ネットワーク セキュリティには、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部攻撃の防止と軽減、DNS のセキュリティ保護など、ネットワークをセキュリティで保護するための制御が含まれます。
NS-1: ネットワークセグメント化の境界を確立する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
セキュリティ原則: 仮想ネットワークのデプロイが、GS-2 セキュリティ制御で定義されているエンタープライズ セグメンテーション戦略と一致していることを確認します。 組織のリスクを高める可能性があるワークロードは、分離された仮想ネットワーク内に置く必要があります。
リスクの高いワークロードの例を次に示します。
- 機密性の高いデータを格納または処理するアプリケーション。
- 公衆、または組織外のユーザーがアクセスできる外部ネットワークに接続するアプリケーション。
- セキュリティで保護されていないアーキテクチャを使用しているアプリケーションや、簡単に修復できない脆弱性を含んでいるアプリケーション。
企業のセグメント化戦略を強化するには、ネットワーク制御を使用して内部リソース間のトラフィックを制限または監視します。 適切に定義された特定のアプリケーション (3 層アプリなど) では、これは、ネットワーク トラフィックのポート、プロトコル、送信元 IP、宛先 IP を制限することにより、"既定で拒否、例外的に許可" という安全性の高いアプローチになります。 相互にやり取りしている多くのアプリケーションとエンドポイントがある場合は、トラフィックをブロックすると適切に拡張できなくなり、トラフィックの監視しか行えなくなる場合があります。
Azure ガイダンス: Azure ネットワークの基本的なセグメント化アプローチとして仮想ネットワーク (VNet) を作成し、VM などのリソースをネットワーク境界内の VNet にデプロイできるようにします。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VNet 内にサブネットを作成できます。
ネットワーク層制御としてネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限または監視します。 「 NS-7: Adaptive Network Hardening を使用するようにネットワーク セキュリティ設定を簡略化 する」を参照して、脅威インテリジェンスとトラフィック分析結果に基づいて NSG セキュリティ強化ルールを推奨します。
また、アプリケーション セキュリティグループ (ASG) を使用して、複雑な構成を簡略化することもできます。 ネットワーク セキュリティ グループの明示的な IP アドレスに基づいてポリシーを定義する代わりに、ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。
Azure の実装と追加のコンテキスト:
- Azure Virtual Network の概念とベスト プラクティス
- 仮想ネットワーク サブネットの追加、変更、削除
- セキュリティ規則を使用してネットワーク セキュリティ グループを作成する方法
- アプリケーション セキュリティ グループを理解して使用する
AWS ガイダンス: AWS ネットワークの基本的なセグメンテーションアプローチとして Virtual Private Cloud (VPC) を作成し、EC2 インスタンスなどのリソースをネットワーク境界内の VPC にデプロイできるようにします。 ネットワークをさらにセグメント化するために、VPC 内にサブネットを作成して、小規模なサブネットワークにすることができます。
EC2 インスタンスの場合は、セキュリティグループをステートフルファイアウォールとして使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限します。 VPC サブネットレベルでは、ネットワークアクセスコントロールリスト(NACL)をステートレスファイアウォールとして使用して、サブネットへのイングレストラフィックとエグレストラフィックの明示的なルールを設定します。
注: VPC トラフィックを制御するには、インターネットと NAT ゲートウェイを設定して、インターネットとの間のトラフィックが制限されるようにする必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP ネットワークの基本的なセグメンテーション アプローチとして Virtual Private Cloud(VPC)ネットワークを作成し、Compute Engine 仮想マシン インスタンス(VM)などのリソースをネットワーク境界内の VPC ネットワークにデプロイできるようにします。 ネットワークをさらにセグメント化するために、VPC 内にサブネットを作成して、小規模なサブネットワークにすることができます。
VPC ファイアウォール ルールを分散ネットワーク レイヤ制御として使用して、VPC、Google Kubernetes Engine(GKE)クラスタ、App Engine フレキシブル環境インスタンスなど、VPC ネットワーク内のターゲット インスタンスとの間の接続を許可または拒否します。
また、VPC ネットワーク内のすべてのインスタンス、一致するネットワークタグを持つインスタンス、または特定のサービスアカウントを使用するインスタンスを対象とするように VPC ファイアウォールルールを設定して、インスタンスをグループ化し、それらのグループに基づいてネットワークセキュリティポリシーを定義することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-2: ネットワーク制御を使用してクラウド ネイティブ サービスをセキュリティで保護する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
セキュリティ原則: リソースのプライベート アクセス ポイントを確立することで、クラウド サービスを保護します。 また、可能な場合は、パブリックネットワークからのアクセスを無効化または制限する必要があります。
Azure ガイダンス: Private Link 機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 Private Link を使用すると、プライベート接続がパブリック ネットワーク経由でルーティングされなくなります。
注: 特定の Azure サービスでは、サービス エンドポイント機能を介したプライベート通信も許可される場合がありますが、Azure プラットフォームでホストされているサービスへの安全でプライベートなアクセスには、Azure Private Link を使用することをお勧めします。
特定のサービスでは、サービスの VNet 統合をデプロイして、VNET を制限してサービスのプライベート アクセス ポイントを確立できます。
また、サービスネイティブネットワーク ACL ルールを設定するか、パブリックネットワークアクセスを無効にしてパブリックネットワークからのアクセスをブロックすることもできます。
Azure VM の場合、強力なユース ケースがない限り、パブリック IP/サブネットを VM インターフェイスに直接割り当てることは避け、代わりに、パブリック ネットワークによるアクセスのフロントエンドとしてゲートウェイまたはロード バランサ サービスを使用する必要があります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: PrivateLink 機能をサポートするすべての AWS リソースに VPC PrivateLink をデプロイして、サポートされている AWS サービスまたは他の AWS アカウント (VPC エンドポイントサービス) によってホストされているサービスへのプライベート接続を許可します。 PrivateLink を使用すると、プライベート接続がパブリック ネットワーク経由でルーティングされなくなります。
特定のサービスでは、サービスインスタンスを独自の VPC にデプロイしてトラフィックを分離することを選択できます。
また、パブリック ネットワークからのアクセスをブロックするようにサービス ネイティブ ACL ルールを設定するオプションもあります。 たとえば、Amazon S3 では、バケットレベルまたはアカウントレベルでパブリックアクセスをブロックできます。
VPC 内のサービスリソースに IP を割り当てる場合、強力なユースケースがない限り、パブリック IP/サブネットをリソースに直接割り当てることは避け、代わりにプライベート IP/サブネットを使用する必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: VPC プライベート Google Access の実装をサポートするすべての GCP リソースにデプロイして、リソースのプライベート アクセス ポイントを確立します。 これらのプライベートアクセスオプションは、プライベート接続がパブリックネットワーク経由でルーティングされるのを防ぎます。 限定公開の Google アクセスには、内部 IP アドレスのみを持つ(外部 IP アドレスを持たない)VM インスタンスがあります
特定のサービスでは、サービスインスタンスを独自の VPC にデプロイしてトラフィックを分離することを選択できます。 また、パブリック ネットワークからのアクセスをブロックするようにサービス ネイティブ ACL ルールを設定するオプションもあります。 たとえば、App Engine ファイアウォールを使用すると、App Engine リソースとの通信時に許可または拒否するネットワーク トラフィックを制御できます。 Cloud Storage は、個々のバケットまたは組織レベルでパブリック アクセス防止を適用できる別のリソースです。
GCP Compute Engine VM の場合、強力なユースケースがない限り、パブリック IP やサブネットを VM インターフェースに直接割り当てることは避け、代わりにゲートウェイまたはロードバランサ サービスをパブリック ネットワークによるアクセスのフロントエンドとして使用する必要があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-3: エンタープライズ ネットワークのエッジでファイアウォールをデプロイする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4、SC-7、CM-7 | 1.1, 1.2, 1.3 |
セキュリティ原則: ファイアウォールをデプロイして、外部ネットワークとの間のネットワーク トラフィックに対して高度なフィルター処理を実行します。 また、内部セグメント間のファイアウォールを使用して、セグメント化戦略をサポートすることもできます。 必要に応じて、サブネットのカスタムルートを使用して、セキュリティ制御の目的でネットワークトラフィックをネットワークアプライアンスを強制的に通過させる必要がある場合に、システムルートを上書きします。
少なくとも、既知の問題のある IP アドレスと、リモート管理 (RDP や SSH など) やイントラネット プロトコル (SMB や Kerberos など) などの危険度の高いプロトコルをブロックします。
Azure ガイダンス: Azure Firewall を使用して、完全にステートフルなアプリケーション層のトラフィック制限 (URL フィルタリングなど) や、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) に対する一元管理を提供します。
ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、ユーザー定義ルート (UDR) を作成する必要が生じることがあります。 たとえば、UDR を使用して、特定の Azure Firewall またはネットワーク仮想アプライアンスを介してエグレス インターネット トラフィックをリダイレクトするオプションがあります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Network Firewall を使用して、完全にステートフルなアプリケーションレイヤーのトラフィック制限 (URL フィルタリングなど) や、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) に対する一元管理を提供します。
ハブ/スポークのセットアップなど、複雑なネットワークトポロジがある場合は、トラフィックが目的のルートを通過するように、カスタム VPC ルートテーブルを作成する必要がある場合があります。 たとえば、カスタムルートを使用して、特定の AWS Firewall またはネットワーク仮想アプライアンスを介してエグレスインターネットトラフィックをリダイレクトするオプションがあります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Armor セキュリティ ポリシーを使用して、レイヤ 7 フィルタリングを提供し、一般的なウェブ攻撃を保護します。 さらに、VPC ファイアウォールルールを使用して、分散型で完全にステートフルなネットワークレイヤのトラフィック制限と、多数のエンタープライズセグメントまたはスポーク(ハブ / スポークトポロジ内)に対する一元管理のためのファイアウォールポリシーを提供します。
ハブ / スポーク設定など、複雑なネットワーク トポロジがある場合は、ファイアウォール ルールをグループ化し、階層化するファイアウォール ポリシーを作成して、複数の VPC ネットワークに適用できるようにします。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-4: 侵入検出および侵入防止システム (IDS/IPS) をデプロイする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7、SI-4 | 11.4 |
セキュリティ原則: ネットワーク侵入検知および侵入防止システム (IDS/IPS) を使用して、ワークロードとの間で送受信されるネットワークおよびペイロードトラフィックを検査します。 SIEM ソリューションに高品質のアラートを提供できるように、IDS/IPS が常に調整されていることを確認します。
より詳細なホスト レベルの検出と防止機能については、ホスト ベースの IDS/IPS またはホストベースのエンドポイントでの検出と対応 (EDR) ソリューションをネットワーク IDS/IPS と組み合わせて使用します。
Azure ガイダンス: Azure Firewall の IDPS 機能を使用して仮想ネットワークを保護し、既知の悪意のある IP アドレスやドメインとの間のトラフィックをアラートやブロックします。
より詳細なホスト レベルの検出と防止機能については、ホストベースの IDS/IPS や、Microsoft Defender for Endpoint などのホストベースのエンドポイントの検出と対応 (EDR) ソリューションを、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Network Firewall の IPS 機能を使用して VPC を保護し、既知の悪意のある IP アドレスやドメインとの間のトラフィックをアラートやブロックします。
より詳細なホストレベルの検出および防止機能については、ホストベースの IDS/IPS またはホストベースのエンドポイント検出および応答 (EDR) ソリューション (ホストベースの IDS/IPS のサードパーティソリューションなど) を、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。
注: マーケットプレイスのサードパーティ IDS/IPS を使用している場合は、Transit Gateway と Gateway Balancer を使用して、インライン検査のためにトラフィックを転送します。
AWS の実装と追加のコンテキスト:
より詳細なホスト レベルの検出および防止機能については、IDS エンドポイントを、そのリージョン内の任意のゾーンからのトラフィックを検査できるゾーン リソースとしてデプロイします。 各 IDS エンドポイントは、ミラーリングされたトラフィックを受信し、脅威検出分析を実行します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-5: DDoS 保護をデプロイする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1, 1.2, 1.3, 6.6 |
セキュリティ原則: 分散型サービス拒否 (DDoS) 保護をデプロイして、ネットワークとアプリケーションを攻撃から保護します。
Azure ガイダンス: DDoS Protection Basic は、Azure の基になるプラットフォーム インフラストラクチャ (Azure DNS など) を保護するために自動的に有効になり、ユーザーによる構成は必要ありません。
HTTP フラッドや DNS フラッドなどのアプリケーション レイヤー (レイヤー 7) 攻撃をより高いレベルで保護するには、VNet で DDoS 標準保護プランを有効にして、パブリック ネットワークに公開されているリソースを保護します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Shield Standard は、一般的なネットワークおよびトランスポートレイヤー (レイヤー 3 および 4) DDoS 攻撃からワークロードを保護するために、標準の緩和策で自動的に有効になります
HTTPS フラッドや DNS フラッドなどのアプリケーションレイヤー (レイヤー 7) 攻撃からアプリケーションをより高いレベルで保護するには、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 で AWS Shield Advanced 保護を有効にします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Armor には、DDoS 攻撃からシステムを保護するために、次のオプションが用意されています。
- 標準ネットワーク DDoS 保護: ネットワーク ロード バランサー、プロトコル転送、またはパブリック IP アドレスを持つ VM に対する基本的な常時接続保護。
- 高度なネットワーク DDoS 保護: ネットワーク ロード バランサー、プロトコル転送、またはパブリック IP アドレスを持つ VM を使用する Managed Protection Plus サブスクライバー向けの追加の保護。
- 標準のネットワーク DDoS 保護は常に有効になっています。 高度なネットワーク DDoS 保護は、リージョンごとに構成します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-6: Web アプリケーション ファイアウォールをデプロイする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
セキュリティ原則: Web アプリケーション ファイアウォール (WAF) をデプロイし、適切なルールを構成して、アプリケーション固有の攻撃から Web アプリケーションと API を保護します。
Azure ガイダンス: Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web アプリケーション ファイアウォール (WAF) 機能を使用して、ネットワークのエッジでのアプリケーション層攻撃からアプリケーション、サービス、API を保護します。
ニーズと脅威の状況に応じて、WAF を "検出" または "防止モード" に設定します。
OWASP Top 10 vulnerabilitiesなどの組み込みルールセットを選択し、アプリケーションのニーズに合わせて調整します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: Amazon CloudFront ディストリビューション、Amazon API Gateway、Application Load Balancer、または AWS AppSync で AWS Web Application Firewall (WAF) を使用して、ネットワークのエッジでアプリケーションレイヤー攻撃からアプリケーション、サービス、API を保護します。
AWS Managed Rules for WAF を使用して、組み込みのベースライングループをデプロイし、ユーザーケースルールグループのアプリケーションニーズに合わせてカスタマイズします。
WAF ルールのデプロイを簡素化するために、AWS WAF Security Automations ソリューションを使用して、ウェブ ACL に対するウェブベースの攻撃をフィルタリングする事前定義された AWS WAF ルールを自動的にデプロイすることもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Armor を使用して、サービス拒否攻撃やウェブ攻撃からアプリケーションやウェブサイトを保護します。
業界標準に基づく Google Cloud Armor のすぐ利用可能なルールを使用して、一般的なウェブアプリケーションの脆弱性を軽減し、OWASP Top 10 からの保護を提供します。
事前構成済みのWAFルールを設定し、それぞれがModSecurityコアルール(CRS)をソースとする複数のシグネチャで構成されます。 各シグネチャは、ルールセット内の攻撃検出ルールに対応します。
Cloud Armor は外部のロードバランサと連携して動作し、アプリケーションが Google Cloud にデプロイされているか、ハイブリッド デプロイでデプロイされているか、マルチクラウド アーキテクチャでデプロイされているかに関係なく、分散型サービス拒否(DDoS)やその他のウェブベースの攻撃から保護します。 セキュリティポリシーは、設定可能な一致条件とセキュリティポリシー内のアクションを使用して、手動で設定できます。 Cloud Armor は、さまざまなユースケースに対応する事前構成済みのセキュリティ ポリシーも備えています。
Cloud Armor の適応型保護は、バックエンド サービスへのトラフィックのパターンを分析し、疑わしい攻撃を検出してアラートし、そのような攻撃を軽減するための提案された WAF ルールを生成することで、L7 分散攻撃からアプリケーションとサービスを防止、検出、保護するのに役立ちます。 これらのルールは、ニーズに合わせて微調整できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-7: ネットワーク セキュリティの構成を簡略化する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
セキュリティ原則:複雑なネットワーク環境を管理する場合は、ツールを使用してネットワークセキュリティ管理を簡素化、一元化、強化します。
Azure ガイダンス: 次の機能を使用して、仮想ネットワーク、NSG ルール、Azure Firewall ルールの実装と管理を簡略化します。
- Azure Virtual Network Manager を使用して、リージョンとサブスクリプション間で仮想ネットワークと NSG ルールをグループ化、構成、デプロイ、管理します。
- Microsoft Defender for Cloud アダプティブ ネットワークのセキュリティ強化機能を使用して、脅威インテリジェンスとトラフィック分析の結果に基づいてポート、プロトコル、送信元 IP をさらに制限する NSG セキュリティ強化機能ルールを推奨します。
- Azure Firewall Manager を使用して、仮想ネットワークのファイアウォール ポリシーとルート管理を一元化します。 ファイアウォール規則とネットワーク セキュリティ グループの実装を簡略化するために、Azure Firewall Manager Azure Resource Manager(ARM) テンプレートを使用することもできます。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud でのアダプティブ ネットワークのセキュリティ強化
- Azureファイヤウォール マネージャー
- Azure Firewall とファイアウォール ポリシーの作成 - ARM テンプレート
AWS ガイダンス: AWS Firewall Manager を使用して、次のサービス全体でネットワーク保護ポリシー管理を一元化します。
- AWS WAF ポリシー
- AWS Shield アドバンスド ポリシー
- VPC セキュリティグループポリシー
- ネットワークファイアウォールポリシー
AWS Firewall Manager は、ファイアウォール関連のポリシーを自動的に分析し、準拠していないリソースと検出された攻撃の結果を作成し、調査のために AWS Security Hub に送信できます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 次の機能を使用して、Virtual Private Cloud (VPC) ネットワーク、ファイアウォールルール、WAF ルールの実装と管理を簡素化します。
- VPC ネットワークを使用して、個々の VPC ネットワークと VPC ファイアウォール ルールを管理、構成します。
- 階層型ファイアウォール ポリシーを使用して、ファイアウォール ルールをグループ化し、グローバルまたは地域規模でポリシー ルールを階層的に適用します。
- Google Cloud Armor を使用して、カスタム セキュリティ ポリシー、事前構成済みの WAF ルール、DDoS 保護を適用します。
また、Network Intelligence Center を使用してネットワークを分析し、仮想ネットワーク トポロジ、ファイアウォール ルール、ネットワーク接続ステータスに関する分析情報を取得して、管理効率を向上させることもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
NS-8: セキュリティで保護されていないサービスとプロトコルを検出して無効にする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
セキュリティ原則: OS、アプリケーション、またはソフトウェア パッケージ レイヤーで安全でないサービスとプロトコルを検出して無効にします。 セキュリティで保護されていないサービスとプロトコルを無効にできない場合は、補完的な制御をデプロイします。
Azure ガイダンス: Microsoft Sentinel の組み込みの安全でないプロトコル ブックを使用して、SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Kerberos の脆弱な暗号、署名されていない LDAP バインドなどの安全でないサービスとプロトコルの使用を検出します。 適切なセキュリティ標準を満たしていない安全でないサービスとプロトコルを無効にします。
注: セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、ネットワーク セキュリティ グループ、Azure Firewall、または Azure Web アプリケーション ファイアウォールを介してリソースへのアクセスをブロックするなどの補正制御を使用して、攻撃対象領域を減らします。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: VPC フローログを有効にし、GuardDuty を使用して VPC フローログを分析し、適切なセキュリティ基準を満たさない安全でない可能性のあるサービスとプロトコルを特定します。
AWS 環境のログを Microsoft Sentinel に転送できる場合は、Microsoft Sentinel の組み込みの Insecure Protocol Workbook を使用して、安全でないサービスとプロトコルの使用を検出することもできます
注: 安全でないサービスやプロトコルを無効にできない場合は、セキュリティグループ、AWS Network Firewall、AWS Web Application Firewall を通じてリソースへのアクセスをブロックするなどの補正制御を使用して、攻撃対象領域を減らします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: VPC フローログを有効にし、BigQuery または Security Command Center を使用して VPC フローログを分析し、適切なセキュリティ基準を満たさない安全でない可能性のあるサービスやプロトコルを特定します。
GCP 環境のログを Microsoft Sentinel に転送できる場合は、Microsoft Sentinel に組み込まれている Insecure Protocol Workbook を使用して、安全でないサービスとプロトコルの使用を検出することもできます。 さらに、ログを Google Cloud、Chronicle SIEM、SOAR に転送し、同じ目的でカスタムルールを作成できます。
注: 安全でないサービスやプロトコルを無効にできない場合は、VPC ファイアウォールのルールやポリシー、Cloud Armor を通じてリソースへのアクセスをブロックするなどの補正制御を使用して、攻撃対象領域を減らします。
GCP の実装と追加のコンテキスト:
- VPC フローログ を使用する
- Google Cloud のセキュリティログ分析
- BigQuery の概要 - Security Command Center の概要
- GCP ワークロード用の Microsoft Sentinel
顧客のセキュリティ利害関係者 (詳細情報):
NS-9: オンプレミスまたはクラウド ネットワークをプライベートに接続する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | なし |
セキュリティ原則: クラウド サービス プロバイダーのデータセンターやコロケーション環境のオンプレミス インフラストラクチャなど、異なるネットワーク間の安全な通信には、プライベート接続を使用します。
Azure ガイダンス: 軽量のサイト間接続またはポイント対サイト接続の場合は、Azure 仮想プライベート ネットワーク (VPN) を使用して、オンプレミス サイトまたはエンド ユーザー デバイスと Azure 仮想ネットワークとの間にセキュリティで保護された接続を作成します。
エンタープライズ レベルの高パフォーマンス接続を実現するには、Azure ExpressRoute (または Virtual WAN) を使用して、コロケーション環境で Azure データセンターとオンプレミス インフラストラクチャを接続します。
2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure バックボーン ネットワーク上に保持されます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: サイト間またはポイントツーサイト接続の場合は、AWS VPN を使用して、オンプレミスサイトまたはエンドユーザーデバイスと AWS ネットワークの間に安全な接続を作成します (IPsec オーバーヘッドが問題にならない場合)。
エンタープライズレベルのハイパフォーマンス接続を実現するには、AWS Direct Connect を使用して、AWS VPC とリソースをコロケーション環境でオンプレミスインフラストラクチャに接続します。
VPC ピアリングまたはトランジットゲートウェイを使用して、リージョン内またはリージョン間で 2 つ以上の VPC 間の接続を確立するオプションがあります。 ピアリングされたVPC間のネットワークトラフィックはプライベートであり、AWSバックボーンネットワーク上に保持されます。 複数の VPC を結合して大きなフラットサブネットを作成する必要がある場合は、VPC 共有を使用するオプションもあります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 軽量のサイト間接続またはポイント間接続には、Google Cloud VPN を使用します。
エンタープライズ レベルの高パフォーマンス接続を実現するには、Google Cloud Interconnect または Partner Interconnect を使用して、コロケーション環境のオンプレミス インフラストラクチャで Google Cloud VPC とリソースに接続します。
VPC Network Peering または Network Connectivity Center を使用して、リージョン内またはリージョン間で 2 つ以上の VPC 間の接続を確立するオプションがあります。 ピアリングされた VPC 間のネットワーク トラフィックはプライベートであり、GCP バックボーン ネットワーク上に保持されます。 複数の VPC を結合して大きなフラットサブネットを作成する必要がある場合は、共有 VPC を使用するオプションもあります
GCP の実装と追加のコンテキスト:
- クラウド VPN の概要
- Cloud Interconnect、Dedicated Interconnect、Partner Interconnect
- ネットワーク接続センターの概要
- プライベート サービス コネクト
顧客のセキュリティ利害関係者 (詳細情報):
NS-10: ドメイン ネーム システム (DNS) のセキュリティを確保する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20、SC-21 | なし |
セキュリティ原則: ドメイン ネーム システム (DNS) のセキュリティ構成が既知のリスクから保護することを確認します。
- クラウド環境全体で信頼できる権威DNSおよび再帰DNSサービスを使用して、クライアント(オペレーティングシステムやアプリケーションなど)が正しい解決結果を受け取るようにします。
- プライベート ネットワークの DNS 解決プロセスをパブリック ネットワークから分離できるよう、パブリック DNS 解決とプライベート DNS 解決を分離します。
- DNS セキュリティ戦略に、ダングリング DNS、DNS アンプ攻撃、DNS ポイズニング、スプーフィングなどの一般的な攻撃に対する軽減策も含まれていることを確認します。
Azure ガイダンス: Azure 再帰 DNS (通常は DHCP を介して VM に割り当てられるか、サービスで事前構成されています) またはワークロード再帰 DNS セットアップ (VM のオペレーティング システムやアプリケーションなど) で信頼された外部 DNS サーバーを使用します。
Azure プライベート DNS は、DNS 解決プロセスが仮想ネットワークを離れないプライベート DNS ゾーンのセットアップに使用します。 カスタム DNS を使用して、信頼できる解決のみをクライアントに許可するように DNS 解決を制限します。
Microsoft Defender for DNS を使用して、ワークロードまたは DNS サービスに対する次のセキュリティの脅威に対する高度な保護を行います。
- Azure リソースからのデータ流出 (DNS トンネリングを使用)
- コマンド&コントロールサーバーと通信するマルウェア
- フィッシングや暗号マイニングなどの悪意のあるドメインとの通信
- 悪意のある DNS リゾルバとの通信での DNS 攻撃
また、Microsoft Defender for App Service を使用して、App Service Web サイトを DNS レジストラーからカスタム ドメインを削除せずに使用停止にした場合に、未解決の DNS レコードを検出することもできます。
Azure の実装と追加のコンテキスト:
- Azure DNS の概要
- セキュリティで保護されたドメイン ネーム システム (DNS) 展開ガイド:
- Azure プライベート DNS
- Azure Defender for DNS
- 未解決の DNS エントリを防ぎ、サブドメインの引き継ぎを回避します。
AWS ガイダンス: Amazon DNS サーバー (つまり、通常は DHCP を介して割り当てられるか、サービスで事前設定されている Amazon Route 53 リゾルバーサーバー) または、VM のオペレーティングシステムやアプリケーションなどのワークロード再帰 DNS セットアップで、一元化された信頼された DNS リゾルバーサーバーを使用します。
Amazon Route 53 を使用して、DNS 解決プロセスが指定された VPC を離れないプライベートホストゾーンのセットアップを作成します。 Amazon Route 53 ファイアウォールを使用して、次のユースケースで VPC のアウトバウンド DNS/UDP トラフィックを規制およびフィルタリングします。
- VPCでのDNS窃盗などの攻撃を防止
- アプリケーションがクエリできるドメインの許可リストまたは拒否リストを設定する
Amazon Route 53 で DNS トラフィックを保護するように Domain Name System Security Extensions (DNSSEC) 機能を設定して、DNS スプーフィングや中間者攻撃からドメインを保護します。
Amazon Route 53 は、Route 53 をドメインの権威ネームサーバーとして使用できる DNS 登録サービスも提供しています。 ドメイン名のセキュリティを確保するために、次のベストプラクティスに従う必要があります。
- ドメイン名は、Amazon Route 53 サービスによって自動的に更新される必要があります。
- ドメイン名を安全に保つために、転送ロック機能を有効にする必要があります。
- SPF(Sender Policy Framework)は、スパマーがドメインを偽装するのを防ぐために使用する必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP DNS サーバー (つまり、通常は DHCP 経由で VM に割り当てられるか、サービスで事前構成されているメタデータ サーバー) または一元化された信頼できる DNS リゾルバー サーバー (Google Public DNS など) を、VM のオペレーティング システムやアプリケーションなどのワークロード再帰 DNS セットアップで使用します。
GCP Cloud DNS を使用して、DNS 解決プロセスが宛先の VPC を離れないプライベート DNS ゾーンを作成します。 VPC のアウトバウンド DNS/UDP トラフィックを規制し、フィルタリングするユースケース:
- VPCでのDNS窃盗などの攻撃を防止
- アプリケーションがクエリを実行するドメインの許可リストまたは拒否リストを設定する
Cloud DNS で Domain Name System Security Extensions(DNSSEC)機能を設定して DNS トラフィックを保護し、DNS スプーフィングや中間者攻撃からドメインを保護します。
Google Cloud Domains は、ドメイン登録サービスを提供しています。 GCP Cloud DNS は、ドメインの権限のあるネームサーバーとして使用できます。 ドメイン名のセキュリティを確保するために、次のベストプラクティスに従う必要があります。
- ドメイン名は Google Cloud Domains によって自動的に更新される必要があります。
- ドメイン名を安全に保つために、転送ロック機能を有効にする必要があります
- SPF(Sender Policy Framework)は、スパマーがドメインを偽装するのを防ぐために使用する必要があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):