Kontrola zabezpieczeń: zabezpieczenia sieci

  • Artykuł

Zabezpieczenia sieci obejmują mechanizmy kontroli zabezpieczania i ochrony sieci, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania atakom zewnętrznym i zabezpieczania systemu DNS oraz zapobiegania im.

NS-1: Ustanawianie granic segmentacji sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Upewnij się, że wdrożenie sieci wirtualnej jest zgodne ze strategią segmentacji przedsiębiorstwa zdefiniowaną w kontroli zabezpieczeń GS-2. Każde obciążenie, które może stanowić większe ryzyko dla organizacji, powinno znajdować się w izolowanych sieciach wirtualnych.

Przykłady obciążeń wysokiego ryzyka obejmują:

  • Aplikacja przechowującą lub przetwarzając wysoce poufne dane.
  • Zewnętrzna aplikacja dostępna dla sieci publicznej lub użytkowników spoza organizacji.
  • Aplikacja korzystająca z niezabezpieczonej architektury lub zawierająca luki w zabezpieczeniach, których nie można łatwo skorygować.

Aby zwiększyć strategię segmentacji przedsiębiorstwa, ogranicz lub monitoruj ruch między zasobami wewnętrznymi przy użyciu kontrolek sieci. W przypadku określonych, dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być wysoce bezpieczne podejście "odmów domyślnie, zezwól na wyjątek" przez ograniczenie portów, protokołów, źródłowych i docelowych adresów IP ruchu sieciowego. Jeśli masz wiele aplikacji i punktów końcowych współdziałających ze sobą, blokowanie ruchu może nie działać prawidłowo i może być możliwe tylko monitorowanie ruchu.

Wskazówki dotyczące platformy Azure: Tworzenie sieci wirtualnej jako podstawowego podejścia segmentacji w sieci platformy Azure, dzięki czemu zasoby, takie jak maszyny wirtualne, można wdrożyć w sieci wirtualnej w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, można utworzyć podsieci wewnątrz sieci wirtualnej dla mniejszych podsieci.

Użyj sieciowych grup zabezpieczeń jako kontroli warstwy sieciowej, aby ograniczyć lub monitorować ruch według portu, protokołu, źródłowego adresu IP lub docelowego adresu IP. Zapoznaj się z tematem NS-7: Upraszczanie konfiguracji zabezpieczeń sieci w celu używania adaptacyjnego wzmacniania zabezpieczeń sieci w celu rekomendowania reguł wzmacniania zabezpieczeń sieciowej grupy zabezpieczeń na podstawie analizy zagrożeń i wyniku analizy ruchu.

Możesz również użyć grup zabezpieczeń aplikacji (ASG), aby uprościć złożoną konfigurację. Zamiast definiować zasady na podstawie jawnych adresów IP w sieciowych grupach zabezpieczeń, grupy zabezpieczeń sieci umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala grupować maszyny wirtualne i definiować zasady zabezpieczeń sieci na podstawie tych grup.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Utwórz wirtualną chmurę prywatną (VPC) jako podstawową metodę segmentacji w sieci platformy AWS, dzięki czemu zasoby, takie jak wystąpienia USŁUGI EC2, mogą być wdrażane do VPC w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, można utworzyć podsieci wewnątrz sieci VPC dla mniejszych podsieci.

W przypadku wystąpień usługi EC2 użyj grup zabezpieczeń jako zapory stanowej, aby ograniczyć ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Na poziomie podsieci VPC użyj listy Access Control sieci (NACL) jako zapory bezstanowej, aby mieć jawne reguły ruchu przychodzącego i wychodzącego do podsieci.

Uwaga: Aby kontrolować ruch VPC, należy skonfigurować bramę internetową i translatora adresów sieciowych w celu zapewnienia, że ruch z/do Internetu jest ograniczony.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Tworzenie sieci wirtualnej chmury prywatnej (VPC) jako podstawowej metody segmentacji w sieci GCP, dzięki czemu zasoby, takie jak wystąpienia maszyn wirtualnych aparatu obliczeniowego, mogą być wdrażane w sieci VPC w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, można utworzyć podsieci wewnątrz sieci VPC dla mniejszych podsieci.

Reguły zapory VPC są używane jako rozproszona kontrola warstwy sieciowej, aby zezwalać na połączenia do lub z wystąpień docelowych w sieci VPC, które obejmują maszyny wirtualne, klastry google Kubernetes Engine (GKE) i wystąpienia środowiska elastycznego usługi App Engine (App Engine).

Można również skonfigurować reguły zapory VPC tak, aby były przeznaczone dla wszystkich wystąpień w sieci VPC, wystąpień z pasującym tagiem sieciowym lub wystąpień korzystających z określonego konta usługi, co umożliwia grupowanie wystąpień i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-2: Zabezpieczanie usług natywnych dla chmury za pomocą kontrolek sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Zabezpieczanie usług w chmurze przez ustanowienie prywatnego punktu dostępu dla zasobów. Należy również wyłączyć lub ograniczyć dostęp z sieci publicznych, gdy jest to możliwe.

Wskazówki dotyczące platformy Azure: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure, które obsługują funkcję Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów. Użycie Private Link spowoduje, że połączenie prywatne nie będzie przekierowywane przez sieć publiczną.

Uwaga: niektóre usługi platformy Azure mogą również zezwalać na prywatną komunikację za pośrednictwem funkcji punktu końcowego usługi, chociaż zaleca się użycie Azure Private Link w celu bezpiecznego i prywatnego dostępu do usług hostowanych na platformie Azure.

W przypadku niektórych usług można wdrożyć integrację z siecią wirtualną dla usługi, w której można ograniczyć sieć wirtualną do ustanowienia prywatnego punktu dostępu dla usługi.

Istnieje również możliwość skonfigurowania reguł listy ACL sieci natywnej dla usługi lub po prostu wyłączenia dostępu do sieci publicznej w celu zablokowania dostępu z sieci publicznych.

W przypadku maszyn wirtualnych platformy Azure, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do interfejsu maszyny wirtualnej i zamiast tego używać usług bramy lub modułu równoważenia obciążenia jako frontonu na potrzeby dostępu przez sieć publiczną.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: wdrażanie usługi VPC PrivateLink dla wszystkich zasobów platformy AWS, które obsługują funkcję PrivateLink, w celu umożliwienia połączenia prywatnego z obsługiwanymi usługami AWS lub usługami hostowanymi przez inne konta platformy AWS (usługi punktu końcowego VPC). Użycie usługi PrivateLink spowoduje, że połączenie prywatne nie będzie przekierowywane przez sieć publiczną.

W przypadku niektórych usług można wybrać wdrożenie wystąpienia usługi we własnej maszynie wirtualnej w celu odizolowania ruchu.

Istnieje również możliwość skonfigurowania natywnych reguł listy ACL usługi w celu blokowania dostępu z sieci publicznej. Na przykład usługa Amazon S3 umożliwia blokowanie dostępu publicznego na poziomie zasobnika lub konta.

Podczas przypisywania adresów IP do zasobów usługi w VPC, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do zasobów i zamiast tego używać prywatnych adresów IP/podsieci.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Wdrażanie implementacji dostępu prywatnego google VPC dla wszystkich zasobów GCP, które go obsługują, aby ustanowić prywatny punkt dostępu dla zasobów. Te opcje dostępu prywatnego uniemożliwią połączenie prywatne z routingu przez sieć publiczną. Program Private Google Access ma wystąpienia maszyn wirtualnych, które mają tylko wewnętrzne adresy IP (bez zewnętrznych adresów IP)

W przypadku niektórych usług można wybrać wdrożenie wystąpienia usługi we własnej maszynie wirtualnej w celu odizolowania ruchu. Istnieje również możliwość skonfigurowania natywnych reguł listy ACL usługi w celu blokowania dostępu z sieci publicznej. Na przykład zapora usługi App Engine umożliwia kontrolowanie, który ruch sieciowy jest dozwolony lub odrzucany podczas komunikowania się z zasobem usługi App Engine. Usługa Cloud Storage to kolejny zasób, w którym można wymusić zapobieganie dostępowi publicznej dla poszczególnych zasobników lub na poziomie organizacji.

W przypadku maszyn wirtualnych usługi GCP Compute Engine, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do interfejsu maszyny wirtualnej i zamiast tego używać usług bramy lub modułu równoważenia obciążenia jako frontonu w celu uzyskania dostępu przez sieć publiczną.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-3: Wdrażanie zapory na brzegu sieci przedsiębiorstwa

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: wdróż zaporę w celu przeprowadzania zaawansowanego filtrowania ruchu sieciowego do i z sieci zewnętrznych. Za pomocą zapór między segmentami wewnętrznymi można również obsługiwać strategię segmentacji. W razie potrzeby użyj tras niestandardowych dla podsieci, aby przesłonić trasę systemową, gdy musisz wymusić przejście ruchu sieciowego przez urządzenie sieciowe na potrzeby kontroli zabezpieczeń.

Co najmniej zablokuj znane złe adresy IP i protokoły wysokiego ryzyka, takie jak zdalne zarządzanie (na przykład RDP i SSH) i protokoły intranetowe (na przykład SMB i Kerberos).

Wskazówki dotyczące platformy Azure: Użyj Azure Firewall, aby zapewnić w pełni stanowe ograniczenie ruchu warstwy aplikacji (takie jak filtrowanie adresów URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub szprych (w topologii gwiazdy).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie tras zdefiniowanych przez użytkownika w celu zapewnienia, że ruch przechodzi przez żądaną trasę. Możesz na przykład użyć trasy zdefiniowanej przez użytkownika do przekierowywania ruchu internetowego wychodzącego przez określony Azure Firewall lub wirtualnego urządzenia sieciowego.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj zapory sieciowej platformy AWS, aby zapewnić w pełni stanowe ograniczenie ruchu w warstwie aplikacji (takie jak filtrowanie adresów URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub szprych (w topologii piasty/szprych).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie niestandardowych tabel tras VPC w celu zapewnienia, że ruch przechodzi przez żądaną trasę. Możesz na przykład użyć trasy niestandardowej do przekierowywania ruchu internetowego wychodzącego za pośrednictwem określonej zapory platformy AWS lub wirtualnego urządzenia sieciowego.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Korzystanie z zasad zabezpieczeń google Cloud Armor w celu zapewnienia filtrowania i ochrony typowych ataków internetowych w warstwie 7. Ponadto reguły zapory VPC umożliwiają zapewnienie rozproszonych, w pełni stanowych ograniczeń ruchu w warstwie sieciowej oraz zasad zapory na potrzeby centralnego zarządzania dużą liczbą segmentów przedsiębiorstwa lub szprych (w topologii piasty/szprych).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, utwórz zasady zapory, które grupują reguły zapory i mają być hierarchiczne, aby mogły być stosowane do wielu sieci VPC.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-4: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11,4

Zasada zabezpieczeń: Użyj systemów wykrywania nieautoryzowanego dostępu do sieci i zapobiegania włamaniom (IDS/IPS), aby sprawdzić sieć i ładunek ruchu do lub z obciążenia. Upewnij się, że usługa IDS/IPS jest zawsze dostrojona, aby dostarczać alerty wysokiej jakości do rozwiązania SIEM.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, użyj opartego na hoście rozwiązania IDS/IPS lub rozwiązania do wykrywania i reagowania (EDR) opartego na hoście w połączeniu z identyfikatorami sieciowymi/ipS.

Wskazówki dotyczące platformy Azure: użyj funkcji idPS Azure Firewall, aby chronić sieć wirtualną w celu powiadamiania i/lub blokowania ruchu do i przed znanymi złośliwymi adresami IP i domenami.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż oparte na hoście rozwiązania IDS/IPS lub oparte na hoście rozwiązanie do wykrywania i reagowania (EDR), takie jak Ochrona punktu końcowego w usłudze Microsoft Defender, na poziomie maszyny wirtualnej w połączeniu z identyfikatorami sieci/adresami IPS.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: użyj funkcji IPS zapory sieciowej platformy AWS, aby chronić usługę VPC w celu ostrzegania o ruchu do i/lub blokowania ruchu do i przed znanymi złośliwymi adresami IP i domenami.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż oparte na hoście rozwiązania IDS/IPS lub oparte na hoście rozwiązanie do wykrywania i reagowania (EDR), takie jak rozwiązanie innych firm dla opartych na hoście identyfikatorów/adresów IPS, na poziomie maszyny wirtualnej w połączeniu z identyfikatorami sieciowymi/ipS.

Uwaga: W przypadku korzystania z usług IDS/IPS innych firm z witryny Marketplace użyj usługi Transit Gateway i Gateway Balancer, aby skierować ruch do inspekcji w trybie online.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Korzystanie z funkcji Google Cloud IDS w celu zapewniania wykrywania zagrożeń w przypadku nieautoryzowanego oprogramowania, programów szpiegujących i ataków typu command-and-control w sieci. Usługa Cloud IDS działa przez utworzenie sieci równorzędnej zarządzanej przez firmę Google z wystąpieniami dublowanej maszyny wirtualnej. Ruch w sieci równorzędnej jest dublowany, a następnie sprawdzany przez osadzone technologie ochrony przed zagrożeniami Palo Alto Networks w celu zapewnienia zaawansowanego wykrywania zagrożeń. Można dublować cały ruch przychodzący i wychodzący na podstawie protokołu lub zakresu adresów IP.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż punkt końcowy usługi IDS jako zasób strefowy, który może sprawdzać ruch z dowolnej strefy w jej regionie. Każdy punkt końcowy usługi IDS odbiera ruch dublowany i wykonuje analizę wykrywania zagrożeń.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-5: Wdrażanie ochrony przed atakami DDOS

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Zasada zabezpieczeń: wdróż ochronę przed rozproszoną odmową usługi (DDoS), aby chronić sieć i aplikacje przed atakami.

Wskazówki dotyczące platformy Azure: Usługa DDoS Protection w warstwie Podstawowa jest automatycznie włączona w celu ochrony podstawowej infrastruktury platformy Azure (np. usługi Azure DNS) i nie wymaga konfiguracji od użytkowników.

W przypadku wyższych poziomów ochrony ataków warstwy aplikacji (warstwa 7), takich jak powodzie HTTP i powodzie DNS, włącz standardowy plan ochrony przed atakami DDoS w sieci wirtualnej, aby chronić zasoby, które są narażone na sieci publiczne.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Usługa AWS Shield w warstwie Standardowa jest automatycznie włączana przy użyciu standardowych środków zaradczych w celu ochrony obciążenia przed typowymi atakami DDoS warstwy sieci i transportu (warstwa 3 i 4)

Aby uzyskać wyższy poziom ochrony aplikacji przed atakami warstwy aplikacji (warstwa 7), takimi jak powodzie HTTPS i powodzie DNS, włącz zaawansowaną ochronę usługi AWS Shield w usłudze Amazon EC2, elastic load balancing (ELB), Amazon CloudFront, AWS Global Accelerator i Amazon Route 53.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Google Cloud Armor oferuje następujące opcje ochrony systemów przed atakami DDoS:

  • Ochrona przed atakami DDoS w sieci w warstwie Standardowa: podstawowa ochrona zawsze włączona dla modułów równoważenia obciążenia sieciowego, przekazywania protokołu lub maszyn wirtualnych z publicznymi adresami IP.
  • Zaawansowana ochrona przed atakami DDoS sieci: dodatkowe zabezpieczenia dla subskrybentów usługi Managed Protection Plus korzystających z modułów równoważenia obciążenia sieciowego, przekazywania protokołów lub maszyn wirtualnych z publicznymi adresami IP.
  • Ochrona przed atakami DDoS w sieci w warstwie Standardowa jest zawsze włączona. Zaawansowana ochrona przed atakami DDoS sieci jest konfigurowana dla poszczególnych regionów.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-6: Wdrażanie zapory aplikacji internetowej

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: wdróż zaporę aplikacji internetowej (WAF) i skonfiguruj odpowiednie reguły w celu ochrony aplikacji internetowych i interfejsów API przed atakami specyficznymi dla aplikacji.

Wskazówki dotyczące platformy Azure: korzystanie z funkcji zapory aplikacji internetowej (WAF) w usługach Azure Application Gateway, Azure Front Door i Azure Content Delivery Network (CDN) w celu ochrony aplikacji, usług i interfejsów API przed atakami warstwy aplikacji na brzegu sieci.

Ustaw zaporę aplikacji internetowej w trybie wykrywania lub zapobiegania, w zależności od potrzeb i krajobrazu zagrożeń.

Wybierz wbudowany zestaw reguł, taki jak luki w zabezpieczeniach OWASP Top 10, i dostosuj go do potrzeb aplikacji.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: korzystanie z usług AWS Web Application Firewall (WAF) w dystrybucji usługi Amazon CloudFront, amazon API Gateway, Load Balancer aplikacji lub AWS AppSync w celu ochrony aplikacji, usług i interfejsów API przed atakami warstwy aplikacji na brzegu sieci.

Użyj reguł zarządzanych platformy AWS dla zapory aplikacji internetowej, aby wdrożyć wbudowane grupy punktów odniesienia i dostosować je do potrzeb aplikacji dla grup reguł przypadków użytkownika.

Aby uprościć wdrażanie reguł zapory aplikacji internetowej, możesz również użyć rozwiązania AWS WAF Security Automations, aby automatycznie wdrożyć wstępnie zdefiniowane reguły zapory aplikacji internetowej platformy AWS, które filtruje ataki internetowe na listę ACL sieci Web.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj usługi Google Cloud Armor, aby chronić aplikacje i witryny internetowe przed atakami typu "odmowa usługi" i ataków internetowych.

Użyj wbudowanych reguł usługi Google Cloud Armor opartych na standardach branżowych, aby ograniczyć typowe luki w zabezpieczeniach aplikacji internetowych i pomóc zapewnić ochronę przed programem OWASP Top 10.

Skonfiguruj wstępnie skonfigurowane reguły zapory aplikacji internetowej, z których każda składa się z wielu podpisów pochodzących z reguł ModSecurity Core Rules (CRS). Każdy podpis odpowiada regule wykrywania ataków w zestawie reguł.

Usługa Cloud Armor współpracuje z zewnętrznymi modułami równoważenia obciążenia i chroni przed rozproszoną odmową usługi (DDoS) i innymi atakami internetowymi, niezależnie od tego, czy aplikacje są wdrażane w chmurze Google Cloud, we wdrożeniu hybrydowym, czy w architekturze wielochmurowej. Zasady zabezpieczeń można skonfigurować ręcznie, z konfigurowalnymi warunkami dopasowania i akcjami w zasadach zabezpieczeń. Usługa Cloud Armor oferuje również wstępnie skonfigurowane zasady zabezpieczeń, które obejmują różne przypadki użycia.

Funkcja Adaptacyjna ochrona w usłudze Cloud Armor pomaga zapobiegać, wykrywać i chronić aplikacje i usługi przed atakami rozproszonymi przez L7, analizując wzorce ruchu do usług zaplecza, wykrywając i ostrzegając przed podejrzanymi atakami oraz generując sugerowane reguły zapory aplikacji internetowej w celu wyeliminowania takich ataków. Te reguły można dostosować w celu spełnienia Twoich potrzeb.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

NS-7: Uproszczenie konfiguracji zabezpieczeń sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: podczas zarządzania złożonym środowiskiem sieciowym użyj narzędzi, aby uprościć, scentralizować i zwiększyć zarządzanie zabezpieczeniami sieci.

Wskazówki dotyczące platformy Azure: Skorzystaj z następujących funkcji, aby uprościć implementację sieci wirtualnej, reguły sieciowej grupy zabezpieczeń i reguły Azure Firewall:

  • Użyj usługi Azure Virtual Network Manager do grupowania, konfigurowania, wdrażania i zarządzania sieciami wirtualnymi oraz regułami sieciowej grupy zabezpieczeń w różnych regionach i subskrypcjach.
  • Użyj Microsoft Defender na potrzeby adaptacyjnego wzmacniania sieci w chmurze, aby zalecić reguły wzmacniania zabezpieczeń sieciowej grupy zabezpieczeń, które jeszcze bardziej ograniczają porty, protokoły i źródłowe adresy IP na podstawie analizy zagrożeń i wyniku analizy ruchu.
  • Użyj menedżera Azure Firewall, aby scentralizować zasady zapory i zarządzanie trasami sieci wirtualnej. Aby uprościć implementację reguł zapory i sieciowych grup zabezpieczeń, możesz również użyć szablonu usługi Azure Resource Manager(ARM) programu Azure Firewall Manager.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj menedżera zapory platformy AWS, aby scentralizować zarządzanie zasadami ochrony sieci w następujących usługach:

  • Zasady zapory aplikacji internetowej platformy AWS
  • Zaawansowane zasady usługi AWS Shield
  • Zasady grupy zabezpieczeń VPC
  • Zasady zapory sieciowej

Menedżer zapory platformy AWS może automatycznie analizować zasady związane z zaporą i tworzyć wyniki dla niezgodnych zasobów oraz wykrywanych ataków i wysyłać je do usługi AWS Security Hub w celu przeprowadzenia badań.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Skorzystaj z następujących funkcji, aby uprościć implementację sieci wirtualnej chmury prywatnej (VPC), reguły zapory i reguły zapory zapory:

  • Użyj sieci VPC do zarządzania i konfigurowania poszczególnych sieci VPC i reguł zapory VPC.
  • Zasady zapory hierarchicznej służą do grupowania reguł zapory i stosowania reguł zasad hierarchicznie w skali globalnej lub regionalnej.
  • Użyj usługi Google Cloud Armor, aby zastosować niestandardowe zasady zabezpieczeń, wstępnie skonfigurowane reguły zapory aplikacji internetowej i ochronę przed atakami DDoS.

Centrum analizy sieci umożliwia również analizowanie sieci i uzyskiwanie wglądu w topologię sieci wirtualnej, reguły zapory i stan łączności sieciowej w celu zwiększenia wydajności zarządzania.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

NS-8: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Zasada zabezpieczeń: wykrywanie i wyłączanie niezabezpieczonych usług i protokołów w warstwie systemu operacyjnego, aplikacji lub pakietu oprogramowania. Wdrażanie kontrolek wyrównywających, jeśli wyłączenie niezabezpieczonych usług i protokołów nie jest możliwe.

Wskazówki dotyczące platformy Azure: Użyj wbudowanego skoroszytu protokołu niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów, takich jak SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, słabe szyfry w protokole Kerberos i niepodpisane powiązania LDAP. Wyłącz niezabezpieczone usługi i protokoły, które nie spełniają odpowiednich standardów zabezpieczeń.

Uwaga: jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem sieciowej grupy zabezpieczeń, Azure Firewall lub platformy Azure Web Application Firewall w celu zmniejszenia obszaru ataków.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: włącz dzienniki przepływu VPC i użyj funkcji GuardDuty do analizowania dzienników przepływu VPC, aby zidentyfikować możliwe niezabezpieczone usługi i protokoły, które nie spełniają odpowiednich standardów zabezpieczeń.

Jeśli dzienniki w środowisku platformy AWS można przekazać do usługi Microsoft Sentinel, możesz również użyć wbudowanego skoroszytu protokołu niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów

Uwaga: jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem grup zabezpieczeń, zapory sieciowej platformy AWS, usługi AWS Web Application Firewall w celu zmniejszenia obszaru ataków.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Włączanie dzienników przepływu VPC i używanie trybu BigQuery lub Centrum poleceń zabezpieczeń do analizowania dzienników przepływu VPC w celu zidentyfikowania możliwych niezabezpieczonych usług i protokołów, które nie spełniają odpowiednich standardów zabezpieczeń.

Jeśli dzienniki w środowisku GCP można przekazać do usługi Microsoft Sentinel, możesz również użyć wbudowanego skoroszytu protokołu niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów. Ponadto możesz przekazywać dzienniki do usługi Google Cloud Chronicle SIEM i SOAR oraz tworzyć niestandardowe reguły w tym samym celu.

Uwaga: jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj kontrolek wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem reguł i zasad zapory VPC lub Cloud Armor, aby zmniejszyć obszar ataków.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

NS-9: Połącz sieć lokalną lub w chmurze prywatnie

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
12.7 CA-3, AC-17, AC-4 Nie dotyczy

Zasada zabezpieczeń: używaj połączeń prywatnych do bezpiecznej komunikacji między różnymi sieciami, takimi jak centra danych dostawcy usług w chmurze i infrastruktura lokalna w środowisku kolokacyjnym.

Wskazówki dotyczące platformy Azure: w przypadku uproszczonej łączności typu lokacja-lokacja lub połączenia punkt-lokacja użyj wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć bezpieczne połączenie między lokacją lokalną lub urządzeniem użytkownika końcowego a siecią wirtualną platformy Azure.

W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi Azure ExpressRoute (lub Virtual WAN), aby połączyć centra danych platformy Azure i infrastrukturę lokalną w środowisku współlokacyjnym.

Podczas łączenia co najmniej dwóch sieci wirtualnych platformy Azure użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: w przypadku łączności typu lokacja-lokacja lub połączenia typu punkt-lokacja użyj sieci VPN platformy AWS, aby utworzyć bezpieczne połączenie (gdy obciążenie protokołu IPsec nie jest problemem) między lokacją lokalną lub urządzeniem użytkownika końcowego z siecią AWS.

W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi AWS Direct Connect, aby połączyć sieci VPN i zasoby platformy AWS z infrastrukturą lokalną w środowisku współlokacyjnym.

Istnieje możliwość używania komunikacji równorzędnej VPC lub bramy tranzytowej w celu nawiązania łączności między co najmniej dwiema sieciami VPN w obrębie lub między regionami. Ruch sieciowy między równorzędną usługą VPC jest prywatny i jest przechowywany w sieci szkieletowej platformy AWS. Jeśli musisz dołączyć wiele sieci VPN, aby utworzyć dużą płaską podsieć, możesz również użyć funkcji udostępniania VPC.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: w przypadku uproszczonej łączności typu lokacja-lokacja lub połączenia typu punkt-lokacja użyj sieci VPN w chmurze Google Cloud.

W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi Google Cloud Interconnect lub Partner Interconnect, aby nawiązać połączenie z sieciami VPN i zasobami w chmurze Google Za pomocą infrastruktury lokalnej w środowisku kolokacji.

Istnieje możliwość użycia komunikacji równorzędnej sieci VPC lub centrum łączności sieciowej w celu nawiązania łączności między co najmniej dwoma sieciami VPN w obrębie lub w różnych regionach. Ruch sieciowy między równorzędną siecią VPN jest prywatny i jest przechowywany w sieci szkieletowej GCP. Jeśli musisz dołączyć wiele sieci VPN do utworzenia dużej płaskiej podsieci, możesz również użyć współużytkowanej sieci VPC

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

NS-10: Upewnij się, że zabezpieczenia systemu nazw domen (DNS)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.9, 9.2 SC-20, SC-21 Nie dotyczy

Zasada zabezpieczeń: Upewnij się, że konfiguracja zabezpieczeń systemu nazw domen (DNS) chroni przed znanymi zagrożeniami:

  • Użyj zaufanych autorytatywnych i cyklicznych usług DNS w środowisku chmury, aby upewnić się, że klient (na przykład systemy operacyjne i aplikacje) otrzymuje prawidłowy wynik rozpoznawania.
  • Rozdziel publiczne i prywatne rozpoznawanie nazw DNS, aby proces rozpoznawania nazw DNS dla sieci prywatnej mógł być odizolowany od sieci publicznej.
  • Upewnij się, że strategia zabezpieczeń DNS obejmuje również środki zaradcze w przypadku typowych ataków, takich jak zwisanie dns, ataki wzmacniania DNS, zatrucia DNS i fałszowanie itd.

Wskazówki dotyczące platformy Azure: użyj rekursywnego systemu DNS platformy Azure (zwykle przypisanego do maszyny wirtualnej za pośrednictwem protokołu DHCP lub wstępnie skonfigurowanego w usłudze) lub zaufanego zewnętrznego serwera DNS w obciążeniu rekursywnej konfiguracji DNS, takiej jak w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj usługi Azure Prywatna strefa DNS do konfiguracji prywatnej strefy DNS, w której proces rozpoznawania nazw DNS nie pozostawia sieci wirtualnej. Użyj niestandardowego systemu DNS, aby ograniczyć rozpoznawanie nazw DNS, aby zezwolić tylko na zaufane rozpoznawanie klienta.

Użyj Microsoft Defender dla usługi DNS w celu zapewnienia zaawansowanej ochrony przed następującymi zagrożeniami bezpieczeństwa dla obciążenia lub usługi DNS:

  • Eksfiltracja danych z zasobów platformy Azure przy użyciu tunelowania DNS
  • Złośliwe oprogramowanie komunikujące się z serwerem poleceń i kontroli
  • Komunikacja ze złośliwymi domenami, takimi jak wyłudzanie informacji i wydobycie kryptograficzne
  • Ataki DNS w komunikacji ze złośliwymi programami rozpoznawania nazw DNS

Można również użyć Microsoft Defender dla App Service do wykrywania zwisających rekordów DNS, jeśli zlikwidowasz witrynę internetową App Service bez usuwania domeny niestandardowej z rejestratora DNS.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: użyj serwera Amazon DNS (innymi słowy, serwera rozpoznawania nazw Amazon Route 53, który jest zwykle przypisany do Użytkownika za pośrednictwem protokołu DHCP lub wstępnie skonfigurowanego w usłudze) lub scentralizowanego zaufanego serwera rozpoznawania nazw DNS w obciążeniu rekursywnej konfiguracji DNS, takiej jak w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj usługi Amazon Route 53, aby utworzyć prywatną konfigurację strefy hostowanej, w której proces rozpoznawania nazw DNS nie pozostawia wyznaczonych sieci VPN. Użyj zapory Usługi Amazon Route 53, aby regulować i filtrować wychodzący ruch DNS/UDP w programie VPC w następujących przypadkach użycia:

  • Zapobieganie atakom, takim jak eksfiltracja DNS w programie VPC
  • Konfigurowanie listy dozwolonych lub odrzucanych dla domen, do których aplikacje mogą wykonywać zapytania

Skonfiguruj funkcję Rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) w usłudze Amazon Route 53, aby zabezpieczyć ruch DNS w celu ochrony domeny przed fałszowaniem DNS lub atakiem typu man-in-the-middle.

Usługa Amazon Route 53 udostępnia również usługę rejestracji DNS, w której usługa Route 53 może być używana jako autorytatywne serwery nazw dla domen. Należy przestrzegać następujących najlepszych rozwiązań, aby zapewnić bezpieczeństwo nazw domen:

  • Nazwy domen powinny być automatycznie odnawiane przez usługę Amazon Route 53.
  • Nazwy domen powinny mieć włączoną funkcję Blokada transferu, aby zapewnić ich bezpieczeństwo.
  • Struktura zasad nadawcy (SPF) powinna służyć do zatrzymywania spamerów przed fałszowaniem domeny.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Użyj serwera DNS GCP (tj. serwera metadanych, który jest zwykle przypisany do maszyny wirtualnej za pośrednictwem protokołu DHCP lub wstępnie skonfigurowanego w usłudze) lub scentralizowanego zaufanego serwera rozpoznawania nazw DNS (takiego jak Google Public DNS) w obciążeniu rekursywnej konfiguracji DNS, takiej jak w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj usługi GCP Cloud DNS, aby utworzyć prywatną strefę DNS, w której proces rozpoznawania nazw DNS nie pozostawia przestarzałych sieci VPN. Regulowanie i filtrowanie wychodzącego ruchu DNS/UDP w przypadku użycia twoich przypadków użycia:

  • Zapobieganie atakom, takim jak eksfiltracja DNS w programie VPC
  • Konfigurowanie list dozwolonych lub odrzucanych dla domen, które wysyła zapytanie do aplikacji

Skonfiguruj funkcję Rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) w usłudze DNS w chmurze, aby zabezpieczyć ruch DNS w celu ochrony domeny przed fałszowaniem DNS lub atakiem typu man-in-the-middle.

Domeny Google Cloud Domain udostępniają usługi rejestracji domen. System DNS chmury GCP może służyć jako autorytatywne serwery nazw dla domen. Należy przestrzegać następujących najlepszych rozwiązań, aby zapewnić bezpieczeństwo nazw domen:

  • Nazwy domen powinny być automatycznie odnawiane przez domeny Google Cloud Domains.
  • Nazwy domen powinny mieć włączoną funkcję Blokada transferu, aby zapewnić ich bezpieczeństwo
  • Struktura zasad nadawcy (SPF) powinna służyć do zatrzymywania spamerów przed fałszowaniem domeny.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):