安全控制:网络安全
网络安全涵盖用于保护网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。
NS-1:建立网络分段边界
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12、13.4、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
安全原则:确保虚拟网络部署符合 GS-2 安全控制中定义的企业分段策略。 任何可能给组织带来较高风险的工作负载都应位于独立的虚拟网络中。
高风险工作负载的示例包括:
- 存储或处理高度敏感数据的应用程序。
- 公众或组织外部用户可访问的面向外部网络的应用程序。
- 使用不安全的体系结构或包含无法轻松修正的漏洞的应用程序。
若要增强企业的分段策略,请通过网络控制限制或监视内部资源之间的流量。 对于明确定义的特定应用程序(例如 3 层应用),可采用高度安全的“默认拒绝,允许例外”方法,包括限制网络流量的端口、协议、源和目标 IP。 如果有多个应用程序和终结点彼此交互,那么阻止流量的扩展性可能并不好,你可能只能监视流量。
Azure 指南: (VNet) 创建虚拟网络,作为 Azure 网络中的基本分段方法,以便 VM 等资源可以部署到网络边界内的 VNet 中。 若要进一步细分网络,可以在 VNet 内为较小的子网络创建子网。
使用网络安全组 (NSG) 作为网络层控制,以按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 请参阅 NS-7:简化网络安全配置 ,以使用自适应网络强化根据威胁情报和流量分析结果推荐 NSG 强化规则。
还可以使用应用程序安全组 (ASG) 来简化复杂的配置。 ASG 不是基于网络安全组中的显式 IP 地址来定义策略,而是可将网络安全性配置为应用程序结构的固有扩展,从而能对虚拟机进行分组,并基于这些组定义网络安全策略。
Azure 实现和其他上下文:
AWS 指南:创建虚拟私有云 (VPC) 作为 AWS 网络中的基本分段方法,以便可以将 EC2 实例等资源部署到网络边界内的 VPC 中。 若要进一步分段网络,可以在 VPC 内为较小的子网络创建子网。
对于 EC2 实例,请使用安全组作为有状态防火墙,以按端口、协议、源 IP 地址或目标 IP 地址限制流量。 在 VPC 子网级别,使用网络访问控制列表 (NACL) 作为无状态防火墙,为子网的入口和出口流量设置显式规则。
注意:若要控制 VPC 流量,应配置 Internet 和 NAT 网关,以确保限制从/流向 Internet 的流量。
AWS 实现和其他上下文:
GCP 指南:在 GCP 网络中创建虚拟私有云 (VPC) 网络作为基本分段方法,以便可以将资源(如计算引擎虚拟机实例 (VM) )部署到网络边界内的 VPC 网络中。 若要进一步分段网络,可以在 VPC 内为较小的子网络创建子网。
将 VPC 防火墙规则用作分布式网络层控制,以允许或拒绝与 VPC 网络中的目标实例(包括 VM、Google Kubernetes Engine (GKE) 群集和应用引擎灵活环境实例)建立或拒绝连接。
还可以将 VPC 防火墙规则配置为面向 VPC 网络中的所有实例、具有匹配网络标记的实例或使用特定服务帐户的实例,从而允许对实例进行分组并基于这些组定义网络安全策略。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
NS-2:使用网络控制保护云原生服务
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
安全原则:通过为资源建立专用接入点来保护云服务。 还应尽可能禁用或限制来自公用网络的访问。
Azure 指南:为支持专用链接功能的所有 Azure 资源部署专用终结点,以便为资源建立专用接入点。 使用 专用链接 将阻止专用连接通过公用网络进行路由。
注意:某些 Azure 服务可能还允许通过服务终结点功能进行专用通信,但建议使用 Azure 专用链接,以便安全、专用地访问 Azure 平台上托管的服务。
对于某些服务,可以选择为服务部署 VNet 集成,可在其中限制 VNET 为服务建立专用接入点。
还可以选择配置服务本机网络 ACL 规则,或直接禁用公用网络访问以阻止来自公用网络的访问。
对于 Azure VM,除非存在强用例,否则应避免将公共 IP/子网直接分配给 VM 接口,而应使用网关或负载均衡器服务作为前端供公用网络访问。
Azure 实现和其他上下文:
AWS 指南:为支持 PrivateLink 功能的所有 AWS 资源部署 VPC PrivateLink,以允许与受支持的 AWS 服务或受其他 AWS 帐户托管的服务进行专用连接, (VPC 终结点服务) 。 使用 PrivateLink 将阻止专用连接通过公用网络进行路由。
对于某些服务,可以选择将服务实例部署到自己的 VPC 中,以隔离流量。
还可以选择将服务本机 ACL 规则配置为阻止从公用网络进行访问。 例如,Amazon S3 允许在存储桶或帐户级别阻止公共访问。
将 IP 分配给 VPC 中的服务资源时,除非存在强用例,否则应避免将公共 IP/子网直接分配给资源,而改用专用 IP/子网。
AWS 实现和其他上下文:
GCP 指南:为所有支持它的 GCP 资源部署 VPC 专用 Google Access 实现,以便为资源建立专用接入点。 这些专用访问选项将阻止专用连接通过公用网络进行路由。 专用 Google Access 的 VM 实例仅具有内部 IP 地址 (没有外部 IP 地址)
对于某些服务,可以选择将服务实例部署到自己的 VPC 中,以隔离流量。 还可以选择将服务本机 ACL 规则配置为阻止从公用网络进行访问。 例如,应用引擎防火墙允许你在与应用引擎资源通信时控制允许或拒绝的网络流量。 云存储是另一种资源,可在其中对单个存储桶或组织级别强制实施公共访问防护。
对于 GCP 计算引擎 VM,除非存在强用例,否则应避免将公共 IP/子网直接分配给 VM 接口,而应使用网关或负载均衡器服务作为前端供公用网络访问。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
NS-3:在企业网络边缘部署防火墙
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8、13.10 | AC-4、SC-7、CM-7 | 1.1、1.2、1.3 |
安全原则:部署防火墙,对传入和传出外部网络的网络流量执行高级筛选。 还可以在内部段之间使用防火墙来支持分段策略。 如果需要,当需要强制网络流量通过网络设备进行安全控制时,请使用子网的自定义路由来替代系统路由。
至少要阻止已知的不良 IP 地址和高风险协议,例如远程管理(例如 RDP 和 SSH)和 Intranet 协议(例如 SMB 和 Kerberos)。
Azure 指南:使用 Azure 防火墙 提供完全有状态的应用程序层流量限制 (,例如对中心/辐射拓扑) 中大量企业段或分支 (的 URL 筛选) 和/或集中管理。
如果具有复杂的网络拓扑(例如中心辐射型设置),则可能需要创建用户定义的路由 (UDR) 以确保流量通过所需的路由。 例如,可以选择使用 UDR 通过特定Azure 防火墙或网络虚拟设备重定向出口 Internet 流量。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 网络防火墙提供完全有状态的应用程序层流量限制 (,例如对中心/辐射拓扑) 中大量企业段或分支 (的 URL 筛选) 和/或集中管理。
如果具有复杂的网络拓扑(例如中心/辐射型设置),则可能需要创建自定义 VPC 路由表,以确保流量通过所需的路由。 例如,可以选择使用自定义路由通过特定 AWS 防火墙或网络虚拟设备重定向出口 Internet 流量。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud Armor 安全策略为常见的 Web 攻击提供第 7 层筛选和保护。 此外,使用 VPC 防火墙规则提供分布式、完全有状态网络层流量限制和防火墙策略,以集中管理中心/辐射拓扑 () 中的大量企业段或辐射。
如果有复杂的网络拓扑(例如中心/辐射型设置),请创建防火墙策略,将防火墙规则分组并分层,以便可以将其应用于多个 VPC 网络。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
NS-4:部署入侵检测/入侵防护系统 (IDS/IPS)
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.2、13.3、13.7、13.8 | SC-7、SI-4 | 11.4 |
安全原则:使用网络入侵检测和入侵防护系统 (IDS/IPS) 来检查传入或传出工作负载的网络和有效负载流量。 请确保始终优化 IDS/IPS,为 SIEM 解决方案提供高质量的警报。
有关更深入的主机级别检测和防护功能,请将基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案与网络 ID/IPS 结合使用。
Azure 指南:使用 Azure 防火墙 的 IDPS 功能保护虚拟网络,以针对已知恶意 IP 地址和域的流量发出警报和/或阻止流量。
有关更深入的主机级别检测和防护功能,请在 VM 级别部署基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案(例如 Microsoft Defender for Endpoint),并结合使用网络 IDS/IPS。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 网络防火墙的 IPS 功能保护 VPC,以针对和/或阻止传入和流出已知恶意 IP 地址和域的流量发出警报。
有关更深入的主机级别检测和防护功能,请在 VM 级别与网络 IDS/IPS 一起部署基于主机的 IDS/IPS 或基于主机的终结点检测和响应 (EDR) 解决方案,例如基于主机的 IDS/IPS 的第三方解决方案。
注意:如果使用市场中的第三方 IDS/IPS,请使用传输网关和网关均衡来定向流量进行内联检查。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud IDS 功能为网络上的入侵、恶意软件、间谍软件和命令控制攻击提供威胁检测。 云 IDS 的工作原理是创建 Google 托管的对等互连网络,其中包含镜像虚拟机 (VM) 实例。 对等互连网络中的流量进行镜像,然后使用嵌入式 Palo Alto Networks 威胁防护技术进行检查,以提供高级威胁检测。 可以根据协议或 IP 地址范围镜像所有入口和出口流量。
有关更深入的主机级别检测和防护功能,请将 IDS 终结点部署为可检查来自其区域中任何区域的流量的区域资源。 每个 IDS 终结点接收镜像流量并执行威胁检测分析。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
NS-5:部署 DDOS 防护
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1、1.2、1.3、6.6 |
安全原则:部署分布式拒绝服务 (DDoS) 保护,以保护网络和应用程序免受攻击。
Azure 指南:DDoS 防护基本版会自动启用,以保护 Azure 底层平台基础结构 (例如 Azure DNS) ,用户无需进行任何配置。
若要对应用层 (第 7 层) 攻击(如 HTTP 洪水和 DNS 洪水)提供更高级别的保护,请在 VNet 上启用 DDoS 标准保护计划来保护公开到公用网络的资源。
Azure 实现和其他上下文:
AWS 指南:AWS Shield Standard 自动启用标准缓解措施,以保护工作负载免受常见网络和传输层 (第 3 层和第 4 层) DDoS 攻击
若要对应用程序层 (第 7 层) 攻击(如 HTTPS 洪水和 DNS 洪水)提供更高级别的应用程序保护,请在 Amazon EC2 上启用 AWS 防护高级保护、弹性负载均衡 (ELB) 、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53。
AWS 实现和其他上下文:
GCP 指南:Google Cloud Armor 提供以下选项来帮助保护系统免受 DDoS 攻击:
- 标准网络 DDoS 保护:针对具有公共 IP 地址的网络负载均衡器、协议转发或 VM 的基本 Always On 保护。
- 高级网络 DDoS 保护:对使用网络负载均衡器、协议转发或具有公共 IP 地址的 VM 的托管保护加订阅者提供额外保护。
- 始终启用标准网络 DDoS 保护。 可以按区域配置高级网络 DDoS 防护。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
NS-6:部署 Web 应用程序防火墙
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1、1.2、1.3 |
安全原则: (WAF) 部署 Web 应用程序防火墙,并配置适当的规则来保护 Web 应用程序和 API 免受特定于应用程序的攻击。
Azure 指南:在 Azure 应用程序网关、Azure Front Door 和 Azure 内容分发网络 (CDN) 中使用 Web 应用程序防火墙 (WAF) 功能,以保护应用程序、服务和 API 免受网络边缘的应用程序层攻击。
根据你的需求和威胁情况,将 WAF 设置为“检测”或“预防模式”。
选择内置规则集(例如 OWASP 前 10 个漏洞),并对其进行优化以满足应用程序需求。
Azure 实现和其他上下文:
AWS 指南:在 Amazon CloudFront 分发、Amazon API 网关、应用程序负载均衡器或 AWS AppSync 中使用 AWS Web 应用程序防火墙 (WAF) 来保护应用程序、服务和 API 免受网络边缘的应用程序层攻击。
使用适用于 WAF 的 AWS 托管规则部署内置基线组,并根据用户案例规则组的应用程序需求对其进行自定义。
若要简化 WAF 规则部署,还可以使用 AWS WAF 安全自动化解决方案自动部署预定义的 AWS WAF 规则,以筛选 Web ACL 上基于 Web 的攻击。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud Armor 帮助保护应用程序和网站免受拒绝服务和 Web 攻击。
使用基于行业标准的 Google Cloud Armor 现成规则来缓解常见的 Web 应用程序漏洞,并帮助提供来自 OWASP 前 10 名的保护。
设置预配置的 WAF 规则,每个规则由多个签名组成,这些签名源自 ModSecurity Core Rules (CRS) 。 每个签名对应于规则集中的攻击检测规则。
Cloud Armor 与外部负载均衡器结合使用,可防范分布式拒绝服务 (DDoS) 和其他基于 Web 的攻击,无论应用程序部署在 Google Cloud 上、混合部署中还是多云体系结构中。 可以手动配置安全策略、可配置的匹配条件和安全策略中的操作。 Cloud Armor 还具有预配置的安全策略,这些策略涵盖各种用例。
Cloud Armor 中的自适应保护通过分析发向后端服务的流量模式、检测可疑攻击并发出警报,并生成建议的 WAF 规则来缓解此类攻击,从而帮助你防止、检测和保护应用程序和服务免受 L7 分布式攻击。 可以微调这些规则以满足你的需求。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
NS-7:简化网络安全配置
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
安全原则:管理复杂的网络环境时,请使用工具来简化、集中和增强网络安全管理。
Azure 指南:使用以下功能简化虚拟网络、NSG 规则和Azure 防火墙规则的实施和管理:
- 使用 Azure 虚拟网络管理器跨区域和订阅对虚拟网络和 NSG 规则进行分组、配置、部署和管理。
- 使用 Microsoft Defender for Cloud 自适应网络强化建议 NSG 强化规则,这些规则将基于威胁情报和流量分析结果进一步限制端口、协议和源 IP。
- 使用 Azure 防火墙管理器集中管理虚拟网络的防火墙策略和路由。 若要简化防火墙规则和网络安全组实现,还可以使用 Azure 防火墙 Manager Azure 资源管理器 (ARM) 模板。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 防火墙管理器集中管理以下服务中的网络保护策略:
- AWS WAF 策略
- AWS Shield 高级策略
- VPC 安全组策略
- 网络防火墙策略
AWS 防火墙管理器可以自动分析与防火墙相关的策略,并针对不合规的资源和检测到的攻击创建调查结果,并将其发送到 AWS 安全中心进行调查。
AWS 实现和其他上下文:
GCP 指南:使用以下功能简化虚拟私有云 (VPC) 网络、防火墙规则和 WAF 规则的实现和管理:
- 使用 VPC 网络管理和配置各个 VPC 网络和 VPC 防火墙规则。
- 使用分层防火墙策略对防火墙规则进行分组,并在全局或区域范围内分层应用策略规则。
- 使用 Google Cloud Armor 应用自定义安全策略、预配置的 WAF 规则和 DDoS 保护。
还可以在网络智能中心分析网络并深入了解虚拟网络拓扑、防火墙规则和网络连接状态,以提高管理效率。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
NS-8:检测并禁用不安全的服务和协议
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
安全原则:在 OS、应用程序或软件包层检测和禁用不安全的服务和协议。 如果无法禁用不安全的服务和协议,请部署补偿控制。
Azure 指南:使用 Microsoft Sentinel 的内置不安全协议工作簿发现不安全服务和协议(例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Kerberos 中的弱密码和未签名 LDAP 绑定)的使用。 禁用不符合相应安全标准的不安全服务和协议。
注意:如果无法禁用不安全的服务或协议,请使用补偿控制,例如通过网络安全组、Azure 防火墙或 Azure Web 应用程序防火墙阻止对资源的访问,以减少攻击面。
Azure 实现和其他上下文:
AWS 指南:启用 VPC 流日志并使用 GuardDuty 分析 VPC 流日志,以识别不符合适当安全标准的可能不安全服务和协议。
如果 AWS 环境中的日志可以转发到 Microsoft Sentinel,则还可以使用 Microsoft Sentinel 的内置不安全协议工作簿来发现不安全服务和协议的使用
注意:如果无法禁用不安全的服务或协议,请使用补偿控制措施,例如阻止通过安全组、AWS 网络防火墙、AWS Web 应用程序防火墙访问资源,以减少攻击面。
AWS 实现和其他上下文:
GCP 指南:启用 VPC 流日志,并使用 BigQuery 或安全命令中心分析 VPC 流日志,以确定可能不安全的服务和协议不符合适当的安全标准。
如果 GCP 环境中的日志可以转发到 Microsoft Sentinel,则还可以使用 Microsoft Sentinel 的内置不安全协议工作簿来发现不安全服务和协议的使用。 此外,可以将日志转发到 Google Cloud Chronicle SIEM 和 SOAR,并生成自定义规则以实现相同的目的。
注意:如果无法禁用不安全的服务或协议,请使用补偿控制,例如通过 VPC 防火墙规则和策略阻止对资源的访问,或者使用 Cloud Armor 来减少攻击面。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
NS-9:以私密方式连接本地或云网络
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | 空值 |
安全原则:使用专用连接在不同网络(例如云服务提供商数据中心和托管环境中的本地基础结构)之间进行安全通信。
Azure 指南:对于轻型站点到站点或点到站点连接,请使用 Azure 虚拟专用网络 (VPN) 在本地站点或最终用户设备与 Azure 虚拟网络之间创建安全连接。
对于企业级高性能连接,请使用 Azure ExpressRoute (或 虚拟 WAN) 连接共置环境中的 Azure 数据中心和本地基础结构。
将两个或多个 Azure 虚拟网络连接在一起时,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。
Azure 实现和其他上下文:
AWS 指南:对于站点到站点或点到站点连接,当本地站点或最终用户设备与 AWS 网络之间的 IPsec 开销不是) 时,请使用 AWS VPN 创建安全连接 (。
对于企业级高性能连接,请使用 AWS Direct Connect 将 AWS VPC 和资源与共置环境中的本地基础结构连接起来。
可以选择使用 VPC 对等互连或传输网关在区域内或跨区域的两个或多个 VPC 之间建立连接。 对等互连 VPC 之间的网络流量是专用的,并保留在 AWS 主干网络上。 如果需要加入多个 VPC 来创建大型平面子网,还可以选择使用 VPC 共享。
AWS 实现和其他上下文:
GCP 指南:对于轻型站点到站点或点到站点连接,请使用 Google Cloud VPN。
对于企业级高性能连接,请使用 Google Cloud 互连或合作伙伴互连,在共置环境中使用本地基础结构连接到 Google Cloud VPC 和资源。
可以选择使用 VPC 网络对等互连或网络连接中心在区域内或跨区域的两个或多个 VPC 之间建立连接。 对等互连的 VPC 之间的网络流量是专用的,并保留在 GCP 主干网络上。 如果需要加入多个 VPC 来创建大型平面子网,还可以选择使用共享 VPC
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
NS-10:确保域名系统 (DNS) 安全性
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.9、9.2 | SC-20、SC-21 | 空值 |
安全原则:确保域名系统 (DNS) 安全配置防范已知风险:
- 在整个云环境中使用受信任的权威和递归 DNS 服务,以确保客户端 ((如操作系统和应用程序)) 收到正确的解析结果。
- 将公共和专用 DNS 解析分开,以便可以将专用网络的 DNS 解析过程与公共网络的 DNS 解析过程隔离开来。
- 确保 DNS 安全策略还包括针对常见攻击的缓解措施,例如无关联 DNS、DNS 放大攻击、DNS 中毒和欺骗等。
Azure 指南:使用 Azure 递归 DNS (通常通过 DHCP 分配给 VM,或者在工作负荷递归 DNS 设置(例如 VM 的操作系统或应用程序中)的服务) 或受信任的外部 DNS 服务器中预配置。
将 Azure 专用 DNS 用于专用 DNS 区域设置,其中 DNS 解析过程不会离开虚拟网络。 使用自定义 DNS 将 DNS 解析限制为仅允许对客户端进行受信任的解析。
使用 Microsoft Defender 进行 DNS 高级保护,防止工作负载或 DNS 服务受到以下安全威胁:
- 使用 DNS 隧道从 Azure 资源中泄漏数据
- 与命令和控制服务器通信的恶意软件
- 与恶意域通信,例如网络钓鱼和加密挖掘
- 与恶意 DNS 解析程序通信的 DNS 攻击
如果解除App 服务网站的授权而不从 DNS 注册机构中删除其自定义域,还可以使用 App 服务 Microsoft Defender 来检测悬垂的 DNS 记录。
Azure 实现和其他上下文:
AWS 指南:使用 Amazon DNS 服务器 (换句话说,即 Amazon Route 53 解析程序服务器,该服务器通常通过 DHCP 分配给你,或者在服务) 或工作负载递归 DNS 设置中的集中式受信任 DNS 解析程序服务器(例如在 VM 的操作系统或应用程序中)中预配置。
使用 Amazon Route 53 创建专用托管区域设置,其中 DNS 解析过程不会离开指定的 VPC。 对于以下用例,请使用 Amazon Route 53 防火墙来监管和筛选 VPC 中的出站 DNS/UDP 流量:
- 防止 VPC 中的 DNS 外泄等攻击
- 为应用程序可以查询的域设置允许或拒绝列表
在 Amazon Route 53 中配置域名系统安全扩展 (DNSSEC) 功能来保护 DNS 流量,以保护域免受 DNS 欺骗或中间人攻击。
Amazon Route 53 还提供 DNS 注册服务,其中 Route 53 可用作域的权威名称服务器。 应遵循以下最佳做法来确保域名的安全性:
- 域名应由 Amazon Route 53 服务自动续订。
- 域名应启用传输锁定功能,以确保其安全。
- 发件人策略框架 (SPF) 应用于阻止垃圾邮件发送者欺骗域。
AWS 实现和其他上下文:
GCP 指南:使用 GCP DNS 服务器 (即通常通过 DHCP 分配给 VM 或在服务) 或集中式受信任 DNS 解析程序服务器 ((如 Google 公共 DNS) )在工作负载递归 DNS 设置(例如 VM 的操作系统或应用程序中)中预配置的元数据服务器。
使用 GCP 云 DNS 创建一个专用 DNS 区域,其中 DNS 解析过程不会离开已取消的 VPC。 在以下用例中规范和筛选 VPC 中的出站 DNS/UDP 流量:
- 防止 VPC 中的 DNS 外泄等攻击
- 为应用程序查询的域设置允许或拒绝列表
在云 DNS 中配置域名系统安全扩展 (DNSSEC) 功能来保护 DNS 流量,以保护域免受 DNS 欺骗或中间人攻击。
Google Cloud Domains 提供域注册服务。 GCP 云 DNS 可用作域的权威名称服务器。 应遵循以下最佳做法来确保域名的安全性:
- 域名应由 Google Cloud Domains 自动续订。
- 域名应启用传输锁定功能,以确保其安全
- 发件人策略框架 (SPF) 应用于阻止垃圾邮件发送者欺骗域。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息: