Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Netzwerksicherheit umfasst Steuerelemente zum Sichern und Schützen von Netzwerken, einschließlich sicherung virtueller Netzwerke, Einrichten privater Verbindungen, Verhindern und Mildern externer Angriffe und Schützen von DNS.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Stellen Sie sicher, dass Ihre Bereitstellung im virtuellen Netzwerk an Ihre Unternehmenssegmentierungsstrategie ausgerichtet ist, die in der GS-2-Sicherheitskontrolle definiert ist. Workloads, die für die Organisation ein höheres Risiko darstellen könnten, sollten in separaten virtuellen Netzwerken isoliert werden.
Beispiele für Workloads mit hohem Risiko:
- Eine Anwendung, die hochsensible Daten speichert oder verarbeitet
- Eine externe Netzwerkanwendung, die für die Öffentlichkeit oder für Benutzer außerhalb Ihrer Organisation zugänglich ist
- Eine Anwendung, die eine unsichere Architektur verwendet oder Sicherheitsrisiken enthält, die nicht einfach behoben werden können
Um Ihre Strategie für die Unternehmenssegmentierung zu verbessern, beschränken oder überwachen Sie den Datenverkehr zwischen internen Ressourcen mithilfe von Netzwerkkontrollen. Für bestimmte klar definierte Anwendungen (z. B. einer Drei-Schichten-App) ist beispielsweise ein äußerst sicherer Ansatz denkbar, bei dem der Datenverkehr standardmäßig verweigert wird und nur Ausnahmen zugelassen werden. Dies erfolgt durch Einschränken der Ports, Protokolle, Quell- und Ziel-IP-Adressen des Netzwerkdatenverkehrs. Wenn viele Anwendungen und Endpunkte miteinander interagieren, ist das Blockieren des Datenverkehrs in diesem Maßstab möglicherweise nicht praktikabel, und der Datenverkehr kann vielleicht nur überwacht werden.
Azure-Leitfaden: Erstellen Sie ein virtuelles Netzwerk (VNet) als grundlegenden Segmentierungsansatz in Ihrem Azure-Netzwerk, sodass Ressourcen wie VMs innerhalb einer Netzwerkgrenze in das VNet bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb des VNet erstellen, um kleinere Unternetzwerke zu erhalten.
Verwenden Sie Netzwerksicherheitsgruppen (NSG) als Kontrolle der Netzwerkschicht, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Weitere Informationen finden Sie unter NS-7: Vereinfachen der Netzwerksicherheitskonfiguration für die Verwendung der adaptiven Netzwerkhärtung, um NSG-Härtungsregeln basierend auf dem Ergebnis der Bedrohungserkennung und der Datenverkehrsanalyse zu empfehlen.
Sie können auch Anwendungssicherheitsgruppen (ASGs) verwenden, um eine komplexe Konfiguration zu vereinfachen. Anstatt eine Richtlinie auf Basis expliziter IP-Adressen in Netzwerksicherheitsgruppen zu definieren, können Sie mit ASGs die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.
Azure-Implementierung und zusätzlicher Kontext:
- Azure Virtual Network – Konzepte und bewährte Methoden
- Subnetz eines virtuellen Netzwerks hinzufügen, ändern oder löschen
- So erstellen Sie eine Netzwerksicherheitsgruppe mit Sicherheitsregeln
- Verstehen und Verwenden von Anwendungssicherheitsgruppen
AWS-Leitfaden: Erstellen Sie eine Virtual Private Cloud (VPC) als fundamentalen Segmentierungsansatz in Ihrem AWS-Netzwerk, sodass Ressourcen wie EC2-Instanzen innerhalb der VPC innerhalb einer Netzwerkgrenze bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb der VPC für kleinere Unternetzwerke erstellen.
Verwenden Sie für EC2-Instanzen Sicherheitsgruppen als zustandsbehaftete Firewall, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken. Verwenden Sie auf der VPC-Subnetzebene die Network Access Control List (NACL) als zustandslose Firewall, um explizite Regeln für den eingehenden und ausgehenden Datenverkehr zum Subnetz festzulegen.
Hinweis: Um den VPC-Datenverkehr zu steuern, sollten Internet- und NAT-Gateway konfiguriert werden, um sicherzustellen, dass der Datenverkehr von/zum Internet eingeschränkt ist.
AWS-Implementierung und zusätzlicher Kontext:
- Steuern des Datenverkehrs an EC2-Instanzen mit Sicherheitsgruppen
- Vergleichen von Sicherheitsgruppen und Netzwerk-ACLs
- Internetgateway
- NAT-Gateway
GCP guidance: Erstellen Sie ein virtuelles Privat-Cloud-Netzwerk (VPC) als grundlegenden Segmentierungsansatz in Ihrem GCP-Netzwerk, sodass Ressourcen wie virtuelle Maschineninstanzen (VMs) des Computemoduls innerhalb der Netzwerkgrenze des VPC bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb des VPC für kleinere Teilnetzwerke erstellen.
Verwenden Sie VPC-Firewall-Regeln als verteilte Kontrolle der Netzwerkschicht, um Verbindungen zu oder von Ihren zielgerichteten Instanzen im VPC-Netzwerk zuzulassen oder zu verweigern, die VMs, Google Kubernetes Engine (GKE)-Cluster und flexible Instanzen der App Engine-Umgebung umfassen.
Sie können VPC-Firewallregeln konfigurieren, um auf alle Instanzen im VPC-Netzwerk, Instanzen mit einem passenden Netzwerktag oder Instanzen, die ein bestimmtes Dienstkonto verwenden, abzuzielen. Dadurch können Sie Instanzen gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen festlegen.
GCP-Implementierung und zusätzlicher Kontext:
- Erstellen und verwalten von VPC-Netzwerken
- Google Cloud VPC-Subnetze
- Verwenden von VPC-Firewall-Regeln
- Hinzufügen von Netzwerktags
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-2: Sichern nativer Clouddienste mit Netzwerksteuerelementen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Sichere Clouddienste durch Einrichten eines privaten Zugriffspunkts für Ressourcen. Wenn möglich, sollten Sie auch den Zugriff von öffentlichen Netzwerken deaktivieren oder einschränken.
Azure-Leitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Privater Link" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Die Verwendung von privatem Link verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird.
Hinweis: Bestimmte Azure-Dienste ermöglichen möglicherweise auch die private Kommunikation über das Feature des Dienstendpunkts, es wird jedoch empfohlen, Azure Private Link für einen sicheren und privaten Zugriff auf Dienste zu verwenden, die auf der Azure-Plattform gehostet werden.
Für bestimmte Dienste können Sie die VNet-Integration für den Dienst bereitstellen, in dem Sie das VNET einschränken können, um einen privaten Zugriffspunkt für den Dienst einzurichten.
Sie haben auch die Möglichkeit, die ACL-Regeln für das systemeigene Dienstnetzwerk zu konfigurieren oder einfach den Zugriff auf öffentliche Netzwerke zu deaktivieren, um den Zugriff von öffentlichen Netzwerken zu blockieren.
Für Azure-VMs sollten Sie, sofern kein starker Anwendungsfall vorhanden ist, vermeiden, öffentliche IPs/Subnetze direkt der VM-Schnittstelle zuzuweisen und stattdessen Gateway- oder Lastenausgleichsdienste als Front-End für den Zugriff durch das öffentliche Netzwerk zu verwenden.
Azure-Implementierung und zusätzlicher Kontext:
- Azure Private Link verstehen
- Integrieren von Azure-Diensten in virtuelle Netzwerke zur Netzwerkisolation
AWS-Leitfaden: Bereitstellen von AWS PrivateLink für alle AWS-Ressourcen, die das PrivateLink-Feature unterstützen, um eine private Verbindung mit den unterstützten AWS-Diensten oder -Diensten zu ermöglichen, die von anderen AWS-Konten (AWS-Endpunktdienste) gehostet werden. Die Verwendung von PrivateLink verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird.
Für bestimmte Dienste können Sie die Dienstinstanz in Ihrer eigenen VPC bereitstellen, um den Datenverkehr zu isolieren.
Sie haben auch die Möglichkeit, die systemeigenen ACL-Regeln des Diensts zu konfigurieren, um den Zugriff vom öffentlichen Netzwerk zu blockieren. So können Sie z. B. mit Amazon S3 den öffentlichen Zugriff auf Bucket- oder Kontoebene blockieren.
Wenn Sie Ihren Dienstressourcen in Ihrer VPC IPs zuweisen, sollten Sie, es sei denn, es gibt einen zwingenden Anwendungsfall, vermeiden, öffentliche IPs/Subnetze direkt Ihren Ressourcen zuzuweisen und stattdessen private IPs/Subnetze verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Implementierungen von VPC Private Google Access für alle GCP-Ressourcen bereitstellen, die dies unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Diese Optionen für den privaten Zugriff verhindern, dass die private Verbindung über das öffentliche Netzwerk geleitet wird. Privater Google Access verfügt über VM-Instanzen, die nur interne IP-Adressen haben (keine externen IP-Adressen)
Für bestimmte Dienste können Sie die Dienstinstanz in Ihrer eigenen VPC bereitstellen, um den Datenverkehr zu isolieren. Sie haben auch die Möglichkeit, die systemeigenen ACL-Regeln des Diensts zu konfigurieren, um den Zugriff vom öffentlichen Netzwerk zu blockieren. Mit der App Engine-Firewall können Sie beispielsweise steuern, welcher Netzwerkdatenverkehr bei der Kommunikation mit der App Engine-Ressource zugelassen oder abgelehnt wird. CloudSpeicher ist eine weitere Ressource, in der Sie die Verhinderung des öffentlichen Zugriffs auf einzelne Buckets oder auf Organisationsebene erzwingen können.
Für GCP Compute Engine VMs sollten Sie, es sei denn, es gibt einen triftigen Anwendungsfall, vermeiden, öffentliche IPs/Subnetze direkt der VM-Schnittstelle zuzuweisen. Verwenden Sie stattdessen Gateway- oder Load-Balancer-Dienste als Front-End für den Zugriff durch das öffentliche Netzwerk.
GCP-Implementierung und zusätzlicher Kontext:
- Privater Google-Zugriff
- Optionen für den privaten Zugriff für Dienste
- Grundlegendes zur App Engine-Firewall
- Cloudspeicher – Schutz vor öffentlichem Zugriff
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-3: Bereitstellen einer Firewall im Edgebereich des Unternehmensnetzwerks
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Stellen Sie eine Firewall bereit, um erweiterte Filterung für Netzwerkdatenverkehr zu und von externen Netzwerken durchzuführen. Sie können auch Firewalls zwischen internen Segmenten verwenden, um eine Segmentierungsstrategie zu unterstützen. Verwenden Sie bei Bedarf benutzerdefinierte Routen für Ihr Subnetz, um die Systemroute außer Kraft zu setzen, wenn Sie erzwingen müssen, dass der Netzwerkdatenverkehr zu Sicherheitskontrollen durch eine Netzwerkanwendung geleitet wird.
Blockieren Sie zumindest bekannte schädliche IP-Adressen und Protokolle mit hohem Risiko wie die Remoteverwaltung (z. B. RDP und SSH) und Intranetprotokolle (z. B. SMB und Kerberos).
Azure-Leitfaden: Verwenden Sie Azure Firewall, um vollständig zustandsbehaftete Anwendungsschicht-Datenverkehrseinschränkungen (z. B. URL-Filterung) und/oder zentrale Verwaltung über eine große Anzahl von Unternehmenssegmenten oder Speichen (in einer Hub/Spoke-Topologie) bereitzustellen.
Wenn Sie über eine komplexe Netzwerktopologie wie z. B. eine Hub-Spoke-Einrichtung verfügen, müssen Sie möglicherweise benutzerdefinierte Routen (User-Defined Routes, UDRs) erstellen, um sicherzustellen, dass der Datenverkehr die gewünschte Route durchläuft. Sie haben beispielsweise die Möglichkeit, einen UDR zum Umleiten von Internetdatenverkehr über eine bestimmte Azure-Firewall oder eine virtuelle Netzwerk-Appliance zu verwenden.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie die AWS-Netzwerkfirewall, um eine vollständige zustandsbehaftete Datenverkehrseinschränkung auf Anwendungsebene (z. B. URL-Filterung) und/oder zentrale Verwaltung über eine große Anzahl von Unternehmenssegmenten oder Speichen (in einer Hub/Spoke-Topologie) bereitzustellen.
Wenn Sie über eine komplexe Netzwerktopologie verfügen, z. B. eine Hub-/Speicheneinrichtung, müssen Sie möglicherweise benutzerdefinierte VPC-Routentabellen erstellen, damit der Datenverkehr die gewünschte Route nimmt. Sie haben beispielsweise die Möglichkeit, eine benutzerdefinierte Route zum Umleiten von Internetdatenverkehr über eine bestimmte AWS-Firewall oder eine virtuelle Netzwerk-Appliance zu verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Armor-Sicherheitsrichtlinien, um Layer 7-Filterung und Schutz allgemeiner Webangriffe bereitzustellen. Verwenden Sie außerdem VPC-Firewallregeln, um Einschränkungen für den Datenverkehr in verteilten, vollständig zustandsbehafteten Vermittlungsschichten des Netzwerks bereitzustellen, sowie Firewallrichtlinien für die zentrale Verwaltung zahlreicher Segmente und Spokes im Unternehmen (in einer Hub/Spoke-Topologie).
Wenn Sie über eine komplexe Netzwerktopologie verfügen, z. B. ein Hub/Spoke-Setup, erstellen Sie Firewallrichtlinien, die Firewallregeln gruppieren und hierarchisch aufgebaut sind, sodass sie auf mehrere VPC-Netzwerke angewendet werden können.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-4: Bereitstellen von Angriffserkennungs-/Eindringschutzsystemen (Intrusion Detection/Intrusion Prevention Systems, IDS/IPS)
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
Sicherheitsprinzip: Verwenden Sie Netzwerkangriffserkennungs- und Angriffsschutzsysteme (IDS/IPS), um den Netzwerk- und Nutzlastdatenverkehr zu oder von Ihrer Workload zu prüfen. Stellen Sie sicher, dass IDS/IPS immer optimiert ist, um hochwertige Warnungen für Ihre SIEM-Lösung bereitzustellen.
Verwenden Sie ein hostbasiertes IDS/IPS oder eine hostbasierte EDR-Lösung (Endpunkterkennung und -reaktion) in Verbindung mit dem Netzwerk-IDS/IPS, um eine detailliertere Erkennungs- und Schutzfunktion auf Hostebene zu erhalten.
Azure-Leitfaden: Verwenden Sie die IDPS-Funktionen der Azure Firewall, um Ihr virtuelles Netzwerk zu schützen, um den Datenverkehr zu und/oder vor bekannten schädlichen IP-Adressen und Domänen zu benachrichtigen und/oder zu blockieren.
Um eine detailliertere Erkennungs- und Schutzfunktion auf Hostebene zu erhalten, stellen Sie ein hostbasiertes IDS/IPS oder eine hostbasierte EDR-Lösung (Endpunkterkennung und -reaktion) wie Microsoft Defender für Endpunkt auf VM-Ebene in Verbindung mit dem Netzwerk-IDS/IPS bereit.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie die IPS-Funktion der AWS-Netzwerkfirewall, um Ihre VPC zu schützen, um den Datenverkehr an und von bekannten böswilligen IP-Adressen und Domänen zu benachrichtigen und/oder zu blockieren.
Für ausführlichere Erkennungs- und Präventionsfunktionen auf Hostebene stellen Sie hostbasierte IDS/IPS oder eine hostbasierte Endpunkterkennungs- und Reaktionslösung (EDR) bereit, z. B. eine Drittanbieterlösung für hostbasierte IDS/IPS auf VM-Ebene in Verbindung mit dem Netzwerk-IDS/IPS.
Hinweis: Wenn Sie einen Drittanbieter-IDS/IPS vom Marketplace verwenden, verwenden Sie Transit Gateway und Gateway Balancer, um den Datenverkehr für die Inline-Überprüfung zu leiten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud IDS-Funktionen, um Bedrohungserkennung für Eindringlinge, Schadsoftware, Spyware und Befehls- und Kontrollangriffe auf Ihr Netzwerk zu bieten. Cloud-IDS funktioniert, indem ein von Google verwaltetes Peered-Netzwerk mit gespiegelten VM-Instanzen erstellt wird. Der Datenverkehr im peered-Netzwerk wird gespiegelt und anschließend von eingebetteten Palo Alto Networks-Bedrohungsschutztechnologien überprüft, um erweiterte Bedrohungserkennung bereitzustellen. Sie können den gesamten Eingangs- und Ausgangsdatenverkehr basierend auf Protokoll oder IP-Adressbereich spiegeln.
Um tiefergehende Erkennungs- und Verhinderungsfunktionen auf Hostebene zu erhalten, setzen Sie einen IDS-Endpunkt als Zonenressource ein, die den Datenverkehr aus einer beliebigen Zone in ihrer Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Datenverkehr und führt eine Analyse der Bedrohungserkennung durch.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-5: Bereitstellen von DDOS-Schutz
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Sicherheitsprinzip: Bereitstellen des DDoS-Schutzes (Distributed Denial of Service), um Ihr Netzwerk und Ihre Anwendungen vor Angriffen zu schützen.
Azure-Leitfaden: DDoS Protection Basic ist automatisch aktiviert, um die zugrunde liegende Azure-Plattforminfrastruktur (z. B. Azure DNS) zu schützen und erfordert keine Konfiguration der Benutzer.
Aktivieren Sie den DDoS-Standardschutzplan auf Ihrem VNet, um die Anwendungsschicht (Layer 7) gegen Angriffe wie HTTP- und DNS-Fluten zu schützen und Ressourcen abzudecken, die öffentlichen Netzwerken ausgesetzt sind.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: AWS Shield Standard wird automatisch mit Standardminderungen aktiviert, um Ihre Workload vor allgemeinen Netzwerk- und Transportebenen (Layer 3 und 4) DDoS-Angriffen zu schützen
Aktivieren Sie für einen höheren Schutz Ihrer Anwendungen vor Angriffen auf Anwendungsschicht (Layer 7) wie HTTPS-Überschwemmungen und DNS-Überschwemmungen den AWS Shield Advanced-Schutz auf Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Google Cloud Armor bietet die folgenden Optionen zum Schutz von Systemen vor DDoS-Angriffen:
- Standardnetzwerk-DDoS-Schutz: grundlegender Always-On-Schutz für Netzwerklastenausgleichsgeräte, Protokollweiterleitungen oder VMs mit öffentlichen IP-Adressen.
- Erweiterter DDoS-Schutz im Netzwerk: zusätzliche Schutzfunktionen für Abonnenten von Managed Protection Plus, die Netzwerklastenausgleich, Protokollweiterleitung oder VM mit öffentlichen IP-Adressen verwenden.
- Standardmäßiger Netzwerk-DDoS-Schutz ist immer aktiviert. Sie konfigurieren den erweiterten DDoS-Schutz des Netzwerks pro Region.
GCP-Implementierung und zusätzlicher Kontext:
- Konfigurieren des erweiterten DDoS-Schutzes für Netzwerke
- Übersicht über Google Cloud Armor
- Übersicht über die Google Cloud Armor Security-Richtlinie
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-6: Bereitstellen einer Web Application Firewall
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Stellen Sie eine Webanwendungsfirewall (WAF) bereit und konfigurieren Sie die entsprechenden Regeln, um Ihre Webanwendungen und APIs vor anwendungsspezifischen Angriffen zu schützen.
Azure-Leitfaden: Verwenden der Funktionen der Webanwendungsfirewall (WAF) in Azure-Anwendungsgateway, Azure Front Door und Azure Content Delivery Network (CDN), um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsschicht am Rand Ihres Netzwerks zu schützen.
Legen Sie Ihre WAF je nach Bedarf und Bedrohungslandschaft auf den Erkennungs- oder den Schutzmodus fest.
Wählen Sie einen integrierten Regelsatz, wie die OWASP Top 10-Sicherheitsrisiken, und passen Sie ihn an Ihre Anwendungsanforderungen an.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden sie AWS Web Application Firewall (WAF) in Amazon CloudFront Distribution, Amazon API Gateway, Application Load Balancer oder AWS AppSync, um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsschicht am Rand Ihres Netzwerks zu schützen.
Verwenden Sie AWS Managed Rules für WAF, um integrierte Basisregeln bereitzustellen und sie an Ihre Anwendungsanforderungen für die Verwendung in benutzerdefinierten Regelgruppen anzupassen.
Um die Bereitstellung von WAF-Regeln zu vereinfachen, können Sie auch die AWS WAF Security Automations-Lösung verwenden, um vordefinierte AWS WAF-Regeln automatisch bereitzustellen, die webbasierte Angriffe auf Ihre Web-ACL filtert.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Armor, um Ihre Anwendungen und Websites vor Denial-of-Service- und Webangriffen zu schützen.
Verwenden Sie google Cloud Armor out-of-the-box-Regeln, die auf Branchenstandards basieren, um häufige Sicherheitsrisiken für Webanwendungen zu mindern und Schutz vor OWASP Top 10 zu bieten.
Richten Sie Ihre vorkonfigurierten WAF-Regeln ein, die jeweils aus mehreren Signaturen bestehen, die aus ModSecurity Core Rules (CRS) stammen. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz.
Cloud Armor arbeitet in Verbindung mit externen Lastenausgleichsmodulen und schützt vor verteilten Denial-of-Service (DDoS) und anderen webbasierten Angriffen, unabhängig davon, ob die Anwendungen in Google Cloud, in einer Hybridbereitstellung oder in einer Multi-Cloud-Architektur bereitgestellt werden. Sicherheitsrichtlinien können manuell konfiguriert werden, mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie. Cloud Armor bietet auch vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken.
Adaptiver Schutz in Cloud Armor hilft Ihnen, Ihre Anwendung und Dienste vor L7 verteilten Angriffen zu verhindern, zu erkennen und zu schützen, indem Sie Muster des Datenverkehrs an Ihre Back-End-Dienste analysieren, verdächtige Angriffe erkennen und warnen und vorgeschlagene WAF-Regeln generieren, um solche Angriffe zu mindern. Diese Regeln können fein abgestimmt werden, um Ihren Anforderungen gerecht zu werden.
GCP-Implementierung und zusätzlicher Kontext:
- Google Cloud Armor
- Apigee-Dokumentation
- Integrieren von Google Cloud Armor mit anderen Google-Produkten
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-7: Vereinfachen der Netzwerksicherheitskonfiguration
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Verwenden Sie beim Verwalten einer komplexen Netzwerkumgebung Tools, um die Netzwerksicherheitsverwaltung zu vereinfachen, zu zentralisieren und zu verbessern.
Azure-Leitfaden: Verwenden Sie die folgenden Features, um die Implementierung und Verwaltung des virtuellen Netzwerks, NSG-Regeln und Azure Firewall-Regeln zu vereinfachen:
- Verwenden Sie Azure Virtual Network Manager, um virtuelle Netzwerke und NSG-Regeln für Regionen und Abonnements zu gruppieren, zu konfigurieren, bereitzustellen und zu verwalten.
- Verwenden Sie die adaptive Netzwerkhärtung von Microsoft Defender für Cloud, um NSG-Härtungsregeln zu empfehlen, durch die Ports, Protokolle und Quell-IP-Adressen basierend auf Threat Intelligence und dem Ergebnis der Datenverkehrsanalyse zusätzlich eingeschränkt werden.
- Verwenden Sie Azure Firewall Manager, um die Firewallrichtlinien- und Routenverwaltung des virtuellen Netzwerks zu zentralisieren. Um die Implementierung von Firewallregeln und Netzwerksicherheitsgruppen zu vereinfachen, können Sie auch die Azure Firewall Manager Azure Resource Manager(ARM)-Vorlage verwenden.
Azure-Implementierung und zusätzlicher Kontext:
- Härtung des adaptiven Netzwerks in Microsoft Defender für Cloud
- Azure Firewall Manager
- Erstellen einer Azure-Firewall und einer Firewallrichtlinie – ARM-Vorlage
AWS-Leitfaden: Verwenden Sie AWS Firewall Manager, um die Verwaltung der Netzwerkschutzrichtlinien für die folgenden Dienste zu zentralisieren:
- AWS WAF-Richtlinien
- Erweiterte AWS Shield-Richtlinien
- Richtlinien für VPC-Sicherheitsgruppen
- Netzwerkfirewallrichtlinien
AWS Firewall Manager kann Ihre firewallbezogenen Richtlinien automatisch analysieren und Ergebnisse für nicht kompatible Ressourcen und für erkannte Angriffe erstellen und sie für Untersuchungen an AWS Security Hub senden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die folgenden Funktionen, um die Implementierung und Verwaltung des virtuellen privaten Cloud-Netzwerks (VPC), der Firewallregeln und WAF-Regeln zu vereinfachen.
- Verwenden Sie VPC-Netzwerke, um einzelne VPC-Netzwerke und VPC-Firewallregeln zu verwalten und zu konfigurieren.
- Verwenden Sie hierarchische Firewallrichtlinien, um Firewallregeln zu gruppieren und die Richtlinienregeln hierarchisch auf globaler oder regionaler Ebene anzuwenden.
- Verwenden Sie Google Cloud Armor, um benutzerdefinierte Sicherheitsrichtlinien, vorkonfigurierte WAF-Regeln und DDoS-Schutz anzuwenden.
Sie können auch das Network Intelligence Center verwenden, um Ihr Netzwerk zu analysieren und Einblicke in Ihre virtuelle Netzwerktopologie, Firewallregeln und den Netzwerkkonnektivitätsstatus zu erhalten, um die Verwaltungseffizienz zu verbessern.
GCP-Implementierung und zusätzlicher Kontext:
- VPC-Netzwerke
- Hierarchische Firewallrichtlinien
- Übersicht über gute Cloud-Rüstungen
- Network Intelligence Center
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-8: Erkennen und Deaktivieren unsicherer Dienste und Protokolle
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Sicherheitsprinzip: Erkennen und Deaktivieren unsicherer Dienste und Protokolle auf der Betriebssystem-, Anwendungs- oder Softwarepaketebene. Stellen Sie ausgleichende Kontrollen bereit, wenn das Deaktivieren unsicherer Dienste und Protokolle nicht möglich ist.
Azure-Leitfaden: Verwenden Sie die integrierte Insecure-Protokollarbeitsmappe von Microsoft Sentinel, um die Verwendung unsicherer Dienste und Protokolle wie SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, schwache Verschlüsselungen in Kerberos und nicht signierte LDAP-Binds zu ermitteln. Deaktivieren Sie unsichere Dienste und Protokolle, die nicht dem angemessenen Sicherheitsstandard entsprechen.
Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie Ausgleichssteuerelemente, z. B. das Blockieren des Zugriffs auf die Ressourcen über die Netzwerksicherheitsgruppe, die Azure-Firewall oder die Azure-Webanwendungsfirewall, um die Angriffsfläche zu reduzieren.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Aktivieren Sie FLOW Logs UND verwenden Sie GuardDuty, um die MÖGLICHEN unsicheren Dienste und Protokolle zu identifizieren, die nicht den entsprechenden Sicherheitsstandard erfüllen.
Wenn die Protokolle in der AWS-Umgebung an Microsoft Sentinel weitergeleitet werden können, können Sie auch die integrierte Insecure-Protokollarbeitsmappe von Microsoft Sentinel verwenden, um die Verwendung unsicherer Dienste und Protokolle zu ermitteln.
Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie ausgleichende Kontrollen wie das Blockieren des Zugriffs auf die Ressourcen über Sicherheitsgruppen, AWS Network Firewall, AWS Web Application Firewall, um die Angriffsfläche zu reduzieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Aktivieren Sie VPC-Flowlogs und verwenden Sie BigQuery oder das Security Command Center, um die VPC-Flowlogs zu analysieren und mögliche unsichere Dienste und Protokolle zu identifizieren, die nicht den angemessenen Sicherheitsstandards entsprechen.
Wenn die Protokolle in der GCP-Umgebung an Microsoft Sentinel weitergeleitet werden können, können Sie auch die integrierte Insecure-Protokollarbeitsmappe von Microsoft Sentinel verwenden, um die Verwendung unsicherer Dienste und Protokolle zu ermitteln. Darüber hinaus können Sie Protokolle an Google Cloud Chronicle SIEM und SOAR weiterleiten und benutzerdefinierte Regeln für denselben Zweck erstellen.
Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie Kompensationsmaßnahmen, wie das Blockieren des Zugriffs auf die Ressourcen durch VPC-Firewall-Regeln und Richtlinien oder Cloud Armor, um die Angriffsfläche zu reduzieren.
GCP-Implementierung und zusätzlicher Kontext:
- Verwendung von VPC Flow Logs
- Sicherheitsprotokollanalyse in Google Cloud
- BigQuery-Übersicht - Übersicht über das Security Command Center
- Microsoft Sentinel für GCP-Workloads
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-9: Herstellen einer privaten lokalen oder Cloudnetzwerkverbindung
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | Nicht verfügbar |
Sicherheitsprinzip: Verwenden Sie private Verbindungen für die sichere Kommunikation zwischen verschiedenen Netzwerken, z. B. Clouddienstanbieter-Rechenzentren und lokale Infrastruktur in einer Colocation-Umgebung.
Azure-Leitfaden: Für eine einfache Standort-zu-Standort- oder Punkt-zu-Standort-Konnektivität verwenden Sie Azure Virtual Private Network (VPN), um eine sichere Verbindung zwischen Ihrem lokalen Standort oder Endbenutzergerät und dem virtuellen Azure-Netzwerk zu erstellen.
Verwenden Sie Azure ExpressRoute (oder Virtual WAN), um Azure-Rechenzentren und lokale Infrastruktur in einer Co-Location-Umgebung für leistungsstarke Verbindungen auf Unternehmensebene zu verbinden.
Wenn Sie mehrere Azure-VNets miteinander verbinden, verwenden Sie das VNet-Peering. Der Netzwerkdatenverkehr zwischen virtuellen Netzwerken mit Peering ist privat und wird im Azure-Backbonenetzwerk gespeichert.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Für Standort-zu-Standort- oder Point-to-Site-Konnektivität verwenden Sie AWS VPN, um eine sichere Verbindung (wenn IPsec-Overhead kein Problem darstellt) zwischen Ihrem lokalen Standort oder Endbenutzergerät mit dem AWS-Netzwerk zu erstellen.
Für Hochleistungsverbindungen auf Unternehmensebene nutzen Sie AWS Direct Connect, um AWS-VPCs und -Ressourcen mit Ihrer lokalen Infrastruktur in einer Co-Location-Umgebung zu verbinden.
Sie haben die Möglichkeit, VPC-Peering oder ein Transit Gateway zu verwenden, um Verbindungen zwischen zwei oder mehr VPCs innerhalb desselben oder regionsübergreifend herzustellen. Der Netzwerkdatenverkehr zwischen gepeerten VPCs ist privat und wird im AWS-Backbone-Netzwerk übertragen. Wenn Sie mehrere VPCs verknüpfen müssen, um ein großes, flaches Subnetz zu erstellen, haben Sie auch die Möglichkeit, VPC-Sharing zu verwenden.
AWS-Implementierung und zusätzlicher Kontext:
- Einführung in AWS Direct Connect
- AWS VPN-Einführung
- Transitgateway
- Erstellen und Akzeptieren von VPC-Peeringverbindungen
- VPC-Freigabe
GCP-Leitfaden: Für einfache Standort-zu-Standort- oder Point-to-Site-Konnektivität verwenden Sie Google Cloud VPN.
Verwenden Sie für leistungsstarke Verbindungen auf Unternehmensebene Google Cloud Interconnect oder Partner Interconnect, um eine Verbindung mit Google Cloud VPCs und Ressourcen mit Ihrer lokalen Infrastruktur in einer Colocation-Umgebung herzustellen.
Sie haben die Möglichkeit, VPC-Netzwerk-Peering oder das Netzwerk-Konnektivitätscenter zu verwenden, um Verbindungen zwischen zwei oder mehr VPCs innerhalb einer Region oder regionenübergreifend herzustellen. Der Netzwerkdatenverkehr zwischen peered VPCs ist privat und wird im GCP-Backbone-Netzwerk gespeichert. Wenn Sie mehrere VPCs verbinden müssen, um ein großes flaches Subnetz zu erstellen, haben Sie auch die Möglichkeit, Shared VPC zu verwenden.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über Cloud VPN
- Cloud Interconnect, Dedicated Interconnect und Partner Interconnect
- Übersicht über das Netzwerkkonnektivitätscenter
- Private Service Connect
Kundensicherheitsbeteiligte (Weitere Informationen):
NS-10: Sicherstellen der DNS-Sicherheit (Domain Name System)
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | Nicht verfügbar |
Sicherheitsprinzip: Stellen Sie sicher, dass die DNS-Sicherheitskonfiguration (Domain Name System) vor bekannten Risiken schützt:
- Verwenden Sie vertrauenswürdige autoritative und rekursive DNS-Dienste in Ihrer Cloudumgebung, um sicherzustellen, dass der Client (z. B. Betriebssysteme und Anwendungen) das richtige Lösungsergebnis erhält.
- Trennen Sie die DNS-Auflösung öffentlicher und privater Adressen, damit der DNS-Auflösungsprozess für das private Netzwerk vom öffentlichen Netzwerk isoliert werden kann.
- Stellen Sie sicher, dass Ihre DNS-Sicherheitsstrategie auch Risikominderungen für häufige Angriffe umfasst, z. B. verwaiste DNS-Einträge, DNS-Verstärkungsangriffe oder DNS-Poisoning und -Spoofing.
Azure-Leitfaden: Verwenden Sie Azure-rekursives DNS (normalerweise über DHCP Ihrem virtuellen Rechner zugewiesen oder im Dienst vorkonfiguriert) oder einen vertrauenswürdigen externen DNS-Server in Ihrem rekursiven DNS-Setup der Arbeitslast, z. B. im Betriebssystem des virtuellen Rechners oder in der Anwendung.
Verwenden Sie Azure Private DNS für eine Einrichtung einer privaten DNS-Zone, bei der der DNS-Auflösungsprozess das virtuelle Netzwerk nicht verlässt. Verwenden Sie ein benutzerdefiniertes DNS, um die DNS-Auflösung so einzuschränken, dass nur eine vertrauenswürdige Auflösung für Ihren Client zulässig ist.
Verwenden Sie Microsoft Defender für DNS für den erweiterten Schutz vor den folgenden Sicherheitsbedrohungen für Ihre Workload oder Ihren DNS-Dienst:
- Datenexfiltration aus Ihren Azure-Ressourcen mittels DNS-Tunneling
- Schadsoftware, die mit einem Befehls- und Steuerungsserver kommuniziert
- Kommunikation mit schädlichen Domänen wie Phishing und Krypto-Mining
- DNS-Angriffe durch Kommunikation mit schädlichen DNS-Resolvern
Sie können auch Microsoft Defender für App Service verwenden, um verwaiste DNS-Einträge zu erkennen, wenn Sie eine App Service-Website außer Betrieb setzen, ohne die benutzerdefinierte Domäne von Ihrer DNS-Registrierungsstelle zu entfernen.
Azure-Implementierung und zusätzlicher Kontext:
- Azure DNS-Übersicht
- Bereitstellungshandbuch für sicheres Domain Name System (DNS):
- Azure Private DNS
- Azure Defender für DNS
- Verhindern Sie hängende DNS-Einträge und vermeiden Sie Subdomain-Übernahme:
AWS-Leitfaden: Verwenden Sie den Amazon DNS-Server (d. h. den Amazon Route 53 Resolver-Server, der Ihnen in der Regel über DHCP oder vorkonfiguriert im Dienst zugewiesen ist) oder einen zentralisierten vertrauenswürdigen DNS-Auflösungsserver in Ihrer Workload rekursive DNS-Einrichtung, z. B. im Betriebssystem der VM oder in der Anwendung.
Verwenden Sie Amazon Route 53, um ein Setup für private gehostete Zonen zu erstellen, bei dem der DNS-Auflösungsprozess die vorgesehenen VPCs nicht belässt. Verwenden Sie die Amazon Route 53-Firewall, um den ausgehenden DNS/UDP-Datenverkehr in Ihrer VPC für die folgenden Anwendungsfälle zu regeln und zu filtern.
- Verhindern Sie Angriffe wie DNS-Exfiltration in Ihrer VPC
- Einrichten einer Zulassungs- oder Ablehnungsliste für die Domänen, die Ihre Anwendungen abfragen können
Konfigurieren Sie die DnsSEC-Funktion (Domain Name System Security Extensions) in Amazon Route 53, um DNS-Datenverkehr zu sichern, um Ihre Domäne vor DNS-Spoofing oder einem Man-in-the-Middle-Angriff zu schützen.
Amazon Route 53 bietet auch einen DNS-Registrierungsdienst, bei dem Route 53 als autorisierende Namenserver für Ihre Domänen verwendet werden kann. Die folgenden bewährten Methoden sollten befolgt werden, um die Sicherheit Ihrer Domänennamen sicherzustellen:
- Domänennamen sollten automatisch vom Amazon Route 53-Dienst erneuert werden.
- Domainnamen sollten die Funktion "Transfersperre" aktiviert haben, um sie sicher zu halten.
- Das Sender Policy Framework (SPF) sollte verwendet werden, um Spammer am Spoofing Ihrer Domäne zu hindern.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Anleitung: Verwenden Sie den GCP-DNS-Server (d. h. Metadatenserver, der Ihrer VM normalerweise über DHCP oder vorkonfiguriert im Dienst zugewiesen wird) oder einen zentralisierten vertrauenswürdigen DNS-Resolverserver (z. B. Google Public DNS) in Ihrer Workload rekursive DNS-Einrichtung, z. B. im Betriebssystem des virtuellen Computers oder in der Anwendung.
Verwenden Sie GCP Cloud DNS, um eine private DNS-Zone zu erstellen, in der der DNS-Auflösungsprozess innerhalb der vorgesehenen VPCs bleibt. Regeln und filtern Sie den ausgehenden DNS/UDP-Datenverkehr in Ihren Anwendungsfällen.
- Verhindern Sie Angriffe wie DNS-Exfiltration in Ihrer VPC
- Einrichten von Zulassungs- oder Ablehnungslisten für die Domänen, die Ihre Anwendungen abfragen
Konfigurieren Sie die DnsSEC-Funktion (Domain Name System Security Extensions) in Cloud DNS, um DNS-Datenverkehr zu sichern, um Ihre Domäne vor DNS-Spoofing oder einem Man-in-the-Middle-Angriff zu schützen.
Google Cloud Domains bietet Domänenregistrierungsdienste. GCP Cloud DNS kann als autoritative Nameserver für Ihre Domains verwendet werden. Die folgenden bewährten Methoden sollten befolgt werden, um die Sicherheit Ihrer Domänennamen sicherzustellen:
- Domänennamen sollten von Google Cloud Domains automatisch erneuert werden.
- Domainnamen sollten die "Transfer Lock"-Funktion aktiviert haben, um sie sicher zu halten.
- Das Sender Policy Framework (SPF) sollte verwendet werden, um Spammer am Spoofing Ihrer Domäne zu hindern.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):