安全性控制:網路安全性
注意
這裡 提供最新的Azure 安全性效能評定。
網路安全性建議著重于指定允許或拒絕存取 Azure 服務的網路通訊協定、TCP/UDP 埠和網路聯機服務。
1.1:保護虛擬網路內的 Azure 資源
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | 客戶 |
確定所有虛擬網路子網部署都已套用網路安全性群組,並套用應用程式受信任埠和來源專屬的網路存取控制。 可用時,請使用具有Private Link的私人端點,藉由將 VNet 身分識別延伸至服務,保護您的 Azure 服務資源至虛擬網路。 當私人端點和Private Link無法使用時,請使用服務端點。 如需服務特定需求,請參閱該特定服務的安全性建議。
或者,如果您有特定的使用案例,則可以藉由實作Azure 防火牆來符合需求。
1.2:監視和記錄虛擬網路、子網和 NIC 的設定和流量
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | 客戶 |
使用Azure 資訊安全中心並遵循網路保護建議,以協助保護 Azure 中的網路資源。 啟用 NSG 流量記錄,並將記錄傳送到儲存體帳戶進行流量稽核。 您也可以將 NSG 流量記錄傳送至 Log Analytics 工作區,並使用流量分析來提供 Azure 雲端中流量的深入解析。 流量分析的優點包括能將網路活動視覺化並找出作用點、識別安全性威脅、了解流量模式並找到錯誤的網路設定。
1.3:保護重要的 Web 應用程式
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.3 | 9.5 | 客戶 |
在重要的 Web 應用程式前面部署 Azure Web 應用程式防火牆 (WAF) ,以進一步檢查連入流量。 啟用 WAF 的診斷設定,並將記錄擷取至儲存體帳戶、事件中樞或 Log Analytics 工作區。
1.4:拒絕與已知惡意 IP 位址通訊
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.4 | 12.3 | 客戶 |
在您的 Azure 虛擬網路上啟用 DDoS 標準保護,以防範 DDoS 攻擊。 使用Azure 資訊安全中心整合式威脅情報來拒絕與已知惡意 IP 位址的通訊。
在已啟用威脅情報的每個組織網路界限部署Azure 防火牆,並設定為惡意網路流量的「警示和拒絕」。
使用Azure 資訊安全中心 Just In Time 網路存取來設定 NSG,以限制端點在有限的期間內暴露在核准的 IP 位址。
使用Azure 資訊安全中心自適性網路強化來建議 NSG 設定,根據實際的流量和威脅情報來限制埠和來源 IP。
1.5:記錄網路封包
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.5 | 12.5 | 客戶 |
啟用封包擷取網路監看員,以調查異常活動。
1.6:部署網路型入侵偵測/入侵預防系統 (IDS/IPS)
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.6 | 12.6, 12.7 | 客戶 |
從支援具有承載檢查功能的 IDS/IPS 功能的Azure Marketplace選取供應專案。 如果基於酬載檢查的入侵偵測和/或預防不是必要條件,則可以使用具有威脅情報的 Azure 防火牆。 Azure 防火牆威脅情報型篩選可以警示並拒絕傳向和來自已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。
在每個組織的網路界限部署您選擇的防火牆解決方案,以偵測和/或拒絕惡意流量。
1.7:管理 Web 應用程式的流量
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.7 | 12.9, 12.10 | 客戶 |
針對已啟用受信任憑證的 HTTPS/TLS 的 Web 應用程式部署Azure 應用程式閘道。
1.8:將網路安全性規則的複雜性和系統管理負擔降至最低
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.8 | 1.5 | 客戶 |
使用虛擬網路服務標籤來定義網路安全性群組或Azure 防火牆的網路存取控制。 建立安全性規則時,您可以使用服務標籤取代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱 (例如 ApiManagement),即可允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤。
您也可以使用應用程式安全性群組來協助簡化複雜的安全性設定。 應用程式安全性群組可讓您將網路安全性設定為應用程式結構的自然擴充功能,讓您將虛擬機器分組,並定義以這些群組為基礎的網路安全性原則。
1.9:維護網路裝置的標準安全性設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.9 | 11.1 | 客戶 |
使用 Azure 原則 定義及實作網路資源的標準安全性設定。
您也可以使用 Azure 藍圖,在單一藍圖定義中封裝重要環境成品,例如 Azure Resource Manager 範本、Azure RBAC 控制項和原則,以簡化大規模的 Azure 部署。 您可以將藍圖套用至新的訂用帳戶,並透過版本控制來微調控制和管理。
1.10:文件流量設定規則
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.10 | 11.2 | 客戶 |
針對 NSG 和其他與網路安全性和流量流程相關的資源使用標籤。 對於個別的 NSG 規則,使用 [描述] 欄位,針對允許進出網路流量的任何規則指定商務需求和/或持續時間 (等等)。
使用任何與標記相關的內建Azure 原則定義,例如「需要標記及其值」,以確保所有資源都是使用 Tags 建立,並通知您現有的未標記資源。
您可以使用 Azure PowerShell 或 Azure CLI,根據其標籤來查閱或執行資源的動作。
1.11:使用自動化工具來監視網路資源設定並偵測變更
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 1.11 | 11.3 | 客戶 |
使用 Azure 活動記錄來監視資源設定,並偵測 Azure 資源的變更。 在 Azure 監視器中建立警示,以在重大資源變更時觸發。
下一步
- 請參閱下一個安全性控制: 記錄和監視