Contrôle de sécurité : sécurité réseau
La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation de DNS.
NS-1 : Établir des limites de segmentation réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Assurez-vous que votre déploiement de réseau virtuel s’aligne sur votre stratégie de segmentation d’entreprise définie dans le contrôle de sécurité GS-2. Toute charge de travail susceptible d’entraîner un risque plus élevé pour l’organisation doit être dans des réseaux virtuels isolés.
Exemples de charges de travail à haut risque :
- Une application stockant ou traitant des données extrêmement sensibles.
- Une application réseau externe accessible par le public ou les utilisateurs en dehors de votre organisation.
- Une application utilisant une architecture non sécurisée ou contenant des vulnérabilités qui ne peuvent pas facilement être corrigées.
Pour améliorer votre stratégie de segmentation d’entreprise, limitez ou surveillez le trafic entre les ressources internes à l’aide de contrôles réseau. Pour des applications spécifiques bien définies (par exemple, une application à 3 niveaux), il peut s’agir d’une approche « refuser par défaut, autoriser par une exception » hautement sécurisée en restreignant les ports, les protocoles, la source et les adresses IP de destination du trafic réseau. Si vous avez de nombreux points de terminaison et applications qui interagissent les uns avec les autres, le blocage du trafic peut ne pas être adapté et vous ne pourrez peut-être surveiller que le trafic.
Conseils Azure : Créez un réseau virtuel (VNet) en tant qu’approche de segmentation fondamentale dans votre réseau Azure, afin que des ressources telles que des machines virtuelles puissent être déployées dans le réseau virtuel à l’intérieur d’une limite réseau. Pour segmenter davantage le réseau, vous pouvez créer des sous-réseaux au sein du réseau virtuel pour des sous-réseaux plus petits.
Utilisez des groupes de sécurité réseau (NSG) comme contrôle de couche réseau pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Reportez-vous à NS-7 : Simplifier la configuration de la sécurité réseau pour utiliser le renforcement du réseau adaptatif pour recommander des règles de renforcement des groupes de sécurité réseau basées sur le renseignement sur les menaces et le résultat de l’analyse du trafic.
Vous pouvez également utiliser des groupes de sécurité d’application pour simplifier une configuration complexe. Au lieu de définir une stratégie en fonction d’adresses IP explicites dans des groupes de sécurité réseau, les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure d’une application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau en fonction de ces groupes.
Implémentation Azure et contexte supplémentaire :
- Concepts et meilleures pratiques relatifs au Réseau virtuel Azure
- Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel
- Comment créer un groupe de sécurité réseau avec des règles de sécurité
- Présentation et utilisation des groupes de sécurité d’application
Conseils AWS : Créez un cloud privé virtuel (VPC) en tant qu’approche de segmentation fondamentale dans votre réseau AWS, afin que des ressources telles que des instances EC2 puissent être déployées dans le VPC au sein d’une limite réseau. Pour segmenter davantage le réseau, vous pouvez créer des sous-réseaux à l’intérieur du VPC pour les sous-réseaux plus petits.
Pour les instances EC2, utilisez les groupes de sécurité comme pare-feu avec état pour restreindre le trafic par port, protocole, adresse IP source ou adresse IP de destination. Au niveau du sous-réseau VPC, utilisez network Access Control List (NACL) comme pare-feu sans état pour avoir des règles explicites pour le trafic d’entrée et de sortie vers le sous-réseau.
Remarque : Pour contrôler le trafic VPC, Internet et la passerelle NAT doivent être configurés pour garantir que le trafic depuis/vers Internet est restreint.
Implémentation AWS et contexte supplémentaire :
- Contrôler le trafic vers les instances EC2 avec des groupes de sécurité
- Comparer les groupes de sécurité et les listes de contrôle d’accès réseau
- Passerelle Internet
- NAT Gateway
Conseils GCP : Créez un réseau de cloud privé virtuel (VPC) en tant qu’approche de segmentation fondamentale dans votre réseau GCP, afin que des ressources telles que des instances de machines virtuelles du moteur de calcul puissent être déployées dans le réseau VPC au sein d’une limite réseau. Pour segmenter davantage le réseau, vous pouvez créer des sous-réseaux à l’intérieur du VPC pour les sous-réseaux plus petits.
Utilisez des règles de pare-feu VPC comme contrôle de couche réseau distribuée pour autoriser ou refuser les connexions vers ou depuis vos instances ciblées dans le réseau VPC, qui incluent les machines virtuelles, les clusters Google Kubernetes Engine (GKE) et les instances d’environnement flexibles du moteur d’application.
Vous pouvez également configurer des règles de pare-feu VPC pour cibler toutes les instances du réseau VPC, les instances avec une balise réseau correspondante ou les instances qui utilisent un compte de service spécifique, ce qui vous permet de regrouper des instances et de définir des stratégies de sécurité réseau en fonction de ces groupes.
Implémentation GCP et contexte supplémentaire :
- Créer et gérer des réseaux VPC
- Sous-réseaux VPC Google Cloud
- Utiliser des règles de pare-feu VPC
- Ajouter des balises réseau
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-2 : Sécuriser les services natifs cloud avec des contrôles réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Sécurisez les services cloud en établissant un point d’accès privé pour les ressources. Vous devez également désactiver ou restreindre l’accès à partir de réseaux publics lorsque cela est possible.
Conseils Azure : Déployez des points de terminaison privés pour toutes les ressources Azure qui prennent en charge la fonctionnalité Private Link pour établir un point d’accès privé pour les ressources. L’utilisation de Private Link empêche la connexion privée de passer par le réseau public.
Remarque : Certains services Azure peuvent également autoriser la communication privée via la fonctionnalité de point de terminaison de service, bien qu’il soit recommandé d’utiliser Azure Private Link pour un accès sécurisé et privé aux services hébergés sur la plateforme Azure.
Pour certains services, vous pouvez choisir de déployer l’intégration au réseau virtuel pour le service, où vous pouvez restreindre le réseau virtuel afin d’établir un point d’accès privé pour le service.
Vous avez également la possibilité de configurer les règles de liste de contrôle d’accès du réseau natif du service ou simplement de désactiver l’accès au réseau public pour bloquer l’accès à partir de réseaux publics.
Pour les machines virtuelles Azure, à moins qu’il existe un cas d’usage fort, vous devez éviter d’affecter des adresses IP/sous-réseau publiques directement à l’interface de machine virtuelle et utiliser plutôt des services de passerelle ou d’équilibreur de charge comme serveur frontal pour l’accès par le réseau public.
Implémentation Azure et contexte supplémentaire :
- Présentation d’Azure Private Link
- Intégrer des services Azure à des réseaux virtuels pour l’isolement réseau
Conseils AWS : Déployez VPC PrivateLink pour toutes les ressources AWS qui prennent en charge la fonctionnalité PrivateLink, afin d’autoriser la connexion privée aux services AWS pris en charge ou hébergés par d’autres comptes AWS (services de point de terminaison VPC). L’utilisation de PrivateLink empêche la connexion privée de passer par le réseau public.
Pour certains services, vous pouvez choisir de déployer le service instance dans votre propre VPC pour isoler le trafic.
Vous avez également la possibilité de configurer les règles de liste de contrôle d’accès natives du service pour bloquer l’accès à partir du réseau public. Par exemple, Amazon S3 vous permet de bloquer l’accès public au niveau du compartiment ou du compte.
Lorsque vous attribuez des adresses IP à vos ressources de service dans votre VPC, à moins qu’il existe un cas d’usage fort, vous devez éviter d’affecter des adresses IP/sous-réseau publiques directement à vos ressources et utiliser plutôt des adresses IP/sous-réseau privées.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Déployer des implémentations d’accès Google privé VPC pour toutes les ressources GCP qui le prennent en charge afin d’établir un point d’accès privé pour les ressources. Ces options d’accès privé empêchent la connexion privée de passer par le réseau public. Private Google Access a des instances de machine virtuelle qui ont uniquement des adresses IP internes (pas d’adresses IP externes)
Pour certains services, vous pouvez choisir de déployer le service instance dans votre propre VPC pour isoler le trafic. Vous avez également la possibilité de configurer les règles de liste de contrôle d’accès natives du service pour bloquer l’accès à partir du réseau public. Par exemple, le pare-feu du moteur d’application vous permet de contrôler le trafic réseau autorisé ou rejeté lors de la communication avec la ressource Du moteur d’application. Le stockage cloud est une autre ressource dans laquelle vous pouvez appliquer la prévention de l’accès public sur des compartiments individuels ou au niveau organization.
Pour les machines virtuelles du moteur de calcul GCP, à moins qu’il existe un cas d’usage fort, vous devez éviter d’affecter des adresses IP/sous-réseaux publics directement à l’interface de machine virtuelle et utiliser plutôt des services de passerelle ou d’équilibreur de charge comme serveur frontal pour l’accès par le réseau public.
Implémentation GCP et contexte supplémentaire :
- Accès Google privé
- Options d’accès privé pour les services
- Présentation du pare-feu du moteur d’application
- Stockage cloud : utiliser la prévention de l’accès public
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-3 : Déployer le pare-feu à la périphérie du réseau d’entreprise
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : déployez un pare-feu pour effectuer un filtrage avancé sur le trafic réseau à destination et en provenance de réseaux externes. Vous pouvez également utiliser des pare-feu entre les segments internes pour prendre en charge une stratégie de segmentation. Si nécessaire, utilisez des itinéraires personnalisés pour votre sous-réseau afin de remplacer l’itinéraire système lorsque vous devez forcer le trafic réseau à passer par un Appliance réseau à des fins de contrôle de sécurité.
Au minimum, bloquez les adresses IP incorrectes et les protocoles à haut risque connus, tels que la gestion à distance (par exemple, RDP et SSH) et les protocoles intranet (par exemple, SMB et Kerberos).
Conseils Azure : utilisez Pare-feu Azure pour fournir une restriction du trafic de la couche Application avec état (comme le filtrage d’URL) et/ou une gestion centralisée sur un grand nombre de segments d’entreprise ou de spokes (dans une topologie hub/spoke).
Si vous disposez d’une topologie de réseau complexe, telle qu’une configuration hub/spoke, vous devrez peut-être créer des itinéraires définis par l’utilisateur (UDR) pour vous assurer que le trafic suit l’itinéraire souhaité. Par exemple, vous avez la possibilité d’utiliser une UDR pour rediriger le trafic Internet de sortie via un Pare-feu Azure spécifique ou une Appliance virtuelle réseau.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Utilisez AWS Network Firewall pour fournir une restriction du trafic de la couche Application entièrement avec état (comme le filtrage d’URL) et/ou une gestion centralisée sur un grand nombre de segments d’entreprise ou de spokes (dans une topologie hub/spoke).
Si vous disposez d’une topologie de réseau complexe, telle qu’une configuration hub/spoke, vous devrez peut-être créer des tables de routage VPC personnalisées pour vous assurer que le trafic passe par l’itinéraire souhaité. Par exemple, vous avez la possibilité d’utiliser un itinéraire personnalisé pour rediriger le trafic Internet de sortie via un pare-feu AWS spécifique ou une Appliance virtuelle réseau.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez les stratégies de sécurité de Google Cloud Armor pour fournir un filtrage de couche 7 et une protection contre les attaques web courantes. En outre, utilisez des règles de pare-feu VPC pour fournir une restriction de trafic de la couche réseau distribuée et entièrement avec état et des stratégies de pare-feu pour la gestion centralisée sur un grand nombre de segments d’entreprise ou de spokes (dans une topologie hub/spoke).
Si vous avez une topologie de réseau complexe, telle qu’une configuration hub/spoke, créez des stratégies de pare-feu qui regroupent des règles de pare-feu et qui soient hiérarchiques afin qu’elles puissent être appliquées à plusieurs réseaux VPC.
Implémentation gcp et contexte supplémentaire :
- Utiliser des règles de pare-feu VPC
- Stratégies de pare-feu
- Meilleures pratiques de Google Cloud Armor
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-4 : Déployer des systèmes de détection et de prévention des intrusions (IDS/IPS)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Principe de sécurité : utilisez des systèmes de détection des intrusions et de prévention des intrusions (IDS/IPS) réseau pour inspecter le trafic réseau et de charge utile à destination ou en provenance de votre charge de travail. Veillez à ce que ID/IPS soit toujours défini de manière à fournir des alertes de haute qualité à votre solution SIEM.
Pour obtenir des fonctionnalités de détection et de prévention des niveaux d’hôte plus approfondies, utilisez des IDS/IPS basés sur l’hôte ou une solution de protection évolutive des points de terminaison basée sur l’hôte (EDR) conjointement avec les IDS/IPS du réseau.
Conseils Azure : Utilisez les fonctionnalités IDPS de Pare-feu Azure pour protéger votre réseau virtuel afin d’alerter et/ou de bloquer le trafic en direction et en provenance d’adresses IP et de domaines malveillants connus.
Pour obtenir des fonctionnalités de détection et de prévention des niveaux d’hôte plus approfondies, déployez des IDS/IPS basés sur l’hôte ou une solution de protection évolutive des points de terminaison basée sur l’hôte (EDR), telle que Microsoft Defender pour point de terminaison, au niveau de la machine virtuelle conjointement avec les IDS/IPS du réseau.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Utilisez la fonctionnalité IPS d’AWS Network Firewall pour protéger votre VPC afin d’alerter et/ou de bloquer le trafic à destination et en provenance d’adresses IP et de domaines malveillants connus.
Pour des fonctionnalités de détection et de prévention plus approfondies au niveau de l’hôte, déployez des IDS/IPS basés sur l’hôte ou une solution de détection et de réponse de point de terminaison basée sur l’hôte (EDR), telle qu’une solution tierce pour les IDS/IPS basés sur l’hôte, au niveau de la machine virtuelle conjointement avec l’IDS/IPS réseau.
Remarque : Si vous utilisez un IDS/IPS tiers à partir de la Place de marché, utilisez la passerelle de transit et l’équilibreur de passerelle pour diriger le trafic pour l’inspection en ligne.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez les fonctionnalités de Google Cloud IDS pour détecter les menaces en cas d’intrusions, de programmes malveillants, de logiciels espions et d’attaques par commande et contrôle sur votre réseau. Cloud IDS fonctionne en créant un réseau appairé géré par Google avec des instances de machine virtuelle en miroir. Le trafic dans le réseau appairé est mis en miroir, puis inspecté par les technologies intégrées de protection contre les menaces Palo Alto Networks pour fournir une détection avancée des menaces. Vous pouvez miroir tout le trafic d’entrée et de sortie en fonction du protocole ou de la plage d’adresses IP.
Pour des fonctionnalités de prévention et de détection au niveau de l’hôte plus approfondies, déployez un point de terminaison IDS en tant que ressource zonale capable d’inspecter le trafic à partir de n’importe quelle zone de sa région. Chaque point de terminaison IDS reçoit le trafic mis en miroir et effectue une analyse de détection des menaces.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-5 : Déployer la protection DDOS
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Principe de sécurité : déployez une protection par déni de service distribué (DDoS) pour protéger votre réseau et vos applications contre les attaques.
Conseils Azure : DDoS Protection Basic est automatiquement activé pour protéger l’infrastructure de plateforme sous-jacente Azure (par exemple, Azure DNS) et ne nécessite aucune configuration de la part des utilisateurs.
Pour des niveaux de protection plus élevés de vos attaques de couche d’application (couche 7), telles que les inondations HTTP et les inondations DNS, activez le plan de protection DDoS standard sur votre réseau virtuel pour protéger les ressources exposées aux réseaux publics.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : AWS Shield Standard est automatiquement activé avec des atténuations standard pour protéger votre charge de travail contre les attaques DDoS courantes de la couche réseau et de transport (couche 3 et 4)
Pour des niveaux de protection plus élevés de vos applications contre les attaques de la couche Application (couche 7), telles que les inondations HTTPS et les inondations DNS, activez la protection avancée d’AWS Shield sur Amazon EC2, l’équilibrage de charge élastique (ELB), Amazon CloudFront, AWS Global Accelerator et Amazon Route 53.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Google Cloud Armor offre les options suivantes pour protéger les systèmes contre les attaques DDoS :
- Protection DDoS réseau standard : protection always-on de base pour les équilibreurs de charge réseau, le transfert de protocole ou les machines virtuelles avec des adresses IP publiques.
- Protection DDoS réseau avancée : protections supplémentaires pour les abonnés Managed Protection Plus qui utilisent des équilibreurs de charge réseau, le transfert de protocole ou des machines virtuelles avec des adresses IP publiques.
- La protection DDoS réseau standard est toujours activée. Vous configurez une protection DDoS réseau avancée par région.
Implémentation gcp et contexte supplémentaire :
- Configurer la protection DDoS réseau avancée
- Vue d’ensemble de Google Cloud Armor
- Vue d’ensemble de la stratégie de sécurité Google Cloud Armor
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-6 : Déployer le pare-feu d’applications web
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : déployez un pare-feu d’applications web (WAF) et configurez les règles appropriées pour protéger vos applications web et API contre les attaques spécifiques à l’application.
Conseils Azure : Utilisez les fonctionnalités de pare-feu d’applications web (WAF) dans Azure Application Gateway, Azure Front Door et Azure Content Delivery Network (CDN) pour protéger vos applications, services et API contre les attaques de la couche application à la périphérie de votre réseau.
Définissez votre WAF sur « détection » ou « mode de prévention », en fonction de vos besoins et du paysage des menaces.
Choisissez un ensemble de règles intégré, tel que les 10 principales vulnérabilités d’OWASP, et ajustez-le en fonction des besoins de votre application.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Utilisez AWS Web Application Firewall (WAF) dans la distribution Amazon CloudFront, Amazon API Gateway, Application Load Balancer ou AWS AppSync pour protéger vos applications, services et API contre les attaques de la couche application à la périphérie de votre réseau.
Utilisez AWS Managed Rules for WAF pour déployer des groupes de base intégrés et les personnaliser en fonction des besoins de votre application pour les groupes de règles de cas utilisateur.
Pour simplifier le déploiement des règles WAF, vous pouvez également utiliser la solution AWS WAF Security Automations pour déployer automatiquement des règles AWS WAF prédéfinies qui filtrent les attaques web sur votre liste de contrôle d’accès web.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez Google Cloud Armor pour protéger vos applications et sites web contre les attaques par déni de service et web.
Utilisez des règles prêtes à l’emploi de Google Cloud Armor basées sur les normes du secteur pour atténuer les vulnérabilités courantes des applications web et aider à fournir une protection contre les 10 premiers OWASP.
Configurez vos règles WAF préconfigurées, chacune composée de plusieurs signatures provenant de ModSecurity Core Rules (CRS). Chaque signature correspond à une règle de détection d’attaque dans l’ensemble de règles.
Cloud Armor fonctionne conjointement avec des équilibreurs de charge externes et protège contre le déni de service distribué (DDoS) et d’autres attaques basées sur le web, que les applications soient déployées sur Google Cloud, dans un déploiement hybride ou dans une architecture multicloud. Les stratégies de sécurité peuvent être configurées manuellement, avec des conditions de correspondance configurables et des actions dans une stratégie de sécurité. Cloud Armor propose également des stratégies de sécurité préconfigurées, qui couvrent divers cas d’usage.
La protection adaptative dans Cloud Armor vous aide à prévenir, détecter et protéger votre application et vos services contre les attaques distribuées L7 en analysant les modèles de trafic vers vos services principaux, en détectant et en alertant les attaques suspectes, et en générant des règles WAF suggérées pour atténuer ces attaques. Ces règles peuvent être affinées pour répondre à vos besoins.
Implémentation GCP et contexte supplémentaire :
- Google Cloud Armor
- Documentation Apigee
- Intégration de Google Cloud Armor à d’autres produits Google
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-7 : Simplifier la configuration de la sécurité réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : lors de la gestion d’un environnement réseau complexe, utilisez des outils pour simplifier, centraliser et améliorer la gestion de la sécurité réseau.
Conseils Azure : Utilisez les fonctionnalités suivantes pour simplifier l’implémentation et la gestion du réseau virtuel, des règles NSG et des règles de Pare-feu Azure :
- Utilisez Azure Réseau virtuel Manager pour regrouper, configurer, déployer et gérer des réseaux virtuels et des règles NSG entre les régions et les abonnements.
- Utilisez le renforcement du réseau adaptatif Microsoft Defender pour le cloud afin de recommander des règles de renforcement du NSG qui limitent davantage les ports, les protocoles et les adresses IP sources en fonction des renseignements sur les menaces et des résultats de l’analyse du trafic.
- Utilisez Azure Firewall Manager pour centraliser la stratégie de pare-feu et la gestion de routage du réseau virtuel. Pour simplifier l’implémentation des règles de pare-feu et des groupes de sécurité réseau, vous pouvez également utiliser le modèle Azure Resource Manager (ARM) Pare-feu Azure Manager.
Implémentation Azure et contexte supplémentaire :
- Durcissement du réseau adaptatif dans Microsoft Defender pour le cloud
- Azure Firewall Manager
- Créer un pare-feu Azure et une stratégie de pare-feu - Modèle ARM
Conseils AWS : Utilisez AWS Firewall Manager pour centraliser la gestion des stratégies de protection réseau sur les services suivants :
- Stratégies WAF AWS
- Stratégies AWS Shield Advanced
- Stratégies de groupe de sécurité VPC
- Stratégies de pare-feu réseau
AWS Firewall Manager peut analyser automatiquement vos stratégies liées au pare-feu et créer des résultats pour les ressources non conformes et les attaques détectées, et les envoyer à AWS Security Hub pour des enquêtes.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez les fonctionnalités suivantes pour simplifier l’implémentation et la gestion du réseau de cloud privé virtuel (VPC), des règles de pare-feu et des règles WAF :
- Utilisez les réseaux VPC pour gérer et configurer des réseaux VPC individuels et des règles de pare-feu vpc.
- Utilisez des stratégies de pare-feu hiérarchiques pour regrouper des règles de pare-feu et appliquer les règles de stratégie hiérarchiquement à une échelle globale ou régionale.
- Utilisez Google Cloud Armor pour appliquer des stratégies de sécurité personnalisées, des règles WAF préconfigurées et la protection DDoS.
Vous pouvez également utiliser le Centre d’intelligence réseau pour analyser votre réseau et obtenir des informations sur la topologie de votre réseau virtuel, les règles de pare-feu et la connectivité réseau status afin d’améliorer l’efficacité de la gestion.
Implémentation GCP et contexte supplémentaire :
- Réseaux VPC
- Stratégies de pare-feu hiérarchiques
- Vue d’ensemble de Cloud Armor
- Network Intelligence Center
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-8 : Détecter et désactiver les services et protocoles non sécurisés
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Principe de sécurité : détectez et désactivez les services et protocoles non sécurisés au niveau du système d’exploitation, de l’application ou de la couche de package logiciel. Déployez des contrôles de compensation si la désactivation de services et de protocoles non sécurisés n’est pas possible.
Conseils Azure : Utilisez le classeur de protocole non sécurisé intégré de Microsoft Sentinel pour découvrir l’utilisation de services et de protocoles non sécurisés tels que SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, chiffrements faibles dans Kerberos et liaisons LDAP non signées. Désactivez les services et protocoles non sécurisés qui ne répondent pas aux normes de sécurité.
Remarque : si la désactivation de services ou de protocoles non sécurisés n’est pas possible, utilisez des contrôles de compensation, tels que le blocage de l’accès aux ressources par le biais du NSG, du pare-feu Azure ou d’Azure Web Application Firewall pour réduire la surface d’attaque.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Activez les journaux de flux DE VPC et utilisez GuardDuty pour analyser les journaux de flux VPC afin d’identifier les éventuels services et protocoles non sécurisés qui ne répondent pas à la norme de sécurité appropriée.
Si les journaux de l’environnement AWS peuvent être transférés vers Microsoft Sentinel, vous pouvez également utiliser le classeur de protocole non sécurisé intégré de Microsoft Sentinel pour découvrir l’utilisation de services et de protocoles non sécurisés
Remarque : Si la désactivation des services ou protocoles non sécurisés n’est pas possible, utilisez des contrôles de compensation tels que le blocage de l’accès aux ressources par le biais de groupes de sécurité, d’AWS Network Firewall, d’AWS Web Application Firewall pour réduire la surface d’attaque.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Activez les journaux de flux vpc et utilisez BigQuery ou security Command Center pour analyser les journaux de flux vpc afin d’identifier les éventuels services et protocoles non sécurisés qui ne répondent pas à la norme de sécurité appropriée.
Si les journaux de l’environnement GCP peuvent être transférés à Microsoft Sentinel, vous pouvez également utiliser le classeur de protocole non sécurisé intégré de Microsoft Sentinel pour découvrir l’utilisation de services et de protocoles non sécurisés. Vous pouvez également transférer des journaux vers Google Cloud Chronicle SIEM et SOAR et créer des règles personnalisées dans le même but.
Remarque : Si la désactivation de services ou de protocoles non sécurisés n’est pas possible, utilisez des contrôles de compensation tels que le blocage de l’accès aux ressources via des règles et des stratégies de pare-feu VPC ou Cloud Armor pour réduire la surface d’attaque.
Implémentation GCP et contexte supplémentaire :
- Utiliser les journaux de flux DE VPC
- Analyse des journaux de sécurité dans Google Cloud
- Vue d’ensemble - de BigQueryVue d’ensemble du Centre de commandes de sécurité
- Charges de travail Microsoft Sentinel pour GCP
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-9 : Connecter le réseau local ou cloud de manière privée
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/A |
Principe de sécurité : utilisez des connexions privées pour sécuriser la communication entre différents réseaux, tels que les centres de données des fournisseurs de services cloud et l’infrastructure locale dans un environnement de colocalisation.
Conseils Azure : Pour une connectivité de site à site ou de point à site légère, utilisez le réseau privé virtuel (VPN) Azure pour créer une connexion sécurisée entre votre site local ou votre appareil d’utilisateur final et le réseau virtuel Azure.
Pour les connexions hautes performances au niveau de l’entreprise, utilisez Azure ExpressRoute (ou Virtual WAN) pour connecter des centres de données Azure et une infrastructure locale dans un environnement de colocalisage.
Lors de la connexion simultanée de deux réseaux virtuels Azure, utilisez l’appairage de réseaux virtuels. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.
Implémentation Azure et contexte supplémentaire :
- Vue d’ensemble des VPN Azure
- Quels sont les modèles de connectivité ExpressRoute ?
- Peering de réseau virtuel
Conseils AWS : Pour la connectivité de site à site ou de point à site, utilisez LE VPN AWS pour créer une connexion sécurisée (lorsque la surcharge IPsec n’est pas un problème) entre votre site local ou votre appareil utilisateur final et le réseau AWS.
Pour les connexions hautes performances au niveau de l’entreprise, utilisez AWS Direct Connect pour connecter des VPN et des ressources AWS à votre infrastructure locale dans un environnement de colocalisé.
Vous avez la possibilité d’utiliser le peering VPC ou la passerelle de transit pour établir la connectivité entre deux ou plusieurs VPCs au sein ou entre les régions. Le trafic réseau entre les VPC appairés est privé et est conservé sur le réseau principal AWS. Lorsque vous devez joindre plusieurs VPCs pour créer un grand sous-réseau plat, vous avez également la possibilité d’utiliser le partage VPC.
Implémentation AWS et contexte supplémentaire :
- Présentation d’AWS Direct Connect
- Présentation du VPN AWS
- Passerelle de transit
- Créer et accepter des connexions de peering VPC
- Partage de VPC
Conseils GCP : Pour une connectivité de site à site ou de point à site légère, utilisez le VPN Google Cloud.
Pour les connexions hautes performances au niveau de l’entreprise, utilisez Google Cloud Interconnect ou Partner Interconnect pour vous connecter à des VPN et des ressources Google Cloud avec votre infrastructure locale dans un environnement de colocalisation.
Vous avez la possibilité d’utiliser le peering réseau VPC ou le Centre de connectivité réseau pour établir la connectivité entre deux ou plusieurs VPCs au sein ou entre les régions. Le trafic réseau entre les VPCs appairés est privé et est conservé sur le réseau principal GCP. Lorsque vous devez joindre plusieurs VPCs pour créer un grand sous-réseau plat, vous avez également la possibilité d’utiliser un VPC partagé
Implémentation GCP et contexte supplémentaire :
- Vue d’ensemble du VPN cloud
- Interconnexion cloud, interconnexion dédiée et interconnexion partenaire
- Vue d’ensemble du Centre de connectivité réseau
- Private Service Connect
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-10 : Garantir la sécurité du DNS (Domain Name System)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/A |
Principe de sécurité : Assurez-vous que la configuration de sécurité DNS (Domain Name System) protège contre les risques connus :
- Utilisez des services DNS fiables et récursifs dans votre environnement cloud pour vous assurer que le client (par exemple, les systèmes d’exploitation et les applications) reçoit le résultat de résolution correct.
- Séparez la résolution DNS publique et privée pour que le processus de résolution DNS pour le réseau privé puisse être isolé du réseau public.
- Assurez-vous que votre stratégie de sécurité DNS comprend également des mesures d’atténuation des risques d’attaques courantes, telles que le DNS non résolu, les attaques d’amplification DNS, l’empoisonnement et l’usurpation d’identité DNS, etc.
Conseils Azure : Utilisez le DNS récursif Azure (généralement attribué à votre machine virtuelle via DHCP ou préconfiguré dans le service) ou un serveur DNS externe approuvé dans votre configuration DNS récursive de charge de travail, comme dans le système d’exploitation de la machine virtuelle ou dans l’application.
Utilisez Azure DNS privé pour une configuration de zone DNS privée où le processus de résolution DNS ne quitte pas le réseau virtuel. Utilisez un DNS personnalisé pour limiter la résolution DNS afin d’autoriser uniquement la résolution approuvée à votre client.
Utilisez Microsoft Defender dns pour une protection avancée contre les menaces de sécurité suivantes pour votre charge de travail ou votre service DNS :
- L’exfiltration de données depuis vos ressources Azure au moyen du tunneling DNS
- Programmes malveillants communiquant avec un serveur de commande et de contrôle
- Communication avec des domaines malveillants, tels que l’hameçonnage et l’exploration de chiffrement
- Attaques DNS en communication avec des programmes de résolution DNS malveillants
Vous pouvez également utiliser Microsoft Defender pour App Service afin de détecter les enregistrements DNS en attente si vous désactivez un site web App Service sans supprimer son domaine personnalisé de votre bureau d’enregistrement DNS.
Implémentation Azure et contexte supplémentaire :
- Vue d’ensemble d’Azure DNS
- Guide de déploiement DNS (Secure Domain Name System) :
- DNS privé Azure
- Azure Defender pour DNS
- Empêchez les entrées DNS qui pendent et évitez la prise de contrôle du sous-domaine :
Conseils AWS : Utilisez le serveur DNS Amazon (en d’autres termes, le serveur de résolution Amazon Route 53 qui vous est généralement attribué via DHCP ou préconfiguré dans le service) ou un serveur de résolveur DNS approuvé centralisé dans votre configuration DNS récursive de charge de travail, comme dans le système d’exploitation de la machine virtuelle ou dans l’application.
Utilisez Amazon Route 53 pour créer une configuration de zone hébergée privée où le processus de résolution DNS ne quitte pas les VPN désignés. Utilisez le pare-feu Amazon Route 53 pour réguler et filtrer le trafic DNS/UDP sortant dans votre VPC pour les cas d’usage suivants :
- Empêcher les attaques telles que l’exfiltration DNS dans votre VPC
- Configurer la liste d’autorisation ou de refus pour les domaines que vos applications peuvent interroger
Configurez la fonctionnalité DNSSEC (Domain Name System Security Extensions) dans Amazon Route 53 pour sécuriser le trafic DNS afin de protéger votre domaine contre l’usurpation DNS ou une attaque de type man-in-the-middle.
Amazon Route 53 fournit également un service d’inscription DNS où Route 53 peut être utilisé comme serveurs de noms faisant autorité pour vos domaines. Les bonnes pratiques suivantes doivent être suivies pour garantir la sécurité de vos noms de domaine :
- Les noms de domaine doivent être renouvelés automatiquement par le service Amazon Route 53.
- La fonctionnalité Verrou de transfert doit être activée pour les noms de domaine afin de les sécuriser.
- Le SPF (Sender Policy Framework) doit être utilisé pour empêcher les spammeurs d’usurper votre domaine.
Implémentation AWS et contexte supplémentaire :
- Configuration DNSSEC Amazon Route 53
- Pare-feu Amazon Route 53
- Inscription de domaine Amazon Route 53
Conseils GCP : Utilisez un serveur DNS GCP (c’est-à-dire un serveur de métadonnées qui est généralement attribué à votre machine virtuelle via DHCP ou préconfiguré dans le service) ou un serveur de programme de résolution DNS approuvé centralisé (tel que Google Public DNS) dans la configuration DNS récursive de votre charge de travail, par exemple dans le système d’exploitation de la machine virtuelle ou dans l’application.
Utilisez GCP Cloud DNS pour créer une zone DNS privée où le processus de résolution DNS ne quitte pas les VPN dégénérés. Réglez et filtrez le trafic DNS/UDP sortant dans votre VPC dans les cas d’usage :
- Empêcher les attaques telles que l’exfiltration DNS dans votre VPC
- Configurer des listes d’autorisation ou de refus pour les domaines que vos applications interrogent
Configurez la fonctionnalité DNSSEC (Domain Name System Security Extensions) dans cloud DNS pour sécuriser le trafic DNS afin de protéger votre domaine contre l’usurpation DNS ou une attaque d’homme-dans-le-milieu.
Google Cloud Domains fournit des services d’inscription de domaine. GCP Cloud DNS peut être utilisé comme serveurs de noms faisant autorité pour vos domaines. Les bonnes pratiques suivantes doivent être suivies pour garantir la sécurité de vos noms de domaine :
- Les noms de domaine doivent être automatiquement renouvelés par Google Cloud Domains.
- La fonctionnalité Verrou de transfert doit être activée pour les noms de domaine afin de les sécuriser
- Le SPF (Sender Policy Framework) doit être utilisé pour empêcher les spammeurs d’usurper votre domaine.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :