安全性控制:網路安全性
網路安全性涵蓋保護及保護網路的控制項,包括保護虛擬網路、建立私人連線、防止及減輕外部攻擊,以及保護 DNS。
NS-1:建立網路分割界限
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:確定您的虛擬網路部署符合 GS-2 安全性控制中定義的企業分割策略。 任何可能會對組織產生較高風險的工作負載,都應該位於隔離的虛擬網路中。
高風險工作負載的範例包括:
- 儲存或處理高度敏感性資料的應用程式。
- 由組織外部的公用或使用者存取的外部網路對應應用程式。
- 使用不安全架構的應用程式,或包含無法輕易補救的弱點。
若要增強企業分割策略,請使用網路控制來限制或監視內部資源之間的流量。 針對特定、定義完善的應用程式 (例如 3 層應用程式) ,這可以是高度安全的「預設拒絕,允許例外狀況」方法,方法是限制網路流量的埠、通訊協定、來源和目的地 IP。 如果您有許多應用程式和端點彼此互動,封鎖流量可能無法妥善調整,而且您只能監視流量。
Azure 指引:建立虛擬網路 (VNet) 作為 Azure 網路中的基本分割方法,因此 VM 等資源可以部署到網路界限內的 VNet。 若要進一步區隔網路,您可以在 VNet 內為較小的子網路建立子網。
使用網路安全性群組 (NSG) 作為網路層控制,以透過埠、通訊協定、來源 IP 位址或目的地 IP 位址來限制或監視流量。 請參閱 NS-7:簡化網路安全性設定 ,以使用自適性網路強化來根據威脅情報和流量分析結果來建議 NSG 強化規則。
您也可以使用應用程式安全性群組 (ASG) 來簡化複雜的設定。 ASG 可讓您將網路安全性設定為應用程式結構的自然延伸,讓您能夠根據這些群組來分組虛擬機器,並定義網路安全性原則,而不是根據網路安全性群組中明確 IP 位址來定義原則。
Azure 實作和其他內容:
AWS 指引:建立虛擬私人雲端 () 作為 AWS 網路的基本分割方法,因此 EC2 實例等資源可以部署到網路界限內的 CSV。 若要進一步區隔網路,您可以為較小的子網路建立在 VM 內部的子網。
針對 EC2 實例,請使用安全性群組作為具狀態防火牆,依埠、通訊協定、來源 IP 位址或目的地 IP 位址來限制流量。 在 [DNS] 子網層級,使用網路存取控制清單 (NACL) 作為無狀態防火牆,以明確規則輸入和輸出流量進入子網。
注意:若要控制 HTTP 流量,應該設定網際網路和 NAT 閘道,以確保網際網路的流量受到限制。
AWS 實作和其他內容:
GCP 指引:在 GCP網路中建立虛擬私人雲端 () 網路作為基本分割方法,因此計算引擎虛擬機器實例 (VM) 等資源可以部署到網路界限內的) 。 若要進一步區隔網路,您可以為較小的子網路建立其內部的子網。
使用 VPN 防火牆規則作為分散式網路層控制項,以允許或拒絕在 VPN 網路中的目標實例連線,包括 VM、Google Kubernetes Engine (GKE) 叢集,以及 App Engine 彈性環境實例。
您也可以設定特定服務帳戶,將特定服務帳戶的所有實例設定為以特定網路標籤的實例、具有相符網路標籤的實例為目標,讓您根據這些群組來分組實例和定義網路安全性原則。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-2:使用網路控制保護雲端原生服務
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:藉由建立資源的私人存取點來保護雲端服務。 您也應該盡可能停用或限制來自公用網路的存取。
Azure 指引:針對支援Private Link功能的所有 Azure 資源部署私人端點,以建立資源的私用存取點。 使用 Private Link會讓私人連線無法透過公用網路路由傳送。
注意:某些 Azure 服務可能也允許透過服務端點功能進行私人通訊,但建議使用Azure Private Link來保護和私人存取 Azure 平臺上裝載的服務。
針對特定服務,您可以選擇為服務部署 VNet 整合,其中您可以限制 VNET 為服務建立私人存取點。
您也可以選擇設定服務原生網路 ACL 規則,或只停用公用網路存取來封鎖來自公用網路的存取。
對於 Azure VM,除非有強式使用案例,否則您應該避免將公用 IP/子網直接指派給 VM 介面,並改為使用閘道或負載平衡器服務作為公用網路的存取前端。
Azure 實作和其他內容:
AWS 指引:針對支援 PrivateLink 功能的所有 AWS 資源部署 VPN PrivateLink,以允許私人連線至其他 AWS 帳戶所裝載之支援的 AWS 服務或服務, () 。 使用 PrivateLink 會讓私人連線無法透過公用網路路由傳送。
針對特定服務,您可以選擇將服務實例部署到您自己的 DNS,以隔離流量。
您也可以選擇設定服務原生 ACL 規則,以封鎖來自公用網路的存取。 例如,Amazon S3 可讓您封鎖貯體或帳戶層級的公用存取。
在將 IP 指派給您 HTTP 的服務資源時,除非有強式使用案例,否則您應該避免將公用 IP/子網直接指派給您的資源,並改用私人 IP/子網。
AWS 實作和其他內容:
GCP 指引:針對支援它的所有 GCP 資源部署 HTTP 私人 Google Access 實作,以建立資源的私用存取點。 這些私人存取選項會讓私人連線無法透過公用網路路由傳送。 私人 Google Access 具有只有內部 IP 位址的 VM 實例, (沒有外部 IP adresses)
針對特定服務,您可以選擇將服務實例部署到您自己的 DNS,以隔離流量。 您也可以選擇設定服務原生 ACL 規則,以封鎖來自公用網路的存取。 例如,App Engine 防火牆可讓您控制與 App Engine 資源通訊時允許或拒絕的網路流量。 雲端儲存體是另一個資源,您可以在個別貯體或組織層級強制執行公用存取防護。
針對 GCP 計算引擎 VM,除非有強式使用案例,否則您應該避免將公用 IP/子網直接指派給 VM 介面,並改為使用閘道或負載平衡器服務作為公用網路的存取前端。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-3:在商業網路邊緣部署防火牆
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4、SC-7、CM-7 | 1.1, 1.2, 1.3 |
安全性準則:部署防火牆,以對外部網路的網路流量執行進階篩選。 您也可以在內部區段之間使用防火牆來支援分割策略。 如有需要,請在需要強制網路流量通過網路設備以進行安全性控制時,使用子網的自訂路由來覆寫系統路由。
至少封鎖已知的不良 IP 位址和高風險通訊協定,例如遠端系統管理 (例如 RDP 和 SSH) 和內部網路通訊協定 (,例如 SMB 和 Kerberos) 。
Azure 指引:使用 Azure 防火牆 提供完整具狀態應用層流量限制 (,例如,在中樞/輪輻拓撲中,透過大量企業區段或輪輻 (的 URL) 篩選和/或集中管理) 。
如果您有複雜的網路拓撲,例如中樞/輪輻設定,您可能需要建立使用者定義的路由 (UDR) ,以確保流量通過所需的路由。 例如,您可以選擇使用 UDR,透過特定Azure 防火牆或網路虛擬裝置將輸出網際網路流量重新導向。
Azure 實作和其他內容:
- 如何部署Azure 防火牆
- 虛擬網路流量路由 \(部分機器翻譯\)
AWS 指引:使用 AWS 網路防火牆在中樞/輪輻拓撲中提供完整具狀態應用層流量限制 (,例如 URL 篩選) 和/或集中管理,或透過中樞/輪輻拓撲中的大量企業區段或輪輻) (。
如果您有複雜的網路拓撲,例如中樞/輪輻設定,您可能需要建立自訂的 DNS 路由表,以確保流量通過所需的路由。 例如,您可以選擇使用自訂路由,透過特定的 AWS 防火牆或網路虛擬裝置將輸出網際網路流量重新導向。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Protection 安全性原則提供第 7 層篩選和保護常見的 Web 攻擊。 此外,使用「DNS 防火牆規則」來提供分散式、完全具狀態的網路層流量限制,以及針對大量企業區段或輪輻進行集中管理的防火牆原則, (中樞/輪輻拓撲中的輪輻拓撲) 。
如果您有複雜的網路拓撲,例如中樞/輪輻設定,請建立將防火牆規則分組的防火牆原則,並設為階層式,以便將它們套用至多個 HTTP 網路。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-4:部署入侵偵測/入侵防護系統 (IDS/IPS)
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7、SI-4 | 11.4 |
安全性準則:使用網路入侵偵測和入侵防護系統 (IDS/IPS) 來檢查您工作負載的網路和承載流量。 請確定 IDS/IPS 一律經過微調,為 SIEM 解決方案提供高品質的警示。
如需更深入的主機層級偵測和防護功能,請使用主機型 IDS/IPS 或主機型端點偵測和回應, (EDR) 解決方案搭配網路識別碼/IPS。
Azure 指引:使用Azure 防火牆的 IDPS 功能保護您的虛擬網路,以警示和/或封鎖來自已知惡意 IP 位址和網域的流量。
如需更深入的主機層級偵測和防護功能,請部署主機型 IDS/IPS 或主機型端點偵測和回應, (EDR) 解決方案,例如 適用於端點的 Microsoft Defender在 VM 層級與網路識別碼/IPS 搭配使用。
Azure 實作和其他內容:
AWS 指引:使用 AWS 網路防火牆的 IPS 功能來保護您的 SSO,以警示和/或封鎖來自已知惡意 IP 位址和網域的流量。
如需更深入的主機層級偵測和防護功能,請在 VM 層級與網路識別碼/IPS 搭配網路識別碼/IPS,部署主機型識別碼/IPS 或主機型端點偵測和回應 (EDR) 解決方案,例如主機型 IDS/IPS 的協力廠商解決方案。
注意:如果使用市集中的協力廠商 IDS/IPS,請使用傳輸閘道和閘道平衡器來引導流量進行內嵌檢查。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud IDS 功能,為您的網路上的入侵、惡意程式碼、間諜軟體和命令和控制攻擊提供威脅偵測。 雲端識別碼的運作方式是建立具有鏡像虛擬機器的 Google 受控對等互連網路, (VM) 實例。 對等互連網路中流量會鏡像,然後由內嵌 Palo Alto Networks 威脅防護技術檢查,以提供進階的威脅偵測。 您可以根據通訊協定或 IP 位址範圍來鏡像所有輸入和輸出流量。
如需更深入的主機層級偵測和防護功能,請將 IDS 端點部署為區域資源,以檢查其區域中任何區域的流量。 每個 IDS 端點都會接收鏡像流量,並執行威脅偵測分析。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-5:部署 DDOS 保護
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1, 1.2, 1.3, 6.6 |
安全性準則:部署分散式阻斷服務 (DDoS) 保護,以保護網路和應用程式免于遭受攻擊。
Azure 指引:會自動啟用 DDoS 保護基本版,以保護 Azure 基礎平臺基礎結構 (例如 Azure DNS) ,而且不需要使用者設定。
若要提高應用層保護層級 (第 7 層) 攻擊,例如 HTTP 溢流和 DNS 水流,請在 VNet 上啟用 DDoS 標準保護計劃,以保護公開至公用網路的資源。
Azure 實作和其他內容:
AWS 指引:AWS防護標準會自動啟用標準防護功能,以保護您的工作負載免于常見的網路和傳輸層 (第 3 層和第 4 層) DDoS 攻擊
若要對應用層 (第 7 層) 攻擊的應用程式提供更高層級的保護,例如 HTTPS 水流和 DNS 水流,請在 Amazon EC2 上啟用 AWS 防護進階保護、彈性負載平衡 (ELB) 、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53。
AWS 實作和其他內容:
GCP 指引:Google Cloud Armor 提供下列選項,協助保護系統免于遭受 DDoS 攻擊:
- 標準網路 DDoS 保護:網路負載平衡器、通訊協定轉送或具有公用 IP 位址的 VM 基本永遠開啟保護。
- 進階網路 DDoS 保護:使用網路負載平衡器、通訊協定轉送或 VM 搭配公用 IP 位址的受控保護加號訂閱者的其他保護。
- 一律會啟用標準網路 DDoS 保護。 您可以為每個區域設定進階網路 DDoS 保護。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-6:部署 Web 應用程式防火牆
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
安全性準則:部署 web 應用程式防火牆 (WAF) ,並設定適當的規則來保護 Web 應用程式和 API 免于應用程式特定的攻擊。
Azure 指引:使用 web 應用程式防火牆 (WAF) 功能,Azure 應用程式閘道、Azure Front Door 和 Azure 內容傳遞網路 (CDN) ,以保護您的應用程式、服務和 API 免于網路邊緣上的應用層攻擊。
根據您的需求和威脅環境,在「偵測」或「預防模式」中設定 WAF。
選擇內建規則集,例如 OWASP 前 10 個弱點,並調整它以符合您的應用程式需求。
Azure 實作和其他內容:
AWS 指引:在 Amazon CloudFront 散發、Amazon API 閘道、應用程式Load Balancer或 AWS AppSync 中使用 AWS Web 應用程式防火牆 (WAF) 來保護您的應用程式、服務和 API,以防止網路邊緣的應用程式、服務和 API 遭受應用層攻擊。
使用適用于 WAF 的 AWS 受控規則來部署內建基準群組,並將其自訂為使用者案例規則群組的應用程式需求。
若要簡化 WAF 規則部署,您也可以使用 AWS WAF 安全性自動化解決方案,自動部署預先定義的 AWS WAF 規則,以篩選 Web ACL 上的 Web 型攻擊。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Armor 協助保護您的應用程式和網站,以防止拒絕服務和 Web 攻擊。
使用以業界標準為基礎的 Google Cloud Protection 現用規則來減輕常見的 Web 應用程式弱點,並協助提供來自 OWASP 前 10 名的保護。
設定預先設定的 WAF 規則,每個規則都包含多個來自 ModSecurity Core 規則的簽章, (CRS) 。 每個簽章都會對應至規則集中的攻擊偵測規則。
Cloud Protection 可與外部負載平衡器搭配運作,並防止分散式阻斷服務 (DDoS) 和其他 Web 型攻擊、應用程式部署在 Google Cloud、混合式部署或多雲端架構中。 安全性原則可以手動設定,具有可設定的比對條件,以及安全性原則中的動作。 Cloud Armor 也提供預先設定的安全性原則,涵蓋各種使用案例。
Cloud Protection 中的調適型保護可協助您藉由分析後端服務的流量模式、偵測和警示可疑的攻擊,以及產生建議的 WAF 規則來減輕這類攻擊,來防止、偵測及保護您的應用程式和服務免于 L7 分散式攻擊。 這些規則可以微調以符合您的需求。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-7:簡化網路安全性設定
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4、SC-2、SC-7 | 1.1, 1.2, 1.3 |
安全性準則:管理複雜的網路環境時,請使用工具來簡化、集中及增強網路安全性管理。
Azure 指引:使用下列功能來簡化虛擬網路、NSG 規則和Azure 防火牆規則的實作和管理:
- 使用 Azure 虛擬網路 Manager 來分組、設定、部署和管理跨區域和訂用帳戶的虛擬網路和 NSG 規則。
- 針對雲端自適性網路強化使用Microsoft Defender,建議 NSG 強化規則,以根據威脅情報和流量分析結果進一步限制埠、通訊協定和來源 IP。
- 使用Azure 防火牆管理員來集中管理虛擬網路的防火牆原則和路由管理。 若要簡化防火牆規則和網路安全性群組實作,您也可以使用 Azure 防火牆 Manager Azure Resource Manager (ARM) 範本。
Azure 實作和其他內容:
AWS 指引:使用 AWS 防火牆管理員來集中管理下列服務的網路保護原則:
- AWS WAF 原則
- AWS Shield 進階原則
- VP 安全性群組原則
- 網路防火牆原則
AWS 防火牆管理員可以自動分析防火牆相關原則,並針對不符合規範的資源建立結果,以及偵測到的攻擊,並將它們傳送至 AWS 安全性中樞以進行調查。
AWS 實作和其他內容:
GCP 指引:使用下列功能來簡化虛擬私人雲端的實作和管理, () 網路、防火牆規則和 WAF 規則:
- 使用「VM 網路」來管理及設定個別的「」」「個別的」「」[」[」[][VM 網路\] 和 \[SQL 防火牆規則\
- 使用階層式防火牆原則將防火牆規則分組,並以階層方式在全域或區域規模套用原則規則。
- 使用 Google Cloud Protection 來套用自訂安全性原則、預先設定的 WAF 規則和 DDoS 保護。
您也可以使用網路智慧中心來分析您的網路,並深入瞭解虛擬網路拓撲、防火牆規則和網路線上狀態,以改善管理效率。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-8:偵測和停用不安全的服務與通訊協定
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
安全性原則:在 OS、應用程式或軟體套件層偵測和停用不安全的服務與通訊協定。 如果無法停用不安全的服務與通訊協定,請部署補償控制項。
Azure 指引:使用 Microsoft Sentinel 的內建 Insecure 通訊協定活頁簿來探索使用不安全的服務與通訊協定,例如 SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Kerberos 中的弱式加密和未簽署 LDAP 系結。 停用不符合適當安全性標準的不安全服務和通訊協定。
注意:如果無法停用不安全的服務或通訊協定,請使用補償控制措施,例如封鎖透過網路安全性群組、Azure 防火牆或 Azure Web 應用程式防火牆存取資源,以減少受攻擊面。
Azure 實作和其他內容:
AWS 指引:啟用 DHCP 流量記錄並使用 GuardDuty 來分析 DHCP 流量記錄,以識別不符合適當安全性標準的可能不安全服務和通訊協定。
如果 AWS 環境中的記錄可以轉送到 Microsoft Sentinel,您也可以使用 Microsoft Sentinel 的內建不安全通訊協定活頁簿來探索不安全服務和通訊協定的使用方式
注意:如果無法停用不安全的服務或通訊協定,請使用補償控制項,例如封鎖透過安全性群組、AWS 網路防火牆、AWS Web 應用程式防火牆存取資源,以減少受攻擊面。
AWS 實作和其他內容:
GCP 指引:啟用 CDN 流量記錄,並使用 BigQuery 或安全性命令中心來分析 SSL 流量記錄,以識別不符合適當安全性標準的可能不安全服務和通訊協定。
如果 GCP 環境中的記錄可以轉送到 Microsoft Sentinel,您也可以使用 Microsoft Sentinel 的內建不安全通訊協定活頁簿來探索不安全的服務與通訊協定的使用方式。 此外,您可以將記錄轉送至 Google Cloud Chronicle SIEM 和 SOAR,並針對相同用途建置自訂規則。
注意:如果無法停用不安全的服務或通訊協定,請使用補償控制措施,例如封鎖透過「SSL 防火牆」規則和原則存取資源,或使用 Cloud Armor 來減少受攻擊面。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-9:以私人方式連線內部部署或雲端網路
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | N/A |
安全性準則:使用私人連線來保護不同網路之間的通訊,例如雲端服務提供者資料中心和共置環境中的內部部署基礎結構。
Azure 指引:針對輕量型站對站或點對站連線,請使用 Azure 虛擬私人網路 (VPN) 建立內部部署網站或使用者裝置與 Azure 虛擬網路之間的安全連線。
針對企業級高效能連線,請使用 Azure ExpressRoute (或Virtual WAN) ,在共置環境中連線 Azure 資料中心和內部部署基礎結構。
將兩個或多個 Azure 虛擬網路連線在一起時,請使用虛擬網路對等互連。 對等互連虛擬網路之間的網路流量是私人的,且會保留在 Azure 骨幹網路上。
Azure 實作和其他內容:
AWS 指引:針對站對站或點對站連線,請使用 AWS VPN 在 IPsec 額外負荷不在內部部署網站或使用者裝置與 AWS 網路之間的) 時,使用 AWS VPN 建立安全連線 (。
針對企業級高效能連線,請使用 AWS Direct Connect 將 AWS VPN 和資源與共置環境中的內部部署基礎結構連線。
您可以選擇使用「VPN 對等互連」或「傳輸閘道」,在區域內或跨區域建立兩個或多個 VPN 之間的連線。 對等互連的 CSV 之間的網路流量是私人的,而且會保留在 AWS 骨幹網路上。 當您需要聯結多個 VPN 來建立大型一般子網時,您也可以選擇使用「VPN 共用」。
AWS 實作和其他內容:
GCP 指引:針對輕量型站對站或點對站連線,請使用 Google Cloud VPN。
針對企業級高效能連線,請使用 Google 雲端互連或合作夥伴互連,在共置環境中使用內部部署基礎結構連線到 Google Cloud VPC 和資源。
您可以選擇使用「VPN 網路對等互連」或「網路連線中心」,在區域內或跨區域建立兩個或多個 VPN 之間的連線。 對等互連 VPN 之間的網路流量是私人的,而且會保留在 GCP 骨幹網路上。 當您需要加入多個 VPN 以建立大型一般子網時,您也可以選擇使用共用的 VPN
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
NS-10:確定網域名稱系統 (DNS) 安全性
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20、SC-21 | N/A |
安全性準則:確定網域名稱系統 (DNS) 安全性設定可防範已知風險:
- 在您的雲端環境中使用受信任的授權和遞迴 DNS 服務,以確保用戶端 (,例如作業系統和應用程式) 收到正確的解析結果。
- 分隔公用和私人 DNS 解析,讓私人網路的 DNS 解析程式可以與公用網路隔離。
- 請確定您的 DNS 安全性策略也包含防護功能,以防止常見的攻擊,例如空空的 DNS、DNS 放大攻擊、DNS 有害和詐騙等等。
Azure 指引:使用 Azure 遞迴 DNS (通常會透過 DHCP 指派給您的 VM,或在工作負載遞迴 DNS 設定中預先設定的服務) 或受信任的外部 DNS 伺服器,例如 VM 的作業系統或應用程式中。
針對 DNS 解析程式不會離開虛擬網路的私人 DNS 區域設定使用 Azure 私用 DNS。 使用自訂 DNS 來限制 DNS 解析,只允許對用戶端進行信任的解析。
針對工作負載或 DNS 服務的下列安全性威脅,針對 DNS 使用Microsoft Defender進行進階保護:
- 使用 DNS 通道從您的 Azure 資源將資料外流
- 與命令和控制伺服器通訊的惡意程式碼
- 與惡意網域通訊,例如網路釣魚和加密採礦
- 與惡意 DNS 解析程式通訊中的 DNS 攻擊
如果您解除委任App Service網站,而不需從 DNS 註冊機構移除自訂網域,您也可以使用 Microsoft Defender App Service 來偵測 DNS 記錄。
Azure 實作和其他內容:
AWS 指引:使用 Amazon DNS Server (換句話說,Amazon Route 53 解析程式伺服器通常是透過 DHCP 指派給您,或在服務) 或工作負載遞迴 DNS 安裝程式中預先設定的集中式受信任 DNS 解析程式伺服器,例如 VM 的作業系統或應用程式中。
使用 Amazon Route 53 建立私人託管區域設定,其中 DNS 解析程式不會離開指定的 VPN。 針對下列使用案例,請使用 Amazon Route 53 防火牆來規範和篩選您 NAT 中的輸出 DNS/UDP 流量:
- 防止攻擊,例如您的 DNS 外泄
- 為應用程式可查詢的網域設定允許或拒絕清單
在 Amazon Route 53 中設定網域名稱系統安全性延伸模組 (DNSSEC) 功能,以保護您的網域免于 DNS 詐騙或攔截式攻擊。
Amazon Route 53 也提供 DNS 註冊服務,其中 Route 53 可作為您網域的授權名稱伺服器。 應遵循下列最佳做法,以確保功能變數名稱的安全性:
- Amazon Route 53 服務應該會自動更新功能變數名稱。
- 功能變數名稱應該已啟用傳輸鎖定功能,以確保其安全。
- 寄件者原則架構 (SPF) 應該用來阻止垃圾郵件者詐騙網域。
AWS 實作和其他內容:
GCP 指引:使用 GCP DNS 伺服器 (,也就是通常會透過 DHCP 指派給 VM 的中繼資料伺服器,或在服務) 或集中信任的 DNS 解析程式伺服器 (,例如工作負載遞迴 DNS 設定中的 Google 公用 DNS) ,例如 VM 的作業系統或應用程式中。
使用 GCP 雲端 DNS 建立私人 DNS 區域,其中 DNS 解析程式不會離開已還原的 VPN。 規範和篩選您 HTTP 中的輸出 DNS/UDP 流量,使用案例如下:
- 防止攻擊,例如您的 DNS 外泄
- 設定應用程式所查詢網域的允許或拒絕清單
在雲端 DNS 中設定網域名稱系統安全性延伸模組 (DNSSEC) 功能,以保護 DNS 流量,以保護網域免于遭受 DNS 詐騙或中間人攻擊。
Google Cloud Domains 提供網域註冊服務。 GCP 雲端 DNS 可作為網域的授權名稱伺服器。 應遵循下列最佳做法,以確保功能變數名稱的安全性:
- Google Cloud Domains 應該會自動更新功能變數名稱。
- 功能變數名稱應已啟用傳輸鎖定功能,以確保其安全
- 寄件者原則架構 (SPF) 應該用來阻止垃圾郵件者詐騙網域。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :