针对Azure Firewall的Zero Trust建议

Azure Firewall跨虚拟网络提供集中式网络安全策略强制实施和日志记录。 以下建议可帮助你验证密钥保护功能是否处于活动状态且配置正确。

有关所有Azure网络安全Zero Trust建议的摘要,请参阅Azure网络安全Zero Trust建议

建议

通过 Azure Firewall 路由来自 VNet 集成工作负荷的出站流量

Azure Firewall是云原生网络安全服务,可为出站流量提供集中检查、日志记录和强制实施。 在安全的网络体系结构中,在访问外部服务之前,应通过Azure Firewall显式路由来自 VNet 集成工作负荷(例如 VM、AKS 群集、应用服务和 Functions)的出站流量。 此路由可确保出站安全检查(包括威胁情报筛选、入侵检测和预防、TLS 检查和出口策略强制实施)适用于所有出站流。 如果没有此路由,出站流量将完全绕过防火墙,使环境暴露在数据外泄和命令和控制通信中。 此检查验证有效的网络路由是否将出站流量定向到防火墙的专用 IP 地址,以覆盖所有订阅中的合格工作负载。

对于有 SNAT 端口耗尽风险的高流量工作负荷,请考虑部署 Azure NAT Gateway 以及 Azure Firewall。 NAT 网关每个公共 IP 地址最多提供 64,512 个 SNAT 端口,相比之下,Azure 防火墙每个实例每个公共 IP 地址仅提供 2,496 个 SNAT 端口。 当与 AzureFirewallSubnet 关联时,NAT 网关处理出站转换,同时 Azure Firewall 继续检查流量,并且没有双重 NAT。

修正操作

Azure Firewall上的拒绝模式启用威胁情报

Azure Firewall基于威胁情报的筛选警报,并拒绝来自已知恶意 IP 地址、完全限定的域名(FQDN)和源自Microsoft威胁情报源的 URL 的流量。 启用后,Azure Firewall在应用网络地址转换(NAT)、网络或应用程序规则之前根据威胁情报规则评估流量。 此检查验证在Azure Firewall策略的“警报和拒绝”模式下是否启用了威胁情报。 如果未启用此功能,环境仍会向已知的恶意 IP、域和 URL 公开,从而造成泄露或数据外泄的风险。

注释

“警报和拒绝”模式需要Azure Firewall标准模式或高级模式。 Azure Firewall Basic 仅支持警报模式。 有关完整功能比较,请参阅 选择正确的Azure Firewall SKU

修正操作

在 Azure Firewall 上启用 IDPS 检查,并将其设为拒绝模式

Azure Firewall高级版提供基于签名的入侵检测和防护系统(IDPS),通过识别网络流量中的字节序列或恶意软件使用的已知恶意指令序列等特定模式来检测攻击。 IDPS 签名适用于第 3-7 层的应用程序和网络级流量,由专人完全托管并持续更新,可应用于入站、点到点和出站流量,包括进出本地部署网络的流量。 此检查验证 IDPS 是否在Azure Firewall策略的“警报和拒绝”模式下启用。 如果 IDPS 已禁用或仅处于“警报”模式,则不会主动阻止网络流量中的恶意模式。

修正操作

在 Azure Firewall 上启用对出站 TLS 流量的检查

Azure Firewall Premium 提供传输层安全性(TLS)检查,以使用存储在 Azure Key Vault 的由客户提供的证书颁发机构(CA)证书解密、检查和重新加密出站和内部加密流量。 TLS 检查支持高级安全功能,包括入侵检测和防护系统(IDPS)和 URL 筛选,以分析加密的流量并识别使用加密通道逃避检测的威胁。 如果未启用 TLS 检查,防火墙将无法检查加密的有效负载,从而显著限制对利用 TLS 绕过传统安全控制的威胁的可见性。

修正操作

在Azure Firewall中启用了诊断日志记录

Azure Firewall处理受保护工作负荷的所有入站和出站网络流量,使其成为安全监视的关键控制点。 如果未启用诊断日志记录,安全团队将无法访问流量模式、拒绝的连接尝试、威胁情报匹配以及入侵检测和防护系统(IDPS)签名检测。 如果没有日志记录,获得访问权限的威胁参与者可以在不检测的情况下横向移动,事件响应者无法构造攻击时间线。 Azure Firewall提供多个日志类别,包括应用程序规则日志、网络规则日志、网络地址转换(NAT)规则日志、威胁情报日志、IDPS签名日志、DNS代理日志。这些日志必须路由到目标,例如日志分析(Log Analytics)、存储帐户或事件中心,以便进行安全监视和取证分析。

修正操作

相关内容

  • Last updated on