Sdílet prostřednictvím

Řízení zabezpečení: Zabezpečení sítě

Zabezpečení sítě zahrnuje kontroly zabezpečení a ochrany sítí, včetně zabezpečení virtuálních sítí, vytváření privátních připojení, prevence a zmírnění externích útoků a zabezpečení DNS.

NS-1: Vytvoření hranic segmentace sítě

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princip zabezpečení: Zajistěte, aby nasazení virtuální sítě odpovídalo strategii segmentace podniku definované v rámci řízení zabezpečení GS-2. Všechny úlohy, které by mohly znamenat vyšší riziko pro organizaci, by měly být v izolovaných virtuálních sítích.

Mezi příklady úloh s vysokým rizikem patří:

  • Aplikace ukládá nebo zpracovává vysoce citlivá data.
  • Externí síťová aplikace přístupná veřejnými nebo uživateli mimo vaši organizaci.
  • Aplikace, která používá nezabezpečenou architekturu nebo obsahuje ohrožení zabezpečení, která nelze snadno napravit.

Pokud chcete vylepšit strategii segmentace podniku, omezte nebo monitorujte provoz mezi interními prostředky pomocí síťových ovládacích prvků. U konkrétních, dobře definovaných aplikací (jako je například 3vrstvá aplikace) může jít o vysoce zabezpečený přístup "odepřít ve výchozím nastavení, povolit výjimkou" omezením portů, protokolů, zdrojových a cílových IP adres síťového provozu. Pokud máte mnoho aplikací a koncových bodů, které vzájemně komunikují, blokování provozu nemusí být dobře škálovatelné a možná budete moct monitorovat jenom provoz.

Pokyny k Azure: Vytvoření virtuální sítě jako základního segmentačního přístupu v síti Azure, takže prostředky, jako jsou virtuální počítače, je možné nasadit do virtuální sítě v rámci hranice sítě. Pokud chcete síť dále segmentovat, můžete vytvořit podsítě uvnitř virtuální sítě pro menší podsítě.

Skupiny zabezpečení sítě (NSG) slouží jako řízení síťové vrstvy k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Projděte si NS-7: Zjednodušení konfigurace zabezpečení sítě, aby bylo možné použít adaptivní zesílení zabezpečení sítě a doporučit pravidla zesílení NSG na základě analýzy hrozeb a výsledků analýzy provozu.

Pomocí skupin zabezpečení aplikací (ASG) můžete také zjednodušit složitou konfiguraci. Místo definování zásad založených na explicitních IP adresách ve skupinách zabezpečení sítě umožňují ASG nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace, což vám umožní seskupit virtuální počítače a definovat zásady zabezpečení sítě založené na těchto skupinách.

Implementace Azure a další kontext:

Pokyny k AWS: Vytvoření virtuálního privátního cloudu (VPC) jako základního segmentačního přístupu v síti AWS, takže prostředky, jako jsou instance EC2, je možné nasadit do VPC v rámci hranice sítě. Pokud chcete síť dále segmentovat, můžete vytvořit podsítě uvnitř VPC pro menší podsítě.

Pro instance EC2 použijte skupiny zabezpečení jako stavovou bránu firewall k omezení provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Na úrovni podsítě VPC použijte seznam řízení přístupu k síti (NACL) jako stateless firewall, abyste měli explicitní pravidla pro příchozí a odchozí provoz v rámci podsítě.

Poznámka: Pokud chcete řídit provoz VPC, musí být internet a služba NAT Gateway nakonfigurovaná tak, aby se zajistilo, že provoz z/do internetu bude omezený.

Implementace AWS a další kontext:

Pokyny pro GCP: Vytvoření sítě virtuálního privátního cloudu (VPC) jako základního segmentačního přístupu v síti GCP, takže prostředky, jako jsou instance virtuálních počítačů výpočetního stroje, je možné nasadit do sítě VPC v rámci síťové hranice. Pokud chcete síť dále segmentovat, můžete vytvořit podsítě uvnitř VPC pro menší podsítě.

Pravidla brány firewall VPC použijte jako řízení vrstvy distribuované sítě k povolení nebo zamítnutí připojení k cílovým instancím v síti VPC, mezi které patří virtuální počítače, clustery Google Kubernetes Engine (GKE) a instance flexibilního prostředí App Engine.

Můžete také nakonfigurovat pravidla brány firewall VPC tak, aby cílila na všechny instance v síti VPC, instance s odpovídající značkou sítě nebo instancemi, které používají konkrétní účet služby, což umožňuje seskupit instance a definovat zásady zabezpečení sítě na základě těchto skupin.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-2: Zabezpečení nativních cloudových služeb pomocí síťových ovládacích prvků

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princip zabezpečení: Zabezpečení cloudových služeb vytvořením privátního přístupového bodu pro prostředky. Pokud je to možné, měli byste také zakázat nebo omezit přístup z veřejných sítí.

Doprovodné materiály k Azure: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link pro vytvoření privátního přístupového bodu pro prostředky. Použití služby Private Link zabrání směrování privátního připojení přes veřejnou síť.

Poznámka: Některé služby Azure můžou také povolit privátní komunikaci prostřednictvím funkce koncového bodu služby, i když se doporučuje používat Azure Private Link k zabezpečení a privátnímu přístupu ke službám hostovaným na platformě Azure.

U některých služeb můžete nasadit integraci virtuální sítě pro službu, ve které můžete virtuální síť omezit na vytvoření privátního přístupového bodu pro službu.

Máte také možnost nakonfigurovat pravidla ACL nativní sítě služby nebo jednoduše zakázat přístup z veřejných sítí, aby se zablokoval přístup z veřejných sítí.

U virtuálních počítačů Azure, pokud neexistuje případ silného použití, byste se neměli přiřazovat veřejné IP adresy nebo podsítě přímo k rozhraní virtuálního počítače a místo toho používat služby brány nebo nástroje pro vyrovnávání zatížení jako front-end pro přístup k veřejné síti.

Implementace Azure a další kontext:

Pokyny k AWS: Nasazení privátního propojení VPC PrivateLink pro všechny prostředky AWS, které podporují funkci PrivateLink, aby bylo možné privátní připojení k podporovaným službám nebo službám AWS hostovaným jinými účty AWS (služby koncových bodů VPC). Použití PrivateLinku zamezí směrování privátního připojení přes veřejnou síť.

U některých služeb můžete nasadit instanci služby do vlastního VPC a izolovat provoz.

Máte také možnost nakonfigurovat nativní pravidla seznamu ACL služby tak, aby blokovala přístup z veřejné sítě. Amazon S3 například umožňuje blokovat veřejný přístup na úrovni kbelíku nebo účtu.

Při přiřazování IP adres k prostředkům služby ve vašem VPC, pokud neexistuje případ silného použití, měli byste se vyhnout přiřazování veřejných IP adres nebo podsítě přímo k prostředkům a místo toho používat privátní IP adresy nebo podsíť.

Implementace AWS a další kontext:

Pokyny pro GCP: Nasaďte implementace VPC Private Google Access pro všechny prostředky GCP, které ho podporují, aby se vytvořil privátní přístupový bod pro prostředky. Tyto možnosti privátního přístupu zajistí, že privátní připojení nebude směrovat přes veřejnou síť. Privátní přístup Google má instance virtuálních počítačů, které mají jenom interní IP adresy (žádné externí IP adresy).

U některých služeb můžete nasadit instanci služby do vlastního VPC a izolovat provoz. Máte také možnost nakonfigurovat nativní pravidla seznamu ACL služby tak, aby blokovala přístup z veřejné sítě. Například firewall App Engine umožňuje řídit, který síťový provoz je povolený nebo odmítnutý při komunikaci s prostředkem App Engine. Cloud Storage je další prostředek, ve kterém můžete vynutit ochranu veřejného přístupu u jednotlivých kontejnerů nebo na úrovni organizace.

U virtuálních počítačů výpočetního stroje GCP, pokud neexistuje případ silného použití, byste se měli vyhnout přiřazování veřejných IP adres a podsítí přímo k rozhraní virtuálního počítače a místo toho pro přístup k veřejné síti jako front-endu používat služby brány nebo nástroje pro vyrovnávání zatížení.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-3: Nasazení brány firewall na okraji podnikové sítě

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Princip zabezpečení: Nasaďte bránu firewall pro pokročilé filtrování síťového provozu do a z externích sítí. K podpoře strategie segmentace můžete použít také brány firewall mezi interními segmenty. V případě potřeby použijte vlastní trasy pro vaši podsíť k přepsání systémové trasy, když potřebujete vynutit, aby síťový provoz procházel síťovým zařízením pro účely řízení zabezpečení.

Minimálně zablokujte známé špatné IP adresy a vysoce rizikové protokoly, jako je vzdálená správa (například RDP a SSH) a intranetové protokoly (například SMB a Kerberos).

Doprovodné materiály k Azure: Použití služby Azure Firewall k zajištění plně stavového omezení provozu aplikační vrstvy (například filtrování adres URL) nebo centrální správy nad velkým počtem podnikových segmentů nebo paprsků (v topologii hvězdicové architektury).

Pokud máte složitou topologii sítě, jako je například topologie typu hub a paprsek, možná budete muset vytvořit trasy definované uživatelem, abyste zajistili, že provoz prochází požadovanou trasou. Máte například možnost použít UDR (trasu definovanou uživatelem) k přesměrování odchozího internetového provozu přes konkrétní firewall Azure nebo virtuální síťové zařízení.

Implementace Azure a další kontext:

Pokyny pro AWS: Použijte síťový firewall AWS k zajištění plně stavového omezení provozu na aplikační vrstvě (například filtrování URL) nebo k centrální správě velkého počtu podnikových segmentů nebo poboček v hvězdicové topologii.

Pokud máte složitou topologii sítě, například nastavení typu hvězdicové struktury (hub/spoke), možná budete muset vytvořit vlastní směrovací tabulky VPC, abyste zajistili, že provoz prochází požadovanou trasou. Máte například možnost použít vlastní trasu pro přesměrování odchozího internetového provozu přes konkrétní bránu firewall AWS nebo síťové virtuální zařízení.

Implementace AWS a další kontext:

Pokyny pro GCP: Použití zásad zabezpečení Google Cloud Armor k zajištění filtrování vrstvy 7 a ochrany běžných webových útoků. Kromě toho použijte pravidla brány firewall VPC k poskytování distribuovaného, plně stavového omezení síťové vrstvy a zásad brány firewall pro centrální správu nad velkým počtem podnikových segmentů nebo paprsků (v hvězdicové topologii).

Pokud máte složitou topologii sítě, jako je například nastavení hvězdicové architektury, vytvořte zásady brány firewall, které seskupují pravidla brány firewall, a aby byly hierarchické, aby se mohly použít pro více sítí VPC.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-4: Nasazení systémů detekce neoprávněných vniknutí nebo ochrany před neoprávněným vniknutím (IDS/IPS)

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11,4

Princip zabezpečení: K kontrole síťového a datového provozu do nebo z vaší úlohy použijte systémy pro detekci neoprávněných vniknutí a ochranu před neoprávněným vniknutím (IDS/IPS). Ujistěte se, že idS/IPS jsou vždy vyladěné tak, aby poskytovaly vysoce kvalitní výstrahy pro vaše řešení SIEM.

Pokud chcete podrobnější možnosti detekce a prevence na úrovni hostitele, použijte řešení IDS/IPS založené na hostiteli nebo řešení detekce a odpovědi na základě hostitele (EDR) ve spojení se síťovým IDS/IPS.

Doprovodné materiály k Azure: Pomocí funkcí IDPS služby Azure Firewall můžete chránit virtuální síť, abyste mohli upozorňovat na nebo blokovat provoz do a z známých škodlivých IP adres a domén.

Pokud chcete podrobnější možnosti detekce a prevence na úrovni hostitele, nasaďte ids/IPS na základě hostitele nebo řešení pro detekci a odezvu na základě hostitele (EDR), jako je Microsoft Defender for Endpoint, na úrovni virtuálního počítače ve spojení se síťovým IDS/IPS.

Implementace Azure a další kontext:

Pokyny pro AWS: Pomocí funkce IPS síťové brány firewall AWS můžete chránit váš protokol VPC k upozorňování nebo blokování provozu do a ze známých škodlivých IP adres a domén.

Pokud chcete podrobnější možnosti detekce a prevence na úrovni hostitele, nasaďte IDS/IPS nebo řešení pro detekci a reakci na úrovni hostitele (EDR) od třetích stran na úrovni virtuálního stroje ve spojení se síťovým IDS/IPS.

Poznámka: Pokud používáte IDS nebo IPS třetí strany z marketplace, použijte tranzitní bránu a vyrovnávač zátěže brány k směrování provozu pro kontrolu přímo v provozu.

Implementace AWS a další kontext:

Pokyny pro GCP: Využijte funkce Google Cloud IDS k detekci napadení, malwaru, spywaru a útoků na řízení a kontrolu ve vaší síti. Cloud IDS funguje vytvořením partnerské sítě spravované Googlem s instancemi zrcadlených virtuálních počítačů. Přenosy v partnerské síti se zrcadlí a pak se kontrolují integrovanými technologiemi ochrany před hrozbami Palo Alto Networks, aby poskytovaly pokročilou detekci hrozeb. Můžete zrcadlit veškerý příchozí a výchozí provoz na základě protokolu nebo rozsahu IP adres.

Pokud chcete podrobnější možnosti detekce a prevence na úrovni hostitele, nasaďte koncový bod IDS jako zónový prostředek, který může kontrolovat provoz z libovolné zóny v jeho oblasti. Každý koncový bod IDS přijímá zrcadlený provoz a provádí analýzu detekce hrozeb.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-5: Nasazení ochrany DDOS

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Princip zabezpečení: Nasaďte ochranu před distribuovaným odepřením služby (DDoS) za účelem ochrany sítě a aplikací před útoky.

Pokyny k Azure: DDoS Protection Basic je automaticky povolená k ochraně základní infrastruktury platformy Azure (např. Azure DNS) a nevyžaduje žádnou konfiguraci od uživatelů.

Pokud chcete zajistit vyšší úroveň ochrany vašich útoků aplikační vrstvy (vrstva 7), jako jsou záplavy HTTP a záplavy DNS, povolte standardnímu plánu ochrany před útoky DDoS ve vaší virtuální síti chránit prostředky, které jsou vystavené veřejným sítím.

Implementace Azure a další kontext:

Pokyny pro AWS: AWS Shield Standard je automaticky povolený se standardními zmírněními, které chrání vaši pracovní zátěž před běžnými útoky DDoS na síťovou a transportní vrstvu (vrstva 3 a 4)

Pro zajištění vyšší úrovně ochrany aplikací proti útokům aplikační vrstvy (vrstva 7), jako jsou povodní HTTPS a záplavy DNS, povolte rozšířenou ochranu AWS Shield na Amazon EC2, Elastic Load Balance (ELB), Amazon CloudFront, AWS Global Accelerator a Amazon Route 53.

Implementace AWS a další kontext:

Pokyny pro GCP: Google Cloud Armor nabízí následující možnosti, které pomáhají chránit systémy před útoky DDoS:

  • Ochrana před útoky DDoS úrovně Standard: Základní nepřetržitá ochrana pro nástroje pro vyrovnávání zatížení sítě, předávání protokolů nebo virtuální počítač s veřejnými IP adresami.
  • Rozšířená ochrana před útoky DDoS sítě: další ochrana pro předplatitele Managed Protection Plus, kteří používají nástroje pro vyrovnávání zatížení sítě, předávání protokolů nebo virtuální počítač s veřejnými IP adresami.
  • Ochrana před útoky DDoS standardní úrovně je vždy zapnuta. Rozšířenou ochranu před útoky DDoS sítě nakonfigurujete na základě jednotlivých oblastí.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-6: Nasazení firewallu webových aplikací

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Princip zabezpečení: Nasaďte firewall webových aplikací (WAF) a nakonfigurujte příslušná pravidla pro ochranu webových aplikací a rozhraní API před útoky specifickými pro aplikace.

Pokyny k Azure: Použití funkcí firewallu webových aplikací (WAF) ve službě Azure Application Gateway, Azure Front Door a Azure Content Delivery Network (CDN) k ochraně aplikací, služeb a rozhraní API před útoky aplikační vrstvy na okraji sítě.

V závislosti na vašich potřebách a hrozbách nastavte WAF v režimu detekce nebo režimu prevence.

Zvolte integrovanou sadu pravidel, například OWASP Top 10 zranitelnosti, a vylaďte ji podle potřeb vaší aplikace.

Implementace Azure a další kontext:

Pokyny k AWS: Použití firewallu webových aplikací AWS (WAF) v distribuci Amazon CloudFront, Amazon API Gateway, Application Load Balancer nebo AWS AppSync k ochraně aplikací, služeb a rozhraní API před útoky aplikační vrstvy na okraji vaší sítě.

Použijte spravovaná pravidla AWS pro WAF k nasazení vestavěných základních skupin pravidel a přizpůsobte je potřebám vaší aplikace pro konkrétní případy použití.

Pokud chcete zjednodušit nasazení pravidel WAF, můžete také použít řešení AWS WAF Security Automations k automatickému nasazení předem definovaných pravidel WAF AWS, která filtrují webové útoky na váš webový seznam ACL.

Implementace AWS a další kontext:

Pokyny pro GCP: Používejte Google Cloud Armor k ochraně aplikací a webů před útoky na dostupnost služby a webové útoky.

Použijte předem připravená pravidla Google Cloud Armor založená na průmyslových standardech, abyste zmírnili běžné zranitelnosti zabezpečení webových aplikací a zajistili ochranu před OWASP Top 10.

Nastavte předem nakonfigurovaná pravidla WAF, z nichž každá se skládá z více podpisů zdrojových z pravidel CRS (ModSecurity Core Rules). Každý podpis odpovídá pravidlu detekce útoku v sadě pravidel.

Cloud Armor funguje ve spojení s externími nástroji pro vyrovnávání zatížení a chrání před distribuovaným odepřením služby (DDoS) a dalšími webovými útoky, ať už jsou aplikace nasazené v Google Cloudu, v hybridním nasazení nebo v architektuře s více cloudy. Zásady zabezpečení je možné konfigurovat ručně, s konfigurovatelnými podmínkami shody a akcemi v zásadách zabezpečení. Cloud Armor také nabízí předkonfigurované zásady zabezpečení, které pokrývají různé případy použití.

Adaptivní ochrana v Cloud Armor pomáhá zabránit, detekovat a chránit vaše aplikace a služby před distribuovanými útoky L7 analýzou vzorů provozu do back-endových služeb, zjišťováním a upozorňováním podezřelých útoků a generováním navrhovaných pravidel WAF pro zmírnění takových útoků. Tato pravidla je možné doladit tak, aby vyhovovala vašim potřebám.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-7: Zjednodušení konfigurace zabezpečení sítě

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princip zabezpečení: Při správě komplexního síťového prostředí používejte nástroje ke zjednodušení, centralizaci a vylepšení správy zabezpečení sítě.

Doprovodné materiály k Azure: Použití následujících funkcí ke zjednodušení implementace a správy virtuální sítě, pravidel NSG a pravidel služby Azure Firewall:

  • Pomocí Azure Virtual Network Manageru můžete seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě a pravidla NSG napříč oblastmi a předplatnými.
  • Pomocí programu Microsoft Defender for Cloud Adaptive Network Hardening doporučte pravidla posílení zabezpečení sítě, která dále omezují porty, protokoly a zdrojové IP adresy na základě analýzy hrozeb a výsledků analýzy provozu.
  • Pomocí Azure Firewall Manageru můžete centralizovat zásady brány firewall a správu tras virtuální sítě. Ke zjednodušení implementace pravidel brány firewall a skupin zabezpečení sítě můžete použít také šablonu Azure Resource Manageru (ARM).

Implementace Azure a další kontext:

Pokyny pro AWS: Použití AWS Firewall Manageru k centralizaci správy zásad ochrany sítě napříč následujícími službami:

  • Zásady WAF pro AWS
  • Pokročilé zásady AWS Shield
  • Zásady skupiny zabezpečení VPC
  • Zásady brány firewall sítě

AWS Firewall Manager může automaticky analyzovat zásady související s bránou firewall a vytvářet zjištění o nevyhovujících prostředcích a zjištěných útocích a odesílat je do AWS Security Hubu pro vyšetřování.

Implementace AWS a další kontext:

Pokyny pro GCP: Použití následujících funkcí ke zjednodušení implementace a správy sítě virtuálních privátních cloudů (VPC), pravidel brány firewall a pravidel WAF:

  • Pomocí sítí VPC můžete spravovat a konfigurovat jednotlivé sítě VPC a pravidla brány firewall VPC.
  • Pomocí zásad hierarchické brány firewall můžete seskupit pravidla brány firewall a hierarchicky uplatňovat pravidla zásad v globálním nebo regionálním měřítku.
  • Použijte Google Cloud Armor k použití vlastních zásad zabezpečení, předem nakonfigurovaných pravidel WAF a ochrany před útoky DDoS.

Můžete také analyzovat síť a získat přehled o topologii virtuální sítě, pravidlech brány firewall a stavu připojení k síti, aby se zlepšila efektivita správy.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-8: Detekce a zakázání nezabezpečených služeb a protokolů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Princip zabezpečení: Detekujte a zakažte nezabezpečené služby a protokoly ve vrstvě operačního systému, aplikace nebo softwarového balíčku. Pokud zakázání nezabezpečených služeb a protokolů není možné, nasaďte kompenzační ovládací prvky.

Pokyny k Azure: Pomocí integrovaného sešitu protokolu Insecure Protocol v Microsoft Sentinelu můžete zjistit použití nezabezpečených služeb a protokolů, jako jsou SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, slabé šifry v protokolu Kerberos a vazby bez znaménka LDAP. Zakažte nezabezpečené služby a protokoly, které nesplňují odpovídající standard zabezpečení.

Poznámka: Pokud zakázání nezabezpečených služeb nebo protokolů není možné, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím skupiny zabezpečení sítě, služby Azure Firewall nebo služby Azure Web Application Firewall, abyste snížili prostor pro útoky.

Implementace Azure a další kontext:

Pokyny k AWS: Povolte protokoly toku VPC a pomocí GuardDuty analyzujte protokoly toku VPC, abyste identifikovali možné nezabezpečené služby a protokoly, které nesplňují odpovídající standard zabezpečení.

Pokud se protokoly v prostředí AWS dají předávat do Služby Microsoft Sentinel, můžete k zjišťování použití nezabezpečených služeb a protokolů použít také integrovaný sešit protokolu Microsoft Sentinel.

Poznámka: Pokud zakázání nezabezpečených služeb nebo protokolů není možné, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím skupin zabezpečení, AWS Network Firewall, AWS Web Application Firewall, aby se snížil prostor pro útoky.

Implementace AWS a další kontext:

Pokyny pro GCP: Povolte protokoly toku VPC a pomocí nástroje BigQuery nebo Security Command Center analyzujte protokoly toku VPC, abyste identifikovali možné nezabezpečené služby a protokoly, které nesplňují odpovídající standard zabezpečení.

Pokud se protokoly v prostředí GCP dají předávat do Microsoft Sentinelu, můžete také pomocí integrovaného sešitu protokolu Insecure Protocol v Microsoft Sentinelu zjistit použití nezabezpečených služeb a protokolů. Navíc můžete předávat protokoly do Google Cloud Chronicle SIEM a SOAR a vytvářet vlastní pravidla pro tento účel.

Poznámka: Pokud zakázání nezabezpečených služeb nebo protokolů není možné, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím pravidel a zásad brány firewall VPC, nebo Cloud Armor ke snížení prostoru pro útoky.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-9: Privátní připojení místní nebo cloudové sítě

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
12.7 CA-3, AC-17, AC-4 není k dispozici

Princip zabezpečení: Privátní připojení slouží k zabezpečené komunikaci mezi různými sítěmi, jako jsou datacentra poskytovatele cloudových služeb a místní infrastruktura v kolokačním prostředí.

Pokyny k Azure: Pro jednoduché připojení typu site-to-site nebo point-to-site použijte virtuální privátní síť Azure (VPN) k vytvoření zabezpečeného připojení mezi místním zařízením nebo koncovým uživatelem a virtuální sítí Azure.

V případě vysoce výkonných připojení na podnikové úrovni použijte Azure ExpressRoute (nebo Virtual WAN) k propojení datacenter Azure a místní infrastruktury v prostředí pro společné umístění.

Při propojení dvou nebo více virtuálních sítí Azure použijte propojení virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a udržuje se v páteřní síti Azure.

Implementace Azure a další kontext:

Pokyny k AWS: Pro připojení typu site-to-site nebo point-to-site použijte AWS VPN k vytvoření zabezpečeného připojení (pokud režie protokolu IPsec není problém) mezi místním nebo koncovým zařízením uživatele do sítě AWS.

U vysoce výkonných připojení na podnikové úrovni použijte AWS Direct Connect k připojení AWS VPC a prostředků s místní infrastrukturou ve společném prostředí.

K navázání připojení mezi dvěma nebo více VPC v rámci nebo mezi oblastmi máte možnost použít propojení VPC (VPC Peering) nebo Transit Gateway. Síťový provoz mezi propojenými VPC je soukromý a je přenášen po páteřní síti AWS. Pokud potřebujete k vytvoření velké ploché podsítě připojit více virtuálních počítačů, máte také možnost použít sdílení VPC.

Implementace AWS a další kontext:

Pokyny pro GCP: Pro zjednodušené připojení typu site-to-site nebo připojení typu point-to-site použijte vpn Google Cloud.

V případě vysoce výkonných připojení na podnikové úrovni použijte Google Cloud Interconnect nebo Partner Interconnect pro připojení k VPC a prostředkům Google Cloud s vaší místní infrastrukturou v kolokačním prostředí.

Máte možnost použít Peerování síťí VPC nebo Centrum pro síťovou konektivitu k navázání připojení mezi dvěma nebo více sítěmi VPC v rámci regionů nebo napříč regiony. Síťový provoz mezi partnerskými sítěmi VPN je privátní a udržuje se v páteřní síti GCP. Pokud potřebujete k vytvoření velké ploché podsítě připojit více virtuálních počítačů, máte také možnost použít sdílený VPC.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

NS-10: Zajištění zabezpečení DNS (Domain Name System)

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
4.9, 9.2 SC-20, SC-21 není k dispozici

Princip zabezpečení: Ujistěte se, že konfigurace zabezpečení DNS (Domain Name System) chrání před známými riziky:

  • Pomocí důvěryhodných autoritativních a rekurzivních služeb DNS v cloudovém prostředí zajistěte, aby klient (například operační systémy a aplikace) obdržel správný výsledek překladu.
  • Oddělte překlad veřejného a privátního DNS tak, aby byl proces překladu DNS pro privátní síť izolovaný od veřejné sítě.
  • Ujistěte se, že vaše strategie zabezpečení DNS zahrnuje také opatření proti běžným útokům, jako jsou visící DNS, DNS amplifikační útoky, otrava DNS, DNS spoofing, a tak dále.

Pokyny k Azure: Použijte rekurzivní DNS Azure (obvykle přiřazený k vašemu virtuálnímu počítači přes PROTOKOL DHCP nebo předem nakonfigurovaný ve službě) nebo důvěryhodný externí server DNS ve vašem nastavení DNS pro úlohy, například v operačním systému virtuálního počítače nebo v aplikaci.

Pro nastavení privátní zóny DNS použijte Azure Private DNS, kde proces překladu DNS neopustí virtuální síť. Pomocí vlastního DNS omezte překlad DNS tak, aby umožňoval pouze důvěryhodné překlady pro vašeho klienta.

K rozšířené ochraně před následujícími bezpečnostními hrozbami pro vaši úlohu nebo službu DNS použijte Microsoft Defender for DNS:

  • Exfiltrace dat z vašich prostředků Azure pomocí tunelování DNS
  • Malware komunikující se serverem řízení a kontroly
  • Komunikace se škodlivými doménami, jako jsou phishing a kryptografické dolování
  • Útoky DNS při komunikaci se škodlivými překladači DNS

Pokud web služby App Service vyřadíte z provozu, aniž byste odstranili jeho vlastní doménu z registrátora DNS, můžete také použít Microsoft Defender for App Service k detekci nezapojených záznamů DNS.

Implementace Azure a další kontext:

Pokyny aWS: Použijte Amazon DNS Server (jinými slovy, Amazon Route 53 Resolver server, který je obvykle přiřazený prostřednictvím DHCP nebo předkonfigurovaný ve službě) nebo centralizovaný důvěryhodný server překladače DNS ve vaší sadě úloh rekurzivní nastavení DNS, například v operačním systému virtuálního počítače nebo v aplikaci.

Pomocí Amazon Route 53 vytvořte nastavení privátní hostované zóny, kde proces zpracování DNS neopustí určené VPC. Pomocí brány firewall Amazon Route 53 regulujte a vyfiltrujte odchozí provoz DNS/UDP ve vašem VPC pro následující případy použití:

  • Prevence útoků, jako je exfiltrace DNS ve vašem VPC
  • Nastavte seznam povolených nebo zakázaných domén, které můžou vaše aplikace dotazovat

Konfigurace funkce DNSSEC (Domain Name System Security Extensions) ve službě Amazon Route 53 za účelem zabezpečení provozu DNS za účelem ochrany vaší domény před falšováním identity DNS nebo útokem typu man-in-the-middle.

Amazon Route 53 také poskytuje službu registrace DNS, kde se Route 53 může používat jako autoritatívní názvové servery pro vaše domény. Pokud chcete zajistit zabezpečení názvů domén, měli byste dodržovat následující osvědčené postupy:

  • Názvy domén by měly být automaticky obnoveny službou Amazon Route 53.
  • Názvy domén by měly mít povolenou funkci Zámek přenosu, aby byly zabezpečené.
  • Měl by být použit Sender Policy Framework (SPF) k zabránění spammerům v falšování vaší domény.

Implementace AWS a další kontext:

Pokyny pro GCP: Použijte server DNS GCP (tj. server metadat, který je obvykle přiřazený k vašemu virtuálnímu počítači prostřednictvím protokolu DHCP nebo předkonfigurovaného ve službě) nebo centralizovaného důvěryhodného serveru DNS (například Google Public DNS) v rekurzivním nastavení DNS úlohy, například v operačním systému virtuálního počítače nebo v aplikaci.

Pomocí služby GCP Cloud DNS vytvořte privátní zónu DNS, kde proces překladu DNS neopustí specifikované virtuální privátní cloudové sítě. Regulujte a vyfiltrujte odchozí provoz DNS/UDP ve vašem VPC případy použití:

  • Prevence útoků, jako je exfiltrace DNS ve vašem VPC
  • Nastavte seznamy povolených nebo zakázaných domén, na které se vaše aplikace dotazují.

Konfigurace funkce DNSSEC (Domain Name System Security Extensions) v cloudovém DNS za účelem zabezpečení provozu DNS za účelem ochrany domény před falšováním identity DNS nebo útokem typu man-in-the-middle.

Google Cloud Domains poskytuje služby pro registraci domén. GCP Cloud DNS lze použít jako autoritativní jmenné servery pro vaše domény. Pokud chcete zajistit zabezpečení názvů domén, měli byste dodržovat následující osvědčené postupy:

  • Názvy domén by měly být automaticky obnoveny google cloudovými doménami.
  • Názvy domén by měly mít povolenou funkci Zámek přenosu, aby byly zabezpečené.
  • Měl by být použit Sender Policy Framework (SPF) k zabránění spammerům v falšování vaší domény.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):