安全未来计划的“保护网络”支柱强调保护网络访问的重要性,实施网络控制措施以防止未经授权访问组织资源,这至关重要。 此支柱中的最佳做法侧重于建立网络边界、控制流量流以及实施基于位置的访问策略,这些策略在授予访问权限之前验证网络连接的可信度。
Zero Trust安全建议
已配置命名位置
如果没有在Microsoft Entra ID中配置的命名位置,威胁参与者可以利用没有位置智能来执行攻击,而无需触发基于位置的风险检测或安全控制。 当组织无法为受信任的网络、分支机构和已知地理区域定义命名位置时,Microsoft Entra ID Protection无法评估基于位置的风险信号。 没有这些策略可能会导致误报增加,从而造成警报疲劳,并可能掩盖真正的威胁。 此配置差距可防止系统区分合法位置和非法位置。 例如,来自公司网络的合法登录以及来自高风险位置的可疑身份验证尝试(匿名代理网络、Tor 退出节点或组织没有业务存在的区域)。 威胁参与者可以使用这种不确定性来执行凭据填充攻击、密码喷洒活动以及恶意基础结构的初始访问尝试,而无需触发通常将此类活动标记为可疑的基于位置的检测。 组织还可以失去实施自适应安全策略的能力,这些策略可以自动应用更严格的身份验证要求或完全阻止来自不受信任的地理区域的访问。 威胁参与者可以保持持久性,并从任何全球位置进行横向移动,而不会遇到基于位置的安全屏障,这应该充当防止未经授权的访问尝试的额外防御层。
修正操作
已配置租户限制 v2 策略
租户限制 v2(TRv2)允许组织强制实施策略,以限制对指定Microsoft Entra租户的访问,从而阻止使用本地帐户向外部租户泄露公司数据。 如果没有 TRv2,攻击者可能会利用此漏洞,这会导致潜在的数据外泄和合规性违规,随后(如果这些外部租户的控制较弱)可能会发生凭据窃取。 获取凭据后,威胁参与者可以获得对这些外部租户的初始访问权限。 TRv2 提供了阻止用户向未经授权的租户进行身份验证的机制。 否则,威胁参与者可以横向移动、提升特权并可能外泄敏感数据,同时显示为合法的用户活动,从而绕过专注于内部租户监视的传统数据丢失防护控制。
实施 TRv2 会强制实施限制对指定租户的访问的策略,通过确保身份验证和数据访问仅限于授权租户来缓解这些风险。
如果此检查通过,则租户配置了 TRv2 策略,但需要执行更多步骤来验证方案端到端。
修正操作
外部协作受显式跨租户访问策略的约束
当默认出站 B2B 协作设置允许所有用户访问任何外部Microsoft Entra组织中的所有应用程序时,组织无法控制企业数据流的位置或员工与之协作的位置。 用户可能会有意或意外地将敏感数据上传到外部租户,接受针对网络钓鱼设计的欺骗或恶意租户的邀请,或者向 OAuth 同意泄露公司数据的风险应用程序。
对于受管制行业,不受限制的外部协作可能会违反数据驻留要求或禁止与未经批准的组织共享数据。
通过阻止默认的B2B出站协作,组织强制实施默认拒绝的策略,将外部关系限制为经过审查的合作伙伴,保护知识产权,并确保对跨租户协作的全面可见性。
修正操作
- 在进行更改之前,了解跨租户访问设置和规划注意事项。 有关详细信息,请参阅 跨租户访问概述。
- 使用跨租户访问活动工作簿在阻止默认访问之前识别当前的外部协作模式。 有关详细信息,请参阅 跨租户访问活动工作簿。
- 配置默认出站 B2B 协作设置以阻止访问。 有关详细信息,请参阅 “修改出站访问设置”。
- 为需要 B2B 协作的已批准的合作伙伴租户添加特定于组织的设置。 有关详细信息,请参阅 “添加组织”。
- 通过Microsoft Graph API更新默认跨租户访问策略。 有关详细信息,请参阅 更新默认的跨租户访问策略。
VNet 集成工作负荷的出站流量通过 Azure 防火墙路由
Azure 防火墙为出站网络流量提供集中检查、日志记录和执行。 如果不通过 Azure Firewall 路由来自虚拟网络(VNet)集成工作负载的出站流量,流量可能未经检查或未强制执行策略地离开您的环境。 VNet 集成工作负荷包括虚拟机、AKS 节点池、VNet 集成的应用服务以及 VNet 中的 Azure Functions。
不通过Azure Firewall路由出站流量:
- 威胁参与者可以使用未指定的出站路径进行数据外泄和命令和控制通信。
- 组织失去了对网络出口安全控制的一致执行能力,例如威胁情报过滤、入侵检测和防御,以及 TLS 流量检查。
- 安全团队缺乏对出站流量模式的可见性,这使得难以检测和调查可疑网络活动。
修正操作
- 配置 Azure Firewall 路由规则,通过防火墙的专用 IP 地址将工作负载子网的出站流量定向。
- 管理路由表和路由,为默认路由(0.0.0.0/0)创建指向 Azure Firewall 专用 IP 的用户定义路由。
- 通过 Azure Firewall 控制 App Service 出站流量,适用于 App Service VNet 集成场景。
- 配置 Azure 防火墙规则 ,以允许阻止恶意目标时所需的出站流量。
在 Azure 防火墙上以拒绝模式启用威胁情报
Azure Firewall通过威胁情报筛选和警报,对已知恶意IP地址、完全限定域名(FQDN)及来自Microsoft威胁情报源的URL的出入流量进行警报和拒绝。 如果未在 Alert and deny 模式下启用威胁智能,Azure Firewall不会主动阻止流量流向已知恶意目标。
如果未在 Alert and deny 模式下启用威胁情报:
- 威胁参与者可以与已知的恶意基础结构通信,在不主动阻止的情况下实现数据外泄和控制通信。
- 使用
Alert only模式的组织可以在日志中查看威胁活动,但无法阻止与已知错误的目标建立连接。 - 所有防火墙策略级别仍然暴露在已被Microsoft威胁情报识别的威胁之下。
修正操作
-
在 Azure 防火墙管理器中配置威胁智能设置 ,以在防火墙策略中将威胁智能模式设置为
Alert and deny。
在 Azure Firewall 上以拒绝模式启用 IDPS 检测
Azure 防火墙高级版提供基于签名的入侵检测和防护(IDPS),通过检测网络流量中的特定模式(例如字节序列和恶意软件使用的已知恶意指令序列)来识别攻击。 IDPS 适用于入站、东西向(支点到支点)和跨第 3-7 层的出站流量。 如果未在 Alert and deny 模式下配置 IDPS,Azure 防火墙只会记录检测到的威胁,而不会阻止它们。
在 Alert and deny 模式下未启用 IDPS:
- 威胁参与者可以发送与已知攻击签名匹配的流量,而不会受到阻止。
- 在
Alert only模式下运行 IDPS 的组织可以深入了解威胁,但无法阻止入侵尝试访问其工作负载。 - 与已知攻击签名匹配的横向移动和外泄流量通过防火墙,无需主动干预。
修正操作
应用程序网关 WAF 在防护模式下启用
Azure 应用程序网关 Web 应用程序防火墙(WAF)可保护 Web 应用程序免受常见的攻击和漏洞,包括 SQL 注入、跨站点脚本和其他 OWASP 前 10 个威胁。 WAF 以两种模式运行:检测和预防。 检测模式日志匹配请求,但不会阻止流量,而防护模式会在到达后端应用程序之前主动阻止恶意请求。 当 WAF 处于检测模式时,即使已识别威胁,Web 应用程序仍会受到攻击。
未处于预防模式的 WAF:
- 威胁参与者可以利用 Web 应用程序漏洞(如 SQL 注入和跨站点脚本),因为只记录匹配的请求,不会阻止。
- 组织将失去由托管和自定义 WAF 规则提供的活动保护,使 WAF 退化为仅仅是一个可观测性工具,而非安全控制。
修正操作
- 在 Azure 应用程序网关上配置 WAF ,将 WAF 策略从 检测模式 切换到 预防模式。
- 为应用程序网关创建和管理 WAF 策略 ,以在所有应用程序网关实例中应用防护模式设置。
Azure Front Door WAF 在预防模式下已启用
Azure Front Door Web 应用程序防火墙(WAF)可保护 Web 应用程序免受常见的攻击和漏洞,包括 SQL 注入、跨站点脚本和其他 OWASP 前 10 个威胁。 WAF 以两种模式运行:检测和预防。 检测模式会评估并记录与 WAF 规则匹配但不会阻止流量的请求,而防护模式在到达后端应用程序之前会主动阻止恶意请求。 当 WAF 处于检测模式时,即使已识别威胁,Web 应用程序仍会受到攻击。
未处于预防模式的 WAF:
- 攻击者可以利用 Web 应用程序漏洞,因为只记录匹配的请求,而不是被阻止。
- 组织在托管和自定义 WAF 规则提供的全局边缘失去主动保护,从而将 WAF 减少到观察工具而不是安全控制。
修正操作
- 为 Azure Front Door 配置 WAF ,将 WAF 策略从 检测模式 切换到 预防模式。
- 为 Azure Front Door 配置 WAF 策略设置 ,以在策略设置中启用 预防模式 。