Controle de Segurança v3: Segurança de rede
A Segurança de Rede abrange controles para proteger redes do Azure, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS.
NS-1: estabelecer limites de segmentação de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: verifique se sua implantação de rede virtual está alinhada à sua estratégia de segmentação corporativa definida no controle de segurança GS-2. Toda carga de trabalho que possa incorrer em risco maior para a organização deve estar em redes virtuais isoladas. Exemplos de carga de trabalho de alto risco incluem:
- Um aplicativo que armazena ou processa dados altamente confidenciais.
- Um aplicativo externo voltado para a rede acessível pelo público ou pelos usuários fora da sua organização.
- Um aplicativo que usa uma arquitetura insegura ou que contém vulnerabilidades que não podem ser facilmente corrigidas.
Para aprimorar sua estratégia de segmentação corporativa, restrinja ou monitore o tráfego entre os recursos internos usando os controles de rede. Para aplicativos específicos e bem definidos (como um aplicativo de três camadas), isso pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção" restringindo as portas, protocolos, IPs de origem e destino do tráfego de rede. Se você tiver muitos aplicativos e pontos de extremidade interagindo entre si, o bloqueio de tráfego pode não ser bem escalado e você pode ser capaz somente de monitorar o tráfego.
Diretrizes do Azure: criar uma VNet (rede virtual) como uma abordagem de segmentação fundamental em sua rede do Azure, para que recursos como VMs possam ser implantados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VNet para sub-redes menores.
Use NSG (grupos de segurança de rede) como um controle de camada de rede para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino.
Você também pode usar ASGs (grupos de segurança de aplicativos) para simplificar a configuração complexa. Em vez de definir a política com base em endereços IP explícitos nos grupos de segurança de rede, os ASGS permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.
Implementação e contexto adicional:
- Conceitos e as melhores práticas da Rede virtual do Azure
- Adicionar, alterar ou excluir uma sub-rede da rede virtual
- Como criar um grupo de segurança de rede com uma configuração de segurança
- Entender e usar grupos de segurança de aplicativos
Stakeholders de segurança do cliente (Saiba mais):
NS-2: proteger serviços de nuvem com controles de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: proteger serviços de nuvem estabelecendo um ponto de acesso privado para os recursos. Você também deve desabilitar ou restringir o acesso da rede pública quando possível.
Diretrizes do Azure: implantar pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso de link privado, para estabelecer um ponto de acesso privado para os recursos. Você também deve desabilitar ou restringir o acesso à rede pública aos serviços onde for viável.
Para determinados serviços, você também tem a opção de implantar a integração de VNet para o serviço em que você pode restringir a VNET para estabelecer um ponto de acesso privado para o serviço.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-3: implantar firewall na borda da rede corporativa
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implante um firewall para executar a filtragem avançada no tráfego de rede de e para redes externas. Você também pode usar firewalls entre segmentos internos para dar suporte a uma estratégia de segmentação. Se necessário, use rotas personalizadas para sua sub-rede para substituir a rota do sistema quando você precisar forçar o tráfego de rede a passar por um dispositivo de rede para fins de controle de segurança.
No mínimo, bloqueie endereços IP incorretos e protocolos de alto risco conhecidos, como o gerenciamento remoto (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).
Diretrizes do Azure: use o Firewall do Azure para fornecer restrição de tráfego na camada de aplicativo totalmente com estado (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar UDR (rotas definidas pelo usuário) para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma UDR para redirecionar o tráfego de saída da Internet por meio de um Firewall do Azure específico ou uma solução de virtualização de rede.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-4: implantar IDS/IPS (sistemas de detecção/prevenção de intrusões)
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Princípio de segurança: use os IDS e IPS de rede para inspecionar a rede e a carga de tráfego de ou para sua carga de trabalho. Verifique se os IDS/IPS estão sempre ajustados para fornecer alertas de alta qualidade para sua solução SIEM.
Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, use IDS/IPS baseados em host ou uma solução de EDR (detecção e resposta de ponto de extremidade) baseada em host junto aos IDS/IPS de rede.
Diretrizes do Azure: use a capacidade do IDPS do Firewall do Azure em sua rede para alertar e/ou bloquear o tráfego de e para domínios e endereços IP mal-intencionados conhecidos.
Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, implante IDS/IPS baseados em host ou uma solução de EDR baseada em host, como o Microsoft Defender para Ponto de Extremidade, no nível da VM junto aos IDS/IPS de rede.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-5: implantar proteção contra DDOS
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princípio de segurança: implante a proteção contra DDoS (negação de serviço distribuído) para proteger sua rede e aplicativos contra ataques.
Diretrizes do Azure: habilite o plano de proteção padrão de DDoS em sua VNet para proteger os recursos que são expostos às redes públicas.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-6: implantar firewall do aplicativo Web
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implante um WAF (firewall do aplicativo Web) e configure as regras apropriadas para proteger seus aplicativos Web e APIs de ataques específicos do aplicativo.
Diretrizes do Azure: use os recursos do WAF (firewall do aplicativo web) no Gateway de Aplicativo do Azure, no Azure Front Door e no CDN (Rede de Distribuição de Conteúdo do Microsoft Azure) para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da sua rede. Defina seu WAF em "detecção" ou "modo de prevenção", dependendo de suas necessidades e do cenário da ameaça. Escolha um conjunto de regras interno, como as 10 principais vulnerabilidades do OWASP e ajuste-o para seu aplicativo.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-7: simplificar a configuração da segurança de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: ao gerenciar um ambiente de rede complexo, use ferramentas para simplificar, centralizar e aprimorar o gerenciamento de segurança de rede.
Diretrizes do Azure: use os seguintes recursos para simplificar a implementação e o gerenciamento do NSG e das regras de Firewall do Azure:
- Use a proteção de rede adaptável do Microsoft Defender para Nuvem para recomendar regras de proteção de NSG que limitam ainda mais portas, protocolos e IPs de origem com base na inteligência contra ameaças e no resultado da análise de tráfego.
- Use o Gerenciador de Firewall do Azure para centralizar a política de firewall e o gerenciamento de rotas da rede virtual. Para simplificar a implementação de regras de firewall e grupos de segurança de rede, você também pode usar o modelo do ARM (Azure Resource Manager) do Gerenciador de Firewall do Azure.
Implementação e contexto adicional:
- Proteção de Rede Adaptável no Microsoft Defender para Nuvem
- Gerenciador de Firewall do Azure
- Criar um Firewall do Azure e uma política de firewall - modelo do ARM
Stakeholders de segurança do cliente (Saiba mais):
NS-8: detectar e desabilitar serviços e protocolos não seguros
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princípio de segurança: detectar e desabilitar serviços e protocolos inseguros na camada de pacote do software, aplicativo ou sistema operacional. Implantar controles de compensação se não for possível desabilitar serviços e protocolos inseguros.
Diretrizes do Azure: use a pasta de trabalho do protocolo inseguro interna do Azure Sentinel para descobrir o uso de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBV1, LM/NTLMv1, WDigest, associações LDAP não assinadas e criptografias fracas no Kerberos. Desabilite serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.
Observação: se não for possível desabilitar serviços ou protocolos não seguros use controles de compensação, como bloquear o acesso aos recursos por meio do grupo de segurança de rede, do Firewall do Azure ou do Firewall de Aplicativo Web do Azure para reduzir a superfície de ataque.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-9: conectar rede local ou na nuvem em particular
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Princípio de segurança: use conexões privadas para comunicação segura entre redes diferentes, como data centers do provedor de serviço de nuvem e infraestrutura local em um ambiente de colocação.
Diretrizes do Azure: use conexões privadas para comunicação segura entre redes diferentes, como data centers do provedor de serviço de nuvem e infraestrutura local em um ambiente de colocação.
Para conectividade leve entre site a site ou ponto a site, use a VPN (rede virtual privada) do Azure para criar uma conexão segura entre seu site local ou dispositivo de usuário final à rede virtual do Azure.
Para uma conexão de alto desempenho de nível corporativo, use o Azure ExpressRoute (ou WAN virtual) para conectar os datacenters do Azure e a infraestrutura local em um ambiente de colocação.
Para conectar duas ou mais redes virtuais do Azure, use o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.
Implementação e contexto adicional:
- Visão geral da VPN do Azure
- O que são modelos de conectividade do ExpressRoute
- Emparelhamento de rede virtual
Stakeholders de segurança do cliente (Saiba mais):
NS-10: garantir a segurança do DNS (Sistema de Nomes de Domínio)
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Princípio de segurança: certifique-se de que a configuração de segurança do DNS protege contra riscos conhecidos:
- Use serviços de DNS confiáveis e recursivos em seu ambiente de nuvem para garantir que o cliente (como sistemas operacionais e aplicativos) receba o resultado de resolução correto.
- Separe a resolução do DNS público e privado para que o processo de resolução do DNS da rede privada possa ser isolado da rede pública.
- Verifique se a sua estratégia de segurança do DNS também inclui mitigações contra ataques comuns, como DNS pendente, ataques de amplificação de DNS, envenenamento e falsificação de DNS e assim por diante.
Diretrizes do Azure: use o DNS recursivo do Azure ou um servidor DNS externo confiável na sua configuração do DNS recursivo da carga de trabalho, como no sistema operacional da VM ou no aplicativo.
Use o DNS privado do Azure para configuração da zona DNS privada no qual o processo de resolução do DNS não saia da rede virtual. Use um DNS personalizado para restringir a resolução do DNS que permite somente a resolução confiável para o cliente.
Use o Azure Defender para DNS para a proteção avançada contra as seguintes ameaças de segurança à sua carga de trabalho ou ao seu serviço DNS:
- Exfiltração dos dados de seus recursos do Azure usando túnel DNS
- Malware comunicando-se com servidor de comando e de controle
- Comunicação com domínios mal-intencionados, como phishing e mineração de criptografia
- Ataques ao DNS em comunicação com resolvedores de DNS mal-intencionados
Você também pode usar o Azure Defender para Serviço de Aplicativo a fim de detectar registros DNS pendentes se você descomissionar um site do Serviço de Aplicativo sem remover seu domínio personalizado do registrador DNS.
Implementação e contexto adicional:
- Visão geral do DNS do Azure
- Guia de implantação do DNS (Secure Domain Name System):
- DNS privado do Azure
- Azure Defender para DNS
- Evite entradas DNS pendentes e evite a aquisição de subdomínio:
Stakeholders de segurança do cliente (Saiba mais):