网络安全涵盖保护网络的控制措施,包括保护虚拟网络、建立专用连接、防止和缓解外部攻击以及保护 DNS。
NS-1:建立网络分段边界
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全原则:确保虚拟网络部署符合 GS-2 安全控制中定义的企业分段策略。 任何可能给组织带来较高风险的工作负载都应位于独立的虚拟网络中。
高风险工作负载的示例包括:
- 存储或处理高度敏感数据的应用程序。
- 公众或组织外部用户可访问的面向外部网络的应用程序。
- 使用不安全的体系结构或包含无法轻松修正的漏洞的应用程序。
若要增强企业的分段策略,请通过网络控制限制或监视内部资源之间的流量。 对于明确定义的特定应用程序(例如 3 层应用),可采用高度安全的“默认拒绝,允许例外”方法,包括限制网络流量的端口、协议、源和目标 IP。 如果有多个应用程序和终结点彼此交互,那么阻止流量的扩展性可能并不好,你可能只能监视流量。
Azure 指南:在 Azure 网络中创建虚拟网络(VNet)作为基本分段方法,因此可以将 VM 等资源部署到网络边界内的 VNet 中。 若要进一步细分网络,可以在 VNet 内为较小的子网络创建子网。
使用网络安全组 (NSG) 作为网络层控制,以按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 请参阅 NS-7:简化网络安全配置,使用自适应网络加固功能,根据威胁情报和流量分析结果推荐的 NSG 加固规则。
还可以使用应用程序安全组 (ASG) 来简化复杂的配置。 ASG 不是基于网络安全组中的显式 IP 地址来定义策略,而是可将网络安全性配置为应用程序结构的固有扩展,从而能对虚拟机进行分组,并基于这些组定义网络安全策略。
Azure 实现和其他上下文:
AWS 指南:在 AWS 网络中创建虚拟私有云(VR)作为基本分段方法,因此可以将 EC2 实例等资源部署到网络边界内的VP 中。 若要进一步细分网络,可以在 VPC 中为较小的子网络创建子网。
对于 EC2 实例,使用安全组作为有状态防火墙来限制端口、协议、源 IP 地址或目标 IP 地址的流量。 在VPC子网级别,使用网络访问控制列表(NACL)作为无状态防火墙,以显式规则控制子网的进出流量。
注意:若要控制VP流量,应配置 Internet 和 NAT 网关,以确保来自/向 Internet 的流量受到限制。
AWS 实现和其他上下文:
GCP 指南:在您的 GCP 网络中创建虚拟私有云(VPC)网络作为基础分段方法,以便计算引擎虚拟机实例(VM)等资源可以在网络限制区域内部署到 VPC 网络中。 为进一步细分网络,可以在虚拟私有云内为较小的子网创建子网。
使用 VPC 防火墙规则作为分布式网络层控制,允许或拒绝与 VPC 网络中的目标实例建立连接,这些实例包括虚拟机(VM)、Google Kubernetes 引擎(GKE)集群和 App Engine 灵活环境实例。
还可以配置VP防火墙规则,以面向VP网络中的所有实例、具有匹配网络标记的实例或使用特定服务帐户的实例,从而允许你根据这些组对实例进行分组和定义网络安全策略。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-2:使用网络控制保护云本机服务
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全原则:通过为资源建立专用接入点来保护云服务。 还应尽可能禁用或限制来自公用网络的访问。
Azure 指南:为所有支持专用链接功能的 Azure 资源部署专用终结点,为资源建立专用接入点。 使用专用链接将阻止专用连接通过公用网络进行路由。
注意:某些 Azure 服务还可能允许通过服务终结点功能进行专用通信,但建议使用 Azure 专用链接来保护和专用访问 Azure 平台上托管的服务。
对于某些服务,可以选择为服务部署 VNet 集成,以便限制 VNET 为服务建立专用接入点。
还可以选择配置服务本机网络 ACL 规则,或者只是禁用公用网络访问来阻止从公用网络进行访问。
对于 Azure VM,除非存在强用例,否则应避免将公共 IP/子网直接分配到 VM 接口,而是使用网关或负载均衡器服务作为公共网络访问的前端。
Azure 实现和其他上下文:
AWS 指南:为支持 PrivateLink 功能的所有 AWS 资源部署 VPC PrivateLink,以允许与受支持的 AWS 服务或其他 AWS 帐户托管的服务(VPC 终端节点服务)建立专用连接。 使用 PrivateLink 将阻止专用连接通过公用网络进行路由。
对于某些服务,可以选择将服务实例部署到自己的VP 中,以隔离流量。
还可以配置服务的本地 ACL 规则以阻止从公用网络进行访问。 例如,Amazon S3 允许在存储桶或帐户级别阻止公共访问。
在为你的 VPC 中的服务资源分配 IP 时,除非有强烈的使用场景,否则应避免将公共 IP/子网直接分配给资源,而应改用专用 IP/子网。
AWS 实现和其他上下文:
GCP 指南:为所有支持的 GCP 资源部署 VPC 专用 Google Access 实现,以建立资源的专用接入点。 这些专用访问选项将阻止专用连接通过公用网络进行路由。 专用 Google Access 具有仅具有内部 IP 地址的 VM 实例(没有外部 IP 地址)
对于某些服务,可以选择将服务实例部署到自己的VP 中,以隔离流量。 还可以配置服务的本地 ACL 规则以阻止从公用网络进行访问。 例如,应用引擎防火墙允许你在与应用引擎资源通信时控制允许或拒绝哪些网络流量。 云存储是另一个资源,可在单个存储桶或组织级别强制实施公共访问防护。
对于 GCP 计算引擎 VM,除非存在强用例,否则应避免将公共 IP/子网直接分配到 VM 接口,而是使用网关或负载均衡器服务作为公共网络访问的前端。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-3:在企业网络边缘部署防火墙
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4、SC-7、CM-7 | 1.1, 1.2, 1.3 |
安全原则:部署防火墙,对传入和传出外部网络的网络流量执行高级筛选。 还可以在内部段之间使用防火墙来支持分段策略。 如果需要,请在需要强制网络流量通过网络设备进行安全控制时,使用子网的自定义路由来替代系统路由。
至少要阻止已知的不良 IP 地址和高风险协议,例如远程管理(例如 RDP 和 SSH)和 Intranet 协议(例如 SMB 和 Kerberos)。
Azure 指南:使用 Azure 防火墙在大量企业分支或分段环境中(在中心/分支拓扑中),提供完全有状态的应用层流量控制(例如 URL 筛选)和/或集中管理。
如果具有复杂的网络拓扑(例如中心辐射型设置),则可能需要创建用户定义的路由 (UDR) 以确保流量通过所需的路由。 例如,可以选择使用 UDR 通过特定的 Azure 防火墙或网络虚拟设备重定向出口 Internet 流量。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 网络防火墙提供 URL 筛选等完全有状态的应用层流量限制,以及在中心/辐条结构拓扑上对大量企业子网或辐条进行中央管理。
如果您有复杂的网络拓扑结构(例如中心/辐射结构),可能需要创建自定义的VPC路由表,以确保流量通过所需的路由。 例如,可以选择使用自定义路由通过特定的 AWS 防火墙或网络虚拟设备重定向出口 Internet 流量。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud Armor 安全策略提供第 7 层筛选和保护常见 Web 攻击。 此外,使用VPC防火墙规则提供分布式、完全有状态的网络层流量限制,并针对大量企业片段或分支(在中心/分支拓扑中)实施集中管理的防火墙策略。
如果你有复杂的网络拓扑,例如中心/辐射结构,请创建分组防火墙规则并具备层次结构的防火墙策略,以便它们可以应用于多个VPC网络。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-4:部署入侵检测/入侵防护系统 (IDS/IPS)
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7、SI-4 | 11.4 |
安全原则:使用网络入侵检测和入侵防护系统(IDS/IPS)检查传入或传出工作负荷的网络和有效负载流量。 请确保始终优化 IDS/IPS,为 SIEM 解决方案提供高质量的警报。
有关更深入的主机级别检测和防护功能,请将基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案与网络 ID/IPS 结合使用。
Azure 指南:使用 Azure 防火墙的 IDPS 功能来保护虚拟网络,以针对和/或阻止来自已知恶意 IP 地址和域的流量发出警报。
有关更深入的主机级别检测和防护功能,请在 VM 级别部署基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案(例如 Microsoft Defender for Endpoint),并结合使用网络 IDS/IPS。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 网络防火墙的 IPS 功能来保护你的VP,以提醒和/或阻止来自已知恶意 IP 地址和域的流量。
有关更深入的主机级别检测和防护功能,请将基于主机的 IDS/IPS 或基于主机的终结点检测和响应(EDR)解决方案(如基于主机的 IDS/IPS 的第三方解决方案)与网络 IDS/IPS 一起部署到 VM 级别。
注意:如果使用来自市场的第三方 IDS/IPS,请使用传输网关和网关均衡器定向流量进行内联检查。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud IDS 功能为网络上的入侵、恶意软件、间谍软件和命令和控制攻击提供威胁检测。 云入侵检测系统的工作原理是通过创建由 Google 管理的镜像虚拟机(VM)实例的对等网络实现。 流经对等互联网络的流量将被镜像,然后通过嵌入式 Palo Alto Networks 威胁防护技术进行检查,以提供高级威胁检测。 可以根据协议或 IP 地址范围镜像所有入口和出口流量。
有关更深入的主机层级检测和预防功能,请将 IDS 终结点部署为区域性资源,以检查其所属区域中的任何区域流量。 每个 IDS 终结点接收镜像流量并执行威胁检测分析。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-5:部署 DDOS 防护
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1, 1.2, 1.3, 6.6 |
安全原则:部署分布式拒绝服务(DDoS)保护,以保护网络和应用程序免受攻击。
Azure 指南:自动启用 DDoS 保护基本版以保护 Azure 基础平台基础结构(例如 Azure DNS),无需用户配置。
若要提高对应用程序层(第 7 层)攻击(如 HTTP 洪水和 DNS 洪水)的保护级别,请在 VNet 上启用 DDoS 标准保护计划,以保护向公共网络公开的资源。
Azure 实现和其他上下文:
AWS 指南:使用标准缓解功能自动启用 AWS 防护标准,以保护工作负荷免受常见网络和传输层(第 3 层和第 4 层)DDoS 攻击
为了提高应用程序免受应用程序层(第 7 层)攻击(如 HTTPS 洪水和 DNS 洪水)的保护,请在 Amazon EC2、弹性负载均衡(ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 上启用 AWS 防护高级保护。
AWS 实现和其他上下文:
GCP 指南:Google Cloud Armor 提供以下选项来帮助保护系统免受 DDoS 攻击:
- 标准网络 DDoS 防护:对具有公共 IP 地址的网络负载均衡器、协议转发或 VM 的基本始终启用保护。
- 高级网络DDoS保护:为使用网络负载均衡器、协议转发或拥有公共IP地址的虚拟机的Managed Protection Plus订阅者提供额外保护。
- 始终启用标准网络 DDoS 保护。 按区域配置高级网络 DDoS 保护。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-6:部署 Web 应用程序防火墙
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
安全原则:部署 Web 应用程序防火墙(WAF)并配置相应的规则,以保护 Web 应用程序和 API 免受特定于应用程序的攻击。
Azure 指南:在 Azure 应用程序网关、Azure Front Door 和 Azure 内容分发网络(CDN)中使用 Web 应用程序防火墙(WAF)功能来保护应用程序、服务和 API 免受网络边缘的应用程序层攻击。
根据你的需求和威胁情况,将 WAF 设置为“检测”或“预防模式”。
选择内置规则集,例如 OWASP 前 10 个漏洞,并对其进行优化以满足应用程序需求。
Azure 实现和其他上下文:
AWS 指南:在 Amazon CloudFront 分发、Amazon API 网关、应用程序负载均衡器或 AWS AppSync 中使用 AWS Web 应用程序防火墙(WAF)来保护应用程序、服务和 API 免受网络边缘的应用程序层攻击。
使用 WAF 的 AWS 托管规则部署内置基线组,并将其自定义给应用程序需求,以满足用户案例规则组的需求。
为了简化 WAF 规则部署,还可以使用 AWS WAF 安全自动化解决方案自动部署预定义的 AWS WAF 规则,以筛选 Web ACL 上的基于 Web 的攻击。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud Armor 帮助保护应用程序和网站免受拒绝服务和 Web 攻击。
使用基于行业标准的 Google Cloud Armor 开箱即用规则来缓解常见的 Web 应用程序漏洞,并帮助提供 OWASP 前 10 名的保护。
设置预配置的 WAF 规则,每个规则都包含来自 ModSecurity Core 规则(CRS)的多个签名。 每个签名都与规则集中的某个攻击检测规则相对应。
Cloud Armor 可与外部负载均衡器结合使用,并防止分布式拒绝服务 (DDoS) 和其他基于 Web 的攻击,无论应用程序是部署在 Google Cloud 上、混合部署还是在多云体系结构中部署。 安全策略可以通过手动配置、可配置的匹配条件以及策略内的行动进行设置。 Cloud Armor 还具有预配置的安全策略,这些策略涵盖各种用例。
Cloud Armor 中的自适应保护通过分析发向后端服务的流量模式、检测和警报可疑攻击,以及生成建议的 WAF 规则来缓解此类攻击,帮助防止、检测和保护应用程序和服务免受 L7 分布式攻击。 可以微调这些规则以满足你的需求。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-7:简化网络安全配置
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全原则:管理复杂的网络环境时,使用工具来简化、集中和增强网络安全管理。
Azure 指南:使用以下功能简化虚拟网络、NSG 规则和 Azure 防火墙规则的实现和管理:
- 使用 Azure 虚拟网络管理器跨区域和订阅对虚拟网络和 NSG 规则进行分组、配置、部署和管理。
- 使用 Microsoft Defender for Cloud 自适应网络强化建议 NSG 强化规则,这些规则将基于威胁情报和流量分析结果进一步限制端口、协议和源 IP。
- 使用 Azure 防火墙管理器集中管理虚拟网络的防火墙策略和路由。 若要简化防火墙规则和网络安全组实现,还可以使用 Azure 防火墙管理器 Azure 资源管理器 Azure 资源管理器(ARM)模板。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 防火墙管理器集中以下服务的网络保护策略管理:
- AWS WAF 策略
- AWS Shield 高级策略
- 虚拟私有云安全组策略
- 网络防火墙策略
AWS 防火墙管理器可以自动分析与防火墙相关的策略,并为不合规的资源和检测到的攻击创建发现,并将其发送到 AWS 安全中心进行调查。
AWS 实现和其他上下文:
GCP 指南:使用以下功能简化虚拟私有云(VR)网络、防火墙规则和 WAF 规则的实现和管理:
- 使用VP网络管理和配置单个VP网络和VP防火墙规则。
- 使用分层防火墙策略对防火墙规则进行分组,并在全局或区域规模上分层应用策略规则。
- 使用 Google Cloud Armor 应用自定义安全策略、预配置的 WAF 规则和 DDoS 保护。
还可以通过网络智能中心分析网络,并深入了解虚拟网络拓扑、防火墙规则和网络连接状态,以提高管理效率。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-8:检测并禁用不安全的服务和协议
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
安全原则:在 OS、应用程序或软件包层检测和禁用不安全的服务和协议。 如果无法禁用不安全的服务和协议,请部署补偿控制。
Azure 指南:使用 Microsoft Sentinel 的内置不安全协议工作簿来发现使用不安全服务和协议,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Kerberos 中的弱密码和未签名 LDAP 绑定。 禁用不符合相应安全标准的不安全服务和协议。
注意:如果无法禁用不安全的服务或协议,请使用补偿控制,例如阻止通过网络安全组、Azure 防火墙或 Azure Web 应用程序防火墙访问资源以减少攻击面。
Azure 实现和其他上下文:
AWS 指南:启用VP流日志并使用 GuardDuty 分析VP 流日志,以识别不符合适当安全标准的可能不安全服务和协议。
如果 AWS 环境中的日志可以转发到 Microsoft Sentinel,还可以使用 Microsoft Sentinel 的内置不安全协议工作簿来发现不安全服务和协议的使用
注意:如果无法禁用不安全的服务或协议,请使用补偿控制,例如阻止通过安全组、AWS 网络防火墙、AWS Web 应用程序防火墙访问资源以减少攻击面。
AWS 实现和其他上下文:
GCP 指南:启用VP流日志并使用 BigQuery 或安全命令中心分析VP流日志,以识别不符合适当安全标准的可能不安全服务和协议。
如果 GCP 环境中的日志可以转发到 Microsoft Sentinel,还可以使用 Microsoft Sentinel 的内置不安全协议工作簿来发现不安全服务和协议的使用。 此外,还可以将日志转发到 Google Cloud Chronicle SIEM 和 SOAR,并生成相同的自定义规则。
注意:如果无法禁用不安全的服务或协议,请使用补偿控制,例如阻止通过 HTTP 防火墙规则和策略访问资源,或者使用 Cloud Armor 来减少攻击面。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-9:以私密方式连接本地或云网络
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | 无 |
安全原则:使用专用连接在不同的网络(例如云服务提供商数据中心和托管环境中的本地基础结构)之间安全通信。
Azure 指南:对于轻型站点到站点或点到站点连接,请使用 Azure 虚拟专用网络(VPN)在本地站点或最终用户设备和 Azure 虚拟网络之间创建安全连接。
对于企业级高性能连接,请使用 Azure ExpressRoute(或虚拟 WAN)在共同位置环境中连接 Azure 数据中心和本地基础结构。
将两个或多个 Azure 虚拟网络连接在一起时,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。
Azure 实现和其他上下文:
AWS 指南:对于站点到站点或点到站点连接,请使用 AWS VPN 在本地站点或最终用户设备与 AWS 网络之间创建安全连接(当 IPsec 开销不重要时)。
对于企业级高性能连接,请使用 AWS Direct Connect 将 AWS VPN 和资源连接到共同位置环境中的本地基础结构。
可以选择使用 VPC 对等连接或传输网关在两个或更多个 VPC 内部或跨区域建立连接。 对等连接的VPC之间的网络流量是私密的,并保留在AWS主干网络上。 需要加入多个 VPN 来创建大型平面子网时,还可以选择使用 VPN 共享。
AWS 实现和其他上下文:
GCP 指南:对于轻型站点到站点或点到站点连接,请使用 Google Cloud VPN。
对于企业级高性能连接,请使用 Google 云互连或合作伙伴互连,通过托管环境中的本地基础结构连接到 Google Cloud VPC 和资源。
可以选择使用VPC网络对等互连或网络连接中心在区域内或跨区域为两个或多个VPC建立连接。 对等连接的 VPC 之间的网络流量是私有的,并保持在 GCP 主干网络中。 需要加入多个 VPC 来创建大型平面子网时,还可以选择使用共享的 VPC。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
NS-10:确保域名系统 (DNS) 安全性
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20、SC-21 | 无 |
安全原则:确保域名系统(DNS)安全配置防范已知风险:
- 在云环境中使用受信任的权威和递归 DNS 服务来确保客户端(如作系统和应用程序)收到正确的解析结果。
- 将公共和专用 DNS 解析分开,以便可以将专用网络的 DNS 解析过程与公共网络的 DNS 解析过程隔离开来。
- 确保 DNS 安全策略还包括针对常见攻击的缓解措施,例如无关联 DNS、DNS 放大攻击、DNS 中毒和欺骗等。
Azure 指南:使用 Azure 递归 DNS(通常通过 DHCP 分配给 VM 或在服务中预配置)或工作负荷递归 DNS 设置中的受信任外部 DNS 服务器,例如在 VM 的作系统或应用程序中。
使用 Azure 专用 DNS 进行专用 DNS 区域的设置,以确保 DNS 解析过程不离开虚拟网络。 使用自定义 DNS 将 DNS 解析限制为仅允许对客户端进行受信任的解析。
使用 Microsoft Defender for DNS 进行高级保护,防止工作负荷或 DNS 服务受到以下安全威胁:
- 使用 DNS 隧道从 Azure 资源中泄漏数据
- 与命令和控制服务器通信的恶意软件
- 与恶意域(如网络钓鱼和加密挖掘)通信
- 与恶意 DNS 解析程序通信的 DNS 攻击
如果停止使用应用服务网站而未从 DNS 注册商中删除其自定义域,可以使用 Microsoft Defender for App Service 来检测悬空的 DNS 记录。
Azure 实现和其他上下文:
AWS 指南:使用 Amazon DNS 服务器(换句话说,通常通过 DHCP 或服务预配置分配给你的 Amazon Route 53 解析程序服务器)或工作负荷递归 DNS 设置中的集中式受信任 DNS 解析程序服务器,例如在 VM 的作系统或应用程序中。
使用 Amazon Route 53 创建专用托管区域设置,其中 DNS 解析过程不会离开指定的 VPC。 使用以下用例,使用 Amazon Route 53 防火墙来调节和筛选你的 VPN 中的出站 DNS/UDP 流量:
- 防止攻击,例如在你的虚拟私有云 (VPC) 中的 DNS 数据泄露
- 为应用程序可以查询的域设置允许或拒绝列表
在 Amazon Route 53 中配置域名系统安全扩展(DNSSEC)功能,以保护 DNS 流量,以保护域免受 DNS 欺骗或中间人攻击。
Amazon Route 53 还提供 DNS 注册服务,其中 Route 53 可用作域的权威名称服务器。 应遵循以下最佳做法来确保域名的安全性:
- Amazon Route 53 服务应自动续订域名。
- 域名应启用传输锁定功能,以确保其安全。
- 发件人策略框架(SPF)用于阻止垃圾邮件发送者欺骗域名。
AWS 实现和其他上下文:
GCP 指南:在工作负载的递归 DNS 设置中,使用 GCP DNS 服务器(即通常通过 DHCP 分配或已在服务中预配置的元数据服务器)或集中式可信赖的 DNS 解析器服务器(如 Google 公共 DNS),例如在 VM 的操作系统或应用程序中。
使用 GCP 云 DNS 创建一个专用 DNS 区域,其中 DNS 解析过程不会离开指定的 VPCs。 规范和筛选你的VP中的出站 DNS/UDP 流量,用例如下:
- 防止攻击,例如在你的虚拟私有云 (VPC) 中的 DNS 数据泄露
- 为应用程序查询的域设置允许或拒绝列表
在云 DNS 中配置域名系统安全扩展插件(DNSSEC)功能,以保护 DNS 流量,以保护域免受 DNS 欺骗或中间人攻击。
Google Cloud 域提供域注册服务。 GCP 云 DNS 可以用作您域的权威域名服务器。 应遵循以下最佳做法来确保域名的安全性:
- Google Cloud 域名服务应自动续订域名。
- 域名应启用传输锁定功能以确保其安全
- 发件人策略框架(SPF)用于阻止垃圾邮件发送者欺骗域名。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):