本文列出了 Microsoft Defender for Cloud 中可能会显示的所有网络安全建议。
环境中显示的建议基于要保护的资源和自定义配置。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
提示
如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议。
例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅用于基本建议可简化策略管理。
说明:查看存储帐户防火墙设置中的网络访问设置。 建议配置网络规则,以便只有来自许可网络的应用程序才能访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络或到公共 Internet IP 地址范围的流量授予访问权限。 (相关策略:存储帐户应限制网络访问)。
严重性:低
说明:Defender for Cloud 已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 (相关策略:应限制在与虚拟机关联的网络安全组上使用所有网络端口)。
严重性:高
说明:Defender for Cloud 发现了应用程序网关资源不受 DDoS 保护服务保护的虚拟网络。 这些资源包含公共 IP。 缓解网络容量和协议攻击。 (相关策略:应启用 Azure DDoS 防护标准)。
严重性:中等
说明:使用网络安全组 (NSG) 限制对 VM 的访问,以此防范其遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则允许或拒绝来自同一子网内外的其他实例到 VM 的网络流量。 为了使计算机尽可能安全,必须限制 VM 对 Internet 的访问权限,并且应在子网上启用 NSG。 严重性为“高”的 VM 是面向 Internet 的 VM。 (相关策略:面向 Internet 的虚拟机应使用网络安全组进行保护)。
严重性:高
说明:Defender for Cloud 发现在某些虚拟机上已启用 IP 转发。 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 (相关策略:应禁用虚拟机上的 IP 转发)。
严重性:中等
说明:Defender for Cloud 已确定一些对网络安全组中的管理端口过于宽松的入站规则。 启用实时访问控制,以保护 VM 免受基于 Internet 的暴力攻击。 有关详细信息,请参阅了解实时 (JIT) VM 访问。 (相关策略:应通过即时网络访问控制来保护虚拟机的管理端口)。
严重性:高
说明:打开远程管理端口会使 VM 暴露在较高级别的基于 Internet 的攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 (相关策略:应关闭虚拟机上的管理端口)。
严重性:中等
说明:使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的虚拟机遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则允许或拒绝从其他实例到 VM 的网络流量,无论它们是否位于同一子网中。 请注意,为了使计算机尽可能安全,必须限制 VM 对 Internet 的访问权限,并且应在子网上启用 NSG。 (相关策略:应使用网络安全组来保护非面向 Internet 的虚拟机)。
严重性:低
说明:安全传输是强制存储帐户仅接受来自安全连接 (HTTPS) 的请求的选项。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击。 (相关策略:应启用到存储帐户的安全传输)。
严重性:高
说明:使用网络安全组 (NSG) 限制对子网的访问,以此防范其遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 当 NSG 与子网关联时,ACL 规则适用于该子网中的所有 VM 实例和集成服务,但不适用于子网内的内部流量。 若要确保同一子网中的资源彼此之间的安全,请直接在资源上启用 NSG。 请注意,以下子网类型将列为不适用:GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet。 (相关策略:子网应与网络安全组关联)。
严重性:低