Beveiligingsbeheer: Netwerkbeveiliging
Netwerkbeveiliging omvat controles voor het beveiligen en beveiligen van netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS.
NS-1: netwerksegmentatiegrenzen vaststellen
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: Zorg ervoor dat de implementatie van uw virtuele netwerk is afgestemd op uw bedrijfssegmentatiestrategie die is gedefinieerd in het GS-2-beveiligingsbeheer. Elke workload die een hoger risico kan opleveren voor de organisatie, moet zich in geïsoleerde virtuele netwerken bevinden.
Voorbeelden van workload met een hoog risico zijn:
- Een toepassing die zeer gevoelige gegevens opslaat of verwerkt.
- Een externe netwerkgerichte toepassing die toegankelijk is voor het publiek of gebruikers buiten uw organisatie.
- Een toepassing die gebruikmaakt van onveilige architectuur of beveiligingsproblemen bevat die niet eenvoudig kunnen worden hersteld.
Als u de segmentatiestrategie van uw onderneming wilt verbeteren, beperkt of bewaakt u verkeer tussen interne resources met behulp van netwerkbesturingselementen. Voor specifieke, goed gedefinieerde toepassingen (zoals een app met drie lagen) kan dit een zeer veilige 'standaard weigeren, toestaan door uitzondering' zijn door de poorten, protocollen, bron- en doel-IP-adressen van het netwerkverkeer te beperken. Als u veel toepassingen en eindpunten hebt die met elkaar communiceren, kan het blokkeren van verkeer mogelijk niet goed worden geschaald en kunt u mogelijk alleen verkeer bewaken.
Azure-richtlijnen: maak een virtueel netwerk (VNet) als een fundamentele segmentatiebenadering in uw Azure-netwerk, zodat resources zoals VM's kunnen worden geïmplementeerd in het VNet binnen een netwerkgrens. Als u het netwerk verder wilt segmenteren, kunt u subnetten binnen VNet maken voor kleinere subnetwerken.
Gebruik netwerkbeveiligingsgroepen (NSG's) als een netwerklaagbeheer om verkeer te beperken of te bewaken via poort, protocol, bron-IP-adres of doel-IP-adres. Raadpleeg NS-7: netwerkbeveiligingsconfiguratie vereenvoudigen om Adaptieve netwerkbeveiliging te gebruiken om NSG-beveiligingsregels aan te bevelen op basis van bedreigingsinformatie en verkeersanalyseresultaat.
U kunt ook toepassingsbeveiligingsgroepen (ASG's) gebruiken om complexe configuratie te vereenvoudigen. In plaats van beleid te definiëren op basis van expliciete IP-adressen in netwerkbeveiligingsgroepen, kunt u met ASG's netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing, zodat u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van deze groepen.
Azure-implementatie en aanvullende context:
- Concepten en best practices voor Azure Virtual Network
- Een subnet van een virtueel netwerk maken, wijzigen of verwijderen
- Een netwerkbeveiligingsgroep maken met beveiligingsregels
- Toepassingsbeveiligingsgroepen begrijpen en gebruiken
AWS-richtlijnen: maak een virtuele privécloud (VPC) als een fundamentele segmentatiebenadering in uw AWS-netwerk, zodat resources zoals EC2-exemplaren kunnen worden geïmplementeerd in de VPC binnen een netwerkgrens. Als u het netwerk verder wilt segmenteren, kunt u subnetten binnen VPC maken voor kleinere subnetwerken.
Gebruik voor EC2-exemplaren beveiligingsgroepen als een stateful firewall om verkeer te beperken per poort, protocol, bron-IP-adres of doel-IP-adres. Op het niveau van het VPC-subnet gebruikt u Network Access Control List (NACL) als een staatloze firewall om expliciete regels te hebben voor inkomend en uitgaand verkeer naar het subnet.
Opmerking: om VPC-verkeer te beheren, moeten internet en NAT-gateway worden geconfigureerd om ervoor te zorgen dat het verkeer van/naar internet wordt beperkt.
AWS-implementatie en aanvullende context:
- Verkeer naar EC2-exemplaren beheren met beveiligingsgroepen
- Beveiligingsgroepen en netwerk-ACL's vergelijken
- Internetgateway
- NAT-gateway
GCP-richtlijnen: Maak een VPC-netwerk (virtual private cloud) als een fundamentele segmentatiebenadering in uw GCP-netwerk, zodat resources zoals vm's (virtuele machines) van de rekenengine binnen een netwerkgrens kunnen worden geïmplementeerd in het VPC-netwerk. Als u het netwerk verder wilt segmenteren, kunt u subnetten binnen de VPC maken voor kleinere subnetwerken.
Gebruik VPC-firewallregels als een gedistribueerd netwerklaagbesturingselement om verbindingen naar of van uw doelexemplaren in het VPC-netwerk toe te staan of te weigeren, waaronder VM's, GKE-clusters (Google Kubernetes Engine) en App Engine Flexibele omgevingsexemplaren.
U kunt ook VPC-firewallregels configureren voor alle exemplaren in het VPC-netwerk, instanties met een overeenkomende netwerktag of exemplaren die een specifiek serviceaccount gebruiken, zodat u exemplaren kunt groepeert en netwerkbeveiligingsbeleid kunt definiëren op basis van deze groepen.
GCP-implementatie en aanvullende context:
- VPC-netwerken maken en beheren
- Google Cloud VPC-subnetten
- VPC-firewallregels gebruiken
- Netwerktags toevoegen
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
NS-2: Cloudeigen services beveiligen met netwerkbesturingselementen
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: beveilig cloudservices door een privétoegangspunt voor resources in te stellen. U moet de toegang vanuit openbare netwerken indien mogelijk ook uitschakelen of beperken.
Azure-richtlijnen: implementeer privé-eindpunten voor alle Azure-resources die ondersteuning bieden voor de functie Private Link om een privétoegangspunt voor de resources tot stand te brengen. Als u Private Link gebruikt, wordt de privéverbinding niet gerouterd via het openbare netwerk.
Opmerking: bepaalde Azure-services kunnen ook privécommunicatie via de service-eindpuntfunctie toestaan, maar het wordt aanbevolen om Azure Private Link te gebruiken voor veilige en persoonlijke toegang tot services die worden gehost op het Azure-platform.
Voor bepaalde services kunt u ervoor kiezen om VNet-integratie voor de service te implementeren, waarbij u het VNET kunt beperken om een privétoegangspunt voor de service tot stand te brengen.
U hebt ook de mogelijkheid om de systeemeigen netwerk-ACL-regels van de service te configureren of gewoon openbare netwerktoegang uit te schakelen om de toegang vanuit openbare netwerken te blokkeren.
Voor Azure-VM's moet u, tenzij er een sterk gebruiksscenario is, voorkomen dat openbare IP-adressen/subnetten rechtstreeks worden toegewezen aan de VM-interface en in plaats daarvan gateway- of load balancer-services gebruiken als front-end voor toegang door het openbare netwerk.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: implementeer VPC PrivateLink voor alle AWS-resources die ondersteuning bieden voor de functie PrivateLink, om een privéverbinding met de ondersteunde AWS-services of -services toe te staan die worden gehost door andere AWS-accounts (VPC-eindpuntservices). Als u PrivateLink gebruikt, wordt voorkomen dat de privéverbinding wordt gerouter via het openbare netwerk.
Voor bepaalde services kunt u ervoor kiezen om het service-exemplaar te implementeren in uw eigen VPC om het verkeer te isoleren.
U hebt ook de mogelijkheid om de systeemeigen ACL-regels voor de service te configureren om de toegang vanaf het openbare netwerk te blokkeren. Met Amazon S3 kunt u bijvoorbeeld openbare toegang blokkeren op bucket- of accountniveau.
Wanneer u IP-adressen toewijst aan uw serviceresources in uw VPC, moet u voorkomen dat openbare IP's/subnetten rechtstreeks aan uw resources worden toegewezen, tenzij er sprake is van een sterk gebruiksscenario. Gebruik in plaats daarvan privé-IP's/subnet.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: implementeer VPC Private Google Access-implementaties voor alle GCP-resources die dit ondersteunen om een privétoegangspunt voor de resources tot stand te brengen. Met deze opties voor privétoegang wordt voorkomen dat de privéverbinding wordt gerouter via het openbare netwerk. Privé-Google-toegang heeft VM-exemplaren die alleen interne IP-adressen hebben (geen externe IP-adressen)
Voor bepaalde services kunt u ervoor kiezen om het service-exemplaar te implementeren in uw eigen VPC om het verkeer te isoleren. U hebt ook de mogelijkheid om de systeemeigen ACL-regels voor de service te configureren om de toegang vanaf het openbare netwerk te blokkeren. Met de App Engine-firewall kunt u bijvoorbeeld bepalen welk netwerkverkeer wordt toegestaan of geweigerd wanneer u communiceert met de App Engine-resource. Cloudopslag is een andere resource waar u preventie van openbare toegang kunt afdwingen op afzonderlijke buckets of op organisatieniveau.
Voor GCP Compute Engine-VM's, tenzij er een sterk gebruiksscenario is, moet u voorkomen dat openbare IP-adressen/subnetten rechtstreeks aan de VM-interface worden toegewezen en in plaats daarvan gateway- of load balancer-services worden gebruikt als front-end voor toegang door het openbare netwerk.
GCP-implementatie en aanvullende context:
- Privétoegang tot Google
- Opties voor privétoegang voor services
- Informatie over de firewall van de App Engine
- Cloudopslag : preventie van openbare toegang gebruiken
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
NS-3: Firewall implementeren aan de rand van het bedrijfsnetwerk
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: implementeer een firewall om geavanceerd filteren uit te voeren op netwerkverkeer van en naar externe netwerken. U kunt ook firewalls tussen interne segmenten gebruiken om een segmentatiestrategie te ondersteunen. Gebruik indien nodig aangepaste routes voor uw subnet om de systeemroute te overschrijven wanneer u moet afdwingen dat het netwerkverkeer via een netwerkapparaat gaat voor beveiligingsbeheerdoeleinden.
Blokkeer ten minste bekende slechte IP-adressen en protocollen met een hoog risico, zoals extern beheer (bijvoorbeeld RDP en SSH) en intranetprotocollen (bijvoorbeeld SMB en Kerberos).
Azure-richtlijnen: gebruik Azure Firewall om verkeersbeperkingen voor volledig stateful toepassingslagen (zoals URL-filtering) en/of centraal beheer te bieden voor een groot aantal bedrijfssegmenten of spokes (in een hub/spoke-topologie).
Als u een complexe netwerktopologie hebt, zoals een hub/spoke-installatie, moet u mogelijk door de gebruiker gedefinieerde routes (UDR) maken om ervoor te zorgen dat het verkeer de gewenste route doorloopt. U kunt bijvoorbeeld een UDR gebruiken om uitgaand internetverkeer om te leiden via een specifieke Azure Firewall of een virtueel netwerkapparaat.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: gebruik AWS Network Firewall om verkeersbeperking voor volledig stateful toepassingslagen (zoals URL-filtering) en/of centraal beheer te bieden voor een groot aantal bedrijfssegmenten of spokes (in een hub/spoke-topologie).
Als u een complexe netwerktopologie hebt, zoals een hub/spoke-installatie, moet u mogelijk aangepaste VPC-routetabellen maken om ervoor te zorgen dat het verkeer de gewenste route doorloopt. U kunt bijvoorbeeld een aangepaste route gebruiken om uitgaand internetverkeer om te leiden via een specifieke AWS-firewall of een virtueel netwerkapparaat.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik Google Cloud Armor-beveiligingsbeleid om laag 7-filtering en bescherming van veelvoorkomende webaanvallen te bieden. Gebruik daarnaast VPC-firewallregels om gedistribueerde, volledig stateful netwerklaagverkeersbeperking en firewallbeleid te bieden voor centraal beheer van een groot aantal bedrijfssegmenten of spokes (in een hub/spoke-topologie).
Als u een complexe netwerktopologie hebt, zoals een hub/spoke-installatie, maakt u firewallbeleidsregels die firewallregels groeperen en hiërarchisch zijn, zodat deze kunnen worden toegepast op meerdere VPC-netwerken.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
NS-4: Inbraakdetectie/inbraakpreventiesystemen implementeren (IDS/IPS)
CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Beveiligingsprincipe: gebruik inbraakdetectie en inbraakpreventiesystemen (IDS/IPS) om het netwerk- en nettoladingverkeer naar of van uw workload te inspecteren. Zorg ervoor dat IDS/IPS altijd is afgestemd om waarschuwingen van hoge kwaliteit te bieden aan uw SIEM-oplossing.
Voor uitgebreidere detectie en preventie op hostniveau gebruikt u host-id's/IPS of een EDR-oplossing (Endpoint Detection and Response) op basis van een host in combinatie met de netwerk-id's/IPS.
Azure-richtlijnen: gebruik de IDPS-mogelijkheden van Azure Firewall om uw virtuele netwerk te beveiligen om verkeer van en naar bekende schadelijke IP-adressen en domeinen te waarschuwen en/of te blokkeren.
Voor uitgebreidere detectie- en preventiemogelijkheden op hostniveau implementeert u host-id's/IPS of een EDR-oplossing (Endpoint Detection and Response) op hostniveau, zoals Microsoft Defender voor Eindpunt, op VM-niveau in combinatie met de netwerk-id's/IPS.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: gebruik de IPS-mogelijkheid van AWS Network Firewall om uw VPC te beveiligen om te waarschuwen en/of verkeer van en naar bekende schadelijke IP-adressen en domeinen te blokkeren.
Voor uitgebreidere detectie- en preventiemogelijkheden op hostniveau implementeert u host-id's/IPS of een EDR-oplossing (endpoint detection and response) op basis van een host, zoals een oplossing van derden voor hostgebaseerde IDS/IPS, op VM-niveau in combinatie met de netwerk-id's/IPS.
Opmerking: als u een id van derden/IPS van Marketplace gebruikt, gebruikt u Transit Gateway en Gateway Balancer om het verkeer om te leiden voor inline-inspectie.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik de mogelijkheden van Google Cloud IDS om bedreigingsdetectie te bieden voor indringers, malware, spyware en command-and-control-aanvallen in uw netwerk. Cloud IDS werkt door het maken van een door Google beheerd peered netwerk met gespiegelde VM-exemplaren (virtuele machines). Verkeer in het peered netwerk wordt gespiegeld en vervolgens geïnspecteerd door ingesloten Palo Alto Networks-bedreigingsbeveiligingstechnologieën om geavanceerde detectie van bedreigingen te bieden. U kunt al het inkomend en uitgaand verkeer spiegelen op basis van protocol of IP-adresbereik.
Voor uitgebreidere detectie- en preventiemogelijkheden op hostniveau implementeert u een IDS-eindpunt als een zonegebonden resource die verkeer van elke zone in de regio kan inspecteren. Elk IDS-eindpunt ontvangt gespiegeld verkeer en voert een analyse van bedreigingsdetectie uit.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
NS-5: DDOS-beveiliging implementeren
CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Beveiligingsprincipe: implementeer DDoS-beveiliging (Distributed Denial of Service) om uw netwerk en toepassingen te beschermen tegen aanvallen.
Azure-richtlijnen: DDoS Protection Basic wordt automatisch ingeschakeld om de onderliggende Azure-platforminfrastructuur te beveiligen (bijvoorbeeld Azure DNS) en vereist geen configuratie van de gebruikers.
Voor een hogere mate van bescherming van aanvallen van uw toepassingslaag (laag 7), zoals HTTP-overstromingen en DNS-overstromingen, schakelt u het DDoS-standaardbeveiligingsplan op uw VNet in om resources te beveiligen die worden blootgesteld aan de openbare netwerken.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: AWS Shield Standard wordt automatisch ingeschakeld met standaardbeperkingen om uw workload te beschermen tegen DDoS-aanvallen met algemene netwerk- en transportlaag (laag 3 en 4)
Voor een hogere mate van bescherming van uw toepassingen tegen een aanval op de toepassingslaag (Laag 7), zoals HTTPS-overstromingen en DNS-overstromingen, schakelt u AWS Shield Advanced Protection in op Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator en Amazon Route 53.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Google Cloud Armor biedt de volgende opties om systemen te beschermen tegen DDoS-aanvallen:
- Standaard netwerk-DDoS-beveiliging: basisbeveiliging met always-on voor netwerktaakverdelers, doorsturen van protocollen of VM's met openbare IP-adressen.
- Geavanceerde DDoS-beveiliging voor netwerken: extra beveiliging voor Managed Protection Plus-abonnees die gebruikmaken van netwerktaakverdelers, protocol forwarding of VM's met openbare IP-adressen.
- DDoS-standaardbeveiliging voor het netwerk is altijd ingeschakeld. U configureert geavanceerde netwerk-DDoS-beveiliging per regio.
GCP-implementatie en aanvullende context:
- Geavanceerde DDoS-beveiliging voor netwerken configureren
- Overzicht van Google Cloud Armor
- Overzicht van google Cloud Armor-beveiligingsbeleid
Belanghebbenden bij de beveiliging van klanten (meer informatie):
NS-6: Web Application Firewall implementeren
CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
13.10 | SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: implementeer een Web Application Firewall (WAF) en configureer de juiste regels om uw webtoepassingen en API's te beschermen tegen toepassingsspecifieke aanvallen.
Azure-richtlijnen: gebruik WAF-mogelijkheden (Web Application Firewall) in Azure Application Gateway, Azure Front Door en Azure Content Delivery Network (CDN) om uw toepassingen, services en API's te beveiligen tegen aanvallen op de toepassingslaag aan de rand van uw netwerk.
Stel uw WAF in de 'detectiemodus' of 'preventiemodus' in, afhankelijk van uw behoeften en bedreigingslandschap.
Kies een ingebouwde regelset, zoals OWASP Top 10-beveiligingsproblemen, en stem deze af op de behoeften van uw toepassing.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: gebruik AWS Web Application Firewall (WAF) in Amazon CloudFront-distributie, Amazon API Gateway, Application Load Balancer of AWS AppSync om uw toepassingen, services en API's te beveiligen tegen aanvallen op de toepassingslaag aan de rand van uw netwerk.
Gebruik beheerde AWS-regels voor WAF om ingebouwde basislijngroepen te implementeren en deze aan te passen aan de behoeften van uw toepassing voor de regelgroepen voor gebruikerscases.
Om de implementatie van WAF-regels te vereenvoudigen, kunt u ook de AWS WAF-beveiligingsautomatiseringsoplossing gebruiken om automatisch vooraf gedefinieerde AWS WAF-regels te implementeren waarmee webaanvallen op uw web-ACL worden gefilterd.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik Google Cloud Armor om uw toepassingen en websites te beschermen tegen Denial of Service- en webaanvallen.
Gebruik kant-en-klare regels van Google Cloud Armor op basis van industriestandaarden om veelvoorkomende beveiligingsproblemen met webtoepassingen te beperken en bescherming te bieden tegen OWASP Top 10.
Stel uw vooraf geconfigureerde WAF-regels in, elk bestaande uit meerdere handtekeningen die afkomstig zijn van ModSecurity Core Rules (CRS). Elke handtekening komt overeen met een regel voor het detecteren van aanvallen in de regelset.
Cloud Armor werkt in combinatie met externe load balancers en beschermt tegen DDoS (Distributed Denial of Service) en andere aanvallen op het web, ongeacht of de toepassingen worden geïmplementeerd in Google Cloud, in een hybride implementatie of in een architectuur met meerdere clouds. Beveiligingsbeleid kan handmatig worden geconfigureerd, met configureerbare overeenkomstvoorwaarden en acties in een beveiligingsbeleid. Cloud Armor biedt ook vooraf geconfigureerd beveiligingsbeleid, dat betrekking heeft op verschillende gebruiksscenario's.
Adaptieve beveiliging in Cloud Armor helpt u uw toepassing en services te voorkomen, te detecteren en te beschermen tegen gedistribueerde L7-aanvallen door patronen van verkeer naar uw back-endservices te analyseren, vermoedelijke aanvallen te detecteren en te waarschuwen en voorgestelde WAF-regels te genereren om dergelijke aanvallen te beperken. Deze regels kunnen worden afgestemd op uw behoeften.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
NS-7: configuratie van netwerkbeveiliging vereenvoudigen
CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Beveiligingsprincipe: Gebruik bij het beheren van een complexe netwerkomgeving hulpprogramma's om het netwerkbeveiligingsbeheer te vereenvoudigen, te centraliseren en te verbeteren.
Azure-richtlijnen: gebruik de volgende functies om de implementatie en het beheer van het virtuele netwerk, NSG-regels en Azure Firewall-regels te vereenvoudigen:
- Gebruik Azure Virtual Network Manager om virtuele netwerken en NSG-regels in regio's en abonnementen te groepeert, te configureren, te implementeren en te beheren.
- Gebruik Microsoft Defender voor Cloud Adaptive Network Hardening om NSG-beveiligingsregels aan te bevelen die poorten, protocollen en bron-IP-adressen verder beperken op basis van bedreigingsinformatie en verkeersanalyseresultaten.
- Gebruik Azure Firewall Manager om het firewallbeleid en routebeheer van het virtuele netwerk te centraliseren. Om de implementatie van firewallregels en netwerkbeveiligingsgroepen te vereenvoudigen, kunt u ook de ARM-sjabloon Azure Firewall Manager Azure Resource Manager (ARM) gebruiken.
Azure-implementatie en aanvullende context:
- Adaptieve netwerkbeveiliging in Microsoft Defender voor cloud
- Azure Firewall Manager
- Een Azure Firewall en een firewallbeleid maken - ARM-sjabloon
AWS-richtlijnen: gebruik AWS Firewall Manager om het beheer van het netwerkbeveiligingsbeleid te centraliseren in de volgende services:
- AWS WAF-beleid
- Geavanceerd beleid voor AWS Shield
- VPC-beveiligingsgroepsbeleid
- Netwerkfirewallbeleid
AWS Firewall Manager kan automatisch uw firewallgerelateerde beleidsregels analyseren en bevindingen maken voor niet-compatibele resources en voor gedetecteerde aanvallen en deze voor onderzoek naar AWS Security Hub verzenden.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik de volgende functies om de implementatie en het beheer van het VPC-netwerk (Virtual Private Cloud), firewallregels en WAF-regels te vereenvoudigen:
- Gebruik VPC-netwerken om afzonderlijke VPC-netwerken en VPC-firewallregels te beheren en configureren.
- Gebruik hiërarchisch firewallbeleid om firewallregels te groepeer en de beleidsregels hiërarchisch toe te passen op een globale of regionale schaal.
- Gebruik Google Cloud Armor om aangepast beveiligingsbeleid, vooraf geconfigureerde WAF-regels en DDoS-beveiliging toe te passen.
U kunt ook het Network Intelligence Center gebruiken om uw netwerk te analyseren en inzicht te krijgen in de topologie van uw virtuele netwerk, firewallregels en netwerkverbindingsstatus om de efficiëntie van het beheer te verbeteren.
GCP-implementatie en aanvullende context:
- VPC-netwerken
- Hiërarchisch firewallbeleid
- Overzicht van Good Cloud Armor
- Network Intelligence Center
Belanghebbenden bij de beveiliging van klanten (meer informatie):
NS-8: Onveilige services en protocollen detecteren en uitschakelen
CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Beveiligingsprincipe: onveilige services en protocollen detecteren en uitschakelen op de laag van het besturingssysteem, de toepassing of het softwarepakket. Implementeer compenserende besturingselementen als het uitschakelen van onveilige services en protocollen niet mogelijk is.
Azure-richtlijnen: gebruik de ingebouwde werkmap voor onveilige protocollen van Microsoft Sentinel om het gebruik van onveilige services en protocollen te detecteren, zoals SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, zwakke coderingen in Kerberos en niet-ondertekende LDAP-bindingen. Schakel onveilige services en protocollen uit die niet voldoen aan de juiste beveiligingsstandaard.
Opmerking: als het uitschakelen van onveilige services of protocollen niet mogelijk is, gebruikt u compenserende besturingselementen zoals het blokkeren van de toegang tot de resources via een netwerkbeveiligingsgroep, Azure Firewall of Azure Web Application Firewall om de kwetsbaarheid voor aanvallen te verminderen.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: schakel VPC-stroomlogboeken in en gebruik GuardDuty om de VPC-stroomlogboeken te analyseren om de mogelijke onveilige services en protocollen te identificeren die niet voldoen aan de juiste beveiligingsstandaard.
Als de logboeken in de AWS-omgeving kunnen worden doorgestuurd naar Microsoft Sentinel, kunt u ook de ingebouwde Insecure Protocol Workbook van Microsoft Sentinel gebruiken om het gebruik van onveilige services en protocollen te detecteren
Opmerking: als het uitschakelen van onveilige services of protocollen niet mogelijk is, gebruikt u compenserende besturingselementen zoals het blokkeren van de toegang tot de resources via beveiligingsgroepen, AWS Network Firewall, AWS Web Application Firewall om de kwetsbaarheid voor aanvallen te verminderen.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: schakel VPC-stroomlogboeken in en gebruik BigQuery of Security Command Center om de VPC-stroomlogboeken te analyseren om de mogelijke onveilige services en protocollen te identificeren die niet voldoen aan de juiste beveiligingsstandaard.
Als de logboeken in de GCP-omgeving kunnen worden doorgestuurd naar Microsoft Sentinel, kunt u ook de ingebouwde Insecure Protocol Workbook van Microsoft Sentinel gebruiken om het gebruik van onveilige services en protocollen te detecteren. Daarnaast kunt u logboeken doorsturen naar Google Cloud Chronicle SIEM en SOAR en aangepaste regels maken voor hetzelfde doel.
Opmerking: als het uitschakelen van onveilige services of protocollen niet mogelijk is, gebruikt u compenserende besturingselementen zoals het blokkeren van de toegang tot de resources via VPC-firewallregels en -beleid, of Cloud Armor om de kwetsbaarheid voor aanvallen te verminderen.
GCP-implementatie en aanvullende context:
- VPC-stroomlogboeken gebruiken
- Beveiligingslogboekanalyse in Google Cloud
- Overzicht - van BigQueryOverzicht van Security Command Center
- Microsoft Sentinel voor GCP-workloads
Belanghebbenden bij de beveiliging van klanten (meer informatie):
NS-9: Privé verbinding maken met een on-premises of cloudnetwerk
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
12.7 | CA-3, AC-17, AC-4 | N.v.t. |
Beveiligingsprincipe: gebruik privéverbindingen voor veilige communicatie tussen verschillende netwerken, zoals datacenters van cloudserviceproviders en on-premises infrastructuur in een colocatieomgeving.
Azure-richtlijnen: voor lichtgewicht site-naar-site- of punt-naar-site-connectiviteit gebruikt u Azure Virtual Private Network (VPN) om een beveiligde verbinding te maken tussen uw on-premises site- of eindgebruikersapparaat en het virtuele Azure-netwerk.
Voor verbindingen met hoge prestaties op ondernemingsniveau gebruikt u Azure ExpressRoute (of Virtual WAN) om Azure-datacenters en on-premises infrastructuur te verbinden in een co-locatieomgeving.
Wanneer u twee of meer virtuele Azure-netwerken met elkaar verbindt, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Azure-backbone-netwerk.
Azure-implementatie en aanvullende context:
- Overzicht van Azure VPN
- Wat zijn de ExpressRoute-connectiviteitsmodellen?
- Peering op virtueel netwerk
AWS-richtlijnen: voor site-naar-site- of punt-naar-site-connectiviteit gebruikt u AWS VPN om een beveiligde verbinding te maken (wanneer IPsec-overhead geen probleem is) tussen uw on-premises site of apparaat van de eindgebruiker en het AWS-netwerk.
Voor verbindingen met hoge prestaties op ondernemingsniveau gebruikt u AWS Direct Connect om AWS-VPN's en -resources te verbinden met uw on-premises infrastructuur in een co-locatieomgeving.
U kunt VPC-peering of transitgateway gebruiken om connectiviteit tot stand te brengen tussen twee of meer VPN's binnen of tussen regio's. Netwerkverkeer tussen peered VPC is privé en wordt op het AWS-backbonenetwerk bewaard. Wanneer u meerdere VPN's wilt koppelen om een groot plat subnet te maken, hebt u ook de mogelijkheid om VPC-delen te gebruiken.
AWS-implementatie en aanvullende context:
- Inleiding tot AWS Direct Connect
- AWS VPN-inleiding
- Transit-gateway
- VPC-peeringverbindingen maken en accepteren
- Delen van VPC
GCP-richtlijnen: gebruik Google Cloud VPN voor lichtgewicht site-naar-site- of punt-naar-site-connectiviteit.
Voor hoogwaardige verbindingen op ondernemingsniveau gebruikt u Google Cloud Interconnect of Partner Interconnect om verbinding te maken met Google Cloud-VPN's en -resources met uw on-premises infrastructuur in een colocatieomgeving.
U hebt de mogelijkheid om VPC-netwerkpeering of Network Connectivity Center te gebruiken om connectiviteit tot stand te brengen tussen twee of meer VPN's binnen of tussen regio's. Netwerkverkeer tussen gekoppelde VPN's is privé en wordt bewaard in het GCP-backbonenetwerk. Wanneer u meerdere VPN's wilt koppelen om een groot plat subnet te maken, hebt u ook de optie om gedeelde VPC te gebruiken
GCP-implementatie en aanvullende context:
- Overzicht van cloud-VPN
- Cloud Interconnect, Dedicated Interconnect en Partner Interconnect
- Overzicht van Network Connectivity Center
- Private Service Connect
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
NS-10: Dns-beveiliging (Domain Name System) garanderen
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.9, 9.2 | SC-20, SC-21 | N.v.t. |
Beveiligingsprincipe: Zorg ervoor dat de DNS-beveiligingsconfiguratie (Domain Name System) bescherming biedt tegen bekende risico's:
- Gebruik vertrouwde gezaghebbende en recursieve DNS-services in uw cloudomgeving om ervoor te zorgen dat de client (zoals besturingssystemen en toepassingen) het juiste oplossingsresultaat ontvangt.
- Scheid de openbare en persoonlijke DNS-omzetting, zodat het DNS-omzettingsproces voor het particuliere netwerk kan worden geïsoleerd van het openbare netwerk.
- Zorg ervoor dat uw DNS-beveiligingsstrategie ook oplossingen bevat tegen veelvoorkomende aanvallen, zoals bungelende DNS, DNS-versterkingsaanvallen, DNS-vergiftiging en spoofing, enzovoort.
Azure-richtlijnen: Gebruik recursieve DNS van Azure (meestal toegewezen aan uw VIRTUELE machine via DHCP of vooraf geconfigureerd in de service) of een vertrouwde externe DNS-server in de recursieve DNS-installatie van uw workload, zoals in het besturingssysteem van de VM of in de toepassing.
Gebruik Azure Privé-DNS voor het instellen van een privé-DNS-zone waarbij het DNS-omzettingsproces het virtuele netwerk niet verlaat. Gebruik een aangepaste DNS om de DNS-omzetting te beperken zodat alleen vertrouwde omzetting voor uw client wordt toegestaan.
Gebruik Microsoft Defender voor DNS voor geavanceerde beveiliging tegen de volgende beveiligingsrisico's voor uw workload of dns-service:
- Gegevensexfiltratie van uw Azure-resources met behulp van DNS-tunneling
- Malware die communiceert met een command-and-control-server
- Communicatie met schadelijke domeinen, zoals phishing en crypto-mining
- DNS-aanvallen in communicatie met schadelijke DNS-resolvers
U kunt ook Microsoft Defender voor App Service gebruiken om zwevende DNS-records te detecteren als u een App Service website buiten gebruik stelt zonder het aangepaste domein van uw DNS-registrar te verwijderen.
Azure-implementatie en aanvullende context:
- Overzicht van Azure DNS
- Implementatiehandleiding voor Secure Domain Name System (DNS):
- Azure Privé-DNS
- Azure Defender voor DNS
- Voorkom zwevende DNS-vermeldingen en voorkom overname van subdomeinen:
AWS-richtlijnen: gebruik de Amazon DNS-server (met andere woorden, Amazon Route 53 Resolver-server die meestal aan u wordt toegewezen via DHCP of vooraf geconfigureerd in de service) of een gecentraliseerde vertrouwde DNS-resolverserver in de recursieve DNS-installatie van uw workload, zoals in het besturingssysteem van de VM of in de toepassing.
Gebruik Amazon Route 53 om een privé-gehoste zone-instelling te maken waarbij het DNS-omzettingsproces de aangewezen VPN's niet verlaat. Gebruik de Amazon Route 53-firewall om het uitgaande DNS/UDP-verkeer in uw VPC te reguleren en te filteren voor de volgende use cases:
- Aanvallen zoals DNS-exfiltratie in uw VPC voorkomen
- De acceptatie- of weigeringslijst instellen voor de domeinen waarop uw toepassingen een query kunnen uitvoeren
Configureer de functie Domain Name System Security Extensions (DNSSEC) in Amazon Route 53 om DNS-verkeer te beveiligen om uw domein te beschermen tegen DNS-adresvervalsing of een man-in-the-middle-aanval.
Amazon Route 53 biedt ook een DNS-registratieservice waarbij Route 53 kan worden gebruikt als gezaghebbende naamservers voor uw domeinen. De volgende aanbevolen procedures moeten worden gevolgd om de beveiliging van uw domeinnamen te garanderen:
- Domeinnamen moeten automatisch worden vernieuwd door de Amazon Route 53-service.
- Voor domeinnamen moet de functie Overdrachtsvergrendeling zijn ingeschakeld om ze veilig te houden.
- Het Sender Policy Framework (SPF) moet worden gebruikt om te voorkomen dat spammers uw domein spoofen.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik GCP DNS-server (d.w.z. metagegevensserver die meestal via DHCP aan uw VM is toegewezen of vooraf is geconfigureerd in de service) of een gecentraliseerde vertrouwde DNS-resolverserver (zoals Google Public DNS) in de recursieve DNS-installatie van uw workload, zoals in het besturingssysteem van de VM of in de toepassing.
Gebruik GCP Cloud DNS om een privé-DNS-zone te maken waar het DNS-omzettingsproces de niet-geëgreneerde VPN's niet verlaat. Regel en filter het uitgaande DNS/UDP-verkeer in uw VPC de use cases:
- Aanvallen zoals DNS-exfiltratie in uw VPC voorkomen
- Lijsten voor toestaan of weigeren instellen voor de domeinen waarop uw toepassingen een query uitvoeren
Configureer de functie Domain Name System Security Extensions (DNSSEC) in cloud-DNS om DNS-verkeer te beveiligen om uw domein te beschermen tegen DNS-adresvervalsing of een man-in-the-middle-aanval.
Google Cloud Domains biedt domeinregistratieservices. GCP Cloud DNS kan worden gebruikt als gezaghebbende naamservers voor uw domeinen. De volgende aanbevolen procedures moeten worden gevolgd om de beveiliging van uw domeinnamen te garanderen:
- Domeinnamen moeten automatisch worden vernieuwd door Google Cloud Domains.
- Voor domeinnamen moet de functie Overdrachtsvergrendeling zijn ingeschakeld om ze veilig te houden
- Het Sender Policy Framework (SPF) moet worden gebruikt om te voorkomen dat spammers uw domein spoofen.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::