Controlo de Segurança: Segurança de rede
A Segurança de Rede abrange controlos para proteger e proteger redes, incluindo proteger redes virtuais, estabelecer ligações privadas, prevenir e mitigar ataques externos e proteger o DNS.
NS-1: Estabelecer limites de segmentação de rede
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: certifique-se de que a implementação da rede virtual está alinhada com a estratégia de segmentação empresarial definida no controlo de segurança GS-2. Qualquer carga de trabalho que possa incorrer num risco mais elevado para a organização deve estar em redes virtuais isoladas.
Exemplos de cargas de trabalho de alto risco incluem:
- Uma aplicação que armazena ou processa dados altamente confidenciais.
- Uma aplicação externa com acesso à rede acessível pelo público ou por utilizadores fora da sua organização.
- Uma aplicação que utiliza arquitetura insegura ou contém vulnerabilidades que não podem ser facilmente remediadas.
Para melhorar a sua estratégia de segmentação empresarial, restrinja ou monitorize o tráfego entre recursos internos através de controlos de rede. Para aplicações específicas e bem definidas (como uma aplicação de 3 camadas), esta pode ser uma abordagem altamente segura de "negar por predefinição, permitir por exceção" ao restringir as portas, protocolos, origem e IPs de destino do tráfego de rede. Se tiver muitas aplicações e pontos finais a interagir entre si, bloquear o tráfego pode não ser dimensionado corretamente e só poderá monitorizar o tráfego.
Orientação do Azure: crie uma rede virtual (VNet) como uma abordagem de segmentação fundamental na sua rede do Azure, para que recursos como VMs possam ser implementados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, pode criar sub-redes dentro da VNet para sub-redes mais pequenas.
Utilize grupos de segurança de rede (NSG) como um controlo de camada de rede para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Veja NS-7: Simplifique a configuração de segurança de rede para utilizar a Proteção de Rede Adaptável para recomendar regras de proteção do NSG com base na inteligência de ameaças e no resultado da análise de tráfego.
Também pode utilizar grupos de segurança de aplicações (ASGs) para simplificar a configuração complexa. Em vez de definir uma política baseada em endereços IP explícitos em grupos de segurança de rede, os ASGs permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, permitindo-lhe agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.
Implementação do Azure e contexto adicional:
- Conceitos e melhores práticas do Azure Rede Virtual
- Adicionar, alterar ou eliminar uma sub-rede de rede virtual
- Como criar um grupo de segurança de rede com regras de segurança
- Compreender e utilizar grupos de segurança de aplicações
Orientação do AWS: crie uma Cloud Privada Virtual (VPC) como uma abordagem de segmentação fundamental na sua rede do AWS, para que recursos como instâncias EC2 possam ser implementados no VPC dentro de um limite de rede. Para segmentar ainda mais a rede, pode criar sub-redes dentro do VPC para sub-redes mais pequenas.
Para instâncias EC2, utilize Grupos de Segurança como uma firewall com estado para restringir o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Ao nível da sub-rede VPC, utilize a Lista de Controlo de Acesso de Rede (NACL) como uma firewall sem estado para ter regras explícitas de entrada e saída de tráfego para a sub-rede.
Nota: para controlar o tráfego VPC, a Internet e o NAT Gateway devem ser configurados para garantir que o tráfego de/para a Internet está restrito.
Implementação do AWS e contexto adicional:
- Controlar o tráfego para instâncias EC2 com grupos de segurança
- Comparar grupos de segurança e ACLs de rede
- Internet Gateway
- NAT Gateway
Orientação do GCP: crie uma rede de nuvem privada virtual (VPC) como uma abordagem de segmentação fundamental na sua rede GCP, para que recursos como instâncias de máquina virtual (VMs) do motor de computação possam ser implementados na rede VPC dentro de um limite de rede. Para segmentar ainda mais a rede, pode criar sub-redes dentro do VPC para sub-redes mais pequenas.
Utilize as regras de firewall do VPC como um controlo de camada de rede distribuído para permitir ou negar ligações de ou para as instâncias de destino na rede VPC, que incluem VMs, clusters do Google Kubernetes Engine (GKE) e instâncias de ambiente flexíveis do Motor de Aplicações.
Também pode configurar regras de firewall de VPC para direcionar todas as instâncias na rede VPC, instâncias com uma etiqueta de rede correspondente ou instâncias que utilizem uma conta de serviço específica, permitindo-lhe agrupar instâncias e definir políticas de segurança de rede com base nesses grupos.
Implementação do GCP e contexto adicional:
- Criar e gerir redes VPC
- Sub-redes VPC do Google Cloud
- Utilizar regras de firewall do VPC
- Adicionar etiquetas de rede
Intervenientes na segurança do cliente (Saiba mais):
NS-2: Proteger os serviços nativos da cloud com controlos de rede
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: proteger os serviços cloud ao estabelecer um ponto de acesso privado para recursos. Também deve desativar ou restringir o acesso a partir de redes públicas sempre que possível.
Orientação do Azure: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link para estabelecer um ponto de acesso privado para os recursos. Utilizar Private Link impedirá a ligação privada de encaminhar através da rede pública.
Nota: determinados serviços do Azure também podem permitir a comunicação privada através da funcionalidade de ponto final de serviço, embora seja recomendado utilizar Azure Private Link para acesso seguro e privado aos serviços alojados na plataforma do Azure.
Para determinados serviços, pode optar por implementar a integração da VNet no serviço onde pode restringir a VNET para estabelecer um ponto de acesso privado para o serviço.
Também tem a opção de configurar as regras da ACL de rede nativa do serviço ou simplesmente desativar o acesso à rede pública para bloquear o acesso a partir de redes públicas.
Para as VMs do Azure, a menos que exista um caso de utilização forte, deve evitar atribuir IPs/sub-rede públicas diretamente à interface da VM e, em vez disso, utilizar serviços de gateway ou balanceador de carga como front-end para acesso pela rede pública.
Implementação do Azure e contexto adicional:
- Compreender Azure Private Link
- Integrar serviços do Azure com redes virtuais para isolamento de rede
Orientação do AWS: implemente o VPC PrivateLink para todos os recursos do AWS que suportam a funcionalidade PrivateLink, para permitir a ligação privada aos serviços ou serviços do AWS suportados alojados por outras contas do AWS (serviços de ponto final VPC). A utilização do PrivateLink impedirá a ligação privada de encaminhar através da rede pública.
Para determinados serviços, pode optar por implementar a instância de serviço no seu próprio VPC para isolar o tráfego.
Também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso a partir da rede pública. Por exemplo, o Amazon S3 permite-lhe bloquear o acesso público ao nível do registo ou da conta.
Ao atribuir IPs aos seus recursos de serviço no VPC, a menos que exista um caso de utilização forte, deve evitar atribuir IPs/sub-rede públicas diretamente aos seus recursos e, em vez disso, utilizar IPs/sub-rede privadas.
Implementação do AWS e contexto adicional:
Orientação do GCP: implemente implementações do VPC Private Google Access para todos os recursos GCP que o suportem para estabelecer um ponto de acesso privado para os recursos. Estas opções de acesso privado impedirão a ligação privada de encaminhar através da rede pública. O Private Google Access tem instâncias de VM que têm apenas endereços IP internos (sem endereços IP externos)
Para determinados serviços, pode optar por implementar a instância de serviço no seu próprio VPC para isolar o tráfego. Também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso a partir da rede pública. Por exemplo, a firewall do Motor de Aplicação permite-lhe controlar que tráfego de rede é permitido ou rejeitado ao comunicar com o recurso do Motor de Aplicação. O Armazenamento na Cloud é outro recurso onde pode impor a prevenção de acesso público em registos individuais ou ao nível da organização.
Para VMs do Motor de Computação GCP, a menos que exista um caso de utilização forte, deve evitar atribuir IPs/sub-redes públicas diretamente à interface da VM e, em vez disso, utilizar serviços de gateway ou balanceador de carga como front-end para acesso pela rede pública.
Implementação do GCP e contexto adicional:
- Private Google Access
- Opções de acesso privado para serviços
- Compreender a firewall do Motor de Aplicações
- Armazenamento na Cloud – utilizar a prevenção de acesso público
Intervenientes na segurança do cliente (Saiba mais):
NS-3: Implementar a firewall no limite da rede empresarial
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implemente uma firewall para efetuar filtragem avançada no tráfego de rede de e para redes externas. Também pode utilizar firewalls entre segmentos internos para suportar uma estratégia de segmentação. Se necessário, utilize rotas personalizadas para a sua sub-rede para substituir a rota do sistema quando precisar de forçar o tráfego de rede a passar por uma aplicação de rede para fins de controlo de segurança.
No mínimo, bloqueie endereços IP incorretos conhecidos e protocolos de alto risco, tais como gestão remota (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).
Orientação do Azure: utilize Azure Firewall para fornecer restrições de tráfego de camada de aplicação com estado completo (como filtragem de URL) e/ou gestão central sobre um grande número de segmentos ou spokes empresariais (numa topologia hub/spoke).
Se tiver uma topologia de rede complexa, como uma configuração hub/spoke, poderá ter de criar rotas definidas pelo utilizador (UDR) para garantir que o tráfego passa pela rota pretendida. Por exemplo, tem a opção de utilizar uma UDR para redirecionar o tráfego da Internet de saída através de um Azure Firewall específico ou de uma aplicação virtual de rede.
Implementação do Azure e contexto adicional:
Orientação do AWS: utilize a Firewall de Rede do AWS para fornecer restrições de tráfego de camada de aplicação totalmente com monitorização de estado (como filtragem de URL) e/ou gestão central sobre um grande número de segmentos ou spokes empresariais (numa topologia hub/spoke).
Se tiver uma topologia de rede complexa, como uma configuração hub/spoke, poderá ter de criar tabelas de rotas VPC personalizadas para garantir que o tráfego passa pela rota pretendida. Por exemplo, tem a opção de utilizar uma rota personalizada para redirecionar o tráfego da Internet de saída através de uma Firewall do AWS específica ou de uma aplicação virtual de rede.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize as políticas de segurança do Google Cloud Armor para fornecer filtragem de Camada 7 e proteção contra ataques Web comuns. Além disso, utilize as regras de firewall do VPC para fornecer restrições de tráfego de camada de rede distribuídas e totalmente com monitorização de estado e políticas de firewall para gestão central num grande número de segmentos ou spokes empresariais (numa topologia hub/spoke).
Se tiver uma topologia de rede complexa, como uma configuração hub/spoke, crie políticas de firewall que agrupem regras de firewall e sejam hierárquicas para que possam ser aplicadas a várias redes VPC.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
NS-4: Implementar sistemas de deteção de intrusões/prevenção de intrusões (IDS/IPS)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Princípio de segurança: utilize sistemas de deteção de intrusões de rede e prevenção de intrusões (IDS/IPS) para inspecionar a rede e o tráfego de payload de/para a carga de trabalho. Certifique-se de que o IDS/IPS está sempre otimizado para fornecer alertas de alta qualidade à sua solução SIEM.
Para uma capacidade de prevenção e deteção ao nível do anfitrião mais aprofundada, utilize o IDS/IPS baseado no anfitrião ou uma solução de deteção e resposta de pontos finais baseados no anfitrião (EDR) em conjunto com o IDS/IPS de rede.
Orientação do Azure: utilize as capacidades de IDPS do Azure Firewall para proteger a sua rede virtual para alertar e/ou bloquear o tráfego de e para domínios e endereços IP maliciosos conhecidos.
Para uma capacidade de deteção e prevenção ao nível do anfitrião mais aprofundada, implemente o IDS/IPS baseado no anfitrião ou uma solução de deteção e resposta de pontos finais baseados no anfitrião (EDR), como Microsoft Defender para Endpoint, ao nível da VM em conjunto com o IDS/IPS de rede.
Implementação do Azure e contexto adicional:
Orientação do AWS: utilize a capacidade IPS da Firewall de Rede do AWS para proteger o VPC para alertar e/ou bloquear o tráfego de e para domínios e endereços IP maliciosos conhecidos.
Para obter capacidades de deteção e prevenção ao nível do anfitrião mais aprofundadas, implemente O IDS/IPS baseado no anfitrião ou uma solução de deteção e resposta de pontos finais baseados no anfitrião (EDR), como solução de terceiros para IDS/IPS baseado no anfitrião, ao nível da VM em conjunto com o IDS/IPS de rede.
Nota: se estiver a utilizar um IDS/IPS de terceiros do marketplace, utilize o Gateway de Trânsito e o Balanceador de Gateway para direcionar o tráfego para inspeção em linha.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize as capacidades do Google Cloud IDS para fornecer deteção de ameaças para intrusões, software maligno, spyware e ataques de comando e controlo na sua rede. O Cloud IDS funciona através da criação de uma rede em modo de peering gerida pela Google com instâncias de máquinas virtuais (VMs) espelhadas. O tráfego na rede em modo de peering é espelhado e, em seguida, inspecionado pelas tecnologias incorporadas de proteção contra ameaças da Palo Alto Networks para fornecer deteção avançada de ameaças. Pode espelhar todo o tráfego de entrada e saída com base no protocolo ou no intervalo de endereços IP.
Para obter capacidades de prevenção e deteção de nível de anfitrião mais aprofundadas, implemente um ponto final do IDS como um recurso zonal que possa inspecionar o tráfego de qualquer zona na sua região. Cada ponto final do IDS recebe tráfego espelhado e efetua a análise da deteção de ameaças.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
NS-5: Implementar a proteção contra DDOS
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princípio de segurança: implemente a proteção contra denial of service (DDoS) distribuída para proteger a sua rede e aplicações contra ataques.
Orientação do Azure: o DDoS Protection Basic é ativado automaticamente para proteger a infraestrutura de plataforma subjacente do Azure (por exemplo, o DNS do Azure) e não requer qualquer configuração por parte dos utilizadores.
Para níveis mais elevados de proteção dos ataques da camada de aplicação (Camada 7), como inundações de HTTP e inundações de DNS, ative o plano de proteção padrão DDoS na sua VNet para proteger os recursos que estão expostos às redes públicas.
Implementação do Azure e contexto adicional:
Orientação do AWS: o AWS Shield Standard é ativado automaticamente com mitigações padrão para proteger a carga de trabalho de ataques DDoS de rede e camada de transporte comuns (Camada 3 e 4)
Para níveis mais elevados de proteção das suas aplicações contra ataques de camada de aplicação (Camada 7), tais como inundações de HTTPS e inundações de DNS, ative a proteção Avançada do AWS Shield no Amazon EC2, o Balanceamento de Carga Elástica (ELB), o Amazon CloudFront, o AWS Global Accelerator e o Amazon Route 53.
Implementação do AWS e contexto adicional:
Orientação do GCP: o Google Cloud Armor oferece as seguintes opções para ajudar a proteger os sistemas contra ataques DDoS:
- Proteção DDoS de rede padrão: proteção always-on básica para balanceadores de carga de rede, reencaminhamento de protocolos ou VMs com endereços IP públicos.
- Proteção avançada contra DDoS de rede: proteções adicionais para subscritores do Managed Protection Plus que utilizam balanceadores de carga de rede, reencaminhamento de protocolos ou VMs com endereços IP públicos.
- A proteção DDoS de rede standard está sempre ativada. Pode configurar a proteção de DDoS de rede avançada por região.
Implementação do GCP e contexto adicional:
- Configurar a proteção de DDoS de rede avançada
- Descrição geral do Google Cloud Armor
- Descrição geral da política do Google Cloud Armor Security
Intervenientes na segurança do cliente (Saiba mais):
NS-6: Implementar a firewall de aplicações Web
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implemente uma firewall de aplicações Web (WAF) e configure as regras adequadas para proteger as suas aplicações Web e APIs contra ataques específicos da aplicação.
Orientação do Azure: utilize as capacidades da firewall de aplicações Web (WAF) no Gateway de Aplicação do Azure, no Azure Front Door e na Rede de Entrega de Conteúdos (CDN) do Azure para proteger as suas aplicações, serviços e APIs contra ataques de camada de aplicação no limite da sua rede.
Defina a WAF em "modo de deteção" ou "modo de prevenção", consoante as suas necessidades e cenário de ameaças.
Escolha um conjunto de regras incorporado, como as 10 principais vulnerabilidades do OWASP, e otimize-o de acordo com as necessidades da sua aplicação.
Implementação do Azure e contexto adicional:
Orientação do AWS: utilize o AWS Firewall de Aplicações Web (WAF) na distribuição Amazon CloudFront, Gateway de API do Amazon, Balanceador de Carga de Aplicações ou AppSync do AWS para proteger as suas aplicações, serviços e APIs contra ataques de camada de aplicação na periferia da sua rede.
Utilize as Regras Geridas do AWS para WAF para implementar grupos de linha de base incorporados e personalizá-lo para as necessidades da sua aplicação para os grupos de regras de caso de utilizador.
Para simplificar a implementação de regras da WAF, também pode utilizar a solução automatizações de segurança waf do AWS para implementar automaticamente regras de WAF do AWS predefinidas que filtram ataques baseados na Web na sua ACL Web.
Implementação do AWS e contexto adicional:
- Como funciona o AWS WAF
- Automatizações de Segurança da WAF do AWS
- Regras Geridas do AWS para a WAF do AWS
Orientação do GCP: utilize o Google Cloud Armor para ajudar a proteger as suas aplicações e sites contra ataques Denial of Service e Web.
Utilize as regras de configuração inicial do Google Cloud Armor com base nos padrões da indústria para mitigar vulnerabilidades comuns de aplicações Web e ajudar a fornecer proteção contra o OWASP Top 10.
Configure as regras de WAF pré-configuradas, cada uma composta por múltiplas assinaturas provenientes de ModSecurity Core Rules (CRS). Cada assinatura corresponde a uma regra de deteção de ataques no conjunto de regras.
O Cloud Armor funciona em conjunto com balanceadores de carga externos e protege contra ataques denial-of-service distribuídos (DDoS) e outros ataques baseados na Web, quer as aplicações sejam implementadas no Google Cloud, numa implementação híbrida ou numa arquitetura de várias clouds. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência configuráveis e ações numa política de segurança. O Cloud Armor também inclui políticas de segurança pré-configuradas, que abrangem vários casos de utilização.
A Proteção Adaptável no Cloud Armor ajuda-o a prevenir, detetar e proteger a sua aplicação e serviços contra ataques distribuídos L7 ao analisar padrões de tráfego para os seus serviços de back-end, detetar e alertar ataques suspeitos e gerar regras de WAF sugeridas para mitigar esses ataques. Estas regras podem ser otimizadas para satisfazer as suas necessidades.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
NS-7: Simplificar a configuração de segurança de rede
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: ao gerir um ambiente de rede complexo, utilize ferramentas para simplificar, centralizar e melhorar a gestão da segurança de rede.
Orientação do Azure: utilize as seguintes funcionalidades para simplificar a implementação e a gestão da rede virtual, das regras do NSG e das regras de Azure Firewall:
- Utilize o Azure Rede Virtual Manager para agrupar, configurar, implementar e gerir redes virtuais e regras de NSG entre regiões e subscrições.
- Utilize Microsoft Defender para Proteção de Rede Adaptável na Cloud para recomendar regras de proteção do NSG que limitem ainda mais as portas, os protocolos e os IPs de origem com base nas informações sobre ameaças e no resultado da análise de tráfego.
- Utilize Azure Firewall Manager para centralizar a política de firewall e a gestão de rotas da rede virtual. Para simplificar a implementação das regras de firewall e dos grupos de segurança de rede, também pode utilizar o modelo do Azure Resource Manager(ARM) do Gestor de Azure Firewall.
Implementação do Azure e contexto adicional:
- Proteção de Rede Adaptável no Microsoft Defender para a Cloud
- Azure Firewall Manager
- Criar um Azure Firewall e uma política de firewall - modelo do ARM
Orientação do AWS: utilize o AWS Firewall Manager para centralizar a gestão de políticas de proteção de rede nos seguintes serviços:
- Políticas de WAF do AWS
- Políticas avançadas do AWS Shield
- Políticas de grupo de segurança VPC
- Políticas de Firewall de Rede
O AWS Firewall Manager pode analisar automaticamente as políticas relacionadas com a firewall e criar conclusões para recursos não conformes e para ataques detetados e enviá-los para o Hub de Segurança do AWS para investigações.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize as seguintes funcionalidades para simplificar a implementação e gestão da rede de nuvem privada virtual (VPC), regras de firewall e regras de WAF:
- Utilize redes VPC para gerir e configurar redes VPC individuais e regras de firewall de VPC.
- Utilize políticas de Firewall Hierárquica para agrupar regras de firewall e aplicar as regras de política hierárquicas à escala global ou regional.
- Utilize o Google Cloud Armor para aplicar políticas de segurança personalizadas, regras de WAF pré-configuradas e proteção contra DDoS.
Também pode o Centro de Inteligência de Rede para analisar a sua rede e obter informações sobre a topologia da rede virtual, as regras de firewall e o estado de conectividade de rede para melhorar a eficiência de gestão.
Implementação do GCP e contexto adicional:
- Redes VPC
- Políticas de firewall hierárquica
- Descrição geral da Good Cloud Armor
- Centro de Inteligência de Rede
Intervenientes na segurança do cliente (Saiba mais):
NS-8: Detetar e desativar serviços e protocolos inseguros
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princípio de segurança: detetar e desativar serviços e protocolos inseguros na camada do so, da aplicação ou do pacote de software. Implemente controlos de compensação se não for possível desativar serviços e protocolos inseguros.
Orientação do Azure: utilize o Livro de Protocolos Inseguros incorporado do Microsoft Sentinel para descobrir a utilização de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cifras fracas em Kerberos e Enlaces LDAP Não Assinados. Desative serviços e protocolos inseguros que não cumpram a norma de segurança adequada.
Nota: se não for possível desativar serviços ou protocolos inseguros, utilize controlos de compensação, como bloquear o acesso aos recursos através do grupo de segurança de rede, Azure Firewall ou Firewall de Aplicações Web do Azure para reduzir a superfície de ataque.
Implementação do Azure e contexto adicional:
Documentação de orientação do AWS: ative os Registos do Fluxo VPC e utilize GuardDuty para analisar os Registos de Fluxo do VPC para identificar os possíveis serviços e protocolos inseguros que não cumprem a norma de segurança adequada.
Se os registos no ambiente do AWS puderem ser reencaminhados para o Microsoft Sentinel, também pode utilizar o Livro de Protocolos Inseguros incorporado do Microsoft Sentinel para descobrir a utilização de serviços e protocolos inseguros
Nota: se não for possível desativar serviços ou protocolos inseguros, utilize controlos de compensação, como bloquear o acesso aos recursos através de grupos de segurança, a Firewall de Rede do AWS, o AWS Firewall de Aplicações Web para reduzir a superfície de ataque.
Implementação do AWS e contexto adicional:
Documentação de orientação do GCP: ative os Registos do Fluxo VPC e utilize o BigQuery ou o Centro de Comandos de Segurança para analisar os Registos de Fluxo do VPC para identificar os possíveis serviços e protocolos inseguros que não cumprem a norma de segurança adequada.
Se os registos no ambiente do GCP puderem ser reencaminhados para o Microsoft Sentinel, também pode utilizar o Livro de Protocolos Inseguros incorporado do Microsoft Sentinel para descobrir a utilização de serviços e protocolos inseguros. Além disso, pode reencaminhar registos para o SIEM e SOAR do Google Cloud Chronicle e criar regras personalizadas para o mesmo fim.
Nota: se não for possível desativar serviços ou protocolos inseguros, utilize controlos de compensação, como bloquear o acesso aos recursos através de regras e políticas da Firewall de VPC ou do Cloud Armor para reduzir a superfície de ataque.
Implementação do GCP e contexto adicional:
- Utilizar Registos do Fluxo VPC
- Análise de registos de segurança no Google Cloud
- Descrição geral - do BigQueryDescrição geral do Centro de Comandos de Segurança
- Cargas de trabalho do Microsoft Sentinel para GCP
Intervenientes na segurança do cliente (Saiba mais):
NS-9: Ligar ao local ou à rede na cloud em privado
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Princípio de segurança: utilize ligações privadas para uma comunicação segura entre diferentes redes, como datacenters do fornecedor de serviços cloud e infraestrutura no local num ambiente de colocação.
Orientação do Azure: para uma conectividade site a site simples ou ponto a site, utilize a rede privada virtual (VPN) do Azure para criar uma ligação segura entre o site no local ou o dispositivo de utilizador final e a rede virtual do Azure.
Para ligações de alto desempenho ao nível da empresa, utilize o Azure ExpressRoute (ou WAN Virtual) para ligar datacenters do Azure e a infraestrutura no local num ambiente de colocalização.
Ao ligar duas ou mais redes virtuais do Azure em conjunto, utilize o peering de rede virtual. O tráfego de rede entre redes virtuais em modo de peering é privado e é mantido na rede principal do Azure.
Implementação do Azure e contexto adicional:
- Descrição geral da VPN do Azure
- Quais são os modelos de conectividade do ExpressRoute
- Peering de rede virtual
Orientação do AWS: para conectividade site a site ou ponto a site, utilize a VPN do AWS para criar uma ligação segura (quando a sobrecarga do IPsec não é uma preocupação) entre o site no local ou o dispositivo de utilizador final para a rede do AWS.
Para ligações de alto desempenho ao nível da empresa, utilize o AWS Direct Connect para ligar VPCs e recursos do AWS à sua infraestrutura no local num ambiente de colocalização.
Tem a opção de utilizar o Peering VPC ou o Gateway de Trânsito para estabelecer conectividade entre dois ou mais VPCs dentro ou em várias regiões. O tráfego de rede entre VPC em modo de peering é privado e é mantido na rede principal do AWS. Quando precisar de associar vários VPCs para criar uma sub-rede plana grande, também tem a opção de utilizar a Partilha VPC.
Implementação do AWS e contexto adicional:
- Introdução ao AWS Direct Connect
- Introdução à VPN do AWS
- Gateway de Trânsito
- Criar e aceitar ligações de peering VPC
- Partilha VPC
Orientação do GCP: para uma conectividade site a site simples ou ponto a site, utilize a VPN do Google Cloud.
Para ligações de alto desempenho ao nível da empresa, utilize o Google Cloud Interconnect ou o Partner Interconnect para ligar a VPCs e recursos do Google Cloud com a sua infraestrutura no local num ambiente de colocação.
Tem a opção de utilizar o Peering de Rede VPC ou o Centro de Conectividade de Rede para estabelecer conectividade entre duas ou mais VPCs dentro ou em várias regiões. O tráfego de rede entre VPCs em modo de peering é privado e é mantido na rede principal do GCP. Quando precisar de associar vários VPCs para criar uma sub-rede plana grande, também tem a opção de utilizar o VPC Partilhado
Implementação do GCP e contexto adicional:
- Descrição geral da VPN na cloud
- Cloud Interconnect, Dedicated Interconnect e Partner Interconnect
- Descrição geral do Centro de Conectividade de Rede
- Private Service Connect
Intervenientes na segurança do cliente (Saiba mais):
NS-10: Garantir a segurança do Sistema de Nomes de Domínio (DNS)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Princípio de segurança: certifique-se de que a configuração de segurança do Sistema de Nomes de Domínio (DNS) protege contra riscos conhecidos:
- Utilize serviços DNS autoritativos e recursivos fidedignos em todo o ambiente cloud para garantir que o cliente (como sistemas operativos e aplicações) recebe o resultado de resolução correto.
- Separe a resolução DNS pública e privada para que o processo de resolução de DNS para a rede privada possa ser isolado da rede pública.
- Certifique-se de que a sua estratégia de segurança DNS também inclui mitigações contra ataques comuns, tais como DNS pendente, ataques de amplificações DNS, envenenamento de DNS e spoofing, etc.
Orientação do Azure: utilize o DNS recursivo do Azure (normalmente atribuído à sua VM através de DHCP ou pré-configurado no serviço) ou um servidor DNS externo fidedigno na configuração do DNS recursivo da carga de trabalho, como no sistema operativo da VM ou na aplicação.
Utilize o Azure DNS Privado para uma configuração de zona DNS privada onde o processo de resolução DNS não sai da rede virtual. Utilize um DNS personalizado para restringir a resolução de DNS para permitir apenas a resolução fidedigna ao seu cliente.
Utilize Microsoft Defender para DNS para proteção avançada contra as seguintes ameaças de segurança à carga de trabalho ou ao serviço DNS:
- Exfiltração de dados dos recursos do Azure com o túnel DNS
- Software maligno a comunicar com um servidor de comandos e controlo
- Comunicação com domínios maliciosos, como phishing e extração criptográfica
- Ataques DNS em comunicação com resoluções DNS maliciosas
Também pode utilizar Microsoft Defender para Serviço de Aplicações detetar registos DNS pendentes se desativar um site Serviço de Aplicações sem remover o domínio personalizado da sua entidade de registo DNS.
Implementação do Azure e contexto adicional:
- Descrição geral do DNS do Azure
- Guia de Implementação do Sistema de Nomes de Domínio Seguro (DNS):
- DNS Privado do Azure
- Azure Defender para DNS
- Evite entradas DNS pendentes e evite a aquisição de subdomínios:
Orientação do AWS: utilize o Servidor DNS do Amazon (por outras palavras, o servidor Resolver do Amazon Route 53 que é normalmente atribuído através de DHCP ou pré-configurado no serviço) ou um servidor de resolução DNS fidedigno centralizado na configuração de DNS recursiva da carga de trabalho, como no sistema operativo da VM ou na aplicação.
Utilize o Amazon Route 53 para criar uma configuração de zona alojada privada onde o processo de resolução de DNS não sai das VPCs designadas. Utilize a firewall do Amazon Route 53 para regular e filtrar o tráfego DNS/UDP de saída no VPC para os seguintes casos de utilização:
- Evitar ataques como a exfiltração DNS no VPC
- Configurar a lista de permissões ou negações para os domínios que as suas aplicações podem consultar
Configure a funcionalidade Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) na Amazon Route 53 para proteger o tráfego DNS para proteger o seu domínio contra spoofing DNS ou um ataque man-in-the-middle.
O Amazon Route 53 também fornece um serviço de registo DNS onde o Route 53 pode ser utilizado como servidores de nomes autoritativos para os seus domínios. As seguintes melhores práticas devem ser seguidas para garantir a segurança dos nomes de domínio:
- Os nomes de domínio devem ser renovados automaticamente pelo serviço Amazon Route 53.
- Os nomes de domínio devem ter a funcionalidade Bloqueio de Transferência ativada para os manter seguros.
- O Sender Policy Framework (SPF) deve ser utilizado para impedir os spammers de falsificarem o seu domínio.
Implementação do AWS e contexto adicional:
- Configuração DNSSEC do Amazon Route 53
- Firewall do Amazon Route 53
- Registo de domínio do Amazon Route 53
Orientação do GCP: utilize o servidor DNS gcP (ou seja, o servidor de metadados que é normalmente atribuído à sua VM através de DHCP ou pré-configurado no serviço) ou um servidor de resolução DNS fidedigno centralizado (como o Google Public DNS) na configuração de DNS recursiva da carga de trabalho, como no sistema operativo da VM ou na aplicação.
Utilize o DNS da Cloud do GCP para criar uma zona DNS privada onde o processo de resolução de DNS não deixe os VPCs desginados. Regular e filtrar o tráfego DNS/UDP de saída no VPC nos casos de utilização:
- Evitar ataques como a exfiltração DNS no VPC
- Configurar listas de permissão ou negação para os domínios que as suas aplicações consultam
Configure a funcionalidade Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) no DNS da Cloud para proteger o tráfego DNS para proteger o seu domínio contra spoofing DNS ou um ataque man-in-the-middle.
O Google Cloud Domains fornece serviços de registo de domínios. O DNS da Cloud do GCP pode ser utilizado como servidores de nomes autoritativos para os seus domínios. As seguintes melhores práticas devem ser seguidas para garantir a segurança dos nomes de domínio:
- Os nomes de domínio devem ser renovados automaticamente pelo Google Cloud Domains.
- Os nomes de domínio devem ter a funcionalidade Bloqueio de Transferência ativada para os manter seguros
- O Sender Policy Framework (SPF) deve ser utilizado para impedir os spammers de falsificarem o seu domínio.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):