Security Control v3: Zabezpieczenia sieciowe

  • Artykuł

Zabezpieczenia sieci obejmują mechanizmy kontroli zabezpieczania i ochrony sieci platformy Azure, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania i ograniczania ataków zewnętrznych oraz zabezpieczania systemu DNS.

NS-1: Ustanawianie granic segmentacji sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Upewnij się, że wdrożenie sieci wirtualnej jest zgodne ze strategią segmentacji przedsiębiorstwa zdefiniowaną w kontroli zabezpieczeń GS-2. Każde obciążenie, które może stanowić większe ryzyko dla organizacji, powinno znajdować się w izolowanych sieciach wirtualnych. Przykłady obciążeń wysokiego ryzyka obejmują:

  • Aplikacja przechowującą lub przetwarzając wysoce poufne dane.
  • Zewnętrzna aplikacja dostępna dla sieci publicznej lub użytkowników spoza organizacji.
  • Aplikacja korzystająca z niezabezpieczonej architektury lub zawierająca luki w zabezpieczeniach, których nie można łatwo skorygować.

Aby zwiększyć strategię segmentacji przedsiębiorstwa, ogranicz lub monitoruj ruch między zasobami wewnętrznymi przy użyciu kontrolek sieci. W przypadku określonych, dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być wysoce bezpieczne podejście "odmów domyślnie, zezwól na wyjątek" przez ograniczenie portów, protokołów, źródłowych i docelowych adresów IP ruchu sieciowego. Jeśli masz wiele aplikacji i punktów końcowych współdziałających ze sobą, blokowanie ruchu może nie działać prawidłowo i może być możliwe tylko monitorowanie ruchu.

Wskazówki dotyczące platformy Azure: Tworzenie sieci wirtualnej jako podstawowego podejścia segmentacji w sieci platformy Azure, dzięki czemu zasoby, takie jak maszyny wirtualne, można wdrożyć w sieci wirtualnej w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, można utworzyć podsieci wewnątrz sieci wirtualnej dla mniejszych podsieci.

Użyj sieciowych grup zabezpieczeń jako kontroli warstwy sieciowej, aby ograniczyć lub monitorować ruch według portu, protokołu, źródłowego adresu IP lub docelowego adresu IP.

Możesz również użyć grup zabezpieczeń aplikacji (ASG), aby uprościć złożoną konfigurację. Zamiast definiować zasady na podstawie jawnych adresów IP w sieciowych grupach zabezpieczeń, grupy zabezpieczeń umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala grupować maszyny wirtualne i definiować zasady zabezpieczeń sieci na podstawie tych grup.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: Zabezpieczanie usług w chmurze przez ustanowienie prywatnego punktu dostępu dla zasobów. Jeśli jest to możliwe, należy również wyłączyć lub ograniczyć dostęp z sieci publicznej.

Wskazówki dotyczące platformy Azure: wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure, które obsługują funkcję Private Link, w celu ustanowienia prywatnego punktu dostępu dla zasobów. Należy również wyłączyć lub ograniczyć dostęp do sieci publicznej do usług tam, gdzie jest to możliwe.

W przypadku niektórych usług istnieje również możliwość wdrożenia integracji z siecią wirtualną dla usługi, w której można ograniczyć sieć wirtualną do ustanowienia prywatnego punktu dostępu dla usługi.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-3: Wdrażanie zapory na brzegu sieci przedsiębiorstwa

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: wdróż zaporę, aby przeprowadzić zaawansowane filtrowanie ruchu sieciowego do i z sieci zewnętrznych. Za pomocą zapór między segmentami wewnętrznymi można również obsługiwać strategię segmentacji. Jeśli jest to wymagane, użyj tras niestandardowych dla podsieci, aby zastąpić trasę systemową, gdy musisz wymusić przejście ruchu sieciowego przez urządzenie sieciowe na potrzeby kontroli zabezpieczeń.

Co najmniej zablokuj znane złe adresy IP i protokoły wysokiego ryzyka, takie jak zdalne zarządzanie (na przykład RDP i SSH) oraz protokoły intranetowe (na przykład SMB i Kerberos).

Wskazówki dotyczące platformy Azure: użyj Azure Firewall, aby zapewnić w pełni stanowe ograniczenie ruchu w warstwie aplikacji (takie jak filtrowanie adresów URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub szprych (w topologii piasty/szprych).

Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie tras zdefiniowanych przez użytkownika w celu zapewnienia, że ruch przechodzi przez żądaną trasę. Możesz na przykład użyć trasy zdefiniowanej przez użytkownika do przekierowywania ruchu internetowego wychodzącego przez określony Azure Firewall lub wirtualnego urządzenia sieciowego.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-4: Wdrażanie systemów wykrywania nieautoryzowanego dostępu/zapobiegania włamaniom (IDS/IPS)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11,4

Zasada zabezpieczeń: użyj systemów wykrywania nieautoryzowanego dostępu do sieci i zapobiegania włamaniom (IDS/IPS), aby sprawdzić sieć i ładunek ruchu do lub z obciążenia. Upewnij się, że usługa IDS/IPS jest zawsze dostrojona, aby dostarczać alerty wysokiej jakości do rozwiązania SIEM.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, użyj opartego na hoście identyfikatorów/adresów IPS lub rozwiązania opartego na hoście wykrywanie i reagowanie w punktach końcowych (EDR) w połączeniu z identyfikatorami sieciowymi/ipS.

Wskazówki dotyczące platformy Azure: użyj możliwości dostawcy tożsamości Azure Firewall w sieci, aby otrzymywać alerty dotyczące i/lub blokować ruch do i z znanych złośliwych adresów IP i domen.

Aby uzyskać bardziej szczegółowe możliwości wykrywania i zapobiegania na poziomie hosta, wdróż oparte na hoście rozwiązania IDS/IPS lub oparte na hoście wykrywanie i reagowanie w punktach końcowych (EDR), takie jak Ochrona punktu końcowego w usłudze Microsoft Defender na poziomie maszyny wirtualnej w połączeniu z identyfikatorami sieci/adresami IPS.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-5: Wdrażanie ochrony przed atakami DDOS

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Zasada zabezpieczeń: wdróż ochronę przed rozproszoną odmową usługi (DDoS), aby chronić sieć i aplikacje przed atakami.

Wskazówki dotyczące platformy Azure: włącz standardowy plan ochrony przed atakami DDoS w sieci wirtualnej, aby chronić zasoby, które są widoczne w sieciach publicznych.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-6: Wdrażanie zapory aplikacji internetowej

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: wdróż zaporę aplikacji internetowej (WAF) i skonfiguruj odpowiednie reguły w celu ochrony aplikacji internetowych i interfejsów API przed atakami specyficznymi dla aplikacji.

Wskazówki dotyczące platformy Azure: korzystanie z funkcji zapory aplikacji internetowej (WAF) w usługach Azure Application Gateway, Azure Front Door i Azure Content Delivery Network (CDN), aby chronić aplikacje, usługi i interfejsy API przed atakami warstwy aplikacji na brzegu sieci. Ustaw zaporę aplikacji internetowej w trybie wykrywania lub zapobiegania, w zależności od potrzeb i krajobrazu zagrożeń. Wybierz wbudowany zestaw reguł, taki jak luki w zabezpieczeniach OWASP Top 10, i dostosuj go do aplikacji.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-7: Uproszczenie konfiguracji zabezpieczeń sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Zasada zabezpieczeń: podczas zarządzania złożonym środowiskiem sieciowym użyj narzędzi, aby uprościć, scentralizować i ulepszać zarządzanie zabezpieczeniami sieci.

Wskazówki dotyczące platformy Azure: Skorzystaj z następujących funkcji, aby uprościć wdrażanie sieciowej grupy zabezpieczeń i zarządzanie nimi oraz reguły Azure Firewall:

  • Użyj Microsoft Defender dla Chmury adaptacyjnego wzmacniania zabezpieczeń sieci, aby zalecić reguły wzmacniania zabezpieczeń sieciowej grupy zabezpieczeń, które dodatkowo ograniczają porty, protokoły i źródłowe adresy IP na podstawie analizy zagrożeń i wyniku analizy ruchu.
  • Użyj menedżera Azure Firewall, aby scentralizować zasady zapory i zarządzanie trasami sieci wirtualnej. Aby uprościć implementację reguł zapory i sieciowych grup zabezpieczeń, można również użyć szablonu usługi ARM (Azure Resource Manager) Azure Firewall Manager.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-8: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Zasada zabezpieczeń: wykrywanie i wyłączanie niezabezpieczonych usług i protokołów w warstwie systemu operacyjnego, aplikacji lub pakietu oprogramowania. Wdrażanie kontrolek wyrównywających, jeśli wyłączenie niezabezpieczonych usług i protokołów nie jest możliwe.

Wskazówki dotyczące platformy Azure: użyj wbudowanego skoroszytu protokołu niezabezpieczonego usługi Azure Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów, takich jak SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Niepodpisane powiązania LDAP i słabe szyfry w protokole Kerberos. Wyłącz niezabezpieczone usługi i protokoły, które nie spełniają odpowiednich standardów zabezpieczeń.

Uwaga: jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem sieciowej grupy zabezpieczeń, Azure Firewall lub platformy Azure Web Application Firewall w celu zmniejszenia obszaru ataków.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-9: Połączenie sieci lokalnej lub w chmurze prywatnie

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
12.7 CA-3, AC-17, AC-4 Nie dotyczy

Zasada zabezpieczeń: używaj połączeń prywatnych do bezpiecznej komunikacji między różnymi sieciami, takimi jak centra danych dostawcy usług w chmurze i infrastruktura lokalna w środowisku kolokacji.

Wskazówki dotyczące platformy Azure: używaj połączeń prywatnych do bezpiecznej komunikacji między różnymi sieciami, takimi jak centra danych dostawcy usług w chmurze i infrastruktura lokalna w środowisku kolokacji.

Aby uzyskać uproszczoną łączność między lokacją lub punkt-lokacja, użyj wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć bezpieczne połączenie między lokacją lokalną lub urządzeniem użytkownika końcowego z siecią wirtualną platformy Azure.

W przypadku połączenia o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi Azure ExpressRoute (lub Virtual WAN), aby połączyć centra danych platformy Azure i infrastrukturę lokalną w środowisku współlokacyjnym.

Podczas łączenia co najmniej dwóch sieci wirtualnych platformy Azure użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

NS-10: Upewnij się, że zabezpieczenia systemu nazw domen (DNS)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.9, 9.2 SC-20, SC-21 Nie dotyczy

Zasada zabezpieczeń: Upewnij się, że konfiguracja zabezpieczeń systemu nazw domen (DNS) chroni przed znanymi zagrożeniami:

  • Użyj zaufanych autorytatywnych i cyklicznych usług DNS w środowisku chmury, aby upewnić się, że klient (na przykład systemy operacyjne i aplikacje) otrzymuje prawidłowy wynik rozpoznawania.
  • Rozdziel publiczne i prywatne rozpoznawanie nazw DNS, aby proces rozpoznawania nazw DNS dla sieci prywatnej mógł być odizolowany od sieci publicznej.
  • Upewnij się, że strategia zabezpieczeń DNS obejmuje również środki zaradcze w przypadku typowych ataków, takich jak zwisanie dns, ataki wzmacniania DNS, zatrucia DNS i fałszowanie itd.

Wskazówki dotyczące platformy Azure: użyj rekursywnego systemu DNS platformy Azure lub zaufanego zewnętrznego serwera DNS w obciążeniu rekursywnej konfiguracji DNS, takiej jak w systemie operacyjnym maszyny wirtualnej lub w aplikacji.

Użyj usługi Azure Prywatna strefa DNS do konfiguracji prywatnej strefy DNS, w której proces rozpoznawania nazw DNS nie pozostawia sieci wirtualnej. Użyj niestandardowego systemu DNS, aby ograniczyć rozpoznawanie nazw DNS, które zezwala tylko na zaufane rozpoznawanie klienta.

Użyj usługi Azure Defender for DNS, aby zapewnić zaawansowaną ochronę przed następującymi zagrożeniami bezpieczeństwa dla obciążenia lub usługi DNS:

  • Eksfiltracja danych z zasobów platformy Azure przy użyciu tunelowania DNS
  • Złośliwe oprogramowanie komunikujące się z serwerem poleceń i kontroli
  • Komunikacja ze złośliwymi domenami jako wyłudzanie informacji i wyszukiwanie kryptograficzne
  • Ataki DNS w komunikacji ze złośliwymi narzędziami rozpoznawania nazw DNS

Usługi Azure Defender dla App Service można również użyć do wykrywania zwisających rekordów DNS, jeśli zlikwidowasz witrynę internetową App Service bez usuwania domeny niestandardowej z rejestratora DNS.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):