Udostępnij przez

Kontrola zabezpieczeń: zabezpieczenia sieci

Zabezpieczenia sieci obejmują mechanizmy kontroli zabezpieczania i ochrony sieci, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania i ograniczania ataków zewnętrznych oraz zabezpieczania systemu DNS.

NS-1: Ustanawianie granic segmentacji sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Upewnij się, że wdrożenie sieci wirtualnej jest zgodne ze strategią segmentacji przedsiębiorstwa zdefiniowaną w kontroli zabezpieczeń GS-2. Każde obciążenie, które może wiązać się z większym ryzykiem dla organizacji, powinno znajdować się w izolowanych sieciach wirtualnych.

Przykłady obciążeń wysokiego ryzyka obejmują:

  • Aplikacja przechowująca lub przetwarzająca wysoce poufne dane.
  • Zewnętrzna aplikacja dostępna dla sieci publicznej lub użytkowników spoza organizacji.
  • Aplikacja korzystająca z niezabezpieczonej architektury lub zawierająca luki w zabezpieczeniach, których nie można łatwo skorygować.

Aby zwiększyć strategię segmentacji przedsiębiorstwa, ogranicz lub monitoruj ruch między zasobami wewnętrznymi przy użyciu mechanizmów kontroli sieci. W przypadku określonych, dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być wysoce bezpieczne podejście "odmów domyślnie, zezwól na wyjątek", ograniczając porty, protokoły, źródłowe i docelowe adresy IP ruchu sieciowego. Jeśli masz wiele aplikacji i punktów końcowych współdziałających ze sobą, blokowanie ruchu może nie działać prawidłowo i może być możliwe tylko monitorowanie ruchu.

Wskazówki dotyczące platformy Azure: Tworzenie sieci wirtualnej jako podstawowego podejścia do segmentacji w sieci platformy Azure, dzięki czemu zasoby, takie jak maszyny wirtualne, można wdrożyć w sieci wirtualnej w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, możesz utworzyć podsieci wewnątrz sieci wirtualnej dla mniejszych podsieci.

Użyj sieciowych grup zabezpieczeń jako kontrolki warstwy sieciowej, aby ograniczyć lub monitorować ruch według portu, protokołu, źródłowego adresu IP lub docelowego adresu IP. Zapoznaj się z tematem NS-7: Upraszczanie konfiguracji zabezpieczeń sieci, aby używać Adaptacyjnego Wzmacniania Sieci do zalecania reguł wzmacniania grup zabezpieczeń sieci na podstawie analizy zagrożeń i wyników analizy ruchu.

Można również użyć grup zabezpieczeń aplikacji (ASG), aby uprościć złożoną konfigurację. Zamiast definiować zasady na podstawie jawnych adresów IP w tradycyjnych sieciowych grupach zabezpieczeń, grupy zabezpieczeń aplikacji (ASG) umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala grupować maszyny wirtualne i definiować polityki bezpieczeństwa sieci na podstawie tych grup.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Utwórz wirtualną chmurę prywatną (VPC) jako podstawowe podejście do segmentacji w swojej sieci AWS, aby zasoby, takie jak instancje EC2, można było wdrożyć wewnątrz granic sieci. Aby dodatkowo podzielić sieć na segmenty, możesz utworzyć podsieci wewnątrz sieci VPC dla mniejszych podsieci.

W przypadku wystąpień usługi EC2 użyj grup zabezpieczeń jako zapory stanowej, aby ograniczyć ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Na poziomie podsieci VPC używaj listy kontroli dostępu do sieci (NACL) jako zapory sieciowej bezstanowej, aby ustanowić wyraźne reguły dla ruchu przychodzącego i wychodzącego z podsieci.

Uwaga: Aby kontrolować ruch VPC, należy skonfigurować bramę internetową i bramę NAT, aby zapewnić ograniczenie ruchu z/do Internetu.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Utwórz sieć wirtualną chmur prywatnych (VPC) jako podstawowe podejście do segmentacji w sieci GCP, aby zasoby, takie jak instancje maszyn wirtualnych Compute Engine, mogły być wdrażane w sieci VPC w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, możesz utworzyć podsieci wewnątrz sieci VPC dla mniejszych podsieci.

Użyj reguł zapory VPC jako rozproszonego systemu kontroli warstwy sieciowej, aby zezwolić na połączenia do lub z docelowych instancji w sieci VPC, w tym maszyn wirtualnych, klastrów Google Kubernetes Engine (GKE) i instancji w elastycznym środowisku usługi App Engine.

Reguły zapory VPC można również skonfigurować tak, aby były przeznaczone dla wszystkich wystąpień w sieci VPC, wystąpień z pasującym tagiem sieciowym lub wystąpień korzystających z określonego konta usługi, umożliwiając grupowanie wystąpień i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-2: Zabezpieczanie usług natywnych dla chmury za pomocą kontrolek sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Zabezpieczanie usług w chmurze przez ustanowienie prywatnego punktu dostępu dla zasobów. Należy również wyłączyć lub ograniczyć dostęp z sieci publicznych, jeśli to możliwe.

Wskazówki dotyczące platformy Azure: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure, które obsługują funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów. Korzystanie z usługi Private Link spowoduje, że połączenie prywatne nie będzie przekierowywane przez sieć publiczną.

Uwaga: Niektóre usługi platformy Azure mogą również zezwalać na prywatną komunikację za pośrednictwem funkcji punktu końcowego usługi, chociaż zaleca się używanie usługi Azure Private Link do bezpiecznego i prywatnego dostępu do usług hostowanych na platformie Azure.

W przypadku niektórych usług można wdrożyć integrację sieci wirtualnej dla usługi, w której można ograniczyć sieć wirtualną do ustanowienia prywatnego punktu dostępu dla usługi.

Istnieje również możliwość skonfigurowania wbudowanych reguł listy kontroli dostępu (ACL) sieci usługi lub po prostu wyłączenia dostępu z sieci publicznej, aby zablokować dostęp z takich sieci.

W przypadku maszyn wirtualnych platformy Azure, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do interfejsu maszyny wirtualnej i zamiast tego używać usług bramy lub modułu równoważenia obciążenia jako frontonu w celu uzyskania dostępu przez sieć publiczną.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Wdrażanie usługi VPC PrivateLink dla wszystkich zasobów platformy AWS obsługujących funkcję PrivateLink w celu umożliwienia połączenia prywatnego z obsługiwanymi usługami AWS lub usługami hostowanymi przez inne konta platformy AWS (usługi punktu końcowego VPC). Użycie usługi PrivateLink spowoduje, że połączenie prywatne nie będzie przekierowywane przez sieć publiczną.

W przypadku niektórych usług możesz wdrożyć wystąpienie usługi we własnym VPC, aby odizolować ruch.

Istnieje również możliwość skonfigurowania natywnych reguł ACL usługi w celu zablokowania dostępu z sieci publicznej. Na przykład usługa Amazon S3 umożliwia blokowanie dostępu publicznego na poziomie zasobnika lub konta.

Podczas przypisywania adresów IP do zasobów usługi w VPC, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do zasobów i zamiast tego używać prywatnych adresów IP/podsieci.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Wdrażanie implementacji dostępu prywatnego Google VPC dla wszystkich zasobów GCP, które to obsługują, aby ustanowić prywatny punkt dostępu dla zasobów. Te opcje dostępu prywatnego będą zapobiegać trasowaniu połączenia prywatnego przez sieć publiczną. Prywatny dostęp do Google ma instancje maszyn wirtualnych, które mają tylko wewnętrzne adresy IP (bez zewnętrznych adresów IP)

W przypadku niektórych usług możesz wdrożyć wystąpienie usługi we własnym VPC, aby odizolować ruch. Istnieje również możliwość skonfigurowania natywnych reguł ACL usługi w celu zablokowania dostępu z sieci publicznej. Na przykład zapora usługi App Engine umożliwia kontrolowanie, który ruch sieciowy jest dozwolony lub odrzucany podczas komunikacji z zasobem usługi App Engine. Usługa Cloud Storage to kolejny zasób, w którym można wymusić zapobieganie dostępowi publicznej dla poszczególnych zasobników lub na poziomie organizacji.

W przypadku maszyn wirtualnych aparatu obliczeniowego GCP, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do interfejsu maszyny wirtualnej i zamiast tego używać usług bramy lub modułu równoważenia obciążenia jako frontonu w celu uzyskania dostępu przez sieć publiczną.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-3: Wdrażanie zapory na brzegu sieci przedsiębiorstwa

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Wdróż zaporę, aby przeprowadzić zaawansowane filtrowanie ruchu sieciowego do i z sieci zewnętrznych. Za pomocą zapór między segmentami wewnętrznymi można również obsługiwać strategię segmentacji. Jeśli jest to wymagane, użyj tras niestandardowych dla podsieci, aby przesłonić trasę systemową, gdy musisz wymusić przejście przez urządzenie sieciowe do celów kontroli zabezpieczeń.

Co najmniej blokuj znane złe adresy IP i protokoły wysokiego ryzyka, takie jak zdalne zarządzanie (na przykład RDP i SSH) i protokoły intranetowe (na przykład SMB i Kerberos).

Wskazówki dotyczące platformy Azure: Użyj usługi Azure Firewall, aby zapewnić w pełni stanowe ograniczenie ruchu warstwy aplikacji (takie jak filtrowanie adresów URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub szprych (w topologii piasty/szprych).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie tras zdefiniowanych przez użytkownika w celu zapewnienia, że ruch przechodzi przez żądaną trasę. Możesz na przykład skorzystać z opcji użycia trasy zdefiniowanej przez użytkownika (UDR) do przekierowywania ruchu internetowego wychodzącego za pośrednictwem określonego firewall'a Azure lub wirtualnego urządzenia sieciowego.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj AWS Network Firewall, aby zapewnić w pełni zorientowane na stan ograniczenie ruchu warstwy aplikacji (takie jak filtrowanie adresów URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub gałęzi (w topologii sieci centralnej/zdalnej).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie niestandardowych tabel tras VPC, aby upewnić się, że ruch przechodzi przez żądaną trasę. Możesz na przykład użyć trasy niestandardowej w celu przekierowania ruchu wychodzącego do Internetu przez określoną zaporę sieciową AWS lub wirtualne urządzenie sieciowe.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj zasad zabezpieczeń google Cloud Armor, aby zapewnić filtrowanie i ochronę typowych ataków internetowych w warstwie 7. Ponadto użyj reguł zapory VPC do zapewnienia rozproszonego, w pełni stanowego ograniczenia ruchu w warstwie sieciowej oraz zasad zapory umożliwiających centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub odgałęzień (w topologii piasta/odgałęzienia).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, utwórz zasady zapory, które grupują reguły zapory i mają być hierarchiczne, aby mogły być stosowane do wielu sieci VPC.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-4: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Zasada zabezpieczeń: użyj systemów wykrywania nieautoryzowanego dostępu do sieci i zapobiegania włamaniom (IDS/IPS), aby sprawdzić sieć i ładunek ruchu do lub z obciążenia. Upewnij się, że usługa IDS/IPS jest zawsze dostrojona w celu zapewnienia wysokiej jakości alertów w rozwiązaniu SIEM.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, użyj systemów IDS/IPS opartych na hoście lub rozwiązań do wykrywania i reagowania na zagrożenia (EDR) opartych na hoście w połączeniu z systemem IDS/IPS sieciowym.

Wskazówki dotyczące platformy Azure: Korzystanie z funkcji IDPS usługi Azure Firewall w celu ochrony sieci wirtualnej w celu powiadamiania i/lub blokowania ruchu do i z znanych złośliwych adresów IP i domen.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż systemy IDS/IPS oparte na hoście lub rozwiązanie do wykrywania i reagowania na punkcie końcowym (EDR), takie jak Microsoft Defender for Endpoint, na poziomie maszyny wirtualnej w połączeniu z systemami IDS/IPS sieciowymi.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki AWS: Użyj funkcji IPS zapory sieciowej AWS, aby chronić swoje VPC, ostrzegając o ruchu i/lub blokując ruch do i z znanych złośliwych adresów IP i domen.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż system IDS/IPS oparty na hoście lub rozwiązanie EDR (Endpoint Detection and Response, wykrywanie punktów końcowych i reagowanie) oparte na hoście, na przykład rozwiązanie firm trzecich dla systemu IDS/IPS opartego na hoście, na poziomie maszyny wirtualnej w połączeniu z sieciowym IDS/IPS.

Uwaga: w przypadku korzystania z usług IDS/IPS innych firm z witryny Marketplace użyj usługi Transit Gateway i Gateway Balancer, aby kierować ruch do inspekcji w trybie online.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: korzystanie z funkcji Google Cloud IDS w celu zapewniania wykrywania zagrożeń w przypadku włamań, złośliwego oprogramowania, programów szpiegujących i ataków kontroli w sieci. Usługa Cloud IDS działa przez utworzenie sieci równorzędnej zarządzanej przez Google z instancjami lustrzanych maszyn wirtualnych. Ruch w sieci równorzędnej jest kopiowany, a następnie sprawdzany przez technologie ochrony Palo Alto Networks przed zagrożeniami, aby zapewnić zaawansowane wykrywanie zagrożeń. Można dublować cały ruch przychodzący i wychodzący na podstawie protokołu lub zakresu adresów IP.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż punkt końcowy usługi IDS jako zasób strefowy, który może sprawdzać ruch z dowolnej strefy w swoim regionie. Każdy punkt końcowy usługi IDS odbiera ruch dublowany i wykonuje analizę wykrywania zagrożeń.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-5: Wdrażanie ochrony przed atakami DDOS

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Zasada zabezpieczeń: Wdrażanie ochrony przed rozproszoną odmową usługi (DDoS) w celu ochrony sieci i aplikacji przed atakami.

Wskazówki dotyczące platformy Azure: Usługa DDoS Protection w warstwie Podstawowa jest automatycznie włączona w celu ochrony podstawowej infrastruktury platformy Azure (np. usługi Azure DNS) i nie wymaga konfiguracji od użytkowników.

W przypadku wyższych poziomów ochrony ataków warstwy aplikacji (warstwa 7), takich jak powodzie HTTP i powodzie DNS, włącz plan ochrony przed atakami DDoS w sieci wirtualnej w celu ochrony zasobów, które są narażone na sieci publiczne.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Usługa AWS Shield Standard jest automatycznie włączona przy użyciu standardowych środków zaradczych w celu ochrony obciążenia przed typowymi atakami DDoS w warstwie sieciowej i transportowej (warstwa 3 i 4)

Aby uzyskać wyższy poziom ochrony aplikacji przed atakiem warstwy aplikacji (warstwa 7), takim jak powodzie HTTPS i powodzie DNS, włącz usługę AWS Shield Advanced Protection w usłudze Amazon EC2, elastic load balancing (ELB), Amazon CloudFront, AWS Global Accelerator i Amazon Route 53.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Usługa Google Cloud Armor oferuje następujące opcje, które ułatwiają ochronę systemów przed atakami DDoS:

  • Standardowa ochrona sieci przed atakami DDoS: podstawowa zawsze włączona ochrona dla modułów równoważenia obciążenia sieciowego, przekazywania protokołu lub maszyn wirtualnych (VM) z publicznymi adresami IP.
  • Zaawansowana ochrona przed atakami DDoS sieci: dodatkowe zabezpieczenia dla subskrybentów usługi Managed Protection Plus korzystających z modułów równoważenia obciążenia sieciowego, przekazywania protokołu lub maszyn wirtualnych z publicznymi adresami IP.
  • Standardowa ochrona sieci przed DDoS jest zawsze włączona. Zaawansowana ochrona przed atakami DDoS sieci jest konfigurowana dla poszczególnych regionów.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-6: Wdrażanie zapory aplikacji internetowej

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
13.10 Zobacz materiał SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Wdrażanie zapory aplikacji internetowej (WAF) i konfigurowanie odpowiednich reguł w celu ochrony aplikacji internetowych i interfejsów API przed atakami specyficznymi dla aplikacji.

Wskazówki dotyczące platformy Azure: korzystanie z funkcji zapory aplikacji internetowych w usłudze Azure Application Gateway, usłudze Azure Front Door i usłudze Azure Content Delivery Network (CDN) w celu ochrony aplikacji, usług i interfejsów API przed atakami warstwy aplikacji na brzegu sieci.

Ustaw swoją WAF (zapora aplikacji internetowej) w trybie "wykrywania" lub "zapobiegania", w zależności od potrzeb i krajobrazu zagrożeń.

Wybierz wbudowany zestaw reguł, taki jak luki w zabezpieczeniach OWASP Top 10, i dostosuj go do potrzeb aplikacji.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki AWS: Korzystaj z zapory sieciowej aplikacji internetowej AWS (WAF) w dystrybucji Amazon CloudFront, Amazon API Gateway, Application Load Balancer lub AWS AppSync, aby chronić twoje aplikacje, usługi i interfejsy API przed atakami warstwy aplikacji na brzegu sieci.

Użyj zarządzanych reguł AWS dla zapory sieci web (WAF), aby wdrożyć wbudowane grupy bazowe i dostosować je do potrzeb Twojej aplikacji i przypadków użycia grup reguł.

Aby uprościć wdrażanie reguł AWS WAF, możesz również użyć rozwiązania AWS WAF Security Automations, aby automatycznie wdrożyć wstępnie zdefiniowane reguły AWS WAF, które filtrują ataki internetowe na Twój web ACL.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj narzędzia Google Cloud Armor, aby chronić aplikacje i witryny internetowe przed atakami typu "odmowa usługi" i ataków internetowych.

Użyj wbudowanych reguł google Cloud Armor opartych na standardach branżowych, aby ograniczyć typowe luki w zabezpieczeniach aplikacji internetowych i pomóc zapewnić ochronę od OWASP Top 10.

Skonfiguruj predefiniowane reguły zapory aplikacji internetowej, każda z nich składa się z wielu podpisów pochodzących z reguł ModSecurity Core Rules (CRS). Każdy podpis odpowiada regule wykrywania ataków w zestawie reguł.

Usługa Cloud Armor działa w połączeniu z zewnętrznymi modułami równoważenia obciążenia i chroni przed rozproszoną odmową usługi (DDoS) i innymi atakami internetowymi, niezależnie od tego, czy aplikacje są wdrażane w usłudze Google Cloud, we wdrożeniu hybrydowym, czy w architekturze wielochmurowej. Zasady zabezpieczeń można skonfigurować ręcznie, z konfigurowalnymi warunkami dopasowania i akcjami w zasadach zabezpieczeń. Usługa Cloud Armor oferuje również wstępnie skonfigurowane zasady zabezpieczeń, które obejmują różne przypadki użycia.

Funkcja adaptacyjnej ochrony w usłudze Cloud Armor pomaga zapobiegać, wykrywać i chronić aplikacje i usługi przed atakami rozproszonymi na poziomie warstwy L7, analizując wzorce ruchu od strony zaplecza, wykrywając i ostrzegając przed podejrzanymi atakami oraz generując sugerowane reguły zapory aplikacji internetowej w celu złagodzenia takich ataków. Te reguły można dostosować w celu spełnienia Twoich potrzeb.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-7: Uproszczenie konfiguracji zabezpieczeń sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: podczas zarządzania złożonym środowiskiem sieciowym użyj narzędzi, aby uprościć, scentralizować i zwiększyć zarządzanie zabezpieczeniami sieci.

Wskazówki dotyczące platformy Azure: Skorzystaj z następujących funkcji, aby uprościć implementację i zarządzanie siecią wirtualną, regułami NSG oraz regułami usługi Azure Firewall:

  • Użyj usługi Azure Virtual Network Manager, aby grupować, konfigurować, wdrażać i zarządzać sieciami wirtualnymi oraz regułami sieciowej grupy zabezpieczeń w różnych regionach i subskrypcjach.
  • Użyj "Adaptacyjnego wzmacniania sieci" w usłudze Microsoft Defender dla Chmury, aby zalecić stosowanie reguł wzmacniania zabezpieczeń sieciowej grupy zabezpieczeń (NSG), które jeszcze bardziej ograniczają porty, protokoły i źródłowe adresy IP na podstawie wyników analizy zagrożeń i ruchu.
  • Użyj usługi Azure Firewall Manager, aby scentralizować zasady zapory i zarządzać trasami sieci wirtualnej. Żeby uprościć implementację reguł zapory i sieciowych grup zabezpieczeń, można użyć szablonu Azure Resource Manager (ARM) Azure Firewall Manager.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj menedżera zapory platformy AWS, aby scentralizować zarządzanie zasadami ochrony sieci w następujących usługach:

  • Zasady AWS Web Application Firewall
  • Zaawansowane zasady usługi AWS Shield
  • Zasady grupy zabezpieczeń VPC
  • Polityki zapory sieciowej

Menedżer zapory platformy AWS może automatycznie analizować zasady związane z zaporą i tworzyć raporty dla niezgodnych zasobów oraz wykrywanych ataków, wysyłając je do usługi AWS Security Hub w celu przeprowadzenia dochodzenia.

Implementacja platformy AWS i dodatkowy kontekst:

Wytyczne GCP: Użyj następujących funkcji, aby uprościć implementację i zarządzanie siecią wirtualnej chmury prywatnej (VPC), regułami zapory i regułami WAF:

  • Użyj sieci VPC do zarządzania i konfigurowania poszczególnych sieci VPC i reguł zapory VPC.
  • Zasady hierarchicznej zapory umożliwiają grupowanie reguł zapory i stosowanie tych zasad w sposób hierarchiczny na skalę globalną lub regionalną.
  • Użyj usługi Google Cloud Armor, aby zastosować niestandardowe zasady zabezpieczeń, wstępnie skonfigurowane reguły zapory aplikacji internetowej i ochronę przed atakami DDoS.

Centrum analizy sieci umożliwia również analizowanie sieci i uzyskiwanie wglądu w topologię sieci wirtualnej, reguły zapory i stan łączności sieciowej w celu zwiększenia wydajności zarządzania.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-8: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Zasada zabezpieczeń: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów w warstwie systemu operacyjnego, aplikacji lub pakietu oprogramowania. Wdróż mechanizmy kontroli wyrównywającej, jeśli wyłączenie niezabezpieczonych usług i protokołów nie jest możliwe.

Wskazówki dotyczące platformy Azure: Użyj wbudowanego skoroszytu protokołu niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów, takich jak SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, słabe szyfry w protokole Kerberos i niepodpisane powiązania LDAP. Wyłącz niezabezpieczone usługi i protokoły, które nie spełniają odpowiedniego standardu zabezpieczeń.

Uwaga: Jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem sieciowej grupy zabezpieczeń, usługi Azure Firewall lub zapory aplikacji internetowej platformy Azure, aby zmniejszyć obszar ataków.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Włącz dzienniki przepływu VPC i użyj funkcji GuardDuty, aby przeanalizować dzienniki przepływu VPC w celu zidentyfikowania możliwych niezabezpieczonych usług i protokołów, które nie spełniają odpowiedniego standardu zabezpieczeń.

Jeśli dzienniki w środowisku platformy AWS mogą być przekazywane do usługi Microsoft Sentinel, możesz również użyć wbudowanego skoroszytu protokołu Niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów

Uwaga: Jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem grup zabezpieczeń, zapory sieciowej platformy AWS, zapory aplikacji internetowej platformy AWS, aby zmniejszyć obszar ataków.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące usługi GCP: Włącz dzienniki przepływu VPC i użyj trybu BigQuery lub Security Command Center, aby przeanalizować dzienniki przepływu VPC w celu zidentyfikowania możliwych niezabezpieczonych usług i protokołów, które nie spełniają odpowiedniego standardu zabezpieczeń.

Jeśli dzienniki w środowisku GCP można przekazać do usługi Microsoft Sentinel, możesz również użyć wbudowanego skoroszytu protokołu Niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów. Ponadto można przekazywać dzienniki do usługi Google Cloud Chronicle SIEM i SOAR oraz tworzyć niestandardowe reguły w tym samym celu.

Uwaga: Jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj kontrolek wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem reguł i zasad zapory VPC lub Cloud Armor, aby zmniejszyć obszar ataków.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-9: Łączenie sieci lokalnej lub chmurowej prywatnie

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
12.7 CA-3, AC-17, AC-4 N/A

Zasada zabezpieczeń: używaj połączeń prywatnych do bezpiecznej komunikacji między różnymi sieciami, takimi jak centra danych dostawcy usług w chmurze i infrastruktura lokalna w środowisku kolokacji.

Wskazówki dotyczące platformy Azure: W przypadku uproszczonej łączności typu lokacja-lokacja lub połączenia punkt-lokacja użyj wirtualnej sieci prywatnej (VPN) platformy Azure, aby utworzyć bezpieczne połączenie między lokacją lokalną lub urządzeniem użytkownika końcowego a siecią wirtualną platformy Azure.

W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi Azure ExpressRoute (lub virtual WAN), aby połączyć centra danych platformy Azure i infrastrukturę lokalną w środowisku wspólnej lokalizacji.

Podczas łączenia dwóch lub większej liczby sieci wirtualnych platformy Azure używaj sparowania sieci wirtualnych. Ruch sieciowy między równorzędnymi sieciami wirtualnymi jest prywatny i przekazywany w sieci szkieletowej platformy Azure.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: W przypadku łączności typu lokacja-lokacja lub połączenia typu punkt-lokacja użyj sieci VPN platformy AWS, aby utworzyć bezpieczne połączenie (gdy obciążenie protokołu IPsec nie jest problemem) między lokacją lokalną lub urządzeniem użytkownika końcowego z siecią AWS.

W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi AWS Direct Connect, aby połączyć sieci VPN i zasoby platformy AWS z infrastrukturą lokalną w środowisku współlokacyjnym.

Istnieje możliwość używania komunikacji równorzędnej VPC lub bramy tranzytowej w celu ustanowienia łączności między co najmniej dwoma wirtualnymi kontrolerami sieci w ramach lub między regionami. Ruch sieciowy między sparowanymi sieciami VPC jest prywatny i przesyłany w sieci szkieletowej AWS. Jeśli musisz dołączyć wiele sieci VPC, aby utworzyć duży płaski segment sieci, możesz również użyć VPC Sharing.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: w przypadku uproszczonej łączności typu lokacja-lokacja lub połączenia punkt-lokacja należy użyć sieci VPN w chmurze Google.

W celu uzyskania wysokowydajnych połączeń na poziomie przedsiębiorstwa użyj Google Cloud Interconnect lub Partner Interconnect, aby połączyć się z sieciami VPC i zasobami Google Cloud za pomocą lokalnej infrastruktury w środowisku kolokacyjnym.

Istnieje możliwość używania peeringu sieci VPC lub Centrum Łączności Sieciowej w celu ustanowienia łączności między dwoma lub więcej sieciami VPC w obrębie lub pomiędzy regionami. Ruch sieciowy między równorzędnymi sieciami VPC jest prywatny i jest kierowany w sieci szkieletowej GCP. Jeśli musisz dołączyć wiele sieci VPC, aby utworzyć dużą płaską podsieć, możesz również użyć współdzielonej sieci VPC.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-10: Zapewnianie zabezpieczeń systemu nazw domen (DNS)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.9, 9.2 SC-20, SC-21 N/A

Zasada zabezpieczeń: Upewnij się, że konfiguracja zabezpieczeń systemu nazw domen (DNS) chroni przed znanymi zagrożeniami:

  • Użyj zaufanych autorytatywnych i cyklicznych usług DNS w środowisku chmury, aby upewnić się, że klient (taki jak systemy operacyjne i aplikacje) otrzyma prawidłowy wynik rozwiązania.
  • Oddziel publiczne i prywatne rozpoznawanie nazw DNS, aby proces rozpoznawania nazw DNS dla sieci prywatnej mógł być odizolowany od sieci publicznej.
  • Upewnij się, że strategia zabezpieczeń DNS obejmuje również środki zaradcze przeciw typowym atakom, takim jak ataki typu dangling DNS, ataki wzmacniania DNS, zatrucie DNS i fałszowanie, itd.

Wskazówki dotyczące platformy Azure: Użyj cyklicznego systemu DNS platformy Azure (zwykle przypisanego do maszyny wirtualnej za pośrednictwem protokołu DHCP lub wstępnie skonfigurowanego w usłudze) lub zaufanego zewnętrznego serwera DNS w obciążeniu rekursywnej konfiguracji DNS, takiej jak w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj prywatnej usługi DNS platformy Azure w celu skonfigurowania prywatnej strefy DNS, w której proces rozpoznawania nazw DNS nie opuszcza sieci wirtualnej. Użyj niestandardowego DNS, aby ograniczyć rozpoznawanie nazw w DNS i zezwolić na zaufane rozpoznawanie tylko dla Twojego klienta.

Usługa Microsoft Defender dla systemu DNS umożliwia zaawansowaną ochronę przed następującymi zagrożeniami bezpieczeństwa dla obciążenia lub usługi DNS:

  • Eksfiltracja danych z zasobów platformy Azure przy użyciu tunelowania DNS
  • Złośliwe oprogramowanie komunikujące się z serwerem poleceń i kontroli
  • Komunikacja ze złośliwymi domenami, takimi jak wyłudzanie informacji i górnictwo kryptograficzne
  • Ataki DNS w komunikacji ze złośliwymi resolverami DNS

Usługi Microsoft Defender for App Service można również użyć do wykrywania zwisających rekordów DNS w przypadku zlikwidowania witryny internetowej usługi App Service bez usuwania domeny niestandardowej z rejestratora DNS.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj serwera Amazon DNS (innymi słowy, serwera Amazon Route 53 Resolver, który jest zwykle przypisany do Ciebie za pośrednictwem protokołu DHCP lub wstępnie skonfigurowany w usłudze) lub scentralizowanego zaufanego serwera rozpoznawania nazw DNS w ustawieniach rekursywnego DNS w obciążeniu roboczym, takich jak w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj usługi Amazon Route 53, aby utworzyć konfigurację prywatnej strefy hostowanej, w której proces rozwiązywania DNS nie opuszcza wyznaczonych VPC. Użyj zapory usługi Amazon Route 53, aby regulować i filtrować wychodzący ruch DNS/UDP w VPC w następujących przypadkach użycia:

  • Zapobieganie atakom, takim jak eksfiltracja DNS w VPC
  • Konfigurowanie listy dozwolonych lub odrzucanych dla domen, do których aplikacje mogą wykonywać zapytania

Skonfiguruj funkcję Rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) w usłudze Amazon Route 53, aby zabezpieczyć ruch DNS w celu ochrony domeny przed fałszowaniem DNS lub atakiem typu man-in-the-middle.

Amazon Route 53 udostępnia również usługę rejestracji DNS, gdzie Route 53 może działać jako serwery nazw autorytatywnych dla Twoich domen. Należy postępować zgodnie z poniższymi najlepszymi rozwiązaniami, aby zapewnić bezpieczeństwo nazw domen:

  • Nazwy domen powinny być automatycznie odnawiane przez usługę Amazon Route 53.
  • Nazwy domen powinny mieć włączoną funkcję Blokada transferu, aby zapewnić ich bezpieczeństwo.
  • Struktura zasad nadawcy (SPF) powinna służyć do zatrzymywania spamerów przed fałszowaniem domeny.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj serwera DNS GCP (czyli serwera metadanych przypisanego do maszyny wirtualnej przez DHCP lub wstępnie skonfigurowanego w usłudze) lub scentralizowanego zaufanego serwera rozpoznawania nazw DNS (takiego jak Google Public DNS) w konfiguracji rekurencyjnego DNS, na przykład w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj usługi GCP Cloud DNS, aby utworzyć prywatną strefę DNS, w której proces rozpoznawania nazw DNS nie wychodzi poza wyznaczone VPC. Reguluj i filtruj wychodzący ruch DNS/UDP w swojej VPC w kontekście przypadków użycia.

  • Zapobieganie atakom, takim jak eksfiltracja DNS w VPC
  • Konfigurowanie list dozwolonych lub odrzucanych dla domen, dla których aplikacja wysyła zapytanie

Skonfiguruj funkcję rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) w usłudze DNS w chmurze, aby zabezpieczyć ruch DNS w celu ochrony domeny przed fałszowaniem DNS lub atakiem typu man-in-the-middle.

Usługa Google Cloud Domains zapewnia usługi rejestracji domen. Serwery nazw Google Cloud DNS mogą być używane jako autorytatywne serwery nazw dla Twoich domen. Należy postępować zgodnie z poniższymi najlepszymi rozwiązaniami, aby zapewnić bezpieczeństwo nazw domen:

  • Nazwy domen powinny być automatycznie odnawiane przez Google Cloud Domains.
  • Nazwy domen powinny mieć włączoną funkcję Blokada transferu, aby zapewnić ich bezpieczeństwo
  • Struktura zasad nadawcy (SPF) powinna służyć do zatrzymywania spamerów przed fałszowaniem domeny.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

  • Last updated on