Sicherheitskontrolle: Netzwerksicherheit

Netzwerksicherheit umfasst Kontrollen zum Absichern und Schützen von Netzwerken, einschließlich der Absicherung virtueller Netzwerke, der Einrichtung privater Verbindungen, der Verhinderung und Eindämmung externer Angriffe und der DNS-Absicherung.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Stellen Sie sicher, dass Ihre Bereitstellung des virtuellen Netzwerks an Ihrer Unternehmenssegmentierungsstrategie ausgerichtet ist, die in der GS-2-Sicherheitssteuerung definiert ist. Workloads, die für die Organisation ein höheres Risiko darstellen könnten, sollten in separaten virtuellen Netzwerken isoliert werden.

Beispiele für Workloads mit hohem Risiko:

  • Eine Anwendung, die hochsensible Daten speichert oder verarbeitet
  • Eine externe Netzwerkanwendung, die für die Öffentlichkeit oder für Benutzer außerhalb Ihrer Organisation zugänglich ist
  • Eine Anwendung, die eine unsichere Architektur verwendet oder Sicherheitsrisiken enthält, die nicht einfach behoben werden können

Um Ihre Strategie für die Unternehmenssegmentierung zu verbessern, beschränken oder überwachen Sie den Datenverkehr zwischen internen Ressourcen mithilfe von Netzwerkkontrollen. Für bestimmte klar definierte Anwendungen (z. B. einer Drei-Schichten-App) ist beispielsweise ein äußerst sicherer Ansatz denkbar, bei dem der Datenverkehr standardmäßig verweigert wird und nur Ausnahmen zugelassen werden. Dies erfolgt durch Einschränken der Ports, Protokolle, Quell- und Ziel-IP-Adressen des Netzwerkdatenverkehrs. Wenn viele Anwendungen und Endpunkte miteinander interagieren, ist das Blockieren des Datenverkehrs in diesem Maßstab möglicherweise nicht praktikabel, und der Datenverkehr kann vielleicht nur überwacht werden.


Azure-Leitfaden: Erstellen Sie ein virtuelles Netzwerk (VNET) als grundlegenden Segmentierungsansatz in Ihrem Azure-Netzwerk, damit Ressourcen wie virtuelle Computer innerhalb einer Netzwerkgrenze im VNET bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb des VNet erstellen, um kleinere Unternetzwerke zu erhalten.

Verwenden Sie Netzwerksicherheitsgruppen (NSG) als Kontrolle der Netzwerkschicht, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Weitere Informationen finden Sie unter NS-7: Vereinfachen der Netzwerksicherheitskonfiguration für die Verwendung der adaptiven Netzwerkhärtung, um NSG-Härteregeln basierend auf Threat Intelligence und Datenverkehrsanalyseergebnissen zu empfehlen.

Sie können auch Anwendungssicherheitsgruppen (ASGs) verwenden, um eine komplexe Konfiguration zu vereinfachen. Anstatt eine Richtlinie auf Basis expliziter IP-Adressen in Netzwerksicherheitsgruppen zu definieren, können Sie mit ASGs die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Erstellen Sie eine Virtual Private Cloud (VPC) als grundlegenden Segmentierungsansatz in Ihrem AWS-Netzwerk, damit Ressourcen wie EC2-Instanzen innerhalb einer Netzwerkgrenze in der VPC bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb von VPC für kleinere Unternetzwerke erstellen.

Verwenden Sie für EC2-Instanzen Sicherheitsgruppen als zustandsbehaftete Firewall, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken. Verwenden Sie auf VPC-Subnetzebene Network Access Control List (NACL) als zustandslose Firewall, um explizite Regeln für eingehenden und ausgehenden Datenverkehr an das Subnetz zu erhalten.

Hinweis: Zum Steuern des VPC-Datenverkehrs sollten Internet und NAT-Gateway konfiguriert werden, um sicherzustellen, dass der Datenverkehr vom/zum Internet eingeschränkt ist.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) als grundlegenden Segmentierungsansatz in Ihrem GCP-Netzwerk, damit Ressourcen wie Computerinstanzen der Compute-Engine (VMs) innerhalb einer Netzwerkgrenze im VPC-Netzwerk bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb der VPC für kleinere Unternetzwerke erstellen.

Verwenden Sie VPC-Firewallregeln als Steuerung auf verteilter Netzwerkebene, um Verbindungen zu oder von Ihren Zielinstanzen im VPC-Netzwerk zuzulassen oder zu verweigern, zu denen VMs, Google Kubernetes Engine-Cluster (GKE) und Flexible App Engine-Umgebungsinstanzen gehören.

Sie können auch VPC-Firewallregeln für alle Instanzen im VPC-Netzwerk, Instanzen mit einem übereinstimmenden Netzwerktag oder Instanzen, die ein bestimmtes Dienstkonto verwenden, konfigurieren, sodass Sie Instanzen gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen definieren können.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

NS-2: Schützen cloudnativer Dienste mit Netzwerksteuerungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Schützen von Clouddiensten durch Einrichten eines privaten Zugriffspunkts für Ressourcen. Sie sollten auch den Zugriff über öffentliche Netzwerke nach Möglichkeit deaktivieren oder einschränken.


Azure-Leitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Die Verwendung Private Link verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird.

Hinweis: Bestimmte Azure-Dienste ermöglichen möglicherweise auch die private Kommunikation über das Dienstendpunktfeature. Es wird jedoch empfohlen, Azure Private Link für den sicheren und privaten Zugriff auf Dienste zu verwenden, die auf der Azure-Plattform gehostet werden.

Für bestimmte Dienste können Sie die VNET-Integration für den Dienst bereitstellen, wo Sie das VNET auf die Einrichtung eines privaten Zugriffspunkts für den Dienst beschränken können.

Sie haben auch die Möglichkeit, die dienstnativen Netzwerk-ACL-Regeln zu konfigurieren oder einfach den Zugriff auf öffentliche Netzwerke zu deaktivieren, um den Zugriff aus öffentlichen Netzwerken zu blockieren.

Für Azure-VMs sollten Sie es vermeiden, öffentliche IP-Adressen/Subnetze direkt der VM-Schnittstelle zuzuweisen, sofern kein starker Anwendungsfall vorliegt, und stattdessen Gateway- oder Lastenausgleichsdienste als Front-End für den Zugriff durch das öffentliche Netzwerk verwenden.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Stellen Sie VPC PrivateLink für alle AWS-Ressourcen bereit, die das PrivateLink-Feature unterstützen, um eine private Verbindung mit den unterstützten AWS-Diensten oder von anderen AWS-Konten gehosteten Diensten (VPC-Endpunktdienste) zuzulassen. Die Verwendung von PrivateLink verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird.

Bei bestimmten Diensten können Sie den Dienst instance in Ihrer eigenen VPC bereitstellen, um den Datenverkehr zu isolieren.

Sie haben auch die Möglichkeit, die dienstnativen ACL-Regeln zu konfigurieren, um den Zugriff über das öffentliche Netzwerk zu blockieren. Mit Amazon S3 können Sie beispielsweise den öffentlichen Zugriff auf Bucket- oder Kontoebene blockieren.

Wenn Sie Ihren Dienstressourcen in Ihrer VPC IP-Adressen zuweisen, sollten Sie es vermeiden, ihren Ressourcen öffentliche IP-Adressen/Subnetze direkt zuzuweisen und stattdessen private IP-Adressen/Subnetze zu verwenden.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Bereitstellen von VPC Private Google Access-Implementierungen für alle GCP-Ressourcen, die dies unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Mit diesen privaten Zugriffsoptionen wird verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird. Private Google Access verfügt über VM-Instanzen, die nur über interne IP-Adressen verfügen (keine externen IP-Adressen).

Bei bestimmten Diensten können Sie den Dienst instance in Ihrer eigenen VPC bereitstellen, um den Datenverkehr zu isolieren. Sie haben auch die Möglichkeit, die dienstnativen ACL-Regeln zu konfigurieren, um den Zugriff über das öffentliche Netzwerk zu blockieren. Mit der App Engine-Firewall können Sie beispielsweise steuern, welcher Netzwerkdatenverkehr bei der Kommunikation mit der App Engine-Ressource zulässig oder abgelehnt wird. Cloud Storage ist eine weitere Ressource, mit der Sie die Verhinderung des öffentlichen Zugriffs auf einzelne Buckets oder auf organization-Ebene erzwingen können.

Für VMs der GCP-Compute-Engine sollten Sie es vermeiden, öffentliche IP-Adressen/Subnetze direkt der VM-Schnittstelle zuzuweisen, und stattdessen Gateway- oder Lastenausgleichsdienste als Front-End für den Zugriff durch das öffentliche Netzwerk verwenden.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

NS-3: Bereitstellen einer Firewall im Edgebereich des Unternehmensnetzwerks

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Stellen Sie eine Firewall bereit, um erweiterte Filterung für Netzwerkdatenverkehr zu und aus externen Netzwerken durchzuführen. Sie können auch Firewalls zwischen internen Segmenten verwenden, um eine Segmentierungsstrategie zu unterstützen. Verwenden Sie bei Bedarf benutzerdefinierte Routen für Ihr Subnetz, um die Systemroute zu überschreiben, wenn Sie erzwingen müssen, dass der Netzwerkdatenverkehr zu Sicherheitssteuerungszwecken eine Netzwerk-Anwendung durchläuft.

Blockieren Sie zumindest bekannte schädliche IP-Adressen und Protokolle mit hohem Risiko wie die Remoteverwaltung (z. B. RDP und SSH) und Intranetprotokolle (z. B. SMB und Kerberos).


Azure-Leitfaden: Verwenden Sie Azure Firewall, um eine vollständig zustandsbehaftete Einschränkung des Datenverkehrs auf Anwendungsebene (z. B. URL-Filterung) und/oder eine zentrale Verwaltung für eine große Anzahl von Unternehmenssegmenten oder Spokes (in einer Hub/Spoke-Topologie) bereitzustellen.

Wenn Sie über eine komplexe Netzwerktopologie wie z. B. eine Hub-Spoke-Einrichtung verfügen, müssen Sie möglicherweise benutzerdefinierte Routen (User-Defined Routes, UDRs) erstellen, um sicherzustellen, dass der Datenverkehr die gewünschte Route durchläuft. Beispielsweise haben Sie die Möglichkeit, einen UDR zu verwenden, um ausgehenden Internetdatenverkehr über eine bestimmte Azure Firewall oder ein virtuelles Netzwerk Anwendung umzuleiten.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie AWS Network Firewall, um eine vollständig zustandsbehaftete Datenverkehrseinschränkung auf Anwendungsebene (z. B. URL-Filterung) und/oder eine zentrale Verwaltung für eine große Anzahl von Unternehmenssegmenten oder Spokes (in einer Hub/Spoke-Topologie) bereitzustellen.

Wenn Sie über eine komplexe Netzwerktopologie verfügen, z. B. ein Hub/Spoke-Setup, müssen Sie möglicherweise benutzerdefinierte VPC-Routingtabellen erstellen, um sicherzustellen, dass der Datenverkehr die gewünschte Route durchläuft. Sie haben beispielsweise die Möglichkeit, eine benutzerdefinierte Route zu verwenden, um ausgehenden Internetdatenverkehr über eine bestimmte AWS Firewall oder ein virtuelles Netzwerk Anwendung umzuleiten.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie Die Sicherheitsrichtlinien von Google Cloud Armor, um die Filterung und den Schutz vor häufigen Webangriffen auf Ebene 7 bereitzustellen. Verwenden Sie außerdem VPC-Firewallregeln, um verteilte, vollständig zustandsbehaftete Datenverkehrseinschränkungen auf Netzwerkebene und Firewallrichtlinien für die zentrale Verwaltung über eine große Anzahl von Unternehmenssegmenten oder Spokes (in einer Hub/Spoke-Topologie) bereitzustellen.

Wenn Sie über eine komplexe Netzwerktopologie verfügen, z. B. ein Hub/Spoke-Setup, erstellen Sie Firewallrichtlinien, die Firewallregeln gruppieren und hierarchisch sind, sodass sie auf mehrere VPC-Netzwerke angewendet werden können.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

NS-4: Bereitstellen von Angriffserkennungs-/Eindringschutzsystemen (Intrusion Detection/Intrusion Prevention Systems, IDS/IPS)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Sicherheitsprinzip: Verwenden Sie Netzwerk-Intrusion Detection- und Intrusion Prevention-Systeme (IDS/IPS), um den Netzwerk- und Nutzlastdatenverkehr zu oder von Ihrer Workload zu überprüfen. Stellen Sie sicher, dass IDS/IPS immer optimiert ist, um hochwertige Warnungen für Ihre SIEM-Lösung bereitzustellen.

Verwenden Sie ein hostbasiertes IDS/IPS oder eine hostbasierte EDR-Lösung (Endpunkterkennung und -reaktion) in Verbindung mit dem Netzwerk-IDS/IPS, um eine detailliertere Erkennungs- und Schutzfunktion auf Hostebene zu erhalten.


Azure-Leitfaden: Verwenden Sie die IDPS-Funktionen von Azure Firewall, um Ihr virtuelles Netzwerk zu schützen, um Datenverkehr zu und von bekannten schädlichen IP-Adressen und Domänen zu warnen und/oder zu blockieren.

Um eine detailliertere Erkennungs- und Schutzfunktion auf Hostebene zu erhalten, stellen Sie ein hostbasiertes IDS/IPS oder eine hostbasierte EDR-Lösung (Endpunkterkennung und -reaktion) wie Microsoft Defender für Endpunkt auf VM-Ebene in Verbindung mit dem Netzwerk-IDS/IPS bereit.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie die IPS-Funktion von AWS Network Firewall, um Ihre VPC zu schützen, um Datenverkehr zu bekannten schädlichen IP-Adressen und Domänen zu warnen und/oder zu blockieren.

Für ausführlichere Erkennungs- und Präventionsfunktionen auf Hostebene stellen Sie hostbasierte IDS/IPS oder eine hostbasierte Endpunkterkennungs- und -antwortlösung (EDR) bereit, z. B. eine Drittanbieterlösung für hostbasierte IDS/IPS, auf VM-Ebene in Verbindung mit der Netzwerk-IDS/IPS.

Hinweis: Wenn Sie eine IDS/IPS eines Drittanbieters aus dem Marketplace verwenden, verwenden Sie Transit Gateway und Gateway Balancer, um den Datenverkehr für die Inlineüberprüfung zu leiten.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie Google Cloud IDS-Funktionen, um Bedrohungserkennung für Eindringlinge, Schadsoftware, Spyware und Befehls- und Steuerungsangriffe in Ihrem Netzwerk bereitzustellen. Cloud IDS funktioniert, indem ein von Google verwaltetes Peeringnetzwerk mit gespiegelten VM-Instanzen erstellt wird. Der Datenverkehr im Peernetzwerk wird gespiegelt und dann von eingebetteten Palo Alto Networks-Bedrohungsschutztechnologien überprüft, um erweiterte Bedrohungserkennung bereitzustellen. Sie können den gesamten eingehenden und ausgehenden Datenverkehr basierend auf Protokoll oder IP-Adressbereich Spiegel.

Stellen Sie einen IDS-Endpunkt als zonenbasierte Ressource bereit, um den Datenverkehr aus jeder Zone in ihrer Region zu untersuchen, um ausführlichere Funktionen zur Erkennung und Verhinderung auf Hostebene zu erhalten. Jeder IDS-Endpunkt empfängt gespiegelten Datenverkehr und führt eine Bedrohungserkennungsanalyse durch.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

NS-5: Bereitstellen von DDOS-Schutz

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Sicherheitsprinzip: Stellen Sie DDoS-Schutz (Distributed Denial of Service) bereit, um Ihr Netzwerk und Ihre Anwendungen vor Angriffen zu schützen.


Azure-Leitfaden: DDoS Protection Basic wird automatisch aktiviert, um die zugrunde liegende Azure-Plattforminfrastruktur (z. B. Azure DNS) zu schützen, und erfordert keine Konfiguration durch die Benutzer.

Aktivieren Sie den DDoS-Standardschutzplan in Ihrem VNet, um Angriffe auf Anwendungsebene (Ebene 7) zu schützen, z. B. HTTP-Überschwemmungen und DNS-Überschwemmungen.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: AWS Shield Standard wird automatisch mit Standardmäßigen Entschärfungen aktiviert, um Ihre Workload vor allgemeinen DDoS-Angriffen auf Netzwerk- und Transportebene (Layer 3 und 4) zu schützen.

Aktivieren Sie AWS Shield Advanced-Schutz für Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53, um Ihre Anwendungen vor Angriffen auf Der Anwendungsschicht (Layer 7) zu schützen, z. B. HTTPS-Überschwemmungen und DNS-Überschwemmungen.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Anleitung: Google Cloud Armor bietet die folgenden Optionen, um Systeme vor DDoS-Angriffen zu schützen:

  • Standardnetzwerk-DDoS-Schutz: Grundlegender Always-On-Schutz für Netzwerklastenausgleichsmodule, Protokollweiterleitungen oder virtuelle Computer mit öffentlichen IP-Adressen.
  • Erweiterter DDoS-Netzwerkschutz: zusätzlicher Schutz für Managed Protection Plus-Abonnenten, die Netzwerklastenausgleiche, Protokollweiterleitungen oder virtuelle Computer mit öffentlichen IP-Adressen verwenden.
  • Der DDoS-Standardschutz im Netzwerk ist immer aktiviert. Sie konfigurieren den erweiterten DDoS-Netzwerkschutz pro Region.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

NS-6: Bereitstellen einer Web Application Firewall

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Stellen Sie eine Web Application Firewall (WAF) bereit, und konfigurieren Sie die entsprechenden Regeln, um Ihre Webanwendungen und APIs vor anwendungsspezifischen Angriffen zu schützen.


Azure-Leitfaden: Verwenden Sie WAF-Funktionen (Web Application Firewall) in Azure Application Gateway, Azure Front Door und Azure Content Delivery Network (CDN), um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsebene am Rand Ihres Netzwerks zu schützen.

Legen Sie Ihre WAF je nach Bedarf und Bedrohungslandschaft auf den Erkennungs- oder den Schutzmodus fest.

Wählen Sie einen integrierten Regelsatz aus, z. B. OWASP Top 10-Sicherheitsrisiken, und optimieren Sie ihn an Ihre Anwendungsanforderungen.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie AWS Web Application Firewall (WAF) in Amazon CloudFront-Distribution, Amazon API Gateway, Application Load Balancer oder AWS AppSync, um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsebene am Rand Ihres Netzwerks zu schützen.

Verwenden Sie AWS Managed Rules for WAF, um integrierte Baselinegruppen bereitzustellen und an Ihre Anwendungsanforderungen für die Benutzerfallregelgruppen anzupassen.

Um die Bereitstellung von WAF-Regeln zu vereinfachen, können Sie auch die AWS WAF Security Automations-Lösung verwenden, um automatisch vordefinierte AWS WAF-Regeln bereitzustellen, die webbasierte Angriffe auf Ihre Web-ACL filtern.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie Google Cloud Armor, um Ihre Anwendungen und Websites vor Denial-of-Service- und Webangriffen zu schützen.

Verwenden Sie vordefinierte Google Cloud Armor-Regeln, die auf Branchenstandards basieren, um allgemeine Sicherheitsrisiken für Webanwendungen zu minimieren und Schutz vor OWASP Top 10 zu bieten.

Richten Sie Ihre vorkonfigurierten WAF-Regeln ein, die jeweils aus mehreren Signaturen bestehen, die aus ModSecurity Core Rules (CRS) stammen. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz.

Cloud Armor arbeitet in Verbindung mit externen Lastenausgleichsmodulen und schützt vor verteilten Denial-of-Service-Angriffen (DDoS) und anderen webbasierten Angriffen, unabhängig davon, ob die Anwendungen in Google Cloud, in einer Hybridbereitstellung oder in einer Multi-Cloud-Architektur bereitgestellt werden. Sicherheitsrichtlinien können manuell mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie konfiguriert werden. Cloud Armor bietet auch vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken.

Adaptiver Schutz in Cloud Armor hilft Ihnen, Ihre Anwendung und Ihre Dienste vor verteilten L7-Angriffen zu verhindern, zu erkennen und zu schützen, indem Sie Muster des Datenverkehrs für Ihre Back-End-Dienste analysieren, verdächtige Angriffe erkennen und warnen und vorschläge WAF-Regeln generieren, um solche Angriffe abzumildern. Diese Regeln können entsprechend Ihren Anforderungen optimiert werden.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

NS-7: Vereinfachen der Netzwerksicherheitskonfiguration

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Sicherheitsprinzip: Verwenden Sie bei der Verwaltung einer komplexen Netzwerkumgebung Tools, um die Verwaltung der Netzwerksicherheit zu vereinfachen, zu zentralisieren und zu verbessern.


Azure-Leitfaden: Verwenden Sie die folgenden Features, um die Implementierung und Verwaltung des virtuellen Netzwerks, NSG-Regeln und Azure Firewall Regeln zu vereinfachen:

  • Verwenden Sie Azure Virtual Network Manager, um virtuelle Netzwerke und NSG-Regeln regions- und abonnementübergreifend zu gruppieren, zu konfigurieren, bereitzustellen und zu verwalten.
  • Verwenden Sie die adaptive Netzwerkhärtung von Microsoft Defender für Cloud, um NSG-Härtungsregeln zu empfehlen, durch die Ports, Protokolle und Quell-IP-Adressen basierend auf Threat Intelligence und dem Ergebnis der Datenverkehrsanalyse zusätzlich eingeschränkt werden.
  • Verwenden Sie Azure Firewall Manager, um die Firewallrichtlinien- und Routenverwaltung des virtuellen Netzwerks zu zentralisieren. Um die Implementierung von Firewallregeln und Netzwerksicherheitsgruppen zu vereinfachen, können Sie auch die Vorlage Azure Firewall Manager azure Resource Manager (ARM) verwenden.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie AWS Firewall Manager, um die Verwaltung von Netzwerkschutzrichtlinien für die folgenden Dienste zu zentralisieren:

  • AWS WAF-Richtlinien
  • Erweiterte AWS Shield-Richtlinien
  • VPC-Sicherheitsgruppenrichtlinien
  • Netzwerkfirewallrichtlinien

AWS Firewall Manager kann Ihre firewallbezogenen Richtlinien automatisch analysieren und Ergebnisse für nicht konforme Ressourcen und für erkannte Angriffe erstellen und sie zur Untersuchung an AWS Security Hub senden.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie die folgenden Features, um die Implementierung und Verwaltung des VPC-Netzwerks (Virtual Private Cloud), Firewallregeln und WAF-Regeln zu vereinfachen:

  • Verwenden Sie VPC-Netzwerke, um einzelne VPC-Netzwerke und VPC-Firewallregeln zu verwalten und zu konfigurieren.
  • Verwenden Sie hierarchische Firewallrichtlinien, um Firewallregeln zu gruppieren und die Richtlinienregeln hierarchisch auf globaler oder regionaler Ebene anzuwenden.
  • Verwenden Sie Google Cloud Armor, um benutzerdefinierte Sicherheitsrichtlinien, vorkonfigurierte WAF-Regeln und DDoS-Schutz anzuwenden.

Sie können das Network Intelligence Center auch verwenden, um Ihr Netzwerk zu analysieren und Einblicke in die Topologie Ihres virtuellen Netzwerks, Firewallregeln und Netzwerkkonnektivität zu erhalten, status, um die Verwaltungseffizienz zu verbessern.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

NS-8: Erkennen und Deaktivieren unsicherer Dienste und Protokolle

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Sicherheitsprinzip: Erkennen und Deaktivieren unsicherer Dienste und Protokolle auf Betriebssystem-, Anwendungs- oder Softwarepaketebene. Stellen Sie ausgleichende Kontrollen bereit, wenn das Deaktivieren unsicherer Dienste und Protokolle nicht möglich ist.


Azure-Leitfaden: Verwenden Sie die integrierte Arbeitsmappe für unsichere Protokolle von Microsoft Sentinel, um die Verwendung unsicherer Dienste und Protokolle wie SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, schwache Verschlüsselungen in Kerberos und unsignierte LDAP-Bindungen zu ermitteln. Deaktivieren Sie unsichere Dienste und Protokolle, die nicht dem angemessenen Sicherheitsstandard entsprechen.

Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie ausgleichende Kontrollen wie das Blockieren des Zugriffs auf Ressourcen über Netzwerksicherheitsgruppen, Azure Firewall oder Azure Web Application Firewall, um die Angriffsfläche zu reduzieren.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Aktivieren Sie VPC-Flussprotokolle, und verwenden Sie GuardDuty, um die VPC-Flussprotokolle zu analysieren, um die möglichen unsicheren Dienste und Protokolle zu identifizieren, die nicht dem entsprechenden Sicherheitsstandard entsprechen.

Wenn die Protokolle in der AWS-Umgebung an Microsoft Sentinel weitergeleitet werden können, können Sie auch die integrierte Arbeitsmappe für unsichere Protokolle von Microsoft Sentinel verwenden, um die Verwendung unsicherer Dienste und Protokolle zu ermitteln.

Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie ausgleichende Kontrollen wie das Blockieren des Zugriffs auf die Ressourcen über Sicherheitsgruppen, AWS Network Firewall und AWS Web Application Firewall, um die Angriffsfläche zu verringern.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Aktivieren Sie VPC-Flussprotokolle, und verwenden Sie BigQuery oder Security Command Center, um die VPC-Flussprotokolle zu analysieren, um die möglicherweise unsicheren Dienste und Protokolle zu identifizieren, die nicht dem entsprechenden Sicherheitsstandard entsprechen.

Wenn die Protokolle in der GCP-Umgebung an Microsoft Sentinel weitergeleitet werden können, können Sie auch die integrierte Arbeitsmappe für unsichere Protokolle von Microsoft Sentinel verwenden, um die Verwendung unsicherer Dienste und Protokolle zu ermitteln. Darüber hinaus können Sie Protokolle an Google Cloud Chronicle SIEM und SOAR weiterleiten und benutzerdefinierte Regeln für denselben Zweck erstellen.

Hinweis: Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie ausgleichende Kontrollen, z. B. das Blockieren des Zugriffs auf die Ressourcen über VPC Firewall-Regeln und -Richtlinien oder Cloud Armor, um die Angriffsfläche zu verringern.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

NS-9: Herstellen einer privaten lokalen oder Cloudnetzwerkverbindung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
12.7 CA-3, AC-17, AC-4

Sicherheitsprinzip: Verwenden Sie private Verbindungen für die sichere Kommunikation zwischen verschiedenen Netzwerken, z. B. Clouddienstanbieter-Rechenzentren und lokale Infrastruktur in einer Colocation-Umgebung.


Azure-Leitfaden: Für eine einfache Site-to-Site- oder Point-to-Site-Konnektivität verwenden Sie Azure Virtual Private Network (VPN), um eine sichere Verbindung zwischen Ihrem lokalen Standort oder Endbenutzergerät und dem virtuellen Azure-Netzwerk herzustellen.

Verwenden Sie für Hochleistungsverbindungen auf Unternehmensebene Azure ExpressRoute (oder Virtual WAN), um Azure-Rechenzentren und die lokale Infrastruktur in einer Co-Location-Umgebung zu verbinden.

Wenn Sie mehrere Azure-VNets miteinander verbinden, verwenden Sie das VNet-Peering. Der Netzwerkdatenverkehr zwischen mittels Peering verbundenen virtuellen Netzwerken ist privat und wird im Azure-Backbone-Netzwerk verwaltet.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie für Site-to-Site- oder Point-to-Site-Konnektivität AWS-VPN, um eine sichere Verbindung (wenn der IPsec-Mehraufwand keine Rolle spielt) zwischen Ihrem lokalen Standort oder Endbenutzergerät mit dem AWS-Netzwerk herzustellen.

Verwenden Sie FÜR Hochleistungsverbindungen auf Unternehmensebene AWS Direct Connect, um AWS-VPCs und -Ressourcen mit Ihrer lokalen Infrastruktur in einer Co-Location-Umgebung zu verbinden.

Sie haben die Möglichkeit, VPC-Peering oder Transitgateway zu verwenden, um Konnektivität zwischen zwei oder mehr VPCs innerhalb oder zwischen Regionen herzustellen. Der Netzwerkdatenverkehr zwischen peered VPC ist privat und wird im AWS-Backbonenetzwerk gespeichert. Wenn Sie mehrere VPCs verknüpfen müssen, um ein großes flaches Subnetz zu erstellen, haben Sie auch die Möglichkeit, VPC-Freigabe zu verwenden.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie google Cloud VPN für einfache Site-to-Site- oder Point-to-Site-Konnektivität.

Verwenden Sie für Hochleistungsverbindungen auf Unternehmensebene Google Cloud Interconnect oder Partner Interconnect, um eine Verbindung mit Google Cloud VPCs und Ressourcen mit Ihrer lokalen Infrastruktur in einer Colocation-Umgebung herzustellen.

Sie haben die Möglichkeit, VPC-Netzwerkpeering oder Netzwerkkonnektivitätscenter zu verwenden, um verbindungen zwischen zwei oder mehr VPCs innerhalb oder zwischen Regionen herzustellen. Der Netzwerkdatenverkehr zwischen Peering-VPCs ist privat und wird im GCP-Backbonenetzwerk gespeichert. Wenn Sie mehrere VPCs verknüpfen müssen, um ein großes flaches Subnetz zu erstellen, haben Sie auch die Möglichkeit, freigegebene VPC zu verwenden.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

NS-10: Sicherstellen der DNS-Sicherheit (Domain Name System)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.9, 9.2 SC-20, SC-21

Sicherheitsprinzip: Stellen Sie sicher, dass die DNS-Sicherheitskonfiguration (Domain Name System) vor bekannten Risiken schützt:

  • Verwenden Sie vertrauenswürdige autoritative und rekursive DNS-Dienste in Ihrer Cloudumgebung, um sicherzustellen, dass der Client (z. B. Betriebssysteme und Anwendungen) das richtige Auflösungsergebnis erhält.
  • Trennen Sie die DNS-Auflösung öffentlicher und privater Adressen, damit der DNS-Auflösungsprozess für das private Netzwerk vom öffentlichen Netzwerk isoliert werden kann.
  • Stellen Sie sicher, dass Ihre DNS-Sicherheitsstrategie auch Risikominderungen für häufige Angriffe umfasst, z. B. verwaiste DNS-Einträge, DNS-Verstärkungsangriffe oder DNS-Poisoning und -Spoofing.

Azure-Leitfaden: Verwenden Sie rekursives Azure-DNS (in der Regel Ihrem virtuellen Computer über DHCP zugewiesen oder im Dienst vorkonfiguriert) oder einen vertrauenswürdigen externen DNS-Server in Ihrer workload rekursiven DNS-Einrichtung, z. B. im Betriebssystem des virtuellen Computers oder in der Anwendung.

Verwenden Sie Azure Privates DNS für eine einrichtung einer privaten DNS-Zone, bei der der DNS-Auflösungsprozess das virtuelle Netzwerk nicht verlässt. Verwenden Sie ein benutzerdefiniertes DNS, um die DNS-Auflösung so zu beschränken, dass nur vertrauenswürdige Auflösungen für Ihren Client zugelassen werden.

Verwenden Sie Microsoft Defender für DNS für erweiterten Schutz vor den folgenden Sicherheitsbedrohungen für Ihre Workload oder Ihren DNS-Dienst:

  • Datenexfiltration aus Ihren Azure-Ressourcen mittels DNS-Tunneling
  • Schadsoftware, die mit einem Befehls- und Steuerungsserver kommuniziert
  • Kommunikation mit schädlichen Domänen, z. B. Phishing und Kryptomining
  • DNS-Angriffe durch Kommunikation mit schädlichen DNS-Resolvern

Sie können auch Microsoft Defender für App Service verwenden, um hängende DNS-Einträge zu erkennen, wenn Sie eine App Service Website außer Betrieb nehmen, ohne die benutzerdefinierte Domäne von Ihrer DNS-Registrierungsstelle zu entfernen.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie den Amazon DNS-Server (mit anderen Worten, amazon Route 53 Resolver-Server, der Ihnen normalerweise über DHCP zugewiesen oder im Dienst vorkonfiguriert ist) oder einen zentralisierten vertrauenswürdigen DNS-Resolverserver in Ihrer Workload rekursive DNS-Setup, z. B. im Betriebssystem des virtuellen Computers oder in der Anwendung.

Verwenden Sie Amazon Route 53, um eine Einrichtung einer privaten gehosteten Zone zu erstellen, bei der der DNS-Auflösungsprozess die angegebenen VPCs nicht verlässt. Verwenden Sie die Amazon Route 53-Firewall, um den ausgehenden DNS/UDP-Datenverkehr in Ihrer VPC für die folgenden Anwendungsfälle zu regulieren und zu filtern:

  • Verhindern von Angriffen wie der DNS-Exfiltration in Ihrer VPC
  • Einrichten der Zulassungs- oder Ablehnungsliste für die Domänen, die Ihre Anwendungen abfragen können

Konfigurieren Sie das Feature Domain Name System Security Extensions (DNSSEC) in Amazon Route 53, um DNS-Datenverkehr zu schützen, um Ihre Domäne vor DNS-Spoofing oder einem Man-in-the-Middle-Angriff zu schützen.

Amazon Route 53 bietet auch einen DNS-Registrierungsdienst, bei dem Route 53 als autorisierende Namenserver für Ihre Domänen verwendet werden kann. Die folgenden bewährten Methoden sollten befolgt werden, um die Sicherheit Ihrer Domänennamen zu gewährleisten:

  • Domänennamen sollten automatisch vom Amazon Route 53-Dienst verlängert werden.
  • Für Domänennamen sollte die Funktion "Übertragungssperre" aktiviert sein, um sie zu schützen.
  • Das Sender Policy Framework (SPF) sollte verwendet werden, um spammers am Spoofing Ihrer Domäne zu hindern.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie einen GCP-DNS-Server (d. h. metadatenserver, der Ihrer VM normalerweise über DHCP zugewiesen oder im Dienst vorkonfiguriert ist) oder einen zentralisierten vertrauenswürdigen DNS-Resolverserver (z. B. Google Public DNS) in Ihrer Workload rekursive DNS-Setup, z. B. im Betriebssystem der VM oder in der Anwendung.

Verwenden Sie GCP Cloud DNS, um eine private DNS-Zone zu erstellen, in der der DNS-Auflösungsprozess die desginierten VPCs nicht verlässt. Regulieren und filtern Sie den ausgehenden DNS/UDP-Datenverkehr in Ihrer VPC in den Anwendungsfällen:

  • Verhindern von Angriffen wie der DNS-Exfiltration in Ihrer VPC
  • Einrichten von Zulassungs- oder Ablehnungslisten für die Domänen, die von Ihren Anwendungen abgefragt werden

Konfigurieren Sie das Feature Domain Name System Security Extensions (DNSSEC) in Cloud DNS, um DNS-Datenverkehr zu schützen, um Ihre Domäne vor DNS-Spoofing oder einem Man-in-the-Middle-Angriff zu schützen.

Google Cloud Domains bietet Domänenregistrierungsdienste. GCP Cloud DNS kann als autoritative Namenserver für Ihre Domänen verwendet werden. Die folgenden bewährten Methoden sollten befolgt werden, um die Sicherheit Ihrer Domänennamen zu gewährleisten:

  • Domänennamen sollten von Google Cloud Domains automatisch verlängert werden.
  • Für Domänennamen sollte das Feature "Übertragungssperre" aktiviert sein, um sie zu schützen.
  • Das Sender Policy Framework (SPF) sollte verwendet werden, um spammers am Spoofing Ihrer Domäne zu hindern.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):