Řízení zabezpečení: Zabezpečení sítě
Zabezpečení sítě zahrnuje ovládací prvky pro zabezpečení a ochranu sítí, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírňování externích útoků a zabezpečení DNS.
NS-1: Vytvoření hranic segmentace sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Zajistěte, aby nasazení virtuální sítě odpovídalo strategii segmentace podniku definovanou v řízení zabezpečení GS-2. Všechny úlohy, které by mohly pro organizaci znamenat vyšší riziko, by měly být v izolovaných virtuálních sítích.
Mezi příklady vysoce rizikových úloh patří:
- Aplikace, která ukládá nebo zpracovává vysoce citlivá data.
- Externí síťová aplikace přístupná veřejnosti nebo uživatelům mimo vaši organizaci.
- Aplikace, která používá nezabezpečenou architekturu nebo obsahuje ohrožení zabezpečení, která nelze snadno napravit.
Pokud chcete zlepšit strategii segmentace podniku, omezte nebo monitorujte provoz mezi interními prostředky pomocí síťových ovládacích prvků. U konkrétních dobře definovaných aplikací (jako jsou třívrstvé aplikace) to může být vysoce zabezpečený přístup typu "ve výchozím nastavení odepřít, povolit výjimkou", a to omezením portů, protokolů, zdrojových a cílových IP adres síťového provozu. Pokud máte mnoho aplikací a koncových bodů, které vzájemně komunikují, nemusí se blokování provozu dobře škálovat a možná budete moct jenom monitorovat provoz.
Pokyny pro Azure: Vytvoření virtuální sítě jako základního přístupu k segmentaci ve vaší síti Azure, aby prostředky, jako jsou virtuální počítače, mohly být nasazeny do virtuální sítě v rámci hranice sítě. Pokud chcete síť dále segmentovat, můžete v rámci virtuální sítě vytvořit podsítě pro menší podsítě.
Skupiny zabezpečení sítě (NSG) použijte jako řízení síťové vrstvy k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Pokud chcete doporučit pravidla posílení zabezpečení sítě na základě analýzy hrozeb a analýzy provozu, přečtěte si téma NS-7: Zjednodušení konfigurace zabezpečení sítě a použití adaptivního posilování zabezpečení sítě.
Ke zjednodušení složité konfigurace můžete použít také skupiny zabezpečení aplikací (ASG). Místo definování zásad založených na explicitních IP adresách ve skupinách zabezpečení sítě umožňují skupiny zabezpečení sítě nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace, což vám umožní seskupit virtuální počítače a definovat zásady zabezpečení sítě založené na těchto skupinách.
Implementace Azure a další kontext:
- Osvědčené postupy a koncepty Azure Virtual Network
- Přidání, změna nebo odstranění podsítě virtuální sítě
- Vytvoření skupiny zabezpečení sítě s pravidly zabezpečení
- Principy a používání skupin zabezpečení aplikací
Pokyny pro AWS: Vytvoření virtuálního privátního cloudu (VPC) jako základního přístupu k segmentaci ve vaší síti AWS, aby prostředky, jako jsou instance EC2, mohly být nasazeny do VPC v rámci hranice sítě. Pokud chcete síť dále segmentovat, můžete v rámci VPC vytvořit podsítě pro menší podsítě.
V případě instancí EC2 použijte skupiny zabezpečení jako stavovou bránu firewall k omezení provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Na úrovni podsítě VPC použijte seznam Access Control (NACL) jako bezstavovou bránu firewall, abyste měli explicitní pravidla pro příchozí a výchozí provoz do podsítě.
Poznámka: Kvůli řízení provozu VPC by měl být internet a služba NAT Gateway nakonfigurované tak, aby se zajistilo omezení provozu z a do internetu.
Implementace AWS a další kontext:
- Řízení provozu do instancí EC2 pomocí skupin zabezpečení
- Porovnání skupin zabezpečení a síťových seznamů ACL
- Internetová brána
- NAT Gateway
Pokyny ke GCP: Vytvoření sítě virtuálního privátního cloudu (VPC) jako základního přístupu k segmentaci ve vaší síti GCP, aby prostředky, jako jsou instance virtuálních počítačů výpočetního stroje, bylo možné nasadit do sítě VPC v rámci hranice sítě. Pokud chcete síť dále segmentovat, můžete v rámci VPC vytvořit podsítě pro menší podsítě.
Pravidla brány firewall VPC použijte jako ovládací prvek distribuované síťové vrstvy a povolte nebo odepřete připojení k cílovým instancím v síti VPC, mezi které patří virtuální počítače, clustery Google Kubernetes Engine (GKE) a instance flexibilního prostředí App Engine.
Můžete také nakonfigurovat pravidla brány firewall VPC tak, aby cílila na všechny instance v síti VPC, instance s odpovídající síťovou značkou nebo instance, které používají konkrétní účet služby, což vám umožní seskupovat instance a definovat zásady zabezpečení sítě založené na těchto skupinách.
Implementace GCP a další kontext:
- Vytváření a správa sítí VPC
- Podsítě Google Cloud VPC
- Použití pravidel brány firewall VPC
- Přidání síťových značek
Účastníci zabezpečení zákazníků (další informace):
NS-2: Zabezpečení nativních cloudových služeb pomocí síťových ovládacích prvků
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Zabezpečení cloudových služeb vytvořením privátního přístupového bodu pro prostředky. Pokud je to možné, měli byste také zakázat nebo omezit přístup z veřejných sítí.
Pokyny k Azure: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, abyste pro prostředky vytvořili privátní přístupový bod. Použití Private Link zabrání směrování privátního připojení přes veřejnou síť.
Poznámka: Některé služby Azure můžou také umožňovat privátní komunikaci prostřednictvím funkce koncového bodu služby, ale pro zabezpečený a privátní přístup ke službám hostovaným na platformě Azure se doporučuje používat Azure Private Link.
U některých služeb můžete nasadit integraci virtuální sítě pro službu, kde můžete virtuální síť omezit a vytvořit privátní přístupový bod pro službu.
Máte také možnost nakonfigurovat pravidla seznamu ACL nativní sítě služby nebo jednoduše zakázat přístup z veřejné sítě, aby se zablokoval přístup z veřejných sítí.
U virtuálních počítačů Azure byste se měli vyhnout přiřazování veřejných IP adres nebo podsítě přímo k rozhraní virtuálního počítače, a místo toho jako front-end pro přístup z veřejné sítě používat služby brány nebo nástroje pro vyrovnávání zatížení.
Implementace Azure a další kontext:
Pokyny pro AWS: Nasaďte VPC PrivateLink pro všechny prostředky AWS, které podporují funkci PrivateLink, abyste umožnili privátní připojení k podporovaným službám AWS nebo službám hostovaným jinými účty AWS (služby koncového bodu VPC). Pokud použijete PrivateLink, privátní připojení se nebude směrovat přes veřejnou síť.
U některých služeb se můžete rozhodnout nasadit instanci služby do vlastního VPC a izolovat tak provoz.
Máte také možnost nakonfigurovat nativní pravidla seznamu ACL služby tak, aby blokovala přístup z veřejné sítě. Například Amazon S3 umožňuje blokovat veřejný přístup na úrovni kbelíku nebo účtu.
Při přiřazování IP adres prostředkům služby ve VPC byste se měli vyhnout přímému přiřazování veřejných IP adres nebo podsítě k prostředkům a místo toho používat privátní IP adresy nebo podsíť.
Implementace AWS a další kontext:
Pokyny ke GCP: Nasaďte implementace VPC Private Google Access pro všechny prostředky GCP, které ho podporují, za účelem vytvoření privátního přístupového bodu pro prostředky. Tyto možnosti privátního přístupu zamezí směrování privátního připojení přes veřejnou síť. Privátní přístup Google má instance virtuálních počítačů, které mají jenom interní IP adresy (žádné externí IP adresy).
U některých služeb se můžete rozhodnout nasadit instanci služby do vlastního VPC a izolovat tak provoz. Máte také možnost nakonfigurovat nativní pravidla seznamu ACL služby tak, aby blokovala přístup z veřejné sítě. Například brána firewall modulu aplikací umožňuje řídit, který síťový provoz je při komunikaci s prostředkem modulu aplikací povolený nebo odmítnutý. Cloudové úložiště je dalším prostředkem, kde můžete vynucovat ochranu veřejného přístupu v jednotlivých kontejnerech nebo na úrovni organizace.
U virtuálních počítačů výpočetního modulu GCP byste se měli vyhnout přiřazování veřejných IP adres nebo podsítí přímo k rozhraní virtuálního počítače a místo toho jako front-end pro přístup z veřejné sítě používat služby brány nebo nástroje pro vyrovnávání zatížení.
Implementace GCP a další kontext:
- Soukromý přístup Google
- Možnosti privátního přístupu ke službám
- Principy brány firewall modulu aplikací
- Cloudové úložiště – použití prevence veřejného přístupu
Účastníci zabezpečení zákazníků (další informace):
NS-3: Nasazení brány firewall na hranici podnikové sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Nasaďte bránu firewall pro pokročilé filtrování síťového provozu do a z externích sítí. K podpoře strategie segmentace můžete také použít brány firewall mezi interními segmenty. V případě potřeby použijte vlastní trasy pro vaši podsíť k přepsání systémové trasy, když potřebujete vynutit průchod síťového zařízení pro účely kontroly zabezpečení.
Zablokujte minimálně známé chybné IP adresy a vysoce rizikové protokoly, jako je vzdálená správa (například RDP a SSH) a intranetové protokoly (například SMB a Kerberos).
Pokyny Pro Azure: Využijte Azure Firewall k zajištění plně stavového omezení provozu aplikační vrstvy (například filtrování adres URL) nebo centrální správy pro velký počet podnikových segmentů nebo paprsků (v hvězdicové topologii).
Pokud máte složitou topologii sítě, jako je například nastavení centra nebo paprsku, možná budete muset vytvořit trasy definované uživatelem, abyste zajistili, že provoz prochází požadovanou trasou. Můžete například použít trasu definovanou uživatelem k přesměrování výchozího internetového provozu přes konkrétní Azure Firewall nebo síťové virtuální zařízení.
Implementace Azure a další kontext:
Pokyny pro AWS: Pomocí brány firewall sítě AWS můžete zajistit plně omezení provozu na stavové aplikační vrstvě (například filtrování adres URL) a/nebo centrální správu pro velký počet podnikových segmentů nebo paprsků (v hvězdicové topologii).
Pokud máte složitou síťovou topologii, jako je například nastavení hvězdicové topologie, možná budete muset vytvořit vlastní směrovací tabulky VPC, abyste zajistili, že provoz prochází požadovanou trasou. Máte například možnost použít vlastní trasu k přesměrování výchozího internetového provozu přes konkrétní bránu firewall AWS nebo síťové virtuální zařízení.
Implementace AWS a další kontext:
Pokyny ke GCP: Pomocí zásad zabezpečení Google Cloud Armor můžete zajistit filtrování vrstvy 7 a ochranu běžných webových útoků. Kromě toho použijte pravidla brány firewall VPC k zajištění distribuovaného, plně stavového omezení provozu síťové vrstvy a zásad brány firewall pro centrální správu velkého počtu podnikových segmentů nebo paprsků (v hvězdicové topologii).
Pokud máte složitou topologii sítě, jako je například nastavení hvězdicové topologie, vytvořte zásady brány firewall, které seskupují pravidla brány firewall a budou hierarchické, aby je bylo možné použít pro více sítí VPC.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-4: Nasazení systémů detekce vniknutí nebo prevence neoprávněných vniknutí (IDS/IPS)
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Princip zabezpečení: Pomocí systémů detekce neoprávněných vniknutí do sítě a prevence neoprávněných vniknutí (IDS/IPS) zkontrolujte síťový provoz a přenos datových částí do nebo z vaší úlohy. Zajistěte, aby služba IDS/IPS byla vždy vyladěná tak, aby poskytovala vysoce kvalitní výstrahy pro vaše řešení SIEM.
Pokud chcete získat podrobnější možnosti detekce a prevence na úrovni hostitele, použijte IDS/IPS založené na hostiteli nebo řešení detekce a odezvy koncových bodů na hostiteli (EDR) ve spojení se síťovým IDS/IPS.
Pokyny k Azure: Pomocí funkcí IDPS Azure Firewall můžete chránit svou virtuální síť, abyste mohli upozorňovat na známé škodlivé IP adresy a domény nebo blokovat provoz do a ze známých škodlivých IP adres a domén.
Pokud chcete získat podrobnější možnosti detekce a prevence na úrovni hostitele, nasaďte IDS/IPS založené na hostiteli nebo řešení detekce a odezvy na základě hostitele (EDR), jako je Microsoft Defender for Endpoint, na úrovni virtuálního počítače ve spojení se síťovým IDS/IPS.
Implementace Azure a další kontext:
Pokyny pro AWS: Pomocí funkce IPS brány firewall sítě AWS můžete chránit svůj VPC, abyste mohli upozorňovat na známé škodlivé IP adresy a domény nebo blokovat provoz do a ze známých škodlivých IP adres a domén.
Pokud chcete získat podrobnější možnosti detekce a prevence na úrovni hostitele, nasaďte IDS/IPS na základě hostitele nebo řešení detekce a odezvy koncových bodů na základě hostitele (EDR), jako je řešení třetí strany pro IDS/IPS založené na hostiteli, na úrovni virtuálního počítače ve spojení se síťovým IDS/IPS.
Poznámka: Pokud používáte IDS nebo IPS třetí strany z marketplace, použijte tranzitní bránu a nástroj Gateway Balancer k nasměrování provozu k in-line kontrole.
Implementace AWS a další kontext:
Pokyny ke GCP: Využijte funkce Google Cloud IDS k detekci hrozeb pro vniknutí, malware, spyware a útoky na příkazy a řízení ve vaší síti. Služba IDS cloudu funguje tak, že vytvoří partnerský vztah spravovaný Googlem se zrcadlenými instancemi virtuálních počítačů. Přenosy v partnerské síti se zrcadlí a pak kontrolují integrované technologie ochrany před hrozbami Palo Alto Networks, které poskytují pokročilou detekci hrozeb. Veškerý příchozí a výchozí provoz můžete zrcadlit na základě protokolu nebo rozsahu IP adres.
Pokud chcete získat podrobnější možnosti detekce a prevence na úrovni hostitele, nasaďte koncový bod IDS jako zónový prostředek, který může kontrolovat provoz z libovolné zóny ve své oblasti. Každý koncový bod IDS přijímá zrcadlený provoz a provádí analýzu detekce hrozeb.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-5: Nasazení ochrany DDOS
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princip zabezpečení: Nasaďte ochranu před útoky DDoS (Distributed Denial of Service), abyste ochránili svou síť a aplikace před útoky.
Pokyny k Azure: Služba DDoS Protection Basic je automaticky povolená pro ochranu základní infrastruktury platformy Azure (např. Azure DNS) a nevyžaduje od uživatelů žádnou konfiguraci.
Pokud chcete zajistit vyšší úroveň ochrany útoků na aplikační vrstvu (vrstvu 7), jako jsou záplavy HTTP nebo dns, povolte ve virtuální síti plán ochrany DDoS Standard, abyste ochránili prostředky, které jsou vystavené veřejným sítím.
Implementace Azure a další kontext:
Pokyny pro AWS: AWS Shield Standard se automaticky povolí se standardními zmírněními rizik, která chrání vaše úlohy před běžnými útoky DDoS v síti a přenosové vrstvě (vrstva 3 a 4).
Pokud chcete vyšší úroveň ochrany aplikací před útoky na aplikační vrstvu (vrstva 7), jako jsou záplavy HTTPS a povodeň DNS, povolte rozšířenou ochranu AWS Shield na platformách Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator a Amazon Route 53.
Implementace AWS a další kontext:
Pokyny ke GCP: Google Cloud Armor nabízí následující možnosti, které pomáhají chránit systémy před útoky DDoS:
- Ochrana před útoky DDoS úrovně Standard: Základní nepřetržitá ochrana pro nástroje pro vyrovnávání zatížení sítě, předávání protokolů nebo virtuální počítače s veřejnými IP adresami.
- Pokročilá ochrana před útoky DDoS v síti: Další ochrana pro předplatitele služby Managed Protection Plus, kteří používají nástroje pro vyrovnávání zatížení sítě, předávání protokolů nebo virtuální počítače s veřejnými IP adresami.
- Ochrana před útoky DDoS úrovně Standard je vždy povolená. Pokročilou ochranu před útoky DDoS v síti se konfiguruje pro jednotlivé oblasti.
Implementace GCP a další kontext:
- Konfigurace pokročilé ochrany před útoky DDoS v síti
- Přehled služby Google Cloud Armor
- Přehled zásad zabezpečení Google Cloud Armor
Účastníci zabezpečení zákazníků (další informace):
NS-6: Nasazení firewallu webových aplikací
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Nasaďte Firewall webových aplikací (WAF) a nakonfigurujte příslušná pravidla pro ochranu webových aplikací a rozhraní API před útoky specifickými pro aplikace.
Pokyny Pro Azure: Funkce Firewallu webových aplikací (WAF) v Azure Application Gateway, Azure Front Door a Azure Content Delivery Network (CDN) použijte k ochraně aplikací, služeb a rozhraní API před útoky na aplikační vrstvu na okraji sítě.
Nastavte WAF v režimu detekce nebo prevence v závislosti na vašich potřebách a prostředí hrozeb.
Zvolte integrovanou sadu pravidel, například 10 nejdůležitějších ohrožení zabezpečení OWASP, a vylaďte ji podle potřeb vaší aplikace.
Implementace Azure a další kontext:
Pokyny pro AWS: Použijte AWS Web Application Firewall (WAF) v distribuci Amazon CloudFront, Amazon API Gateway, Application Load Balancer nebo AWS AppSync k ochraně aplikací, služeb a rozhraní API před útoky na aplikační vrstvu na okraji sítě.
Pomocí spravovaných pravidel AWS pro WAF nasaďte předdefinované základní skupiny a přizpůsobte je potřebám vaší aplikace pro skupiny pravidel pro případ uživatele.
Pro zjednodušení nasazení pravidel WAF můžete také použít řešení AWS WAF Security Automations a automaticky nasadit předdefinovaná pravidla AWS WAF, která filtrují webové útoky na webový seznam ACL.
Implementace AWS a další kontext:
Pokyny ke GCP: Používejte Google Cloud Armor k ochraně vašich aplikací a webů před útoky na dostupnost služby a webovými útoky.
Pomocí předpovídajících pravidel služby Google Cloud Armor založených na oborových standardech můžete zmírnit běžná ohrožení zabezpečení webových aplikací a zajistit ochranu před OWASP Top 10.
Nastavte si předkonfigurovaná pravidla WAF, která se skládají z více podpisů z crs (ModSecurity Core Rules). Každý podpis odpovídá pravidlu detekce útoku v sadě pravidel.
Cloud Armor funguje ve spojení s externími nástroji pro vyrovnávání zatížení a chrání před distribuovaným útokem DDoS (Denial-of-Service) a dalšími webovými útoky, ať už jsou aplikace nasazené v Google Cloudu, v hybridním nasazení nebo v architektuře s více cloudy. Zásady zabezpečení je možné konfigurovat ručně, s konfigurovatelnými podmínkami shody a akcemi v zásadách zabezpečení. Cloud Armor také nabízí předkonfigurované zásady zabezpečení, které pokrývají celou řadu případů použití.
Adaptivní ochrana ve službě Cloud Armor pomáhá zabránit distribuovaným útokům L7, detekovat a chránit vaše aplikace a služby před distribuovanými útoky L7 tím, že analyzuje vzory provozu do vašich back-endových služeb, detekuje a upozorňuje na podezřelé útoky a generuje navrhovaná pravidla WAF, která tyto útoky zmírní. Tato pravidla můžete doladit tak, aby vyhovovala vašim potřebám.
Implementace GCP a další kontext:
- Google Cloud Armor
- Dokumentace ke službě Apigee
- Integrace Služby Google Cloud Armor s dalšími produkty Google
Účastníci zabezpečení zákazníků (další informace):
NS-7: Zjednodušení konfigurace zabezpečení sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princip zabezpečení: Při správě komplexního síťového prostředí používejte nástroje ke zjednodušení, centralizaci a vylepšení správy zabezpečení sítě.
Pokyny k Azure: Následující funkce vám pomůžou zjednodušit implementaci a správu virtuální sítě, pravidel NSG a pravidel Azure Firewall:
- Azure Virtual Network Manager použijte k seskupení, konfiguraci, nasazení a správě virtuálních sítí a pravidel NSG napříč oblastmi a předplatnými.
- Pomocí Microsoft Defender pro adaptivní posilování zabezpečení sítě v cloudu doporučte pravidla posílení zabezpečení sítě NSG, která dále omezují porty, protokoly a zdrojové IP adresy na základě analýzy hrozeb a výsledků analýzy provozu.
- Pomocí Azure Firewall Manageru můžete centralizovat zásady brány firewall a správu tras virtuální sítě. Pokud chcete zjednodušit implementaci pravidel brány firewall a skupin zabezpečení sítě, můžete také použít šablonu Azure Resource Manager (ARM) Azure Firewall Manageru.
Implementace Azure a další kontext:
- Adaptivní posilování zabezpečení sítě v Microsoft Defender for Cloud
- Azure Firewall Manager
- Vytvoření Azure Firewall a zásad brány firewall – šablona ARM
Pokyny pro AWS: Pomocí AWS Firewall Manageru můžete centralizovat správu zásad ochrany sítě napříč následujícími službami:
- Zásady AWS WAF
- Pokročilé zásady AWS Shield
- Zásady skupiny zabezpečení VPC
- Zásady brány firewall sítě
AWS Firewall Manager může automaticky analyzovat zásady související s bránou firewall a vytvářet závěry pro prostředky nedodržování předpisů a zjištěné útoky a odesílat je do centra zabezpečení AWS k prošetření.
Implementace AWS a další kontext:
Pokyny ke GCP: Pomocí následujících funkcí můžete zjednodušit implementaci a správu sítě virtuálního privátního cloudu (VPC), pravidel brány firewall a pravidel WAF:
- Pomocí sítí VPC můžete spravovat a konfigurovat jednotlivé sítě VPC a pravidla brány firewall VPC.
- Pomocí hierarchických zásad brány firewall můžete seskupit pravidla brány firewall a hierarchicky je použít v globálním nebo regionálním měřítku.
- Pomocí služby Google Cloud Armor můžete použít vlastní zásady zabezpečení, předem nakonfigurovaná pravidla WAF a ochranu před útoky DDoS.
Můžete také Centrum síťové inteligence analyzovat vaši síť a získat přehled o topologii virtuální sítě, pravidlech brány firewall a stavu připojení k síti, aby se zlepšila efektivita správy.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
NS-8: Detekce a zakázání nezabezpečených služeb a protokolů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princip zabezpečení: Detekce a zakázání nezabezpečených služeb a protokolů ve vrstvě operačního systému, aplikace nebo softwarového balíčku. Pokud není možné zakázat nezabezpečené služby a protokoly, nasaďte kompenzační ovládací prvky.
Pokyny k Azure: Pomocí integrovaného sešitu nezabezpečených protokolů služby Microsoft Sentinel zjistěte použití nezabezpečených služeb a protokolů, jako jsou SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, slabé šifry v protokolu Kerberos a vazby bez znaménka LDAP. Zakažte nezabezpečené služby a protokoly, které nesplňují příslušné standardy zabezpečení.
Poznámka: Pokud není možné zakázat nezabezpečené služby nebo protokoly, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím skupiny zabezpečení sítě, Azure Firewall nebo Azure Web Application Firewall, abyste zmenšili prostor pro útoky.
Implementace Azure a další kontext:
Pokyny pro AWS: Povolte protokoly toku VPC a použijte GuardDuty k analýze protokolů toku VPC, abyste identifikovali možné nezabezpečené služby a protokoly, které nesplňují příslušné standardy zabezpečení.
Pokud se protokoly v prostředí AWS dají předat službě Microsoft Sentinel, můžete také pomocí integrovaného sešitu nezabezpečených protokolů služby Microsoft Sentinel zjistit použití nezabezpečených služeb a protokolů.
Poznámka: Pokud zakázání nezabezpečených služeb nebo protokolů není možné, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím skupin zabezpečení, brána firewall sítě AWS, AWS Web Application Firewall, abyste snížili prostor pro útoky.
Implementace AWS a další kontext:
Pokyny ke GCP: Povolte protokoly toku VPC a použijte BigQuery nebo Security Command Center k analýze protokolů toku VPC k identifikaci možných nezabezpečených služeb a protokolů, které nesplňují příslušné standardy zabezpečení.
Pokud se protokoly v prostředí GCP dají předat službě Microsoft Sentinel, můžete také pomocí integrovaného sešitu nezabezpečených protokolů služby Microsoft Sentinel zjistit použití nezabezpečených služeb a protokolů. Další protokoly můžete předávat službám Google Cloud Chronicle SIEM a SOAR a vytvářet vlastní pravidla pro stejný účel.
Poznámka: Pokud zakázání nezabezpečených služeb nebo protokolů není možné, použijte kompenzační ovládací prvky, jako je blokování přístupu k prostředkům prostřednictvím pravidel a zásad brány firewall VPC nebo Cloud Armor, abyste zmenšili prostor pro útoky.
Implementace GCP a další kontext:
- Použití protokolů toků VPC
- Analýza protokolů zabezpečení v Google Cloudu
- Přehled - BigQueryPřehled Security Command Center
- Microsoft Sentinel pro úlohy GCP
Účastníci zabezpečení zákazníků (další informace):
NS-9: Privátní připojení místní nebo cloudové sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | – |
Princip zabezpečení: Používejte privátní připojení pro zabezpečenou komunikaci mezi různými sítěmi, jako jsou datacentra poskytovatele cloudových služeb a místní infrastruktura v kolokačním prostředí.
Pokyny pro Azure: Pro jednoduché připojení typu site-to-site nebo point-to-site použijte virtuální privátní síť (VPN) Azure k vytvoření zabezpečeného připojení mezi místní lokalitou nebo zařízením koncového uživatele a virtuální sítí Azure.
V případě připojení s vysokým výkonem na podnikové úrovni použijte Azure ExpressRoute (nebo Virtual WAN) k propojení datacenter Azure a místní infrastruktury ve společném prostředí.
Při připojování dvou nebo více virtuálních sítí Azure k sobě použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.
Implementace Azure a další kontext:
Pokyny pro AWS: Pro připojení typu site-to-site nebo point-to-site použijte AWS VPN k vytvoření zabezpečeného připojení (pokud se netýká režie protokolu IPsec) mezi místní lokalitou nebo zařízením koncového uživatele k síti AWS.
V případě připojení s vysokým výkonem na podnikové úrovni můžete pomocí AWS Direct Connect propojit řadiče vpC AWS a prostředky s místní infrastrukturou ve společném prostředí.
K navázání připojení mezi dvěma nebo více sítěmi VP v rámci oblastí nebo mezi oblastmi máte možnost použít VPC Peering nebo Transit Gateway. Síťový provoz mezi partnerskými protokoly VPC je privátní a uchovává se v páteřní síti AWS. Pokud potřebujete připojit více řadičů VP, abyste vytvořili velkou plochou podsíť, máte také možnost použít sdílení VPC.
Implementace AWS a další kontext:
- Úvod k AWS Direct Connect
- Úvod k AWS VPN
- Tranzitní brána
- Vytvoření a přijetí připojení partnerského vztahu VPC
- Sdílení VPC
Pokyny pro GCP: Pro jednoduché připojení typu site-to-site nebo připojení typu point-to-site použijte Google Cloud VPN.
V případě připojení s vysokým výkonem na podnikové úrovni použijte Google Cloud Interconnect nebo Partner Interconnect a připojte se k virtuálním službám a prostředkům Google Cloud pomocí místní infrastruktury v prostředí kolokace.
Můžete použít peering sítě VPC nebo Centrum připojení k síti k navázání připojení mezi dvěma nebo více řadiči vpK v rámci nebo mezi oblastmi. Síťový provoz mezi partnerskými sítěmi VP je privátní a uchovává se v páteřní síti GCP. Pokud potřebujete připojit více řadičů VP, abyste vytvořili velkou plochou podsíť, máte také možnost použít sdílené VPC.
Implementace GCP a další kontext:
- Přehled cloudové sítě VPN
- Cloud Interconnect, Dedicated Interconnect a Partner Interconnect
- Přehled Centra připojení k síti
- Private Service Connect
Účastníci zabezpečení zákazníků (další informace) :
NS-10: Zajištění zabezpečení DNS (Domain Name System)
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | – |
Princip zabezpečení: Ujistěte se, že konfigurace zabezpečení DNS (Domain Name System) chrání před známými riziky:
- Pomocí důvěryhodných autoritativních a rekurzivních služeb DNS v cloudovém prostředí zajistíte, že klient (například operační systémy a aplikace) obdrží správný výsledek překladu.
- Oddělte veřejný a privátní překlad DNS, aby se proces překladu DNS pro privátní síť mohl izolovat od veřejné sítě.
- Ujistěte se, že vaše strategie zabezpečení DNS zahrnuje také zmírnění rizik proti běžným útokům, jako jsou útoky na dangling DNS, útoky na zesílení DNS, otravy DNS a falšování identity atd.
Pokyny pro Azure: Při rekurzivním nastavení DNS pro úlohy, jako je například v operačním systému virtuálního počítače nebo v aplikaci virtuálního počítače, použijte rekurzivní DNS server Azure (obvykle přiřazený k virtuálnímu počítači prostřednictvím protokolu DHCP nebo předkonfigurovaný ve službě) nebo důvěryhodný externí server DNS.
Azure Privátní DNS použijte k nastavení privátní zóny DNS, kde proces překladu DNS neopustí virtuální síť. Pomocí vlastního DNS omezte překlad DNS tak, aby umožňoval pouze důvěryhodné překlady pro klienta.
Pro rozšířenou ochranu před následujícími bezpečnostními hrozbami pro vaši úlohu nebo službu DNS použijte Microsoft Defender pro DNS:
- Exfiltrace dat z prostředků Azure pomocí tunelování DNS
- Malware komunikující se serverem příkazů a řízení
- Komunikace se škodlivými doménami, jako jsou phishing a kryptografické dolování
- Útoky DNS při komunikaci se škodlivými překladači DNS
Pokud vyřadíte web App Service z provozu webu App Service, aniž byste odebrali jeho vlastní doménu od svého registrátora DNS, můžete také použít Microsoft Defender pro App Service.
Implementace Azure a další kontext:
- Přehled Azure DNS
- Průvodce nasazením systému DNS (Secure Domain Name System):
- Privátní DNS v Azure
- Azure Defender pro DNS
- Zabraňte přecházení položek DNS a vyhněte se převzetí subdomény:
Pokyny pro AWS: V rekurzivním nastavení DNS pro úlohy použijte server Amazon Route 53 Resolver, který je vám obvykle přiřazen prostřednictvím protokolu DHCP nebo předkonfigurovaný ve službě) nebo centralizovaný důvěryhodný server překladače DNS v rekurzivním nastavení DNS pro úlohy, například v operačním systému virtuálního počítače nebo v aplikaci.
Pomocí Amazon Route 53 vytvořte nastavení privátní hostované zóny, kde proces překladu DNS neopustí určené řadiče VPC. Pomocí brány firewall Amazon Route 53 můžete regulovat a filtrovat odchozí provoz DNS/UDP ve vašem VPC pro následující případy použití:
- Prevence útoků, jako je exfiltrace DNS ve vašem VPC
- Nastavení seznamu povolených nebo zakázaných domén, na které se můžou vaše aplikace dotazovat
Nakonfigurujte funkci DNSSEC (Domain Name System Security Extensions) v Amazon Route 53 pro zabezpečení provozu DNS, která chrání vaši doménu před falšováním identity DNS nebo útokem man-in-the-middle.
Amazon Route 53 také poskytuje službu pro registraci DNS, kde můžete Route 53 použít jako autoritativní názvové servery pro vaše domény. K zajištění zabezpečení názvů domén byste měli dodržovat následující osvědčené postupy:
- Názvy domén by měla služba Amazon Route 53 automaticky obnovovat.
- Aby byly názvy domén zabezpečené, měly by mít povolenou funkci Zámek přenosu.
- SPF (Sender Policy Framework) by se měl použít k tomu, aby odesílatelé nevyžádané pošty zabránili falšování vaší domény.
Implementace AWS a další kontext:
- Konfigurace DnsSEC pro Amazon Route 53
- Brána firewall Amazon Route 53
- Registrace domény Amazon Route 53
Pokyny pro GCP: V rekurzivním nastavení DNS pro úlohy, jako je například v operačním systému virtuálního počítače nebo v aplikaci, použijte server DNS GCP (tj. server metadat, který je obvykle přiřazený k vašemu virtuálnímu počítači prostřednictvím protokolu DHCP nebo je předkonfigurovaný ve službě) nebo centralizovaný důvěryhodný server DNS (například Google Public DNS).
Pomocí služby GCP Cloud DNS vytvořte privátní zónu DNS, ve které proces překladu DNS neopustí desgované řadiče VP. V případech použití regulujte a vyfiltrujte odchozí provoz DNS/UDP ve vašem VPC:
- Prevence útoků, jako je exfiltrace DNS ve vašem VPC
- Nastavení seznamů povolených nebo zakázaných pro domény, na které se vaše aplikace dotazuje
Nakonfigurujte funkci DNSSEC (Domain Name System Security Extensions) v cloudovém DNS pro zabezpečení provozu DNS, která chrání vaši doménu před falšováním identity DNS nebo útokem typu man-in-the-middle.
Google Cloud Domains poskytuje služby registrace domén. GCP Cloud DNS je možné použít jako autoritativní názvové servery pro vaše domény. K zajištění zabezpečení názvů domén byste měli dodržovat následující osvědčené postupy:
- Názvy domén by měly být automaticky obnovovány službou Google Cloud Domains.
- Aby byly názvy domén zabezpečené, měly by mít povolenou funkci Zámek přenosu.
- SPF (Sender Policy Framework) by se měl použít k tomu, aby odesílatelé nevyžádané pošty zabránili falšování vaší domény.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :