Skapa en nätverksbaslinje

  • 5 minuter

Genom design maximerar Azure-nätverkstjänster flexibilitet, tillgänglighet, återhämtning, säkerhet och integritet. Nätverksanslutning är möjlig mellan resurser som finns i Azure, mellan lokala och Azure-värdbaserade resurser samt till och från Internet och Azure.

Säkerhetsrekommendationer för Azure-nätverk

I följande avsnitt beskrivs de Azure-nätverksrekommendationer som finns i CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. De grundläggande stegen som ska slutföras i Azure Portal ingår i varje rekommendation. Du bör slutföra de här stegen för din egen prenumeration och använda dina egna resurser för att verifiera varje säkerhetsrekommendation. Tänk på att alternativ för nivå 2 kan begränsa vissa funktioner eller aktiviteter. Därför bör du noga se över vilka säkerhetsalternativ som du vill framtvinga.

Begränsa RDP- och SSH-åtkomst från Internet – nivå 1

Du kan nå virtuella Azure-datorer med hjälp av RDP (Remote Desktop Protocol) och SSH-protokollet (Secure Shell). Du kan använda dessa protokoll för att hantera virtuella datorer från fjärranslutna platser. Protokollen är standard inom databehandling av datacenter.

Det potentiella säkerhetsproblemet med att använda RDP och SSH via Internet är att angripare kan använda råstyrketekniker för att få åtkomst till virtuella Azure-datorer. När angriparna har fått åtkomst kan de använda den virtuella datorn som startplatta för att kompromettera andra datorer i ditt virtuella nätverk eller till och med attackera nätverksenheter utanför Azure.

Vi rekommenderar att du inaktiverar direkt RDP- och SSH-åtkomst från Internet för dina virtuella Azure-datorer. Slutför följande steg för varje virtuell dator i din Azure-prenumeration.

  1. Logga in på Azure-portalen. Sök efter Virtuella datorer.

  2. Välj en virtuell dator.

  3. I den vänstra menyn under Nätverk väljer du Nätverksinställningar.

  4. Kontrollera att avsnittet Regler för inkommande portar inte har någon regel för RDP, till exempel: port=3389, protocol = TCP, Source = Any or Internet. Du kan använda ikonen Ta bort för att ta bort regeln.

  5. Kontrollera att avsnittet Regler för inkommande portar inte har någon regel för SSH, till exempel: port=22, protocol = TCP, Source = Any or Internet. Du kan använda ikonen Ta bort för att ta bort regeln.

Skärmbild av fönstret Nätverksinställningar för virtuell dator.

När direkt RDP- och SSH-åtkomst från Internet är inaktiverade har du andra alternativ som du kan använda för att komma åt dessa virtuella datorer för fjärrhantering:

  • Punkt-till-plats-VPN
  • Plats-till-plats-VPN
  • Azure ExpressRoute
  • Azure Bastion Host

Begränsa SQL Server-åtkomst från Internet – nivå 1

Brandväggssystem hjälper till att förhindra obehörig åtkomst till datorresurser. Om en brandvägg är aktiverad men inte är korrekt konfigurerad kan försök att ansluta till SQL Server blockeras.

För att få åtkomst till en instans av SQL Server via en brandvägg måste du konfigurera brandväggen på den dator som kör SQL Server. Genom att tillåta ingress för IP-intervallet 0.0.0.0/0 (start-IP för 0.0.0.0 och slut-IP för 0.0.0.0) kan du öppna åtkomsten till all trafik, vilket kan göra SQL Server-databasen sårbar för attacker. Se till att inga SQL Server-databaser tillåter ingress från Internet. Slutför följande steg för varje SQL Server-instans.

  1. Logga in på Azure-portalen. Sök efter och välj SQL-servrar.

  2. I menyfönstret under Säkerhet väljer du Nätverk.

  3. I fönstret Nätverkfliken Offentlig åtkomst kontrollerar du att det finns en brandväggsregel. Se till att ingen regel har en 0.0.0.0 och slut-IP för0.0.0.0 eller en annan kombination som ger åtkomst till bredare offentliga IP-intervall.

  4. Om du ändrar några inställningar väljer du Spara.

Skärmbild som visar fönstret Brandväggar och virtuella nätverk.

Aktivera Network Watcher – nivå 1

NSG-flödesloggar är en Azure Network Watcher-funktion som ger dig information om IP-inkommande och utgående trafik via en NSG. Flödesloggar skrivs i JSON-format och visar:

  • Utgående och inkommande flöden per regel.
  • Nätverksgränssnittet (NIC) som flödet gäller för.
  • 5-tuppelns information om flödet: käll- och mål-IP-adresser, käll- och målportar och det protokoll som användes.
  • Om trafiken tilläts eller nekades.
  • I version 2, dataflödesinformation som byte och paket.

  1. Logga in på Azure-portalen. Sök efter och välj Network Watcher.

  2. Välj Network Watcher för din prenumeration och plats.

  3. Om det inte finns några NSG-flödesloggar för din prenumeration skapar du en NSG-flödeslogg.

Ange kvarhållningsperiod för NSG-flödesloggar till mer än 90 dagar – nivå 2

När du skapar eller uppdaterar ett virtuellt nätverk i din prenumeration aktiveras Network Watcher automatiskt i det virtuella nätverkets region. Dina resurser påverkas inte och ingen avgift utvärderas när Network Watcher aktiveras automatiskt.

Du kan använda NSG-flödesloggar för att söka efter avvikelser och få insikt i misstänkta överträdelser.

  1. Logga in på Azure-portalen. Sök efter och välj Network Watcher.

  2. I den vänstra menyn under Loggar väljer du NSG-flödesloggar.

    Skärmbild som visar N S G-flödesloggfönstret.

  3. Välj en NSG-flödeslogg.

  4. Kontrollera att Kvarhållning (dagar) är större än 90 dagar.

  5. Om du ändrar några inställningar väljer du Spara i menyraden.