Controllo di sicurezza v3: Sicurezza di rete
La sicurezza di rete copre i controlli per proteggere e proteggere le reti di Azure, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione di attacchi esterni e la protezione di DNS.
NS-1: Stabilire i limiti di segmentazione di rete
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: assicurarsi che la distribuzione della rete virtuale sia allineata alla strategia di segmentazione aziendale definita nel controllo di sicurezza GS-2. Qualsiasi carico di lavoro che potrebbe comportare un rischio maggiore per l'organizzazione deve trovarsi in reti virtuali isolate. Esempi di carico di lavoro ad alto rischio includono:
- Un'applicazione che archivia o elabora dati estremamente sensibili.
- Un'applicazione esterna con connessione alla rete accessibile dal pubblico o dagli utenti esterni all'organizzazione.
- Un'applicazione che usa un'architettura non sicura o contiene vulnerabilità che non possono essere facilmente risolte.
Per migliorare la strategia di segmentazione aziendale, limitare o monitorare il traffico tra le risorse interne usando i controlli di rete. Per applicazioni specifiche e ben definite ,ad esempio un'app a 3 livelli, può trattarsi di un approccio "Nega per impostazione predefinita, consentire per eccezione" altamente sicuro limitando le porte, i protocolli, l'origine e gli INDIRIZZI IP di destinazione del traffico di rete. Se sono presenti molte applicazioni ed endpoint che interagiscono tra loro, il blocco del traffico potrebbe non essere scalabile correttamente e potrebbe essere possibile monitorare solo il traffico.
Linee guida di Azure: creare una rete virtuale (VNet) come approccio di segmentazione fondamentale nella rete di Azure, in modo che le risorse come le macchine virtuali possano essere distribuite nella rete virtuale all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno della rete virtuale per reti secondarie più piccole.
Usare i gruppi di sicurezza di rete (NSG) come controllo a livello di rete per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione.
È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare la configurazione complessa. Anziché definire criteri basati su indirizzi IP espliciti nei gruppi di sicurezza di rete, i gruppi di sicurezza di rete consentono di configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione, consentendo di raggruppare le macchine virtuali e definire criteri di sicurezza di rete basati su tali gruppi.
Implementazione e contesto aggiuntivo:
- Concetti e procedure consigliate per Rete virtuale di Azure
- Aggiungere, modificare o eliminare una subnet di rete virtuale
- Come creare un gruppo di sicurezza di rete con regole di sicurezza
- Comprendere e usare i gruppi di sicurezza delle applicazioni
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-2: Proteggere i servizi cloud con i controlli di rete
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: proteggere i servizi cloud stabilendo un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso dalla rete pubblica, quando possibile.
Linee guida di Azure: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità collegamento privato per stabilire un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso alla rete pubblica ai servizi, se possibile.
Per determinati servizi, è anche possibile distribuire l'integrazione rete virtuale per il servizio in cui è possibile limitare la rete virtuale per stabilire un punto di accesso privato per il servizio.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-3: Distribuire il firewall nella rete perimetrale della rete aziendale
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: distribuire un firewall per eseguire filtri avanzati sul traffico di rete da e verso reti esterne. È anche possibile usare firewall tra segmenti interni per supportare una strategia di segmentazione. Se necessario, usare route personalizzate per la subnet per eseguire l'override della route di sistema quando è necessario forzare il traffico di rete a passare attraverso un'appliance di rete a scopo di controllo di sicurezza.
Bloccare almeno gli indirizzi IP non noti e i protocolli ad alto rischio, ad esempio la gestione remota (ad esempio RDP e SSH) e i protocolli Intranet (ad esempio, SMB e Kerberos).
Linee guida di Azure: usare Firewall di Azure per fornire restrizioni del traffico a livello di applicazione con stato completo (ad esempio il filtro URL) e/o la gestione centrale su un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke).
Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub/spoke, potrebbe essere necessario creare route definite dall'utente per garantire che il traffico attraversi la route desiderata. È ad esempio possibile usare una route definita dall'utente per reindirizzare il traffico Internet in uscita attraverso un Firewall di Azure specifico o un'appliance virtuale di rete.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-4: Distribuire sistemi di rilevamento intrusioni/prevenzione delle intrusioni (IDS/IPS)
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Principio di sicurezza: usare il rilevamento delle intrusioni di rete e i sistemi di prevenzione delle intrusioni (IDS/IPS) per controllare il traffico di rete e payload da o verso il carico di lavoro. Assicurarsi che IDS/IPS sia sempre ottimizzato per fornire avvisi di alta qualità alla soluzione SIEM.
Per funzionalità di rilevamento e prevenzione più approfondite a livello di host, usare l'IDS/IPS basato su host o una soluzione di rilevamento e reazione dagli endpoint basata su host (EDR) insieme all'IDS/IPS di rete.
Linee guida di Azure: usare la funzionalità IDPS di Firewall di Azure nella rete per inviare avvisi su e/o bloccare il traffico da e verso indirizzi IP e domini dannosi noti.
Per funzionalità di rilevamento e prevenzione più approfondite a livello di host, distribuire l'IDS/IPS basato su host o una soluzione di rilevamento e reazione dagli endpoint basata su host (EDR), ad esempio Microsoft Defender per endpoint, a livello di macchina virtuale insieme all'IDS/IPS di rete.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
NS-5: Distribuire la protezione DDOS
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Principio di sicurezza: distribuire la protezione DDoS (Distributed Denial of Service) per proteggere la rete e le applicazioni da attacchi.
Linee guida di Azure: abilitare il piano di protezione standard DDoS nella rete virtuale per proteggere le risorse esposte alle reti pubbliche.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (altre informazioni):
NS-6: Distribuire web application firewall
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: distribuire un web application firewall (WAF) e configurare le regole appropriate per proteggere le applicazioni Web e le API da attacchi specifici dell'applicazione.
Linee guida di Azure: usare le funzionalità del web application firewall (WAF) in gateway applicazione di Azure, Frontdoor di Azure e Rete per la distribuzione di contenuti di Azure (rete CDN) per proteggere le applicazioni, i servizi e le API da attacchi a livello di applicazione al bordo della rete. Impostare il WAF in "rilevamento" o "modalità di prevenzione", a seconda delle esigenze e del panorama delle minacce. Scegliere un set di regole predefinito, ad esempio vulnerabilità OWASP Top 10 e ottimizzarlo per l'applicazione.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (altre informazioni):
NS-7: Semplificare la configurazione della sicurezza di rete
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio di sicurezza: quando si gestisce un ambiente di rete complesso, si usano strumenti per semplificare, centralizzare e migliorare la gestione della sicurezza di rete.
Linee guida di Azure: usare le funzionalità seguenti per semplificare l'implementazione e la gestione dei gruppi di sicurezza di rete e delle regole di Firewall di Azure:
- Usare Microsoft Defender per il cloud protezione avanzata della rete adattiva per consigliare regole di protezione avanzata del gruppo di sicurezza di rete che limitano ulteriormente porte, protocolli e indirizzi IP di origine in base al risultato dell'analisi del traffico e dell'intelligence sulle minacce.
- Usare Firewall di Azure Manager per centralizzare i criteri del firewall e la gestione delle route della rete virtuale. Per semplificare l'implementazione delle regole del firewall e dei gruppi di sicurezza di rete, è anche possibile usare il modello arm di Firewall di Azure Manager (Azure Resource Manager).
Implementazione e contesto aggiuntivo:
- Protezione avanzata della rete adattiva in Microsoft Defender per il cloud
- Gestione firewall di Azure
- Creare un Firewall di Azure e un criterio firewall - Modello di Resource Manager
Stakeholder della sicurezza dei clienti (altre informazioni):
NS-8: rilevare e disabilitare i servizi e i protocolli non sicuri
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Principio di sicurezza: rilevare e disabilitare i servizi e i protocolli non sicuri nel livello del sistema operativo, dell'applicazione o del pacchetto software. Distribuire controlli di compensazione se non è possibile disabilitare i servizi e i protocolli non sicuri.
Linee guida di Azure: usare la cartella di lavoro del protocollo non sicura di Azure Sentinel per individuare l'uso di servizi e protocolli non sicuri, ad esempio SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Binding LDAP senza segno e crittografia debole in Kerberos. Disabilitare i servizi e i protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.
Nota: se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccando l'accesso alle risorse tramite il gruppo di sicurezza di rete, Firewall di Azure o Azure Web application firewall per ridurre la superficie di attacco.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (altre informazioni):
NS-9: Connessione rete locale o cloud privatamente
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Principio di sicurezza: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di colocation.
Linee guida di Azure: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di colocation.
Per la connettività leggera tra sito da sito a sito o da punto a sito, usare la rete privata virtuale di Azure (VPN) per creare una connessione sicura tra il sito locale o il dispositivo end-user alla rete virtuale di Azure.
Per la connessione ad alte prestazioni di livello aziendale, usare Azure ExpressRoute (o rete WAN virtuale) per connettere i data center di Azure e l'infrastruttura locale in un ambiente co-location.
Quando si connettono due o più reti virtuali di Azure, usare il peering di rete virtuale. Il traffico di rete tra reti virtuali con peering è privato e viene mantenuto nella rete backbone di Azure.
Implementazione e contesto aggiuntivo:
- Panoramica della VPN di Azure
- Informazioni sui modelli di connettività ExpressRoute
- Peering di rete virtuale
Stakeholder della sicurezza dei clienti (altre informazioni):
NS-10: Verificare la sicurezza dns (Domain Name System)
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Principio di sicurezza: assicurarsi che la configurazione di sicurezza DNS (Domain Name System) sia protetto da rischi noti:
- Usare servizi DNS attendibili e ricorsivi nell'ambiente cloud per garantire che il client (ad esempio sistemi operativi e applicazioni) riceva il risultato della risoluzione corretto.
- Separare la risoluzione DNS pubblica e privata in modo che il processo di risoluzione DNS per la rete privata possa essere isolato dalla rete pubblica.
- Assicurarsi che la strategia di sicurezza DNS includa anche mitigazioni contro attacchi comuni, ad esempio l'inngling DNS, gli attacchi di amplificazione DNS, l'avvelenamento DNS e lo spoofing e così via.
Linee guida di Azure: usare DNS ricorsivo di Azure o un server DNS esterno attendibile nell'installazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.
Usare Azure DNS privato per la configurazione della zona DNS privata in cui il processo di risoluzione DNS non lascia la rete virtuale. Usare un DNS personalizzato per limitare la risoluzione DNS che consente solo la risoluzione attendibile al client.
Usare Azure Defender per DNS per la protezione avanzata contro le minacce di sicurezza seguenti al carico di lavoro o al servizio DNS:
- Esfiltrazione di dati dalle risorse di Azure tramite tunneling DNS
- Comunicazione di malware con il server di comando e controllo
- Comunicazione con domini dannosi come phishing e crypto mining
- Attacchi DNS nella comunicazione con resolver DNS dannosi
È anche possibile usare Azure Defender per servizio app per rilevare i record DNS incerti se si rimuove un sito Web servizio app senza rimuovere il dominio personalizzato dal registrar DNS.
Implementazione e contesto aggiuntivo:
- Panoramica di DNS di Azure
- Guida alla distribuzione dns (Secure Domain Name System):
- Azure DNS privato
- Azure Defender per DNS
- Evitare voci DNS dangling ed evitare l'acquisizione del sottodominio:
Stakeholder della sicurezza dei clienti (Altre informazioni):