Partilhar via


Linha de base de segurança do Azure para Balanceador de Carga do Azure

Esta linha de base de segurança aplica orientações da versão 1.0 de referência de segurança da cloud da Microsoft para Balanceador de Carga do Azure. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Balanceador de Carga do Azure.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis a Balanceador de Carga do Azure foram excluídas. Para ver como Balanceador de Carga do Azure mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Balanceador de Carga do Azure.

Perfil de segurança

O perfil de segurança resume comportamentos de alto impacto de Balanceador de Carga do Azure, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Rede
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Falso
Armazena o conteúdo do cliente inativo Falso

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: embora o recurso Balanceador de Carga do Azure não seja implementado diretamente num Rede Virtual, o SKU Interno pode criar uma ou mais configurações de IP de front-end com um Rede Virtual do Azure de destino.

Orientação de Configuração: o Azure oferece dois tipos de ofertas de Balanceador de Carga, Standard e Basic. Utilize Balanceadores de Carga internos do Azure para permitir apenas tráfego para recursos de back-end a partir de determinadas redes virtuais ou redes virtuais em modo de peering sem exposição à Internet. Implemente uma Balanceador de Carga externa com a Tradução de Endereços de Rede de Origem (SNAT) para mascarar os endereços IP dos recursos de back-end para proteção contra exposição direta à Internet.

Referência: Configuração interna do IP de front-end do Balanceador de Carga

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: os utilizadores podem configurar um NSG na respetiva rede virtual, mas não diretamente no Balanceador de Carga.

Orientação de Configuração: implemente grupos de segurança de rede e permita apenas o acesso às portas fidedignas e aos intervalos de endereços IP da sua aplicação. Nos casos em que não exista nenhum grupo de segurança de rede atribuído à sub-rede de back-end ou NIC das máquinas virtuais de back-end, o tráfego não poderá aceder a estes recursos a partir do balanceador de carga. Os Balanceadores de Carga Standard fornecem regras de saída para definir o NAT de saída com um grupo de segurança de rede. Reveja estas regras de saída para otimizar o comportamento das suas ligações de saída.

O Balanceador de Carga Standard foi concebido para ser seguro por predefinição e faz parte de uma Rede Virtual privada e isolada. É fechado para fluxos de entrada, a menos que seja aberto por grupos de segurança de rede para permitir explicitamente o tráfego permitido e para não permitir endereços IP maliciosos conhecidos. A menos que exista um grupo de segurança de rede numa sub-rede ou NIC do recurso da máquina virtual por detrás do Balanceador de Carga, o tráfego não pode aceder a este recurso.

Nota: a utilização de um Balanceador de Carga Standard é recomendada para as cargas de trabalho de produção e, normalmente, o Balanceador de Carga Básico só é utilizado para testes, uma vez que o tipo básico está aberto a ligações da Internet por predefinição e não requer grupos de segurança de rede para operação.

Referência: Balanceador de Carga do Azure configuração de IP de Front-end

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Network:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede contra potenciais ameaças ao restringir o acesso à mesma com um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede para a sub-rede. AuditIfNotExists, Desativado 3.0.0

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: defina e implemente configurações de segurança padrão para recursos do Azure com Azure Policy. Atribua definições de política incorporadas relacionadas com os seus recursos Balanceador de Carga do Azure específicos. Quando não existirem definições de Política incorporadas disponíveis, pode utilizar Azure Policy aliases para criar políticas personalizadas para auditar ou impor a configuração dos seus recursos Balanceador de Carga do Azure no espaço de nomes "Microsoft.Network".

Passos seguintes