Sicherheitskontrolle V2: Netzwerksicherheit

Netzwerksicherheit deckt Steuerelemente zum Sichern und Schützen von Azure-Netzwerken ab. Dies umfasst das Sichern von virtuellen Netzwerken, das Einrichten privater Verbindungen, das Verhindern und Entschärfen externer Angriffe und das Sichern des DNS.

Die entsprechende integrierte Azure Policy-Instanz finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß Azure-Sicherheitsvergleichstest: Netzwerksicherheit.

NS-1: Implementieren der Sicherheit für internen Datenverkehr

Stellen Sie sicher, dass alle virtuellen Azure-Netzwerke einem Prinzip der Unternehmenssegmentierung unterliegen, das sich den geschäftlichen Risiken anpasst. Jedes System, das ein höheres Risiko für das Unternehmen darstellen könnte, sollte innerhalb eines eigenen virtuellen Netzwerks isoliert und mit einer Netzwerksicherheitsgruppe (NSG) und/oder Azure Firewall ausreichend geschützt werden.

Beschränken oder ermöglichen Sie den Datenverkehr zwischen internen Ressourcen gemäß Ihren Anwendungen und der Strategie der Unternehmenssegmentierung auf der Basis von Netzwerksicherheitsgruppen-Regeln. Bei bestimmten klar definierten Anwendungen (z. B. einer App mit drei Ebenen) kann dies ein äußerst sicherer Ansatz sein (standardmäßig verweigern, als Ausnahme zulassen). Dies ist möglicherweise nicht gut skalierbar, wenn viele Anwendungen und Endpunkte miteinander interagieren. Sie können auch die Azure-Firewall verwenden, wenn für eine große Anzahl von Unternehmenssegmenten oder Spokes (in einer Hub/Spoke-Topologie) eine zentrale Verwaltung erforderlich ist.

Verwenden Sie die adaptive Netzwerkhärtung in Azure Security Center, um Netzwerksicherheitsgruppen-Konfigurationen zu empfehlen, die Ports und Quell-IP-Adressen anhand von Regeln für den externen Netzwerkdatenverkehr einschränken.

Verwenden Sie Azure Sentinel, um die Verwendung von unsicheren Legacyprotokollen wie SSL/TLSv1, TLSv1, LM/SMBv1, WDigest, nicht signierte LDAP-Bindungen und schwache Chiffren in Kerberos zu ermitteln.

• Tutorial: Filtern von Netzwerkdatenverkehr mithilfe einer Netzwerksicherheitsgruppe über das Azure-Portal

• Bereitstellen und Konfigurieren von Azure Firewall

• Adaptive Netzwerkhärtung in Azure Security Center

• Arbeitsmappe für unsichere Protokolle in Azure Sentinel

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen

NS-2: Verbinden privater Netzwerke

Stellen Sie mit Azure ExpressRoute oder dem virtuellen privaten Azure-Netzwerk (VPN) private Verbindungen mit Azure-Rechenzentren und lokaler Infrastruktur in einer Housingumgebung her. ExpressRoute-Verbindungen werden nicht über das öffentliche Internet hergestellt und zeichnen sich im Vergleich zu herkömmlichen Internetverbindungen durch eine höhere Zuverlässigkeit und Geschwindigkeit sowie durch kürzere Wartezeiten aus. Für Point-to-Site-VPN und Site-to-Site-VPN können Sie lokale Geräte oder Netzwerke mit einem virtuellen Netzwerk verbinden, indem Sie eine beliebige Kombination dieser VPN-Optionen und Azure ExpressRoute verwenden.

Stellen Sie eine Verbindung von zwei oder mehr virtuellen Netzwerken in Azure mittels Peering virtueller Netzwerke oder über Private Link her. Der Netzwerkdatenverkehr zwischen mittels Peering verbundenen virtuellen Netzwerken ist privat und wird im Azure-Backbone-Netzwerk verwaltet.

• ExpressRoute-Konnektivitätsmodelle

• Was ist VPN Gateway?

• Peering von virtuellen Netzwerken

• Azure Private Link

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen

NS-3: Einrichten des Zugriffs über das private Netzwerk auf Azure-Dienste

Ermöglichen Sie mit Azure Private Link von Ihren virtuellen Netzwerken aus privaten Zugriff auf Azure-Dienste, ohne über das Internet zu gehen. Verwenden Sie in Situationen, in denen Azure Private Link noch nicht verfügbar ist, Azure Virtual Network-Dienstendpunkte. Azure Virtual Network-Dienstendpunkte bieten über eine optimierte, über das Azure-Backbone-Netzwerk führende Route sicheren Zugriff auf Dienste.

Der private Zugriff ist neben der Authentifizierung und der von Azure-Diensten gebotenen Datenverkehrssicherheit eine zusätzliche Verteidigungsmaßnahme.

• Grundlegendes zu Azure Private Link

• Grundlegendes zu VNET-Dienstendpunkten

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen

NS-4: Schützen von Anwendungen und Diensten vor externen Netzwerkangriffen.

Schützen Sie Azure-Ressourcen vor Angriffen aus externen Netzwerken einschließlich verteilter Denial-of-Service-Angriffe (DDoS), anwendungsspezifischer Angriffe und unerwünschtem und potenziell schädlichem Internetdatenverkehr. Azure bietet native Funktionen für Folgendes:

• Schützen Sie mit der Azure-Firewall Anwendungen und Dienste vor potenziell schädlichem Datenverkehr aus dem Internet und von anderen externen Standorten.

• Schützen Sie mit WAF-Funktionen (Web Application Firewall) in Azure Application Gateway, Azure Front Door und Azure Content Delivery Network (CDN) Ihre Anwendungen, Dienste und APIs gegen Angriffe auf Anwendungsebene.

• Schützen Sie Ihre Ressourcen durch Aktivieren des DDoS-Standardschutzes in Ihren virtuellen Azure-Netzwerken vor DDoS-Angriffen.

• Verwenden Sie Azure Security Center, um Risiken durch Fehlkonfigurationen im Zusammenhang mit den oben genannten Punkten zu erkennen.

• Azure Firewall-Dokumentation

• Bereitstellen von Azure WAF

• Verwalten von Azure DDoS Protection Standard mithilfe des Azure-Portals

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen

NS-5: Bereitstellen von Angriffserkennungs-/Eindringschutzsystemen (Intrusion Detection/Intrusion Prevention Systems, IDS/IPS)

Verwenden Sie auf Azure Firewall-Threat Intelligence basierende Filterung, um bei bekannten böswilligen IP-Adressen und Domänen zu warnen und/oder Datenverkehr zu und von diesen Adressen oder Domänen zu blockieren. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. Wenn die Nutzlastüberprüfung erforderlich ist, können Sie Azure Firewall Premium-IDPS-Feature verwenden oder ein Drittanbieter-Angriffserkennungs-/Angriffsschutzsystem (IDS/IPS) von Azure Marketplace mit Nutzlastüberprüfungsfunktionen bereitstellen. Alternativ können Sie hostbasierte IDS/IPS oder eine hostbasierte Endpunkterkennungs- und -antwortlösung (EDR) in Verbindung mit oder anstelle von netzwerkbasierten IDS/IPS verwenden.

Hinweis: Bei einer gesetzlichen oder sonstigen Anforderung der Verwendung von IDS/IPS müssen Sie sicherstellen, dass sie stets auf hochwertige Warnungen für Ihre SIEM-Lösung abgestimmt ist.

• Bereitstellen von Azure Firewall

• Azure Marketplace umfasst IDS-Funktionen von Drittanbietern

• Microsoft Defender für Endpunkt-Funktion

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen

NS-6: Vereinfachen von Netzwerksicherheitsregeln

Vereinfachen Sie Netzwerksicherheitsregeln durch Nutzung von Diensttags und Anwendungssicherheitsgruppen (ASGs).

Verwenden Sie Diensttags in virtuellen Netzwerken, um Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen oder Azure Firewall zu definieren. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen. Indem Sie den Diensttagnamen im Quell- oder Zielfeld einer Regel angeben, können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.

Sie können auch Anwendungssicherheitsgruppen verwenden, um eine komplexe Sicherheitskonfiguration zu vereinfachen. Anstatt eine Richtlinie auf Basis expliziter IP-Adressen in Netzwerksicherheitsgruppen zu definieren, können Sie mit Anwendungssicherheitsgruppen die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.

• Grundlegendes zu Diensttags und deren Verwendung

• Grundlegendes zu Anwendungssicherheitsgruppen und deren Verwendung

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen

NS-7: Secure Domain Name Service (DNS)

Befolgen Sie die bewährten Methoden für die DNS-Sicherheit, um häufige Angriffe wie verwaistes DNS, DNS-Verstärkungsangriffe, DNS-Vergiftungen und -Spoofing usw. zu vermeiden.

Wenn Azure DNS als autorisierender DNS-Dienst verwendet wird, stellen Sie sicher, dass DNS-Zonen und -Einträge vor versehentlicher oder böswilliger Änderung mit Azure RBAC und Ressourcensperren geschützt werden.

• Azure DNS – Übersicht

• Secure Domain Name System (DNS) Deployment Guide (Bereitstellungshandbuch für Secure Domain Name System)

• Verhindern verwaister DNS-Einträge und Vermeiden von Unterdomänenübernahmen

Verantwortlichkeit: Kunde

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

• Sicherheitsarchitektur

• Statusverwaltung

• Anwendungssicherheit und DevSecOps-Funktionen