer интерфейсной IP-конфигурации

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.Network.

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0

Управление ресурсами

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Определите и реализуйте стандартные конфигурации безопасности для ресурсов Azure с помощью Политика Azure. Назначьте встроенные определения политик, связанные с конкретными Azure Load Balancer ресурсами. Если встроенные определения политик недоступны, можно использовать псевдонимы Политика Azure для создания настраиваемых политик для аудита или принудительного применения конфигурации ресурсов Azure Load Balancer в пространстве имен Microsoft.Network.

Дальнейшие действия