Compartilhar via

Controle de Segurança: Segurança de rede

A Segurança de Rede abrange controles para proteger e proteger redes, incluindo proteger redes virtuais, estabelecer conexões privadas, prevenir e mitigar ataques externos e proteger o DNS.

NS-1: estabelecer limites de segmentação de rede

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princípio de segurança: verifique se sua implantação de rede virtual está alinhada à sua estratégia de segmentação empresarial definida no controle de segurança GS-2. Toda carga de trabalho que possa incorrer em risco maior para a organização deve estar em redes virtuais isoladas.

Exemplos de carga de trabalho de alto risco incluem:

  • Um aplicativo que armazena ou processa dados altamente confidenciais.
  • Um aplicativo externo voltado para a rede acessível pelo público ou pelos usuários fora da sua organização.
  • Um aplicativo que usa uma arquitetura insegura ou que contém vulnerabilidades que não podem ser facilmente corrigidas.

Para aprimorar sua estratégia de segmentação corporativa, restrinja ou monitore o tráfego entre os recursos internos usando os controles de rede. Para aplicativos específicos e bem definidos (como um aplicativo de três camadas), isso pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção" restringindo as portas, protocolos, IPs de origem e destino do tráfego de rede. Se você tiver muitos aplicativos e pontos de extremidade interagindo entre si, o bloqueio de tráfego pode não escalar bem, e você pode apenas monitorar o tráfego.

Diretrizes do Azure: crie uma VNet (rede virtual) como uma abordagem de segmentação fundamental em sua rede do Azure, para que recursos como VMs possam ser implantados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VNet para sub-redes menores.

Use NSG (grupos de segurança de rede) como um controle de camada de rede para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Consulte o NS-7: Simplifique a configuração de segurança de rede para usar a Proteção Adaptativa de Rede e recomendar regras de endurecimento de NSG com base na inteligência de ameaças e no resultado da análise de tráfego.

Você também pode usar ASGs (grupos de segurança de aplicativos) para simplificar a configuração complexa. Em vez de definir a política com base em endereços IP explícitos nos grupos de segurança de rede, os ASGS permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: crie uma VPC (Nuvem Virtual Privada) como uma abordagem de segmentação fundamental em sua rede AWS, para que recursos como instâncias de EC2 possam ser implantados no VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro do VPC para sub-redes menores.

Para instâncias de EC2, use Grupos de Segurança como um firewall com estado para restringir o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. No nível da sub-rede VPC, use a NACL (Lista de Controle de Acesso à Rede) como um firewall sem estado para ter regras explícitas para o tráfego de entrada e saída para a sub-rede.

Observação: para controlar o tráfego de VPC, a Internet e o Gateway de NAT devem ser configurados para garantir que o tráfego de/para a Internet esteja restrito.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: crie uma rede VPC (nuvem virtual privada) como uma abordagem de segmentação fundamental em sua rede GCP, para que recursos como VMs (instâncias de máquina virtual) do mecanismo de computação possam ser implantados na rede VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro do VPC para sub-redes menores.

Use regras de firewall de VPC como um controle de camada de rede distribuída para permitir ou negar conexões de ou para suas instâncias de destino na rede VPC, que incluem VMs, clusters do Mecanismo de Kubernetes do Google (GKE) e instâncias de ambiente flexíveis do Mecanismo de Aplicativo.

Você também pode configurar regras de firewall de VPC para direcionar todas as instâncias na rede VPC, instâncias com uma marca de rede correspondente ou instâncias que usam uma conta de serviço específica, permitindo que você agrupe instâncias e defina políticas de segurança de rede com base nesses grupos.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-2: Proteger serviços nativos de nuvem com controles de rede

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princípio de segurança: proteger os serviços de nuvem estabelecendo um ponto de acesso privado para recursos. Você também deve desabilitar ou restringir o acesso de redes públicas quando possível.

Diretrizes do Azure: implante pontos de extremidade privados para todos os recursos do Azure que oferecem suporte ao recurso Link Privado para possibilitar um ponto de acesso privado para os recursos. O uso do Link Privado impedirá que a conexão privada roteee pela rede pública.

Observação: determinados serviços do Azure também podem permitir a comunicação privada por meio do recurso de ponto de extremidade de serviço, embora seja recomendável usar o Link Privado do Azure para acesso seguro e privado aos serviços hospedados na plataforma do Azure.

Para determinados serviços, você pode optar por implantar a integração VNet para o serviço em que pode restringir a VNET para estabelecer um ponto de acesso privado para o serviço.

Você também tem a opção de configurar as regras de ACL de rede nativa do serviço ou simplesmente desabilitar o acesso à rede pública para bloquear o acesso de redes públicas.

Para VMs do Azure, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-rede públicos diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: implantar o PrivateLink do VPC para todos os recursos do AWS que dão suporte ao recurso PrivateLink, para permitir a conexão privada com os serviços ou serviços AWS com suporte hospedados por outras contas do AWS (serviços de ponto de extremidade VPC). O uso do PrivateLink impedirá o roteamento da conexão privada pela rede pública.

Para determinados serviços, você pode optar por implantar a instância de serviço em seu próprio VPC para isolar o tráfego.

Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o Amazon S3 permite bloquear o acesso público no nível do bucket ou da conta.

Ao atribuir IPs aos seus recursos de serviço em seu VPC, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-rede públicos diretamente aos seus recursos e, em vez disso, usar IPs/sub-rede privados.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: implantar implementações do VPC Private Google Access para todos os recursos do GCP que dão suporte a ele para estabelecer um ponto de acesso privado para os recursos. Essas opções de acesso privado impedirão o roteamento da conexão privada pela rede pública. O Google Access privado tem instâncias de VM que têm apenas endereços IP internos (sem endereços IP externos)

Para determinados serviços, você pode optar por implantar a instância de serviço em seu próprio VPC para isolar o tráfego. Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o firewall do Mecanismo de Aplicativo permite controlar qual tráfego de rede é permitido ou rejeitado ao se comunicar com o recurso do Mecanismo de Aplicativo. O Armazenamento em Nuvem é outro recurso em que você pode impor a prevenção de acesso público em buckets individuais ou no nível da organização.

Para VMs do Mecanismo de Computação GCP, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-redes públicas diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-3: implantar firewall na borda da rede corporativa

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Princípio de segurança: implante um firewall para executar filtragem avançada no tráfego de rede de e para redes externas. Você também pode usar firewalls entre segmentos internos para dar suporte a uma estratégia de segmentação. Se necessário, use rotas personalizadas para sua sub-rede para substituir a rota do sistema quando precisar forçar o tráfego de rede a passar por um dispositivo de rede para fins de controle de segurança.

No mínimo, bloqueie endereços IP incorretos e protocolos de alto risco conhecidos, como o gerenciamento remoto (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).

Diretrizes do Azure: Use o Firewall do Azure para fornecer restrição de tráfego na camada de aplicação de forma completamente com estado (como filtragem de URLs) e/ou gerenciamento centralizado sobre um grande número de segmentos corporativos ou ramificações (em uma topologia de hub e ramificação).

Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar UDR (rotas definidas pelo usuário) para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma UDR para redirecionar o tráfego de saída da Internet por meio de um Firewall do Azure específico ou de um aplicativo virtual de rede.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use o Firewall de Rede da AWS para aplicar restrição de tráfego na camada de aplicação com monitoramento completo de estado (como filtragem de URL) e/ou para gerenciamento centralizado de um grande número de segmentos corporativos ou spokes (em uma topologia hub/spoke).

Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar tabelas de rotas VPC personalizadas para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma rota personalizada para redirecionar o tráfego de saída da Internet por meio de um Firewall do AWS específico ou de uma solução de virtualização de rede.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use as políticas de segurança do Google Cloud Armor para fornecer filtragem e proteção da Camada 7 de ataques comuns na web. Além disso, use regras de firewall da VPC para fornecer restrições de tráfego da camada de rede distribuídas e inteiramente com estado, além de políticas de firewall para gestão centralizada de um grande número de segmentos corporativos ou spokes (em uma topologia de hub/spoke).

Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, crie políticas de firewall que agrupam regras de firewall e sejam hierárquicas para que possam ser aplicadas a várias redes VPC.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-4: implantar IDS/IPS (sistemas de detecção/prevenção de intrusões)

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11,4

Princípio de segurança: use sistemas de detecção e prevenção de intrusão de rede (IDS/IPS) para inspecionar o tráfego de rede e de dados enviado ou recebido pela sua carga de trabalho. Verifique se os IDS/IPS estão sempre ajustados para fornecer alertas de alta qualidade para sua solução SIEM.

Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, use IDS/IPS baseados em host ou uma solução de EDR (detecção e resposta de ponto de extremidade) baseada em host junto aos IDS/IPS de rede.

Diretrizes do Azure: use os recursos IDPS do Firewall do Azure para proteger sua rede virtual para alertar e/ou bloquear o tráfego de e para domínios e endereços IP mal-intencionados conhecidos.

Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, implante IDS/IPS baseados em host ou uma solução de EDR baseada em host, como o Microsoft Defender para Ponto de Extremidade, no nível da VM junto aos IDS/IPS de rede.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: Use a funcionalidade do IPS do AWS Network Firewall para proteger seu VPC alertando e/ou bloqueando o tráfego de e para endereços IP e domínios conhecidos por serem mal-intencionados.

Para recursos de detecção e prevenção de nível de host mais aprofundados, implante uma solução IDS/IPS baseada em host ou uma solução EDR (detecção e resposta de ponto de extremidade) baseada em host, como uma solução de terceiros, no nível da VM em conjunto com o IDS/IPS de rede.

Observação: se estiver usando um IDS/IPS de terceiros do marketplace, use o Gateway de Trânsito e o Gateway Balancer para direcionar o tráfego para inspeção em linha.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use os recursos do Google Cloud IDS para fornecer detecção de ameaças para invasões, malware, spyware e ataques de comando e controle em sua rede. O IDS de nuvem funciona criando uma rede emparelhada gerenciada pelo Google com instâncias de VM (máquina virtual) espelhadas. O tráfego na rede emparelhada é espelhado e inspecionado por tecnologias de proteção contra ameaças inseridas do Palo Alto Networks para fornecer detecção avançada de ameaças. Você pode espelhar todo o tráfego de entrada e saída com base no protocolo ou no intervalo de endereços IP.

Para capacidades de detecção e prevenção em nível de host mais aprofundadas, implante um ponto de extremidade IDS como recurso zonal, capaz de inspecionar o tráfego de qualquer zona na sua região. Cada ponto de extremidade do IDS recebe tráfego espelhado e realiza a análise de reconhecimento de ameaças.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-5: implantar proteção contra DDOS

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Princípio de segurança: implante a proteção contra DDoS (negação de serviço distribuído) para proteger sua rede e aplicativos contra ataques.

Diretrizes do Azure: o DDoS Protection Basic é habilitado automaticamente para proteger a infraestrutura da plataforma subjacente do Azure (por exemplo, DNS do Azure) e não requer nenhuma configuração dos usuários.

Para níveis mais altos de proteção de ataques de camada de aplicativo (Camada 7), como inundações HTTP e inundações de DNS, habilite o plano de proteção padrão DDoS em sua VNet para proteger os recursos expostos às redes públicas.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: o AWS Shield Standard é habilitado automaticamente com mitigações padrão para proteger sua carga de trabalho contra ataques DDoS de rede e transporte comuns (Camada 3 e 4)

Para níveis mais altos de proteção de seus aplicativos contra ataques de camada de aplicativo (Camada 7), como inundações HTTPS e inundações de DNS, habilite a proteção avançada do AWS Shield no Amazon EC2, ELB (Balanceamento de Carga Elástico), Amazon CloudFront, Acelerador Global da AWS e Amazon Route 53.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: o Google Cloud Armor oferece as seguintes opções para ajudar a proteger sistemas contra ataques de DDoS:

  • Proteção DDoS de rede padrão: proteção always-on básica para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
  • Proteção de DDoS de rede avançada: proteções adicionais para assinantes da Proteção Gerenciada Plus que usam balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
  • A proteção DDoS de rede padrão está sempre habilitada. Você configura a proteção DDoS de rede avançada por região.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-6: implantar firewall do aplicativo Web

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Princípio de segurança: implante um WAF (firewall de aplicativo Web) e configure as regras apropriadas para proteger seus aplicativos Web e APIs contra ataques específicos do aplicativo.

Diretrizes do Azure: use recursos de WAF (firewall de aplicativo Web) no Gateway de Aplicativo do Azure, no Azure Front Door e na CDN (Rede de Distribuição de Conteúdo) do Azure para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da rede.

Defina seu WAF em "detecção" ou "modo de prevenção", dependendo de suas necessidades e do cenário da ameaça.

Escolha um conjunto de regras interno, como as principais vulnerabilidades do OWASP 10, e ajuste-o de acordo com as necessidades do aplicativo.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use o WAF (Firewall de Aplicativo Web) da AWS na distribuição do Amazon CloudFront, no Gateway de API do Amazon, no Application Load Balancer ou no AWS AppSync para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da rede.

Use as Regras Gerenciadas do AWS para o WAF para implantar grupos de regras básicas embutidos e personalizá-los de acordo com as necessidades do seu aplicativo para casos de usos específicos.

Para simplificar a implantação de regras do WAF, você também pode usar a solução de Automações de Segurança do WAF da AWS para implantar automaticamente regras de WAF do AWS predefinidas que filtram ataques baseados na Web em sua ACL Web.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use o Google Cloud Armor para ajudar a proteger seus aplicativos e sites contra ataques de negação de serviço e web.

Use as regras prontas para uso do Google Cloud Armor com base nos padrões do setor para atenuar vulnerabilidades comuns de aplicativos Web e ajudar a fornecer proteção contra o OWASP Top 10.

Configure suas regras de WAF pré-configuradas, cada uma consistindo em várias assinaturas provenientes de CRS (ModSecurity Core Rules). Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras.

O Cloud Armor funciona em conjunto com balanceadores de carga externos e protege contra DDoS (negação de serviço distribuído) e outros ataques baseados na Web, sejam eles implantados no Google Cloud, em uma implantação híbrida ou em uma arquitetura de várias nuvens. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência configuráveis e ações em uma política de segurança. O Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem uma variedade de casos de uso.

A Proteção Adaptável no Cloud Armor ajuda você a prevenir, detectar e proteger seus aplicativos e serviços contra ataques distribuídos L7 analisando padrões de tráfego para seus serviços de back-end, detectando e alertando ataques suspeitos e gerando regras sugeridas do WAF para atenuar esses ataques. Essas regras podem ser ajustadas para atender às suas necessidades.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-7: simplificar a configuração da segurança de rede

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princípio de segurança: ao gerenciar um ambiente de rede complexo, use ferramentas para simplificar, centralizar e aprimorar o gerenciamento de segurança de rede.

Diretrizes do Azure: use os seguintes recursos para simplificar a implementação e o gerenciamento da rede virtual, das regras de NSG e do Firewall do Azure:

  • Use o Gerenciador de Rede Virtual do Azure para agrupar, configurar, implantar e gerenciar redes virtuais e regras de NSG entre regiões e assinaturas.
  • Use a proteção de rede adaptável do Microsoft Defender para Nuvem para recomendar regras de proteção de NSG que limitam ainda mais portas, protocolos e IPs de origem com base na inteligência contra ameaças e no resultado da análise de tráfego.
  • Use o Gerenciador de Firewall do Azure para centralizar a política de firewall e o gerenciamento de rotas da rede virtual. Para simplificar as regras de firewall e a implementação de grupos de segurança de rede, você também pode usar o modelo do Gerenciador de Recursos do Azure (ARM) do Gerenciador de Firewall do Azure.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: use o Gerenciador de Firewall do AWS para centralizar o gerenciamento de políticas de proteção de rede nos seguintes serviços:

  • Políticas de WAF do AWS
  • Políticas avançadas do AWS Shield
  • Políticas de grupo de segurança do VPC
  • Políticas de Firewall de Rede

O Gerenciador de Firewall do AWS pode analisar automaticamente suas políticas relacionadas ao firewall e criar descobertas para recursos não compatíveis e para ataques detectados e enviá-los ao Hub de Segurança da AWS para investigações.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use os seguintes recursos para simplificar a implementação e o gerenciamento da rede de nuvem virtual privada (VPC), regras de firewall e regras de WAF:

  • Use redes VPC para gerenciar e configurar redes VPC individuais e regras de firewall de VPC.
  • Use políticas de Firewall Hierárquico para agrupar regras de firewall e aplicar as regras de política hierarquicamente em escala global ou regional.
  • Use o Google Cloud Armor para aplicar políticas de segurança personalizadas, regras de WAF pré-configuradas e proteção contra DDoS.

Você também pode usar o Centro de Inteligência de Rede para analisar sua rede e obter insights sobre sua topologia de rede virtual, regras de firewall e status de conectividade de rede, a fim de melhorar a eficiência de gerenciamento.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-8: detectar e desabilitar serviços e protocolos não seguros

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Princípio de segurança: detectar e desabilitar serviços e protocolos inseguros na camada do sistema operacional, aplicativo ou pacote de software. Implantar controles de compensação se não for possível desabilitar serviços e protocolos inseguros.

Diretrizes do Azure: Use a Pasta de Trabalho Integrada de Protocolo Inseguro do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cifras fracas em Kerberos e associações LDAP não assinadas. Desabilite serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.

Observação: se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio do grupo de segurança de rede, do Firewall do Azure ou do Firewall do Aplicativo Web do Azure para reduzir a superfície de ataque.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: habilite os Logs de Fluxo do VPC e use o GuardDuty para analisar os Logs de Fluxo do VPC para identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.

Se os logs no ambiente do AWS puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a pasta de trabalho de protocolo inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros

Observação: se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de grupos de segurança, Firewall de Rede AWS, Firewall de Aplicativo Web da AWS para reduzir a superfície de ataque.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: habilite os Logs de Fluxo do VPC e use o BigQuery ou a Central de Comandos de Segurança para analisar os Logs de Fluxo do VPC para identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.

Se os logs no ambiente GCP puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a pasta de trabalho de protocolo inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros. Além disso, você pode encaminhar logs para o GOOGLE Cloud Chronicle SIEM e SOAR e criar regras personalizadas para a mesma finalidade.

Observação: se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de regras e políticas do Firewall do VPC, ou Cloud Armor para reduzir a superfície de ataque.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-9: Conecte a rede local ou na nuvem de forma privada

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
12.7 CA-3, AC-17, AC-4 Não aplicável

Princípio de segurança: use conexões privadas para uma comunicação segura entre diferentes redes, como datacenters do provedor de serviços de nuvem e a infraestrutura no local em um ambiente de colocation.

Diretrizes do Azure: para conectividade site a site ou ponto a site leve, use a VPN (rede virtual privada) do Azure para criar uma conexão segura entre seu site local ou dispositivo de usuário final e a rede virtual do Azure.

Para conexões de alto desempenho de nível empresarial, use o Azure ExpressRoute (ou WAN Virtual) para conectar datacenters do Azure e a infraestrutura local em um ambiente de co-localização.

Para conectar duas ou mais redes virtuais do Azure, use o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais em modo de peering é privado e é mantido na rede principal do Azure.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: para conectividade site a site ou ponto a site, use a VPN do AWS para criar uma conexão segura (quando a sobrecarga do IPsec não for uma preocupação) entre seu site local ou dispositivo de usuário final para a rede AWS.

Para conexões de alto desempenho de nível empresarial, use o AWS Direct Connect para conectar VPCs e recursos do AWS com sua infraestrutura local em um ambiente de co-localização.

Você tem a opção de usar Emparelhamento da VPC ou o Transit Gateway para estabelecer conectividade entre duas ou mais VPCs dentro de uma região ou entre regiões. O tráfego de rede entre VPCs emparelhados é privado e é mantido na rede de backbone da AWS. Quando você precisa unir várias VPCs para criar uma sub-rede plana grande, você também tem a opção de usar o compartilhamento de VPC.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: para conectividade site a site ou ponto a site leve, use o Google Cloud VPN.

Para conexões de alto desempenho de nível empresarial, use o Google Cloud Interconnect ou o Partner Interconnect para se conectar às VPCs e recursos do Google Cloud com sua infraestrutura local em um ambiente de colocation.

Você tem a opção de usar o Emparelhamento de Rede VPC ou o Centro de Conectividade de Rede para estabelecer conectividade entre duas ou mais VPCs dentro ou entre regiões. O tráfego de rede entre VPCs emparelhadas é privado e é mantido na rede de backbone do GCP. Quando você precisa unir várias VPCs para criar uma sub-rede simples grande, você também tem a opção de usar o VPC compartilhado

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

NS-10: garantir a segurança do DNS (Sistema de Nomes de Domínio)

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.9, 9.2 SC-20, SC-21 Não aplicável

Princípio de segurança: verifique se a configuração de segurança do DNS (Sistema de Nomes de Domínio) protege contra riscos conhecidos:

  • Use serviços DNS autoritativos e recursivos confiáveis em seu ambiente de nuvem para garantir que o cliente (como sistemas operacionais e aplicativos) receba o resultado correto da resolução.
  • Separe a resolução do DNS público e privado para que o processo de resolução do DNS da rede privada possa ser isolado da rede pública.
  • Verifique se a sua estratégia de segurança do DNS também inclui mitigações contra ataques comuns, como DNS pendente, ataques de amplificação de DNS, envenenamento e falsificação de DNS e assim por diante.

Diretrizes do Azure: use o DNS recursivo do Azure (geralmente atribuído à VM por meio de DHCP ou pré-configurado no serviço) ou um servidor DNS externo confiável na configuração de DNS recursivo da carga de trabalho, como no sistema operacional da VM ou no aplicativo.

Use o DNS Privado do Azure para uma configuração de zona DNS privada em que o processo de resolução DNS não saia da rede virtual. Use um DNS personalizado para restringir a resolução DNS para permitir apenas a resolução confiável para seu cliente.

Use o Microsoft Defender para DNS para proteção avançada contra as seguintes ameaças de segurança à sua carga de trabalho ou ao serviço DNS:

  • Exfiltração dos dados de seus recursos do Azure usando túnel DNS
  • Malware se comunicando com um servidor de comando e controle
  • Comunicação com domínios mal-intencionados, como phishing e mineração de criptografia
  • Ataques ao DNS em comunicação com resolvedores de DNS mal-intencionados

Você também pode usar o Microsoft Defender para Serviço de Aplicativo para detectar registros DNS pendentes se você desativar um site do Serviço de Aplicativo sem remover seu domínio personalizado do registrador DNS.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use o Servidor DNS da Amazon (em outras palavras, o servidor resolvedor do Amazon Route 53 que geralmente é atribuído a você por meio de DHCP ou pré-configurado no serviço) ou um servidor de resolvedor DNS confiável centralizado na configuração de DNS recursivo da carga de trabalho, como no sistema operacional da VM ou no aplicativo.

Use o Amazon Route 53 para criar uma configuração de zona hospedada privada em que o processo de resolução DNS não deixe as VPCs designadas. Use o firewall do Amazon Route 53 para regular e filtrar o tráfego DNS/UDP de saída em seu VPC para os seguintes casos de uso:

  • Impedir ataques como a exfiltração de DNS em seu VPC
  • Configurar a lista de permissões ou negações para os domínios que seus aplicativos podem consultar

Configure o recurso DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) no Amazon Route 53 para proteger o tráfego DNS para proteger seu domínio contra falsificação de DNS ou um ataque man-in-the-middle.

O Amazon Route 53 também fornece um serviço de registro de DNS em que o Route 53 pode ser usado como servidores de nomes autoritativos para seus domínios. As seguintes práticas recomendadas devem ser seguidas para garantir a segurança de seus nomes de domínio:

  • Os nomes de domínio devem ser renovados automaticamente pelo serviço Amazon Route 53.
  • Os nomes de domínio devem ter o recurso Bloqueio de Transferência habilitado para mantê-los seguros.
  • O SPF (Sender Policy Framework) deve ser usado para impedir que spammers falsifiquem seu domínio.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use o servidor DNS do GCP (ou seja, servidor de metadados que geralmente é atribuído à sua VM por meio de DHCP ou pré-configurado no serviço) ou um servidor de resolvedor DNS confiável centralizado (como o DNS público do Google) na configuração de DNS recursivo da carga de trabalho, como no sistema operacional da VM ou no aplicativo.

Use o Cloud DNS do GCP para criar uma zona DNS privada na qual o processo de resolução DNS não saia das VPCs designadas. Regular e filtrar o tráfego DNS/UDP de saída em seu VPC nos casos de uso:

  • Impedir ataques como a exfiltração de DNS em seu VPC
  • Configurar listas de permissão ou negação para os domínios que seus aplicativos consultam

Configure o recurso DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) no DNS de Nuvem para proteger o tráfego DNS para proteger seu domínio contra falsificação de DNS ou um ataque man-in-the-middle.

O Google Cloud Domains fornece serviços de registro de domínio. O DNS de Nuvem do GCP pode ser usado como servidores de nomes autoritativos para seus domínios. As seguintes práticas recomendadas devem ser seguidas para garantir a segurança de seus nomes de domínio:

  • Os nomes de domínio devem ser renovados automaticamente pelo Google Cloud Domains.
  • Os nomes de domínio devem ter o bloqueio de transferência habilitado para mantê-los seguros.
  • O SPF (Sender Policy Framework) deve ser usado para impedir que spammers falsifiquem seu domínio.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):