Control de seguridad: Seguridad de red
La seguridad de red cubre los controles para proteger y asegurar las redes, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos, y la protección de DNS.
NS-1: Establecimiento de límites de segmentación de red
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: asegúrese de que la implementación de la red virtual se alinea con la estrategia de segmentación empresarial definida en el control de seguridad GS-2. Toda carga de trabajo que pueda incurrir en un mayor riesgo para la organización debe estar en redes virtuales aisladas.
Entre los ejemplos de carga de trabajo de alto riesgo se incluyen:
- Una aplicación que almacena o procesa datos sumamente confidenciales.
- Una aplicación orientada a una red externa, a la que pueden acceder los usuarios públicos o ajenos a la organización.
- Una aplicación que usa una arquitectura no segura o que contiene vulnerabilidades que no se pueden corregir fácilmente.
Para mejorar la estrategia de segmentación empresarial, restrinja o supervise el tráfico entre los recursos internos mediante controles de red. Para aplicaciones específicas bien definidas (como una aplicación de tres niveles), puede tratarse de un enfoque altamente seguro de "denegar de manera predeterminada, permitir por excepción", mediante la restricción de los puertos, protocolos, direcciones IP de origen y destino del tráfico de red. Si tiene muchas aplicaciones y puntos de conexión que interactúan entre sí, es posible que el bloqueo del tráfico no se escale bien y solo pueda supervisar el tráfico.
Guía de Azure: cree una red virtual (VNet) como un enfoque de segmentación fundamental en la red de Azure, por lo que los recursos como las máquinas virtuales se pueden implementar en la red virtual dentro de un límite de red. Para segmentar aún más la red, puede crear subredes dentro de la red virtual para subredes más pequeñas.
Use grupos de seguridad de red (NSG) como control de la capa de red para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Consulte NS-7: Simplificación de la configuración de seguridad de red para usar la protección de red adaptable para recomendar reglas de protección de grupos de seguridad de red basadas en el resultado de la inteligencia sobre amenazas y el análisis del tráfico.
También puede usar grupos de seguridad de aplicaciones (ASG) para simplificar una configuración compleja. En lugar de definir directivas en función de las direcciones IP explícitas de los grupos de seguridad, los ASG le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.
Implementación de Azure y contexto adicional:
- Conceptos y procedimientos recomendados de Azure Virtual Network
- Incorporación, cambio o eliminación de una subred de red virtual
- Creación de un grupo de seguridad de red con reglas de seguridad
- Descripción y uso de los grupos de seguridad de aplicaciones
Guía de AWS: Cree una nube privada virtual (VPC) como un enfoque de segmentación fundamental en la red de AWS, por lo que los recursos como las instancias EC2 se pueden implementar en la VPC dentro de un límite de red. Para segmentar aún más la red, puede crear subredes dentro de VPC para subredes más pequeñas.
En el caso de las instancias ec2, use grupos de seguridad como firewall con estado para restringir el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. En el nivel de subred de VPC, use Network Access Control List (NACL) como firewall sin estado para tener reglas explícitas para el tráfico de entrada y salida a la subred.
Nota: Para controlar el tráfico de VPC, se debe configurar Internet y NAT Gateway para asegurarse de que el tráfico desde y hacia Internet está restringido.
Implementación de AWS y contexto adicional:
- Control del tráfico a instancias ec2 con grupos de seguridad
- Comparación de grupos de seguridad y ACL de red
- Puerta de enlace de Internet
- NAT Gateway
Guía de GCP: cree una red de nube privada virtual (VPC) como un enfoque de segmentación fundamental en la red de GCP, por lo que los recursos como las instancias de máquina virtual (VM) del motor de proceso se pueden implementar en la red vpc dentro de un límite de red. Para segmentar aún más la red, puede crear subredes dentro de la VPC para subredes más pequeñas.
Use reglas de firewall de VPC como control de capa de red distribuida para permitir o denegar conexiones hacia o desde las instancias de destino en la red de VPC, que incluyen máquinas virtuales, clústeres de Google Kubernetes Engine (GKE) y instancias de entorno flexibles de App Engine.
También puede configurar reglas de firewall de VPC para que tengan como destino todas las instancias de la red de VPC, instancias con una etiqueta de red coincidente o instancias que usen una cuenta de servicio específica, lo que le permite agrupar instancias y definir directivas de seguridad de red basadas en esos grupos.
Implementación de GCP y contexto adicional:
- Creación y administración de redes vpc
- Subredes de VPC de Google Cloud
- Uso de reglas de firewall de VPC
- Adición de etiquetas de red
Partes interesadas de la seguridad del cliente (más información):
NS-2: Protección de servicios nativos en la nube con controles de red
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: proteja los servicios en la nube mediante el establecimiento de un punto de acceso privado para los recursos. También debe deshabilitar o restringir el acceso desde redes públicas siempre que sea posible.
Guía de Azure: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos. El uso de Private Link impedirá que la conexión privada se enruta a través de la red pública.
Nota: Algunos servicios de Azure también pueden permitir la comunicación privada a través de la característica de punto de conexión de servicio, aunque se recomienda usar Azure Private Link para el acceso seguro y privado a los servicios hospedados en la plataforma Azure.
Para determinados servicios, puede optar por implementar la integración de red virtual para el servicio, donde puede restringir la red virtual para establecer un punto de acceso privado para el servicio.
También tiene la opción de configurar las reglas de ACL de red nativa del servicio o simplemente deshabilitar el acceso a la red pública para bloquear el acceso desde redes públicas.
En el caso de las máquinas virtuales de Azure, a menos que haya un caso de uso seguro, debe evitar asignar direcciones IP o subred públicas directamente a la interfaz de máquina virtual y, en su lugar, usar servicios de puerta de enlace o equilibrador de carga como front-end para el acceso por parte de la red pública.
Implementación de Azure y contexto adicional:
- ¿Qué es Azure Private Link?
- Integración de servicios de Azure con redes virtuales para el aislamiento de red
Guía de AWS: implemente VPC PrivateLink para todos los recursos de AWS que admitan la característica PrivateLink, para permitir la conexión privada a los servicios o servicios de AWS admitidos hospedados por otras cuentas de AWS (servicios de punto de conexión de VPC). El uso de PrivateLink mantendrá la conexión privada del enrutamiento a través de la red pública.
Para determinados servicios, puede optar por implementar la instancia de servicio en su propia VPC para aislar el tráfico.
También tiene la opción de configurar las reglas de ACL nativas del servicio para bloquear el acceso desde la red pública. Por ejemplo, Amazon S3 permite bloquear el acceso público en el nivel de cubo o cuenta.
Al asignar direcciones IP a los recursos de servicio en la VPC, a menos que haya un caso de uso seguro, debe evitar la asignación de direcciones IP o subred públicas directamente a los recursos y, en su lugar, usar direcciones IP o subred privadas.
Implementación de AWS y contexto adicional:
Guía de GCP: implemente implementaciones privadas de Google Access de VPC para todos los recursos de GCP que lo admitan para establecer un punto de acceso privado para los recursos. Estas opciones de acceso privado mantendrán la conexión privada del enrutamiento a través de la red pública. Google Access privado tiene instancias de máquina virtual que solo tienen direcciones IP internas (sin direcciones IP externas)
Para determinados servicios, puede optar por implementar la instancia de servicio en su propia VPC para aislar el tráfico. También tiene la opción de configurar las reglas de ACL nativas del servicio para bloquear el acceso desde la red pública. Por ejemplo, el firewall de App Engine permite controlar qué tráfico de red se permite o rechaza al comunicarse con el recurso de App Engine. El almacenamiento en la nube es otro recurso en el que puede aplicar la prevención de acceso público en cubos individuales o en el nivel de organización.
En el caso de las máquinas virtuales del motor de proceso de GCP, a menos que haya un caso de uso seguro, debe evitar asignar direcciones IP o subredes públicas directamente a la interfaz de máquina virtual y, en su lugar, usar servicios de puerta de enlace o equilibrador de carga como front-end para el acceso por parte de la red pública.
Implementación de GCP y contexto adicional:
- Google Access privado
- Opciones de acceso privado para servicios
- Descripción del firewall de App Engine
- Almacenamiento en la nube: uso de la prevención de acceso público
Partes interesadas de la seguridad del cliente (más información):
NS-3: Implementación de un firewall en el perímetro de la red empresarial
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: implemente un firewall para realizar un filtrado avanzado en el tráfico de red hacia y desde redes externas. También puede usar firewalls entre segmentos internos como refuerzo de una estrategia de segmentación. Si es necesario, use rutas personalizadas para la subred para invalidar la ruta del sistema cuando necesite forzar que el tráfico de red pase por un dispositivo de red con fines de control de seguridad.
Como mínimo, bloquee las direcciones IP incorrectas conocidas y los protocolos de alto riesgo, como la administración remota (por ejemplo, RDP y SSH) y los protocolos de intranet (por ejemplo, SMB y Kerberos).
Guía de Azure: use Azure Firewall para proporcionar una restricción de tráfico de capa de aplicación con estado completo (como el filtrado de direcciones URL) o la administración central en un gran número de segmentos o radios empresariales (en una topología en estrella tipo hub-and-spoke).
Si tiene una topología de red compleja, como una configuración en estrella tipo hub-and-spoke, puede que tenga que crear rutas definidas por el usuario (UDR) para asegurarse de que el tráfico pase por la ruta deseada. Por ejemplo, tiene la opción de usar una UDR para redirigir el tráfico de salida de Internet a través de un Azure Firewall específico o una aplicación virtual de red.
Implementación de Azure y contexto adicional:
Guía de AWS: use AWS Network Firewall para proporcionar una restricción de tráfico de capa de aplicación con estado completo (como el filtrado de direcciones URL) o la administración central en un gran número de segmentos o radios empresariales (en una topología en estrella tipo hub-and-spoke).
Si tiene una topología de red compleja, como una configuración en estrella tipo hub-and-spoke, puede que tenga que crear tablas de rutas de VPC personalizadas para asegurarse de que el tráfico pasa por la ruta deseada. Por ejemplo, tiene la opción de usar una ruta personalizada para redirigir el tráfico de Salida de Internet a través de un firewall de AWS específico o una aplicación virtual de red.
Implementación de AWS y contexto adicional:
Guía de GCP: use las directivas de seguridad de Google Cloud Armor para proporcionar filtrado de nivel 7 y protección de ataques web comunes. Además, use reglas de firewall de VPC para proporcionar restricciones de tráfico de capa de red distribuidas, totalmente con estado y directivas de firewall para la administración central en un gran número de segmentos empresariales o radios (en una topología en estrella tipo hub-and-spoke).
Si tiene una topología de red compleja, como una configuración en estrella tipo hub-and-spoke, cree directivas de firewall que agrupen reglas de firewall y sean jerárquicas para que se puedan aplicar a varias redes de VPC.
Implementación de GCP y contexto adicional:
- Uso de reglas de firewall de VPC
- Directivas de firewall
- Procedimientos recomendados de Google Cloud Armor
Partes interesadas de la seguridad del cliente (más información):
NS-4: Implementación de sistemas de prevención y detección de intrusiones (IDS/IPS)
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
Principio de seguridad: use sistemas de detección de intrusiones de red y prevención de intrusiones (IDS/IPS) para inspeccionar el tráfico de red y carga hacia o desde la carga de trabajo. Asegúrese de que IDS/IPS estén siempre optimizados para proporcionar alertas de alta calidad a la solución SIEM.
Para una funcionalidad más profunda de detección y prevención a nivel de host, use IDS/IPS basados en host o una solución de detección y respuesta de puntos de conexión (EDR) basada en host, junto con IDS/IPS de red.
Guía de Azure: use las funcionalidades de IDPS de Azure Firewall para proteger la red virtual para alertar sobre y/o bloquear el tráfico hacia y desde dominios y direcciones IP malintencionadas conocidas.
Para una funcionalidad más precisa de detección y prevención a nivel de host, implemente IDS/IPS basados en host o una solución de detección y respuesta de puntos de conexión (EDR) basada en host, como Microsoft Defender para punto de conexión, a nivel de VM, junto con IDS/IPS de red.
Implementación de Azure y contexto adicional:
Guía de AWS: use la funcionalidad IPS de AWS Network Firewall para proteger la VPC para alertar sobre y/o bloquear el tráfico hacia y desde dominios y direcciones IP malintencionadas conocidas.
Para obtener funcionalidades de detección y prevención de nivel de host más detalladas, implemente idS/IPS basado en host o una solución de detección y respuesta de puntos de conexión basados en host (EDR), como una solución de terceros para IDS/IPS basados en host, en el nivel de máquina virtual junto con el IDS/IPS de red.
Nota: Si usa un IDS/IPS de terceros desde Marketplace, use Transit Gateway y Gateway Balancer para dirigir el tráfico para la inspección en línea.
Implementación de AWS y contexto adicional:
Guía de GCP: use las funcionalidades de IDS de Google Cloud para proporcionar detección de amenazas para intrusiones, malware, spyware y ataques de comando y control en la red. Cloud IDS funciona mediante la creación de una red emparejada administrada por Google con instancias de máquina virtual (VM) reflejadas. El tráfico de la red emparejada se refleja y, a continuación, se inspecciona mediante tecnologías insertadas de protección contra amenazas de Palo Alto Networks para proporcionar detección avanzada de amenazas. Puede reflejar todo el tráfico de entrada y salida en función del protocolo o del intervalo de direcciones IP.
Para obtener funcionalidades de detección y prevención de nivel de host más detalladas, implemente un punto de conexión de IDS como un recurso zonal que pueda inspeccionar el tráfico desde cualquier zona de su región. Cada punto de conexión de IDS recibe tráfico reflejado y realiza análisis de detección de amenazas.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
NS-5: Implementación de DDOS Protection
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Principio de seguridad: implemente la protección contra denegación de servicio distribuido (DDoS) para proteger la red y las aplicaciones frente a ataques.
Guía de Azure: DDoS Protection Basic se habilita automáticamente para proteger la infraestructura de la plataforma subyacente de Azure (por ejemplo, Azure DNS) y no requiere ninguna configuración de los usuarios.
Para obtener mayores niveles de protección de los ataques de la capa de aplicación (nivel 7), como las inundaciones HTTP y las inundaciones de DNS, habilite el plan de protección estándar de DDoS en la red virtual para proteger los recursos expuestos a las redes públicas.
Implementación de Azure y contexto adicional:
Guía de AWS: AWS Shield Standard se habilita automáticamente con mitigaciones estándar para proteger la carga de trabajo frente a ataques DDoS comunes de la capa de red y transporte (nivel 3 y 4)
Para obtener mayores niveles de protección de las aplicaciones frente a ataques de capa de aplicación (nivel 7), como inundaciones HTTPS e inundaciones de DNS, habilite AWS Shield Advanced Protection en Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53.
Implementación de AWS y contexto adicional:
Guía de GCP: Google Cloud Armor ofrece las siguientes opciones para ayudar a proteger los sistemas frente a ataques DDoS:
- Protección contra DDoS de red estándar: protección básica siempre activa para equilibradores de carga de red, reenvío de protocolos o máquinas virtuales con direcciones IP públicas.
- Protección contra DDoS de red avanzada: protecciones adicionales para suscriptores de Managed Protection Plus que usan equilibradores de carga de red, reenvío de protocolos o máquinas virtuales con direcciones IP públicas.
- La protección contra DDoS de red estándar siempre está habilitada. La protección contra DDoS de red avanzada se configura por región.
Implementación de GCP y contexto adicional:
- Configuración de protección contra DDoS de red avanzada
- Introducción a Google Cloud Armor
- Introducción a las directivas de Google Cloud Armor Security
Partes interesadas de la seguridad del cliente (más información):
NS-6: Implementación de un firewall de aplicaciones web
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: implemente un firewall de aplicaciones web (WAF) y configure las reglas adecuadas para proteger las aplicaciones web y las API frente a ataques específicos de la aplicación.
Guía de Azure: use funcionalidades de firewall de aplicaciones web (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger las aplicaciones, los servicios y las API frente a ataques de capa de aplicación en el perímetro de la red.
Establezca el WAF en el modo "detección" o "prevención", en función de sus necesidades y del panorama de amenazas.
Elija un conjunto de reglas integrado, como las 10 principales vulnerabilidades de OWASP, y ajustelas a las necesidades de la aplicación.
Implementación de Azure y contexto adicional:
Guía de AWS: use AWS Web Application Firewall (WAF) en la distribución de Amazon CloudFront, Amazon API Gateway, Application Load Balancer o AWS AppSync para proteger sus aplicaciones, servicios y API frente a ataques de capa de aplicación en el perímetro de la red.
Use reglas administradas de AWS para WAF para implementar grupos de línea base integrados y personalizarlos en las necesidades de la aplicación para los grupos de reglas de caso de usuario.
Para simplificar la implementación de reglas de WAF, también puede usar la solución AWS WAF Security Automations para implementar automáticamente reglas de AWS WAF predefinidas que filtran ataques basados en web en la ACL web.
Implementación de AWS y contexto adicional:
- Funcionamiento de AWS WAF
- Automatizaciones de seguridad de AWS WAF
- Reglas administradas de AWS para AWS WAF
Guía de GCP: use Google Cloud Armor para ayudar a proteger sus aplicaciones y sitios web frente a ataques por denegación de servicio y web.
Use las reglas predeterminadas de Google Cloud Armor basadas en los estándares del sector para mitigar las vulnerabilidades comunes de las aplicaciones web y ayudar a proporcionar protección de OWASP Top 10.
Configure las reglas de WAF preconfiguradas, cada una de las cuales consta de varias firmas procedentes de ModSecurity Core Rules (CRS). Cada firma corresponde a una regla de detección de ataques en el conjunto de reglas.
Cloud Armor funciona junto con equilibradores de carga externos y protege contra la denegación de servicio distribuida (DDoS) y otros ataques basados en web, tanto si las aplicaciones se implementan en Google Cloud, en una implementación híbrida o en una arquitectura de varias nubes. Las directivas de seguridad se pueden configurar manualmente, con condiciones de coincidencia configurables y acciones en una directiva de seguridad. Cloud Armor también incluye directivas de seguridad preconfiguradas, que abarcan una variedad de casos de uso.
La protección adaptable en Cloud Armor ayuda a evitar, detectar y proteger la aplicación y los servicios frente a ataques distribuidos L7 mediante el análisis de patrones de tráfico a los servicios back-end, la detección y alerta de ataques sospechosos y la generación de reglas de WAF sugeridas para mitigar dichos ataques. Estas reglas se pueden ajustar para satisfacer sus necesidades.
Implementación de GCP y contexto adicional:
- Google Cloud Armor
- Documentación de Apigee
- Integración de Google Cloud Armor con otros productos de Google
Partes interesadas de la seguridad del cliente (más información):
NS-7: Simplificación de la configuración de seguridad de la red
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: al administrar un entorno de red complejo, use herramientas para simplificar, centralizar y mejorar la administración de seguridad de red.
Guía de Azure: use las siguientes características para simplificar la implementación y administración de la red virtual, las reglas de NSG y las reglas de Azure Firewall:
- Use Azure Virtual Network Manager para agrupar, configurar, implementar y administrar redes virtuales y reglas de NSG entre regiones y suscripciones.
- Use la protección de red adaptable de Microsoft Defender for Cloud para recomendar reglas de protección de NSG que limiten aún más los puertos, protocolos y direcciones IP de origen en función de la inteligencia sobre amenazas y el resultado del análisis del tráfico.
- Use Azure Firewall Manager para centralizar la directiva de firewall y la administración de rutas de la red virtual. Para simplificar las reglas de firewall y la implementación de grupos de seguridad de red, también puede usar la plantilla de Azure Resource Manager(ARM) de Azure Firewall Manager.
Implementación de Azure y contexto adicional:
- Protección de red adaptable en Microsoft Defender for Cloud
- Azure Firewall Manager
- Creación de una instancia de Azure Firewall y una directiva de firewall: plantilla de ARM
Guía de AWS: use AWS Firewall Manager para centralizar la administración de directivas de protección de red en los siguientes servicios:
- Directivas de AWS WAF
- Directivas avanzadas de AWS Shield
- Directivas de grupo de seguridad de VPC
- Directivas de firewall de red
AWS Firewall Manager puede analizar automáticamente las directivas relacionadas con el firewall y crear resultados para recursos no compatibles y para ataques detectados y enviarlos a AWS Security Hub para investigaciones.
Implementación de AWS y contexto adicional:
Guía de GCP: use las siguientes características para simplificar la implementación y administración de la red de la nube privada virtual (VPC), las reglas de firewall y las reglas de WAF:
- Use vpc Networks para administrar y configurar redes de VPC individuales y reglas de firewall de VPC.
- Use directivas de firewall jerárquico para agrupar reglas de firewall y aplicar las reglas de directiva jerárquicamente a escala global o regional.
- Use Google Cloud Armor para aplicar directivas de seguridad personalizadas, reglas waf preconfiguradas y protección contra DDoS.
También puede el Centro de inteligencia de red para analizar la red y obtener información sobre la topología de red virtual, las reglas de firewall y el estado de conectividad de red para mejorar la eficiencia de la administración.
Implementación de GCP y contexto adicional:
- Redes vpc
- Directivas de firewall jerárquicas
- Introducción a Good Cloud Armor
- Network Intelligence Center
Partes interesadas de la seguridad del cliente (más información):
NS-8: Detección y deshabilitación de protocolos y servicios no seguros
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Principio de seguridad: detecte y deshabilite protocolos y servicios no seguros en el sistema operativo, la aplicación o el nivel de paquete de software. Implemente controles de compensación si no es posible deshabilitar los servicios y protocolos no seguros.
Guía de Azure: use el libro de protocolo no seguro integrado de Microsoft Sentinel para detectar el uso de servicios y protocolos no seguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cifrados débiles en Kerberos y enlaces LDAP sin firmar. Deshabilite los servicios y protocolos no seguros que no cumplan el estándar de seguridad adecuado.
Nota: Si no es posible deshabilitar los servicios o protocolos no seguros, use controles de compensación, como bloquear el acceso a los recursos a través de grupos de seguridad de red, Azure Firewall o Azure Web Application Firewall, para reducir la superficie de ataque.
Implementación de Azure y contexto adicional:
Guía de AWS: habilite los registros de flujo de VPC y use GuardDuty para analizar los registros de flujo de VPC para identificar los posibles servicios y protocolos no seguros que no cumplen el estándar de seguridad adecuado.
Si los registros del entorno de AWS se pueden reenviar a Microsoft Sentinel, también puede usar el libro de protocolo no seguro integrado de Microsoft Sentinel para detectar el uso de protocolos y servicios no seguros.
Nota: Si no es posible deshabilitar los protocolos o servicios no seguros, use controles de compensación, como bloquear el acceso a los recursos a través de grupos de seguridad, AWS Network Firewall, AWS Web Application Firewall para reducir la superficie expuesta a ataques.
Implementación de AWS y contexto adicional:
Guía de GCP: habilite los registros de flujo de VPC y use BigQuery o Security Command Center para analizar los registros de flujo de VPC para identificar los posibles servicios y protocolos no seguros que no cumplen el estándar de seguridad adecuado.
Si los registros del entorno de GCP se pueden reenviar a Microsoft Sentinel, también puede usar el libro de protocolo no seguro integrado de Microsoft Sentinel para detectar el uso de servicios y protocolos no seguros. Puede reenviar registros a Google Cloud Chronicle SIEM y SOAR y crear reglas personalizadas para el mismo propósito.
Nota: Si no es posible deshabilitar los servicios o protocolos no seguros, use controles de compensación, como bloquear el acceso a los recursos a través de las directivas y reglas de firewall de VPC, o Cloud Armor para reducir la superficie expuesta a ataques.
Implementación de GCP y contexto adicional:
- Uso de registros de flujo de VPC
- Análisis de registros de seguridad en Google Cloud
- Introducción a - BigQueryIntroducción a Security Command Center
- Cargas de trabajo de Microsoft Sentinel para GCP
Partes interesadas de la seguridad del cliente (más información):
NS-9: Conexión privada a una red local o en la nube
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Principio de seguridad: use conexiones privadas para una comunicación segura entre diferentes redes, como centros de datos del proveedor de servicios en la nube y la infraestructura local en un entorno de coubicación.
Guía de Azure: para la conectividad ligera de sitio a sitio o de punto a sitio, use la red privada virtual (VPN) de Azure para crear una conexión segura entre el sitio local o el dispositivo de usuario final y la red virtual de Azure.
Para las conexiones de alto rendimiento de nivel empresarial, use Azure ExpressRoute (o Virtual WAN) para conectar centros de datos de Azure e infraestructura local en un entorno de colocalización.
Al conectar entre sí dos redes virtuales en Azure o más, use el emparejamiento de red virtual. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.
Implementación de Azure y contexto adicional:
- Información general sobre la red privada virtual de Azure
- Qué son los modelos de conectividad de ExpressRoute
- Interconexión de red virtual
Guía de AWS: para la conectividad de sitio a sitio o de punto a sitio, use AWS VPN para crear una conexión segura (cuando la sobrecarga de IPsec no es un problema) entre el sitio local o el dispositivo de usuario final a la red de AWS.
Para las conexiones de alto rendimiento de nivel empresarial, use AWS Direct Connect para conectar VPN y recursos de AWS con su infraestructura local en un entorno de colocalización.
Tiene la opción de usar el emparejamiento de VPC o la puerta de enlace de tránsito para establecer la conectividad entre dos o más VPN dentro o entre regiones. El tráfico de red entre vpc emparejada es privado y se mantiene en la red troncal de AWS. Cuando necesite unir varias VPC para crear una subred plana grande, también tiene la opción de usar vpc Sharing.
Implementación de AWS y contexto adicional:
- Introducción a AWS Direct Connect
- Introducción a VPN de AWS
- Puerta de enlace de tránsito
- Creación y aceptación de conexiones de emparejamiento de VPC
- Uso compartido de VPC
Guía de GCP: para la conectividad ligera de sitio a sitio o de punto a sitio, use la VPN de Google Cloud.
En el caso de las conexiones de alto rendimiento de nivel empresarial, use Google Cloud Interconnect o Partner Interconnect, para conectarse a las VPN y recursos de Google Cloud con la infraestructura local en un entorno de coubicación.
Tiene la opción de usar el emparejamiento de red de VPC o el Centro de conectividad de red para establecer la conectividad entre dos o más VPC dentro o entre regiones. El tráfico de red entre las VPN emparejadas es privado y se mantiene en la red troncal de GCP. Cuando necesite unir varias VPC para crear una subred plana grande, también tiene la opción de usar vpc compartida.
Implementación de GCP y contexto adicional:
- Introducción a vpn en la nube
- Interconexión en la nube, interconexión dedicada e interconexión de asociados
- Introducción al Centro de conectividad de red
- Conexión de servicio privado
Partes interesadas de la seguridad del cliente (más información):
NS-10: Confirmación de la seguridad del Sistema de nombres de dominio (DNS)
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Principio de seguridad: asegúrese de que la configuración de seguridad del Sistema de nombres de dominio (DNS) protege frente a riesgos conocidos:
- Use servicios DNS autoritativos y recursivos de confianza en el entorno en la nube para asegurarse de que el cliente (como los sistemas operativos y las aplicaciones) recibe el resultado de resolución correcto.
- Separe la resolución DNS pública y privada para que el proceso de resolución DNS de la red privada se pueda aislar de la red pública.
- Asegúrese de que la estrategia de seguridad de DNS también incluye mitigaciones contra ataques comunes, como DNS pendientes, ataques de amplificación de DNS, ataques de suplantación de identidad y envenenamiento de DNS, entre otros.
Guía de Azure: use DNS recursivo de Azure (normalmente asignado a la máquina virtual a través de DHCP o preconfigurado en el servicio) o un servidor DNS externo de confianza en la configuración de DNS recursiva de la carga de trabajo, como en el sistema operativo de la máquina virtual o en la aplicación.
Use Azure DNS privado para una configuración de zona DNS privada en la que el proceso de resolución dns no deje la red virtual. Use un DNS personalizado para restringir la resolución DNS para permitir solo la resolución de confianza al cliente.
Use Microsoft Defender para DNS para la protección avanzada frente a las siguientes amenazas de seguridad para la carga de trabajo o el servicio DNS:
- Filtrado de datos de los recursos de Azure mediante la tunelización de DNS.
- Malware que se comunica con un servidor de comando y control
- Comunicación con dominios malintencionados, como la suplantación de identidad (phishing) y la minería de cifrado
- Ataques de DNS en comunicaciones con solucionadores de DNS malintencionados.
También puede usar Microsoft Defender para App Service detectar registros DNS pendientes si retira un sitio web de App Service sin quitar su dominio personalizado del registrador dns.
Implementación de Azure y contexto adicional:
- Introducción a Azure DNS
- Guía de implementación del Sistema de nombres de dominio seguro (DNS):
- DNS privado de Azure
- Azure Defender para DNS
- Evite las entradas DNS pendientes y evite la adquisición de subdominios:
Guía de AWS: Use amazon DNS Server (es decir, el servidor de resolución de Amazon Route 53, que normalmente se le asigna a través de DHCP o preconfigurado en el servicio) o un servidor centralizado de resolución DNS de confianza en la configuración de DNS recursiva de la carga de trabajo, como en el sistema operativo de la máquina virtual o en la aplicación.
Use Amazon Route 53 para crear una configuración de zona hospedada privada en la que el proceso de resolución DNS no deje las VPC designadas. Use el firewall de Amazon Route 53 para regular y filtrar el tráfico DNS/UDP saliente en la VPC para los siguientes casos de uso:
- Evitar ataques como la filtración de DNS en la VPC
- Configurar la lista de permitidos o denegados para los dominios que las aplicaciones pueden consultar
Configure la característica Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en Amazon Route 53 para proteger el tráfico DNS para proteger el dominio frente a la suplantación dns o un ataque de tipo "man in the middle".
Amazon Route 53 también proporciona un servicio de registro DNS donde route 53 se puede usar como servidores de nombres autoritativos para sus dominios. Se deben seguir los procedimientos recomendados siguientes para garantizar la seguridad de los nombres de dominio:
- El servicio Amazon Route 53 debe renovar automáticamente los nombres de dominio.
- Los nombres de dominio deben tener habilitada la característica Bloqueo de transferencia para mantenerlos seguros.
- El marco de directivas de remitente (SPF) debe usarse para impedir que los spammers despojen el dominio.
Implementación de AWS y contexto adicional:
- Configuración de DNSSEC de Amazon Route 53
- Firewall de Amazon Route 53
- Registro de dominio de Amazon Route 53
Guía de GCP: use el servidor DNS de GCP (es decir, el servidor de metadatos que normalmente se asigna a la máquina virtual a través de DHCP o preconfigurado en el servicio) o un servidor de resolución DNS de confianza centralizado (por ejemplo, Dns público de Google) en la configuración de DNS recursiva de la carga de trabajo, como en el sistema operativo de la máquina virtual o en la aplicación.
Use DNS en la nube de GCP para crear una zona DNS privada en la que el proceso de resolución dns no deje las VPN desginadas. Regule y filtre el tráfico DNS/UDP saliente en la VPC en los casos de uso:
- Evitar ataques como la filtración de DNS en la VPC
- Configurar listas de permitidos o denegados para los dominios que consultan las aplicaciones
Configure la característica Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en DNS en la nube para proteger el tráfico DNS para proteger el dominio frente a la suplantación dns o un ataque de tipo "man in the middle".
Google Cloud Domains proporciona servicios de registro de dominio. GCP Cloud DNS se puede usar como servidores de nombres autoritativos para los dominios. Se deben seguir los procedimientos recomendados siguientes para garantizar la seguridad de los nombres de dominio:
- Google Cloud Domains debe renovar automáticamente los nombres de dominio.
- Los nombres de dominio deben tener habilitada la característica Bloqueo de transferencia para mantenerlos seguros
- El marco de directivas de remitente (SPF) debe usarse para impedir que los spammers despojen el dominio.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):