Controlo de Segurança v3: Segurança da rede
A Segurança da Rede cobre controlos para proteger e proteger redes Azure, incluindo a segurança de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a segurança de DNS.
NS-1: Estabelecer limites de segmentação de rede
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de Segurança: Certifique-se de que a sua implementação de rede virtual está alinhada com a sua estratégia de segmentação empresarial definida no controlo de segurança GS-2. Qualquer carga de trabalho que possa incorrer em maior risco para a organização deve estar em redes virtuais isoladas. Exemplos de carga de trabalho de alto risco incluem:
- Uma aplicação que armazena ou processa dados altamente sensíveis.
- Uma aplicação externa virada para a rede acessível pelo público ou utilizadores fora da sua organização.
- Uma aplicação que utilize arquitetura insegura ou contenha vulnerabilidades que não podem ser facilmente remediadas.
Para melhorar a sua estratégia de segmentação empresarial, restringir ou monitorizar o tráfego entre recursos internos utilizando controlos de rede. Para aplicações específicas e bem definidas (como uma aplicação de 3 níveis), esta pode ser uma abordagem altamente segura de "negar por defeito, permitir por exceção", restringindo as portas, protocolos, fonte e iPs de destino do tráfego de rede. Se tiver muitas aplicações e pontos finais interagindo entre si, bloquear o tráfego pode não ser bom, e você só pode ser capaz de monitorizar o tráfego.
Azure Guidance: Crie uma rede virtual (VNet) como uma abordagem fundamental de segmentação na sua rede Azure, para que recursos como VMs possam ser implantados no VNet dentro de um limite de rede. Para segmentar ainda mais a rede, pode criar sub-redes dentro do VNet para sub-redes mais pequenas.
Utilize grupos de segurança de rede (NSG) como um controlo de camada de rede para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino.
Também pode utilizar grupos de segurança de aplicações (ASGs) para simplificar a configuração complexa. Em vez de definir a política com base em endereços IP explícitos em grupos de segurança de rede, as ASGs permitem configurar a segurança da rede como uma extensão natural da estrutura de uma aplicação, permitindo-lhe agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.
Implementação e contexto adicional:
- Azure Rede Virtual conceitos e boas práticas
- Adicionar, alterar ou eliminar uma sub-rede de rede virtual
- Como criar um grupo de segurança de rede com regras de segurança
- Compreender e utilizar grupos de segurança de aplicações
Stakeholders de Segurança do Cliente (Saiba mais):
NS-2: Serviços de nuvem segura com controlos de rede
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de Segurança: Proteja os serviços em nuvem estabelecendo um ponto de acesso privado para os recursos. Deve também desativar ou restringir o acesso a partir de redes públicas, quando possível.
Azure Guidance: Implementar pontos finais privados para todos os recursos Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos. Deve também desativar ou restringir o acesso à rede pública a serviços sempre que possível.
Para determinados serviços, tem também a opção de implementar a integração VNet para o serviço onde pode restringir o VNET para estabelecer um ponto de acesso privado para o serviço.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
NS-3: Implementar firewall na borda da rede empresarial
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princípio de Segurança: Implementar uma firewall para efetuar uma filtragem avançada no tráfego de rede de e para redes externas. Também pode utilizar firewalls entre segmentos internos para apoiar uma estratégia de segmentação. Se necessário, utilize rotas personalizadas para a sua sub-rede para anular a rota do sistema quando necessitar de forçar o tráfego da rede a passar por um aparelho de rede para efeitos de controlo de segurança.
No mínimo, bloqueia endereços IP maus e protocolos de alto risco, tais como a gestão remota (por exemplo, RDP e SSH) e protocolos intranet (por exemplo, SMB e Kerberos).
Orientação Azure: Utilize Azure Firewall para fornecer uma restrição de tráfego de camadas de aplicação totalmente declarada (como filtragem de URL) e/ou gestão central sobre um grande número de segmentos ou raios de empresa (em um hub/porta-voz topologia).
Se tiver uma topologia de rede complexa, como uma configuração de hub/spoke, poderá ter de criar rotas definidas pelo utilizador (UDR) para garantir que o tráfego passa pela rota desejada. Por exemplo, tem a opção de usar um UDR para redirecionar o tráfego de internet através de um Azure Firewall específico ou um aparelho virtual de rede.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
NS-4: Implementar sistemas de deteção/prevenção de intrusões (IDS/IPS)
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Princípio de Segurança: Utilize sistemas de deteção de intrusões de rede e prevenção de intrusões (IDS/IPS) para inspecionar o tráfego de rede e carga útil de ou para a sua carga de trabalho. Certifique-se de que o IDS/IPS está sempre sintonizado para fornecer alertas de alta qualidade à sua solução SIEM.
Para obter uma capacidade mais aprofundada de deteção e prevenção do nível de hospedeiro, utilize iDS/IPS baseado no hospedeiro ou uma solução de deteção e resposta de pontos finais (DRP) baseada no hospedeiro em conjunto com o IDS/IPS da rede.
Orientação Azure: Utilize a capacidade IDPS da Azure Firewall na sua rede para alertar sobre e/ou bloquear o tráfego de e/ou de endereços e domínios IP maliciosos conhecidos.
Para uma maior capacidade de deteção e prevenção do nível do hospedeiro, implemente iDS/IPS baseado no hospedeiro ou uma solução de deteção e resposta de pontos finais (DRP) baseada no hospedeiro, como Microsoft Defender para Endpoint, ao nível de VM em conjunto com o IDS/IPS da rede.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
NS-5: Implantar proteção DDOS
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princípio de Segurança: Implementar proteção de negação de serviço distribuída (DDoS) para proteger a sua rede e aplicações contra ataques.
Orientação Azure: Ative o plano de proteção padrão DDoS no seu VNet para proteger os recursos expostos às redes públicas.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
NS-6: Implementar firewall de aplicações web
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princípio de Segurança: Implementar uma firewall de aplicação web (WAF) e configurar as regras apropriadas para proteger as suas aplicações web e APIs de ataques específicos à aplicação.
Azure Guidance: Utilize as capacidades de firewall de aplicação web (WAF) em Gateway de Aplicação do Azure, Azure Front Door e Azure Rede de Entrega de Conteúdos (CDN) para proteger as suas aplicações, serviços e APIs contra ataques de camadas de aplicação na borda da sua rede. Desa ajuste o seu WAF em "deteção" ou "modo de prevenção", dependendo das suas necessidades e cenário de ameaça. Escolha um ruleset incorporado, como as vulnerabilidades do OWASP Top 10, e afina-o para a sua aplicação.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
NS-7: Simplificar a configuração de segurança da rede
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de Segurança: Ao gerir um ambiente de rede complexo, utilize ferramentas para simplificar, centralizar e melhorar a gestão da segurança da rede.
Orientação Azure: Utilize as seguintes funcionalidades para simplificar a implementação e gestão das regras do NSG e Azure Firewall:
- Utilize Microsoft Defender para a Cloud Endurecimento de Rede Adaptativa para recomendar regras de endurecimento NSG que limitem ainda mais as portas, protocolos e IPs de origem com base na inteligência de ameaças e resultados de análise de tráfego.
- Utilize Azure Firewall Manager para centralizar a política de firewall e a gestão de rotas da rede virtual. Para simplificar as regras de firewall e a implementação de grupos de segurança de rede, também pode utilizar o modelo Azure Firewall Manager ARM (Azure Resource Manager).
Implementação e contexto adicional:
- Endurecimento adaptativo da rede em Microsoft Defender para a Cloud
- Azure Firewall Manager
- Crie uma Azure Firewall e uma política de firewall - modelo ARM
Stakeholders de Segurança do Cliente (Saiba mais):
NS-8: Detetar e desativar serviços e protocolos inseguros
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princípio de Segurança: Detetar e desativar serviços e protocolos inseguros na camada de pacotes de sistemas operativos, aplicação ou software. Implementar controlos compensatórios se não forem possíveis serviços e protocolos inseguros inativos.
Orientação Azure: Utilize o livro de trabalho do Protocolo Inseguro de Azure Sentinel para descobrir a utilização de serviços e protocolos inseguros como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Ligações LDAP não assinadas e cifras fracas em Kerberos. Desative os serviços e protocolos inseguros que não cumprem as normas de segurança adequadas.
Nota: Se não for possível desativar serviços ou protocolos inseguros, utilize controlos compensatórios como bloquear o acesso aos recursos através de grupos de segurança de rede, Azure Firewall ou Firewall de Aplicações Web Azure para reduzir a superfície de ataque.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
NS-9: Ligação no local ou rede de nuvem privada
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Princípio de Segurança: Utilize ligações privadas para uma comunicação segura entre diferentes redes, tais como centros de dados de prestadores de serviços em nuvem e infraestruturas no local num ambiente de cosão.
Orientação Azure: Utilize ligações privadas para uma comunicação segura entre diferentes redes, tais como centros de dados de serviços de nuvem e infraestruturas no local num ambiente de cosão.
Para uma conectividade leve entre o local-para-local ou o ponto-a-local, utilize a rede privada virtual Azure (VPN) para criar uma ligação segura entre o seu site no local ou o dispositivo do utilizador final para a rede virtual Azure.
Para uma ligação de alto desempenho a nível empresarial, utilize o Azure ExpressRoute (ou WAN Virtual) para ligar centros de dados Azure e infraestruturas no local num ambiente de co-localização.
Ao ligar duas ou mais redes virtuais Azure em conjunto, utilize o espreitamento de rede virtual. O tráfego de rede entre redes virtuais espreitadas é privado e é mantido na rede de espinha dorsal Azure.
Implementação e contexto adicional:
- Visão geral da VPN de Azure
- Quais são os modelos de conectividade ExpressRoute
- Peering de rede virtual
Stakeholders de Segurança do Cliente (Saiba mais):
NS-10: Garantir a segurança do Sistema de Nome de Domínio (DNS)
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Princípio de Segurança: Certifique-se de que a configuração de segurança do Sistema de Nome de Domínio (DNS) protege contra riscos conhecidos:
- Utilize serviços DNS de confiança e dns em todo o seu ambiente na nuvem para garantir que o cliente (tais como sistemas operativos e aplicações) receba o resultado correto da resolução.
- Separe a resolução de DNS público e privado para que o processo de resolução do DNS para a rede privada possa ser isolado da rede pública.
- Certifique-se de que a sua estratégia de segurança DNS também inclui mitigações contra ataques comuns, tais como DNS pendentes, ataques de amplificações de DNS, envenenamento de DNS e falsificação, e assim por diante.
Orientação Azure: Utilize DNS recursivos do Azure ou um servidor DNS externo confiável na configuração de DNS recursiva da sua carga de trabalho, como no sistema operativo da VM ou na aplicação.
Utilize o Azure DNS Privado para configuração privada da zona de DNS onde o processo de resolução dns não sai da rede virtual. Utilize um DNS personalizado para restringir a resolução DNS que apenas permite a resolução fidedigna ao seu cliente.
Utilize o Azure Defender para o DNS para obter uma proteção avançada contra as seguintes ameaças de segurança à sua carga de trabalho ou ao seu serviço DNS:
- Exfiltração de dados dos seus recursos Azure utilizando túneis DNS
- Malware comunicando com servidor de comando e controlo
- Comunicação com domínios maliciosos como phishing e mineração de cripto
- DNS ataca em comunicação com DNS maliciosos
Também pode utilizar o Azure Defender para Serviço de Aplicações para detetar registos DNS pendentes se desativar um website Serviço de Aplicações sem remover o seu domínio personalizado do seu registo DNS.
Implementação e contexto adicional:
- Visão geral do Azure DNS
- Guia de implementação do sistema de nomes de domínio seguro (DNS):
- DNS Privado do Azure
- Azure Defender para DNS
- Evite entradas de DNS pendentes e evite a aquisição de subdomínios:
Stakeholders de Segurança do Cliente (Saiba mais):