Controllo di sicurezza: sicurezza di rete
Sicurezza di rete copre i controlli per proteggere e proteggere le reti, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione di attacchi esterni e la protezione del DNS.
NS-1: Stabilire i limiti di segmentazione di rete
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: assicurarsi che la distribuzione della rete virtuale sia allineata alla strategia di segmentazione aziendale definita nel controllo di sicurezza GS-2. Qualsiasi carico di lavoro che potrebbe comportare un rischio maggiore per l'organizzazione deve trovarsi in reti virtuali isolate.
Esempi di carico di lavoro ad alto rischio includono:
- Un'applicazione che archivia o elabora dati estremamente sensibili.
- Un'applicazione esterna con connessione alla rete accessibile dal pubblico o dagli utenti esterni all'organizzazione.
- Un'applicazione che usa un'architettura non sicura o contiene vulnerabilità che non possono essere facilmente risolte.
Per migliorare la strategia di segmentazione aziendale, limitare o monitorare il traffico tra le risorse interne usando i controlli di rete. Per applicazioni specifiche e ben definite ,ad esempio un'app a 3 livelli, può trattarsi di un approccio "Nega per impostazione predefinita, consentire per eccezione" altamente sicuro limitando le porte, i protocolli, l'origine e gli INDIRIZZI IP di destinazione del traffico di rete. Se sono presenti molte applicazioni ed endpoint che interagiscono tra loro, il blocco del traffico potrebbe non essere scalabile correttamente e potrebbe essere possibile monitorare solo il traffico.
Linee guida di Azure: creare una rete virtuale (VNet) come approccio di segmentazione fondamentale nella rete di Azure, in modo che le risorse come le macchine virtuali possano essere distribuite nella rete virtuale all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno della rete virtuale per reti secondarie più piccole.
Usare i gruppi di sicurezza di rete (NSG) come controllo a livello di rete per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Fare riferimento a NS-7: Semplificare la configurazione della sicurezza di rete per usare protezione avanzata adattiva della rete per consigliare regole di protezione avanzata del gruppo di sicurezza di rete in base ai risultati dell'analisi del traffico e dell'intelligence sulle minacce.
È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare la configurazione complessa. Anziché definire criteri basati su indirizzi IP espliciti nei gruppi di sicurezza di rete, i gruppi di sicurezza di rete consentono di configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione, consentendo di raggruppare le macchine virtuali e definire criteri di sicurezza di rete basati su tali gruppi.
Implementazione di Azure e contesto aggiuntivo:
- Concetti e procedure consigliate per Rete virtuale di Azure
- Aggiungere, modificare o eliminare una subnet di rete virtuale
- Come creare un gruppo di sicurezza di rete con regole di sicurezza
- Comprendere e usare i gruppi di sicurezza delle applicazioni
Indicazioni su AWS: creare un cloud privato virtuale (VPC) come approccio di segmentazione fondamentale nella rete AWS, in modo che le risorse come le istanze EC2 possano essere distribuite nel VPC entro un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno di VPC per reti secondarie più piccole.
Per le istanze ec2, usare i gruppi di sicurezza come firewall con stato per limitare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. A livello di subnet VPC, usare Network Controllo di accesso List (NACL) come firewall senza stato per avere regole esplicite per il traffico in ingresso e in uscita verso la subnet.
Nota: per controllare il traffico VPC, è necessario configurare Il gateway Internet e NAT per garantire che il traffico da/verso Internet sia limitato.
Implementazione di AWS e contesto aggiuntivo:
- Controllare il traffico verso istanze EC2 con gruppi di sicurezza
- Confrontare i gruppi di sicurezza e gli ACL di rete
- Internet Gateway
- NAT Gateway
Linee guida per GCP: creare una rete VPC (Virtual Private Cloud) come approccio di segmentazione fondamentale nella rete GCP, in modo che le risorse come le istanze di macchine virtuali del motore di calcolo possano essere distribuite nella rete VPC all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno del VPC per reti secondarie più piccole.
Usare le regole del firewall VPC come controllo a livello di rete distribuito per consentire o negare le connessioni alle istanze di destinazione nella rete VPC, che includono macchine virtuali, cluster GKE (Google Kubernetes Engine) e istanze dell'ambiente flessibile del motore di app.
È anche possibile configurare le regole del firewall VPC per definire come destinazione tutte le istanze della rete VPC, le istanze con un tag di rete corrispondente o le istanze che usano un account del servizio specifico, consentendo di raggruppare le istanze e definire criteri di sicurezza di rete in base a tali gruppi.
Implementazione GCP e contesto aggiuntivo:
- Creare e gestire reti VPC
- Subnet VPC di Google Cloud
- Usare le regole del firewall VPC
- Aggiungere tag di rete
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-2: Proteggere i servizi nativi del cloud con controlli di rete
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: proteggere i servizi cloud stabilendo un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso dalle reti pubbliche, quando possibile.
Indicazioni su Azure: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità collegamento privato per stabilire un punto di accesso privato per le risorse. L'uso di collegamento privato manterrà la connessione privata dal routing attraverso la rete pubblica.
Nota: alcuni servizi di Azure possono anche consentire la comunicazione privata tramite la funzionalità endpoint di servizio, anche se è consigliabile usare collegamento privato di Azure per l'accesso sicuro e privato ai servizi ospitati nella piattaforma Azure.
Per determinati servizi, è possibile scegliere di distribuire l'integrazione della rete virtuale per il servizio in cui è possibile limitare la rete virtuale per stabilire un punto di accesso privato per il servizio.
È anche possibile configurare le regole ACL di rete native del servizio o semplicemente disabilitare l'accesso alla rete pubblica per bloccare l'accesso dalle reti pubbliche.
Per le macchine virtuali di Azure, a meno che non esista un caso d'uso sicuro, è consigliabile evitare di assegnare indirizzi IP/subnet pubblici direttamente all'interfaccia della macchina virtuale e usare invece i servizi di bilanciamento del carico o del gateway come front-end per l'accesso dalla rete pubblica.
Implementazione di Azure e contesto aggiuntivo:
- Informazioni sulle collegamento privato di Azure
- Integrare i servizi di Azure con le reti virtuali per l'isolamento della rete
Indicazioni su AWS: distribuire VPC PrivateLink per tutte le risorse AWS che supportano la funzionalità PrivateLink, per consentire la connessione privata ai servizi o ai servizi AWS supportati ospitati da altri account AWS (servizi endpoint VPC). L'uso di PrivateLink manterrà la connessione privata dal routing attraverso la rete pubblica.
Per determinati servizi, è possibile scegliere di distribuire l'istanza del servizio nel proprio VPC per isolare il traffico.
È anche possibile configurare le regole ACL native del servizio per bloccare l'accesso dalla rete pubblica. Ad esempio, Amazon S3 consente di bloccare l'accesso pubblico a livello di bucket o account.
Quando si assegnano indirizzi IP alle risorse del servizio nel VPC, a meno che non si verifichi un caso d'uso sicuro, è consigliabile evitare di assegnare indirizzi IP/subnet pubblici direttamente alle risorse e usare invece indirizzi IP/subnet privati.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: distribuire le implementazioni di VPC Private Google Access per tutte le risorse GCP che la supportano per stabilire un punto di accesso privato per le risorse. Queste opzioni di accesso privato manterranno la connessione privata dal routing attraverso la rete pubblica. Google Access privato include istanze di macchine virtuali che hanno solo indirizzi IP interni (nessun indirizzo IP esterno)
Per determinati servizi, è possibile scegliere di distribuire l'istanza del servizio nel proprio VPC per isolare il traffico. È anche possibile configurare le regole ACL native del servizio per bloccare l'accesso dalla rete pubblica. Ad esempio, il firewall del motore di app consente di controllare il traffico di rete consentito o rifiutato durante la comunicazione con la risorsa motore di app. Archiviazione cloud è un'altra risorsa in cui è possibile applicare la prevenzione dell'accesso pubblico a singoli bucket o a livello di organizzazione.
Per le macchine virtuali del motore di calcolo GCP, a meno che non si verifichi un caso d'uso sicuro, è consigliabile evitare di assegnare indirizzi IP/subnet pubblici direttamente all'interfaccia della macchina virtuale e usare invece i servizi gateway o di bilanciamento del carico come front-end per l'accesso dalla rete pubblica.
Implementazione GCP e contesto aggiuntivo:
- Accesso Privato a Google
- Opzioni di accesso privato per i servizi
- Informazioni sul firewall del motore di app
- Archiviazione cloud: usare la prevenzione dell'accesso pubblico
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-3: Distribuire il firewall nella rete perimetrale della rete aziendale
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: distribuire un firewall per eseguire filtri avanzati sul traffico di rete da e verso reti esterne. È anche possibile usare firewall tra segmenti interni per supportare una strategia di segmentazione. Se necessario, usare route personalizzate per la subnet per eseguire l'override della route di sistema quando è necessario forzare il traffico di rete a passare attraverso un'appliance di rete a scopo di controllo della sicurezza.
Bloccare almeno gli indirizzi IP non noti e i protocolli ad alto rischio, ad esempio la gestione remota (ad esempio RDP e SSH) e i protocolli Intranet (ad esempio, SMB e Kerberos).
Linee guida di Azure: usare Firewall di Azure per fornire restrizioni del traffico a livello di applicazione con stato completo (ad esempio il filtro URL) e/o la gestione centrale su un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke).
Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub/spoke, potrebbe essere necessario creare route definite dall'utente per garantire che il traffico attraversi la route desiderata. Ad esempio, è possibile usare una route definita dall'utente per reindirizzare il traffico Internet in uscita attraverso una specifica Firewall di Azure o un'appliance virtuale di rete.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: usare il firewall di rete AWS per fornire restrizioni del traffico a livello di applicazione con stato completo (ad esempio il filtro URL) e/o la gestione centralizzata su un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke).
Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub/spoke, potrebbe essere necessario creare tabelle di route VPC personalizzate per garantire che il traffico attraversi la route desiderata. Ad esempio, è possibile usare una route personalizzata per reindirizzare il traffico Internet in uscita tramite un firewall AWS specifico o un'appliance virtuale di rete.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: usare i criteri di sicurezza di Google Cloud Armor per fornire filtri di livello 7 e protezione di attacchi Web comuni. Inoltre, usare le regole del firewall VPC per fornire restrizioni del traffico a livello di rete distribuite, completamente con stato e criteri firewall per la gestione centrale su un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke).
Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub/spoke, creare criteri del firewall che raggruppano le regole del firewall e per essere gerarchici in modo che possano essere applicati a più reti VPC.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-4: Distribuire sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS)
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Principio di sicurezza: usare il rilevamento delle intrusioni di rete e i sistemi di prevenzione delle intrusioni (IDS/IPS) per controllare il traffico di rete e payload da o verso il carico di lavoro. Assicurarsi che IDS/IPS sia sempre ottimizzato per fornire avvisi di alta qualità alla soluzione SIEM.
Per funzionalità di rilevamento e prevenzione più approfondite a livello di host, usare l'IDS/IPS basato su host o una soluzione di rilevamento e risposta degli endpoint basata su host (EDR) insieme all'IDS/IPS di rete.
Linee guida di Azure: usare le funzionalità IDPS di Firewall di Azure per proteggere la rete virtuale per ricevere avvisi e/o bloccare il traffico da e verso indirizzi IP e domini dannosi noti.
Per funzionalità di rilevamento e prevenzione più approfondite a livello di host, distribuire l'IDS/IPS basato su host o una soluzione di rilevamento e risposta (EDR) basata su host, ad esempio Microsoft Defender per endpoint, a livello di macchina virtuale insieme all'IDS/IPS di rete.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: usare la funzionalità IPS di AWS Network Firewall per proteggere il VPC per avvisare e/o bloccare il traffico da e verso indirizzi IP e domini dannosi noti.
Per funzionalità di rilevamento e prevenzione più approfondite a livello di host, distribuire l'IDS/IPS basato su host o una soluzione EDR (Endpoint Detection and Response) basata su host, ad esempio una soluzione di terze parti per IDS/IPS basato su host, a livello di macchina virtuale insieme all'IDS/IPS di rete.
Nota: se si usa un IDS/IPS di terze parti dal marketplace, usare Gateway di transito e Gateway Balancer per indirizzare il traffico per l'ispezione in linea.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: usare le funzionalità di Google Cloud IDS per fornire il rilevamento delle minacce per intrusioni, malware, spyware e attacchi di comando e controllo nella rete. Cloud IDS funziona creando una rete con peering gestita da Google con istanze di macchina virtuale con mirroring. Il traffico nella rete con peering viene sottoposto a mirroring e quindi controllato dalle tecnologie di protezione dalle minacce di Palo Alto Networks incorporate per fornire il rilevamento avanzato delle minacce. È possibile eseguire il mirroring di tutto il traffico in ingresso e in uscita in base al protocollo o all'intervallo di indirizzi IP.
Per funzionalità di rilevamento e prevenzione più approfondite a livello di host, distribuire un endpoint IDS come risorsa di zona in grado di esaminare il traffico da qualsiasi zona nella propria area. Ogni endpoint IDS riceve il traffico con mirroring ed esegue l'analisi del rilevamento delle minacce.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-5: Distribuire la protezione DDOS
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Principio di sicurezza: distribuire la protezione DDoS (Distributed Denial of Service) per proteggere la rete e le applicazioni da attacchi.
Linee guida di Azure: Protezione DDoS Basic viene abilitata automaticamente per proteggere l'infrastruttura della piattaforma sottostante di Azure (ad esempio DNS di Azure) e non richiede alcuna configurazione dagli utenti.
Per livelli più elevati di protezione degli attacchi del livello applicazione (livello 7), ad esempio inondazioni HTTP e inondazioni DNS, abilitare il piano di protezione standard DDoS nella rete virtuale per proteggere le risorse esposte alle reti pubbliche.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: AWS Shield Standard viene abilitato automaticamente con mitigazioni standard per proteggere il carico di lavoro dagli attacchi DDoS comuni a livello di rete e trasporto (livello 3 e 4)
Per livelli più elevati di protezione delle applicazioni da attacchi di livello applicazione (livello 7), ad esempio inondazioni HTTPS e inondazioni DNS, abilitare la protezione avanzata di AWS Shield su Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: Google Cloud Armor offre le opzioni seguenti per proteggere i sistemi dagli attacchi DDoS:
- Protezione DDoS di rete Standard: protezione always-on di base per i servizi di bilanciamento del carico di rete, l'inoltro dei protocolli o le macchine virtuali con indirizzi IP pubblici.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per i sottoscrittori di Managed Protection Plus che usano servizi di bilanciamento del carico di rete, inoltro di protocollo o vm con indirizzi IP pubblici.
- La protezione DDoS di rete Standard è sempre abilitata. La protezione DDoS di rete avanzata viene configurata in base all'area.
Implementazione GCP e contesto aggiuntivo:
- Configurare la protezione DDoS di rete avanzata
- Panoramica di Google Cloud Armor
- Panoramica dei criteri di sicurezza di Google Cloud Armor
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-6: Distribuire web application firewall
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: distribuire un web application firewall (WAF) e configurare le regole appropriate per proteggere le applicazioni Web e le API da attacchi specifici dell'applicazione.
Linee guida di Azure: usare le funzionalità del web application firewall (WAF) in gateway applicazione di Azure, Frontdoor di Azure e rete cdN (Content Delivery Network) di Azure per proteggere le applicazioni, i servizi e le API da attacchi a livello di applicazione al bordo della rete.
Impostare il WAF in "rilevamento" o "modalità di prevenzione", a seconda delle esigenze e del panorama delle minacce.
Scegliere un set di regole predefinito, ad esempio vulnerabilità OWASP Top 10 e ottimizzarlo alle esigenze dell'applicazione.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: usare AWS Web application firewall (WAF) nella distribuzione amazon CloudFront, nel gateway API Amazon, nell'applicazione Load Balancer o in AWS AppSync per proteggere le applicazioni, i servizi e le API da attacchi a livello di applicazione al bordo della rete.
Usare le regole gestite di AWS per WAF per distribuire gruppi di baseline predefiniti e personalizzarlo alle esigenze dell'applicazione per i gruppi di regole del caso utente.
Per semplificare la distribuzione delle regole WAF, è anche possibile usare la soluzione AWS WAF Security Automations per distribuire automaticamente regole WAF AWS predefinite che filtrano gli attacchi basati sul Web sull'ACL Web.
Implementazione di AWS e contesto aggiuntivo:
Linee guida GCP: usare Google Cloud Armor per proteggere le applicazioni e i siti Web da attacchi Denial of Service e Web.
Usare Le regole predefinite di Google Cloud Armor basate sugli standard del settore per attenuare le vulnerabilità comuni dell'applicazione Web e fornire protezione da OWASP Top 10.
Configurare le regole WAF preconfigurate, ognuna costituita da più firme generate da ModSecurity Core Rules (CRS). Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole.
Cloud Armor funziona in combinazione con i servizi di bilanciamento del carico esterni e protegge da attacchi denial-of-service distribuiti (DDoS) e altri attacchi basati sul Web, indipendentemente dal fatto che le applicazioni vengano distribuite in Google Cloud, in una distribuzione ibrida o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza configurabili e azioni in un criterio di sicurezza. Cloud Armor offre anche criteri di sicurezza preconfigurati, che coprono diversi casi d'uso.
La protezione adattiva in Cloud Armor consente di impedire, rilevare e proteggere l'applicazione e i servizi dagli attacchi distribuiti L7 analizzando i modelli di traffico ai servizi back-end, rilevando e avvisando attacchi sospetti e generando regole WAF suggerite per attenuare tali attacchi. Queste regole possono essere ottimizzate per soddisfare le esigenze.
Implementazione di GCP e contesto aggiuntivo:
- Google Cloud Armor
- Documentazione di Apigee
- Integrazione di Google Cloud Armor con altri prodotti Google
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-7: Semplificare la configurazione della sicurezza di rete
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: quando si gestisce un ambiente di rete complesso, usare strumenti per semplificare, centralizzare e migliorare la gestione della sicurezza di rete.
Linee guida di Azure: usare le funzionalità seguenti per semplificare l'implementazione e la gestione della rete virtuale, delle regole del gruppo di sicurezza di rete e delle regole di Firewall di Azure:
- Usare Azure Rete virtuale Manager per raggruppare, configurare, distribuire e gestire le reti virtuali e le regole del gruppo di sicurezza di rete tra aree e sottoscrizioni.
- Usare Microsoft Defender per la protezione avanzata della rete adattiva cloud per consigliare regole di protezione avanzata del gruppo di sicurezza di rete che limitano ulteriormente porte, protocolli e indirizzi IP di origine in base al risultato dell'analisi delle minacce e del traffico.
- Usare Firewall di Azure Manager per centralizzare i criteri del firewall e la gestione delle route della rete virtuale. Per semplificare l'implementazione delle regole del firewall e dei gruppi di sicurezza di rete, è anche possibile usare il modello Firewall di Azure Manager di Azure Resource Manager(ARM).
Implementazione di Azure e contesto aggiuntivo:
- Protezione avanzata della rete adattiva in Microsoft Defender per cloud
- Gestione firewall di Azure
- Creare un Firewall di Azure e un criterio firewall - Modello di Resource Manager
Indicazioni su AWS: usare AWS Firewall Manager per centralizzare la gestione dei criteri di protezione della rete nei servizi seguenti:
- Criteri DI AWS WAF
- Criteri avanzati di AWS Shield
- Criteri di gruppo di sicurezza VPC
- Criteri del firewall di rete
AWS Firewall Manager può analizzare automaticamente i criteri correlati al firewall e creare risultati per le risorse non conformi e per gli attacchi rilevati e inviarli all'hub di sicurezza DI AWS per le indagini.
Implementazione di AWS e contesto aggiuntivo:
Linee guida per GCP: usare le funzionalità seguenti per semplificare l'implementazione e la gestione della rete VPC (Virtual Private Cloud), le regole del firewall e le regole WAF:
- Usare reti VPC per gestire e configurare singole reti VPC e regole del firewall VPC.
- Usare criteri firewall gerarchici per raggruppare le regole del firewall e applicare le regole dei criteri in modo gerarchico a livello globale o a livello regionale.
- Usare Google Cloud Armor per applicare criteri di sicurezza personalizzati, regole WAF preconfigurate e protezione DDoS.
È anche possibile usare il Centro intelligence di rete per analizzare la rete e ottenere informazioni dettagliate sulla topologia di rete virtuale, le regole del firewall e lo stato di connettività di rete per migliorare l'efficienza di gestione.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-8: rilevare e disabilitare i servizi e i protocolli non sicuri
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Principio di sicurezza: rilevare e disabilitare i servizi e i protocolli non sicuri nel livello del sistema operativo, dell'applicazione o del pacchetto software. Distribuire controlli di compensazione se non è possibile disabilitare i servizi e i protocolli non sicuri.
Linee guida di Azure: usare la cartella di lavoro del protocollo non sicura di Microsoft Sentinel per individuare l'uso di servizi e protocolli non sicuri, ad esempio SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, crittografia debole in Kerberos e Binding LDAP senza segno. Disabilitare i servizi e i protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.
Nota: se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccando l'accesso alle risorse tramite il gruppo di sicurezza di rete, Firewall di Azure o Azure Web application firewall per ridurre la superficie di attacco.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: abilitare i log del flusso VPC e usare GuardDuty per analizzare i log del flusso VPC per identificare i possibili servizi e protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.
Se i log nell'ambiente AWS possono essere inoltrati a Microsoft Sentinel, è anche possibile usare la cartella di lavoro del protocollo non sicura di Microsoft Sentinel per individuare l'uso di servizi e protocolli non sicuri
Nota: se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccando l'accesso alle risorse tramite gruppi di sicurezza, AWS Network Firewall, AWS Web application firewall per ridurre la superficie di attacco.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: abilitare i log del flusso VPC e usare BigQuery o Centro comandi di sicurezza per analizzare i log del flusso VPC per identificare i possibili servizi e protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.
Se i log nell'ambiente GCP possono essere inoltrati a Microsoft Sentinel, è anche possibile usare la cartella di lavoro del protocollo non sicura di Microsoft Sentinel per individuare l'uso di servizi e protocolli non sicuri. È inoltre possibile inoltrare i log a Google Cloud Chronicle SIEM e SOAR e compilare regole personalizzate per lo stesso scopo.
Nota: se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccando l'accesso alle risorse tramite regole e criteri del firewall VPC o Cloud Armor per ridurre la superficie di attacco.
Implementazione di GCP e contesto aggiuntivo:
- Usare i log del flusso VPC
- Analisi dei log di sicurezza in Google Cloud
- Panoramica - di BigQueryPanoramica del Centro comandi di sicurezza
- Carichi di lavoro di Microsoft Sentinel per GCP
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-9: Connettere la rete locale o cloud privatamente
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Principio di sicurezza: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di colocation.
Linee guida di Azure: per la connettività da sito a sito o da sito leggero, usare la rete privata virtuale di Azure per creare una connessione sicura tra il sito locale o il dispositivo end-user e la rete virtuale di Azure.
Per le connessioni ad alte prestazioni di livello aziendale, usare Azure ExpressRoute (o rete WAN virtuale) per connettere i data center di Azure e l'infrastruttura locale in un ambiente co-location.
Quando si connettono due o più reti virtuali di Azure, usare il peering di rete virtuale. Il traffico di rete tra reti virtuali con peering è privato e viene mantenuto nella rete backbone di Azure.
Implementazione di Azure e contesto aggiuntivo:
- Panoramica della VPN di Azure
- Informazioni sui modelli di connettività ExpressRoute
- Peering di rete virtuale
Indicazioni su AWS: per la connettività da sito a sito o da punto a sito, usare LA VPN AWS per creare una connessione sicura (quando il sovraccarico IPsec non è un problema) tra il sito locale o il dispositivo dell'utente finale alla rete AWS.
Per le connessioni ad alte prestazioni di livello aziendale, usare AWS Direct Connect per connettere VPN e risorse AWS con l'infrastruttura locale in un ambiente di co-location.
È possibile usare il peering VPC o il gateway di transito per stabilire la connettività tra due o più VPC all'interno o tra aree. Il traffico di rete tra VPC peered è privato e viene mantenuto nella rete backbone AWS. Quando è necessario aggiungere più VPC per creare una subnet flat di grandi dimensioni, è anche possibile usare la condivisione VPC.
Implementazione di AWS e contesto aggiuntivo:
- Introduzione a AWS Direct Connect
- Introduzione alla VPN AWS
- Gateway di transito
- Creare e accettare connessioni di peering VPC
- Condivisione VPC
Linee guida GCP: per la connettività da sito a sito o da sito leggero usare Google Cloud VPN.
Per le connessioni ad alte prestazioni aziendali, usare Google Cloud Interconnect o Partner Interconnect, per connettersi alle VPN e alle risorse di Google Cloud con l'infrastruttura locale in un ambiente di colocation.
È possibile usare il peering di rete VPC o il Centro connettività di rete per stabilire la connettività tra due o più VPN all'interno o tra aree geografiche. Il traffico di rete tra vpn peered è privato e viene mantenuto nella rete backbone GCP. Quando è necessario aggiungere più VPC per creare una subnet flat di grandi dimensioni, è anche possibile usare VPC condiviso
Implementazione di GCP e contesto aggiuntivo:
- Panoramica della VPN cloud
- Interconnessione cloud, interconnessione dedicata e interconnessione partner
- Panoramica del Centro connettività di rete
- Connessione al servizio privato
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-10: Verificare la sicurezza dns (Domain Name System)
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Principio di sicurezza: assicurarsi che la configurazione di sicurezza DNS (Domain Name System) sia in protezione da rischi noti:
- Usare servizi DNS attendibili e ricorsivi nell'ambiente cloud per garantire che il client (ad esempio sistemi operativi e applicazioni) riceva il risultato della risoluzione corretto.
- Separare la risoluzione DNS pubblica e privata in modo che il processo di risoluzione DNS per la rete privata possa essere isolato dalla rete pubblica.
- Assicurarsi che la strategia di sicurezza DNS includa anche mitigazioni contro attacchi comuni, ad esempio l'inngling DNS, gli attacchi di amplificazione DNS, l'avvelenamento DNS e lo spoofing e così via.
Linee guida di Azure: usare DNS ricorsivo di Azure (in genere assegnato alla macchina virtuale tramite DHCP o preconfigurato nel servizio) o un server DNS esterno attendibile nell'installazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.
Usare Azure DNS privato per una configurazione della zona DNS privata in cui il processo di risoluzione DNS non lascia la rete virtuale. Usare un DNS personalizzato per limitare la risoluzione DNS solo per consentire la risoluzione attendibile al client.
Usare Microsoft Defender per DNS per la protezione avanzata contro le minacce di sicurezza seguenti al carico di lavoro o al servizio DNS:
- Esfiltrazione di dati dalle risorse di Azure tramite tunneling DNS
- Malware che comunica con un server di comando e controllo
- Comunicazione con domini dannosi, ad esempio phishing e crypto mining
- Attacchi DNS in comunicazione con resolver DNS dannosi
È anche possibile usare Microsoft Defender per servizio app per rilevare i record DNS in grado di rimuovere un sito Web servizio app senza rimuovere il dominio personalizzato dal registrar DNS.
Implementazione di Azure e contesto aggiuntivo:
- Panoramica del DNS di Azure
- Guida alla distribuzione di Secure Domain Name System (DNS):
- DNS privato di Azure
- Azure Defender per DNS
- Impedire l'inserimento di voci DNS e evitare l'acquisizione del sottodominio:
Linee guida per AWS: usare amazon DNS Server (in altre parole, il server resolver amazon Route 53 che viene in genere assegnato all'utente tramite DHCP o preconfigurato nel servizio) o un server di risoluzione DNS centralizzato nel programma di installazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.
Usare Amazon Route 53 per creare una configurazione della zona ospitata privata in cui il processo di risoluzione DNS non lascia le VPN designate. Usare il firewall Amazon Route 53 per regolare e filtrare il traffico DNS/UDP in uscita nel VPC per i casi d'uso seguenti:
- Impedire attacchi come l'esfiltrazione DNS nel VPC
- Configurare l'elenco consenti o nega per i domini che le applicazioni possono eseguire query
Configurare la funzionalità Domain Name System Security Extensions (DNSSEC) in Amazon Route 53 per proteggere il traffico DNS per proteggere il dominio dallo spoofing DNS o da un attacco man-in-the-middle.
Amazon Route 53 offre anche un servizio di registrazione DNS in cui è possibile usare Route 53 come server di nomi autorevoli per i domini. Le procedure consigliate seguenti devono essere seguite per garantire la sicurezza dei nomi di dominio:
- I nomi di dominio devono essere rinnovati automaticamente dal servizio Amazon Route 53.
- I nomi di dominio devono avere la funzionalità Di blocco trasferimento abilitata per mantenerli sicuri.
- Il framework di criteri del mittente (SPF) deve essere usato per interrompere lo spoofing del dominio.
Implementazione di AWS e contesto aggiuntivo:
- Configurazione DNSSEC di Amazon Route 53
- Firewall amazon Route 53
- Registrazione del dominio Amazon Route 53
Indicazioni su GCP: usare il server DNS GCP (ad esempio il server di metadati che viene in genere assegnato alla macchina virtuale tramite DHCP o preconfigurato nel servizio) o un server dns dns centralizzato (ad esempio Google Public DNS) nella configurazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.
Usare IL DNS cloud GCP per creare una zona DNS privata in cui il processo di risoluzione DNS non lascia le VPN desginate. Regolare e filtrare il traffico DNS/UDP in uscita nel VPC i casi d'uso:
- Impedire attacchi come l'esfiltrazione DNS nel VPC
- Configurare elenchi consentiti o negati per i domini che le applicazioni esegue una query
Configurare la funzionalità DNSSEC (Domain Name System Security Extensions) in DNS cloud per proteggere il traffico DNS per proteggere il dominio dallo spoofing DNS o da un attacco man-in-the-middle.
Google Cloud Domains offre servizi di registrazione del dominio. GCP Cloud DNS può essere usato come server di nomi autorevole per i domini. Le procedure consigliate seguenti devono essere seguite per garantire la sicurezza dei nomi di dominio:
- I nomi di dominio devono essere rinnovati automaticamente da Google Cloud Domains.
- I nomi di dominio devono avere la funzionalità Di blocco trasferimento abilitata per mantenerle sicure
- Il framework di criteri del mittente (SPF) deve essere usato per interrompere lo spoofing del dominio.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):