Biztonságvezérlés: Hálózati biztonság

  • Cikk

A Hálózatbiztonság magában foglalja a hálózatok védelmét és védelmét szolgáló vezérlőket, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létesítését, a külső támadások megelőzését és mérséklését, valamint a DNS védelmét.

NS-1: Hálózati szegmentálási határok létrehozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági elv: Győződjön meg arról, hogy a virtuális hálózat üzembe helyezése megfelel a GS-2 biztonsági vezérlőben meghatározott vállalati szegmentálási stratégiának. Minden olyan számítási feladatnak, amely nagyobb kockázatot jelenthet a szervezet számára, elkülönített virtuális hálózatokban kell lennie.

A nagy kockázatú számítási feladatok például a következők:

  • Az alkalmazások rendkívül bizalmas adatokat tárolnak vagy dolgoznak fel.
  • Külső, hálózattal rendelkező alkalmazás, amelyet a nyilvánosság vagy a szervezeten kívüli felhasználók érhetnek el.
  • Olyan alkalmazás, amely nem biztonságos architektúrát használ, vagy olyan biztonsági réseket tartalmaz, amelyeket nem lehet könnyen kijavítani.

A vállalati szegmentálási stratégia továbbfejlesztéséhez korlátozza vagy monitorozza a belső erőforrások közötti forgalmat hálózati vezérlőkkel. Adott, jól definiált alkalmazások (például háromrétegű alkalmazások) esetében ez egy rendkívül biztonságos "alapértelmezés szerint megtagadás, kivétel alapján engedélyezés" megközelítés lehet a hálózati forgalom portjainak, protokolljainak, forrásának és cél IP-címeinek korlátozásával. Ha sok alkalmazás és végpont kommunikál egymással, előfordulhat, hogy a forgalom blokkolása nem skálázható megfelelően, és előfordulhat, hogy csak a forgalmat tudja figyelni.

Azure-útmutató: Hozzon létre egy virtuális hálózatot (VNet) az Azure-hálózat alapvető szegmentálási megközelítéseként, így az erőforrások, például a virtuális gépek üzembe helyezhetők a virtuális hálózatban a hálózathatáron belül. A hálózat további szegmentálásához létrehozhat alhálózatokat a virtuális hálózaton belül a kisebb alhálózatokhoz.

Hálózati biztonsági csoportok (NSG) használata hálózati réteg-vezérlőként a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához vagy figyeléséhez. Tekintse meg az NS-7: A hálózati biztonsági konfiguráció egyszerűsítését az adaptív hálózatmegerősítés használatához, hogy a fenyegetésintelligencia és a forgalomelemzési eredmény alapján NSG-alapú korlátozási szabályokat javasoljon.

Alkalmazásbiztonsági csoportokat (ASG-ket) is használhat az összetett konfiguráció egyszerűsítéséhez. Ahelyett, hogy a hálózati biztonsági csoportokban explicit IP-címeken alapuló szabályzatot határoz meg, az ASG-k lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként, lehetővé téve a virtuális gépek csoportosítását és a hálózati biztonsági szabályzatok ezen csoportok alapján történő meghatározását.

Azure-implementáció és további környezet:

AWS-útmutató: Hozzon létre egy virtuális magánfelhőt (VPC) az AWS-hálózat alapvető szegmentálási megközelítéseként, így az erőforrások, például az EC2-példányok hálózati határokon belül helyezhetők üzembe a VPC-ben. A hálózat további szegmentálásához létrehozhat alhálózatokat a VPC-ben a kisebb alhálózatokhoz.

EC2-példányok esetén a biztonsági csoportok állapotalapú tűzfalként használhatók a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához. A VPC-alhálózat szintjén használja a Hálózati Access Control listát (NACL) állapot nélküli tűzfalként, hogy explicit szabályokkal rendelkezzen az alhálózat bejövő és kimenő forgalmára vonatkozóan.

Megjegyzés: A VPC-forgalom szabályozásához úgy kell konfigurálni az internetet és a NAT Gatewayt, hogy az internetről vagy az internetre érkező forgalom korlátozva legyen.

AWS-implementáció és további környezet:

GCP-útmutató: Hozzon létre egy virtuális magánfelhő-hálózatot a GCP-hálózat alapvető szegmentálási megközelítéseként, így az erőforrások, például a számítási motor virtuálisgép-példányai (VM-ek) üzembe helyezhetők a VPC-hálózatban egy hálózati határon belül. A hálózat további szegmentálásához létrehozhat alhálózatokat a VPC-ben a kisebb alhálózatokhoz.

A VPC-tűzfalszabályokat elosztott hálózati rétegvezérlőként használva engedélyezheti vagy letilthatja a VPC-hálózatban lévő célpéldányokkal való kapcsolatokat, például a virtuális gépeket, a Google Kubernetes Engine-fürtöket és a rugalmas App Engine-környezetpéldányokat.

A VPC-tűzfalszabályokat úgy is konfigurálhatja, hogy a VPC-hálózat összes példányát megcélzhassa, az egyező hálózati címkével rendelkező példányokat vagy egy adott szolgáltatásfiókot használó példányokat, amelyek lehetővé teszik a példányok csoportosítását és a hálózati biztonsági szabályzatok definiálását ezen csoportok alapján.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-2: NS-2: Natív felhőszolgáltatások védelme hálózati vezérlőkkel

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági elv: A felhőszolgáltatások biztonságossá tételéhez hozzon létre egy privát hozzáférési pontot az erőforrásokhoz. Ha lehetséges, tiltsa le vagy korlátozza a nyilvános hálózatokhoz való hozzáférést.

Azure-útmutató: Privát végpontok üzembe helyezése az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz. A Private Link használatával a privát kapcsolat nem lesz útválasztással a nyilvános hálózaton keresztül.

Megjegyzés: Egyes Azure-szolgáltatások privát kommunikációt is lehetővé tehetnek a szolgáltatásvégpont szolgáltatáson keresztül, bár ajánlott a Azure Private Link használata az Azure platformon üzemeltetett szolgáltatásokhoz való biztonságos és privát hozzáféréshez.

Bizonyos szolgáltatások esetében dönthet úgy, hogy virtuális hálózat-integrációt helyez üzembe a szolgáltatáshoz, ahol korlátozhatja a virtuális hálózatot egy privát hozzáférési pont létrehozására a szolgáltatáshoz.

A szolgáltatás natív hálózati ACL-szabályait is konfigurálhatja, vagy egyszerűen letilthatja a nyilvános hálózati hozzáférést a nyilvános hálózatokról való hozzáférés letiltásához.

Az Azure-beli virtuális gépek esetében, hacsak nincs erős használati eset, kerülje a nyilvános IP-címek/alhálózatok közvetlen hozzárendelését a virtuális gép felületéhez, és ehelyett átjáró- vagy terheléselosztó szolgáltatásokat használjon előtérként a nyilvános hálózat általi hozzáféréshez.

Azure-implementáció és további környezet:

AWS-útmutató: Telepítse a VPC PrivateLinket a PrivateLink szolgáltatást támogató összes AWS-erőforráshoz, hogy privát kapcsolatot biztosíthasson a más AWS-fiókok (VPC-végpontszolgáltatások) által üzemeltetett támogatott AWS-szolgáltatásokhoz vagy -szolgáltatásokhoz. A PrivateLink használatával a privát kapcsolat nem lesz irányítva a nyilvános hálózaton keresztül.

Bizonyos szolgáltatások esetében dönthet úgy, hogy a szolgáltatáspéldányt a saját VPC-ben helyezi üzembe a forgalom elkülönítéséhez.

A szolgáltatás natív ACL-szabályait is konfigurálhatja a nyilvános hálózatról való hozzáférés letiltására. Az Amazon S3 például lehetővé teszi, hogy a gyűjtő vagy a fiók szintjén letiltsa a nyilvános hozzáférést.

Amikor IP-címeket rendel a szolgáltatáserőforrásokhoz a VPC-ben, hacsak nincs erős használati eset, kerülje a nyilvános IP-címek/alhálózatok közvetlen hozzárendelését az erőforrásokhoz, és ehelyett privát IP-címeket/alhálózatokat használjon.

AWS-implementáció és további környezet:

GCP-útmutató: VPC Private Google Access-implementációk üzembe helyezése az összes olyan GCP-erőforráshoz, amely támogatja, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz. Ezek a privát hozzáférési lehetőségek biztosítják, hogy a privát kapcsolat a nyilvános hálózaton keresztül legyen útválasztással. A Privát Google Access olyan virtuálisgép-példányokkal rendelkezik, amelyek csak belső IP-címekkel rendelkeznek (külső IP-címmel nem rendelkeznek)

Bizonyos szolgáltatások esetében dönthet úgy, hogy a szolgáltatáspéldányt a saját VPC-ben helyezi üzembe a forgalom elkülönítéséhez. A szolgáltatás natív ACL-szabályait is konfigurálhatja a nyilvános hálózatról való hozzáférés letiltására. Az App Engine tűzfala például lehetővé teszi annak szabályozását, hogy mely hálózati forgalom engedélyezett vagy utasítható el az App Engine-erőforrással való kommunikáció során. A Cloud Storage egy másik erőforrás, ahol a nyilvános hozzáférés-megelőzést egyéni gyűjtőkben vagy szervezeti szinten is kikényszerítheti.

A GCP számításimotoros virtuális gépek esetében , hacsak nincs erős használati eset, ne rendeljen nyilvános IP-címeket/alhálózatokat közvetlenül a virtuálisgép-felülethez, és ehelyett átjáró- vagy terheléselosztó szolgáltatásokat használjon előtérként a nyilvános hálózat általi hozzáféréshez.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-3: Tűzfal üzembe helyezése a vállalati hálózat peremén

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Biztonsági elv: Tűzfal üzembe helyezése a külső hálózatokra és a külső hálózatokról érkező hálózati forgalom speciális szűréséhez. A szegmentálási stratégia támogatásához tűzfalakat is használhat a belső szegmensek között. Ha szükséges, egyéni útvonalakat használjon az alhálózathoz a rendszerútvonal felülbírálásához, ha biztonsági ellenőrzés céljából hálózati berendezésen kell áthaladnia a hálózati forgalomnak.

Legalább tiltsa le az ismert hibás IP-címeket és a magas kockázatú protokollokat, például a távfelügyeletet (például RDP és SSH) és az intranetes protokollokat (például SMB és Kerberos).

Azure-útmutató: A Azure Firewall használatával teljes körű állapotalapú alkalmazásréteg-forgalomkorlátozást (például URL-szűrést) és/vagy központi felügyeletet biztosíthat nagy számú vállalati szegmens vagy küllő felett (küllős topológiában).

Ha összetett hálózati topológiával, például küllős beállítással rendelkezik, előfordulhat, hogy felhasználó által megadott útvonalakat (UDR) kell létrehoznia, hogy a forgalom áthaladjon a kívánt útvonalon. Lehetősége van például UDR használatával átirányítani a kimenő internetes forgalmat egy adott Azure Firewall vagy egy hálózati virtuális berendezésen keresztül.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS hálózati tűzfal használatával teljes körű állapotalapú alkalmazásréteg-forgalomkorlátozást (például URL-szűrést) és/vagy központi felügyeletet biztosít számos nagyvállalati szegmens vagy küllő felett (küllős topológiában).

Ha összetett hálózati topológiával, például küllős beállítással rendelkezik, előfordulhat, hogy egyéni VPC-útvonaltáblákat kell létrehoznia, hogy a forgalom áthaladjon a kívánt útvonalon. Lehetősége van például egyéni útvonal használatával átirányítani a kimenő internetes forgalmat egy adott AWS-tűzfalon vagy egy hálózati virtuális berendezésen keresztül.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud Armor biztonsági szabályzataival 7. rétegbeli szűrést és védelmet biztosíthat a gyakori webes támadásoknak. Emellett vPC tűzfalszabályokat is használhat elosztott, teljes állapotú hálózati rétegbeli forgalomkorlátozások, valamint tűzfalszabályzatok biztosításához a nagy számú vállalati szegmens vagy küllő központi felügyeletéhez (küllős topológiában).

Ha összetett hálózati topológiával, például küllős beállítással rendelkezik, hozzon létre tűzfalszabályzatokat csoportosító és hierarchikus tűzfalszabályzatokat, hogy azok több VPC-hálózatra is alkalmazhatók legyenek.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-4: Behatolásészlelő/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Biztonsági elv: Használjon hálózati behatolásészlelési és behatolásmegelőző rendszereket (IDS/IPS) a hálózat vizsgálatához, valamint a számítási feladat felé vagy onnan érkező hasznos adatforgalom vizsgálatához. Győződjön meg arról, hogy az IDS/IPS mindig úgy van hangolva, hogy kiváló minőségű riasztásokat biztosítson a SIEM-megoldásnak.

A gazdagépszintű észlelési és -megelőzési képességek részletesebb megismerése érdekében használja a gazdagépalapú IDS/IPS vagy a gazdagépalapú végpontészlelés és -válasz (EDR) megoldást a hálózati IDS-sel/IPS-sel együtt.

Azure-útmutató: Az Azure Firewall IDPS-képességeivel megvédheti a virtuális hálózatot, hogy riasztást küldjön az ismert rosszindulatú IP-címekről és tartományokról érkező és onnan érkező forgalomról.

A gazdagépszintű észlelési és megelőzési képességek részletesebb megismerése érdekében telepítsen gazdagépalapú IDS/IPS-t vagy gazdagépalapú végpontészlelési és -válaszmegoldást (például Végponthoz készült Microsoft Defender) a virtuális gép szintjén, a hálózati azonosítókkal/IPS-sel együtt.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS hálózati tűzfal IPS-funkciójának használatával megvédheti a VPC-t az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalom riasztásához és/vagy letiltásához.

A gazdagépszintű észlelési és megelőzési képességek részletesebb megismerése érdekében helyezzen üzembe gazdagépalapú IDS/IPS vagy gazdagépalapú végpontészlelési és -reagálási (EDR) megoldást, például a gazdagépalapú IDS/IPS külső megoldását a virtuális gép szintjén, a hálózati azonosítókkal/IPS-sel együtt.

Megjegyzés: Ha harmadik féltől származó IDS/IPS-t használ a piactérről, használja a Transit Gatewayt és a Gateway Balancert a forgalom in-line vizsgálatra való irányításához.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud IDS képességeivel fenyegetésészlelést biztosít a hálózatán végrehajtott behatolásokhoz, kártevőkhez, kémprogramokhoz és parancs- és vezérlési támadásokhoz. A Cloud IDS úgy működik, hogy létrehoz egy Google által felügyelt társhálózatot tükrözött virtuálisgép-példányokkal. A társhálózat forgalmát a beágyazott Palo Alto Networks fenyegetésvédelmi technológiák tükrözik, majd ellenőrzik a fejlett fenyegetésészlelés érdekében. Az összes bejövő és kimenő forgalmat tükrözheti protokoll vagy IP-címtartomány alapján.

A gazdagépek szintfelismerési és -megelőzési képességeinek részletesebb megismerése érdekében helyezzen üzembe egy IDS-végpontot zónaszintű erőforrásként, amely képes a régió bármely zónájából érkező forgalom vizsgálatára. Minden IDS-végpont tükrözött forgalmat fogad, és fenyegetésészlelési elemzést végez.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-5: DDOS-védelem üzembe helyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Biztonsági elv: Elosztott szolgáltatásmegtagadási (DDoS)-védelem üzembe helyezése a hálózat és az alkalmazások támadások elleni védelme érdekében.

Azure-útmutató: A DDoS Protection Basic automatikusan engedélyezve van az Azure mögöttes platforminfrastruktúra (például az Azure DNS) védelme érdekében, és nem igényel konfigurálást a felhasználóktól.

Az alkalmazásréteg magasabb szintű (7. rétegbeli) támadásai, például a HTTP-árvizek és a DNS-áradások elleni magasabb szintű védelem érdekében engedélyezze a DDoS standard védelmi tervét a virtuális hálózaton a nyilvános hálózatok számára elérhető erőforrások védelméhez.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS Shield Standard automatikusan engedélyezve van a standard kockázatcsökkentésekkel, hogy megvédje a számítási feladatokat a gyakori hálózati és átviteli rétegtől (3. és 4. réteg) dDoS-támadásoktól

Az alkalmazások alkalmazásrétegbeli (7. rétegbeli) támadásokkal, például HTTPS-árvizekkel és DNS-árvizekkel szembeni magasabb szintű védelméhez engedélyezze az AWS Shield Speciális védelmet az Amazon EC2, a Elastic Load Balancing (ELB), az Amazon CloudFront, az AWS Global Accelerator és az Amazon Route 53 esetében.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud Armor a következő lehetőségeket kínálja a rendszerek DDoS-támadások elleni védelméhez:

  • Standard hálózati DDoS-védelem: alapszintű folyamatos védelem hálózati terheléselosztókhoz, protokolltovábbításhoz vagy nyilvános IP-címekkel rendelkező virtuális gépekhez.
  • Speciális hálózati DDoS-védelem: további védelem a managed Protection Plus azon előfizetői számára, akik hálózati terheléselosztókat, protokolltovábbítást vagy nyilvános IP-címekkel rendelkező virtuális gépeket használnak.
  • A standard hálózati DDoS-védelem mindig engedélyezve van. A fejlett hálózati DDoS-védelmet régiónként kell konfigurálni.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-6: Webalkalmazási tűzfal üzembe helyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Biztonsági elv: Helyezzen üzembe egy webalkalmazási tűzfalat (WAF), és konfigurálja a megfelelő szabályokat a webalkalmazások és API-k alkalmazásspecifikus támadások elleni védelméhez.

Azure-útmutató: A webalkalmazási tűzfal (WAF) képességeinek használata a Azure Application Gateway, az Azure Front Door és az Azure Content Delivery Network (CDN) használatával az alkalmazások, szolgáltatások és API-k védelmére a hálózat peremén található alkalmazásréteg-támadások ellen.

Állítsa be a WAF-ot "észlelési" vagy "megelőzési módban", az igényeitől és a fenyegetési környezettől függően.

Válasszon ki egy beépített szabálykészletet, például az OWASP Top 10 biztonsági réseit, és hangolja azt az alkalmazás igényeihez.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS Web Application Firewall (WAF) használata az Amazon CloudFront-disztribúcióban, az Amazon API Gatewayben, az Application Load Balancer-ben vagy az AWS AppSyncben az alkalmazások, szolgáltatások és API-k védelméhez a hálózat peremén végrehajtott alkalmazásréteg-támadások ellen.

A WAF-hez készült AWS felügyelt szabályok használatával beépített alapkonfigurációs csoportokat helyezhet üzembe, és testre szabhatja azt az alkalmazás igényeinek megfelelően a felhasználói eseti szabálycsoportokhoz.

A WAF-szabályok üzembe helyezésének egyszerűsítése érdekében az AWS WAF Security Automations megoldással automatikusan üzembe helyezhet előre definiált AWS WAF-szabályokat, amelyek szűrik a webes ACL-en végrehajtott webes támadásokat.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud Armor használatával megvédheti alkalmazásait és webhelyeit a szolgáltatásmegtagadással és a webes támadásokkal szemben.

A Google Cloud Armor iparági szabványokon alapuló beépített szabályainak használatával mérsékelheti a webalkalmazások gyakori biztonsági réseit, és védelmet nyújthat az OWASP Top 10-nel kapcsolatban.

Állítsa be az előre konfigurált WAF-szabályokat, amelyek mindegyike több, a ModSecurity Core Rulesből (CRS) származó aláírásból áll. Minden aláírás egy támadásészlelési szabálynak felel meg a szabálykészletben.

A Cloud Armor külső terheléselosztókkal együttműködve működik, és védelmet nyújt az elosztott szolgáltatásmegtagadási (DDoS) és más webes támadások ellen, függetlenül attól, hogy az alkalmazások a Google Cloudon, hibrid üzembe helyezésben vagy többfelhős architektúrában vannak-e üzembe helyezve. A biztonsági szabályzatok manuálisan konfigurálhatók, konfigurálható egyeztetési feltételekkel és műveletekkel egy biztonsági szabályzatban. A Cloud Armor előre konfigurált biztonsági szabályzatokat is tartalmaz, amelyek számos használati esetet lefednek.

A Cloud Armor adaptív védelme segít megelőzni, észlelni és megvédeni az alkalmazást és a szolgáltatásokat az L7-alapú elosztott támadásoktól a háttérszolgáltatások felé irányuló forgalom mintáinak elemzésével, a gyanús támadások észlelésével és riasztásával, valamint az ilyen támadások mérséklése érdekében javasolt WAF-szabályok létrehozásával. Ezek a szabályok igény szerint finomhangolhatók.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-7: A hálózati biztonsági konfiguráció egyszerűsítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Biztonsági elv: Összetett hálózati környezetek kezelésekor az eszközökkel egyszerűsítse, központosítsa és javítsa a hálózati biztonság kezelését.

Azure-útmutató: Az alábbi funkciókkal egyszerűsítheti a virtuális hálózat, az NSG-szabályok és Azure Firewall szabályok implementálását és kezelését:

  • Az Azure Virtual Network Managerrel csoportosíthatja, konfigurálhatja, üzembe helyezheti és kezelheti a virtuális hálózatokat és az NSG-szabályokat régiók és előfizetések között.
  • A Microsoft Defender használata a felhőalapú adaptív hálózatmegerősítéshez olyan NSG-beli keményítési szabályok ajánlásához, amelyek tovább korlátozzák a portokat, protokollokat és forrás IP-címeket a fenyegetésfelderítés és a forgalomelemzés eredményei alapján.
  • A Azure Firewall Managerrel központosíthatja a virtuális hálózat tűzfalszabályzatát és útvonalkezelését. A tűzfalszabályok és a hálózati biztonsági csoportok implementálásának egyszerűsítése érdekében használhatja a Azure Firewall Manager Azure Resource Manager(ARM) sablonját is.

Azure-implementáció és további környezet:

Útmutató az AWS-hez: Az AWS Firewall Managerrel központosíthatja a hálózati védelmi házirendek kezelését az alábbi szolgáltatásokban:

  • AWS WAF-szabályzatok
  • AWS Shield – speciális szabályzatok
  • VPC biztonságicsoport-szabályzatok
  • Hálózati tűzfalszabályzatok

Az AWS Firewall Manager automatikusan elemezheti a tűzfallal kapcsolatos szabályzatokat, és eredményeket hozhat létre a nem megfelelő erőforrásokhoz és az észlelt támadásokhoz, és elküldheti őket az AWS Security Hubnak vizsgálat céljából.

AWS-implementáció és további környezet:

GCP-útmutató: Az alábbi funkciókkal egyszerűsítheti a virtuális magánfelhő-hálózat (VPC) hálózatának, tűzfalszabályainak és WAF-szabályainak implementálását és felügyeletét:

  • A VPC-hálózatok használatával kezelheti és konfigurálhatja az egyes VPC-hálózatokat és a VPC-tűzfalszabályokat.
  • A hierarchikus tűzfalszabályzatok segítségével csoportosíthatja a tűzfalszabályokat, és hierarchikusan alkalmazhatja a szabályzatszabályokat globális vagy regionális szinten.
  • A Google Cloud Armor használatával egyéni biztonsági szabályzatokat, előre konfigurált WAF-szabályokat és DDoS-védelmet alkalmazhat.

A hálózatiintelligencia-központtal elemezheti a hálózatot, és betekintést nyerhet a virtuális hálózati topológiába, a tűzfalszabályokba és a hálózati kapcsolat állapotába a felügyeleti hatékonyság növelése érdekében.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-8: Nem biztonságos szolgáltatások és protokollok észlelése és letiltása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Biztonsági elv: A nem biztonságos szolgáltatások és protokollok észlelése és letiltása az operációs rendszer, az alkalmazás vagy a szoftvercsomag rétegében. Kompenzáló vezérlők üzembe helyezése, ha a nem biztonságos szolgáltatások és protokollok letiltása nem lehetséges.

Azure-útmutató: A Microsoft Sentinel beépített nem biztonságos protokoll-munkafüzetével felderítheti az olyan nem biztonságos szolgáltatások és protokollok használatát, mint az SSL/TLSv1, az SSHv1, az SMBv1, az LM/NTLMv1, a wDigest, a gyenge titkosítás a Kerberosban és az Aláíratlan LDAP-kötések. Tiltsa le azokat a nem biztonságos szolgáltatásokat és protokollokat, amelyek nem felelnek meg a megfelelő biztonsági szabványnak.

Megjegyzés: Ha a nem biztonságos szolgáltatások vagy protokollok letiltása nem lehetséges, használjon kompenzáló vezérlőket, például blokkolja az erőforrásokhoz való hozzáférést a hálózati biztonsági csoporton, Azure Firewall vagy az Azure Web Application Firewall keresztül a támadási felület csökkentése érdekében.

Azure-implementáció és további környezet:

AWS-útmutató: Engedélyezze a VPC-folyamatnaplókat, és a GuardDuty használatával elemezze a VPC-folyamatnaplókat a megfelelő biztonsági szabványnak nem megfelelő, nem biztonságos szolgáltatások és protokollok azonosításához.

Ha az AWS-környezetben lévő naplók továbbíthatók a Microsoft Sentinelnek, a Microsoft Sentinel beépített nem biztonságos protokoll-munkafüzetével is felfedezheti a nem biztonságos szolgáltatások és protokollok használatát

Megjegyzés: Ha a nem biztonságos szolgáltatások vagy protokollok letiltása nem lehetséges, használjon kompenzáló vezérlőket, például blokkolja az erőforrásokhoz való hozzáférést biztonsági csoportokon, AWS hálózati tűzfalon, AWS-Web Application Firewall a támadási felület csökkentése érdekében.

AWS-implementáció és további környezet:

GCP-útmutató: Engedélyezze a VPC-folyamatnaplókat, és a BigQuery vagy a Security Command Center használatával elemezze a VPC-folyamatnaplókat a megfelelő biztonsági szabványnak nem megfelelő lehetséges nem biztonságos szolgáltatások és protokollok azonosításához.

Ha a GCP-környezetben lévő naplók továbbíthatók a Microsoft Sentinelnek, a Microsoft Sentinel beépített nem biztonságos protokoll-munkafüzetével is felfedezheti a nem biztonságos szolgáltatások és protokollok használatát. Emellett naplókat továbbíthat a Google Cloud Chronicle SIEM-nek és a SOAR-nak, és egyéni szabályokat hozhat létre ugyanarra a célra.

Megjegyzés: Ha nem lehet letiltani a nem biztonságos szolgáltatásokat vagy protokollokat, használjon kompenzáló vezérlőket, például blokkolja az erőforrásokhoz való hozzáférést a VPC tűzfalszabályok és -szabályzatok használatával, vagy a Cloud Armor használatával csökkentse a támadási felületet.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-9: Helyszíni vagy felhőalapú hálózat privát csatlakoztatása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
12.7 CA-3, AC-17, AC-4 N/A

Biztonsági elv: Privát kapcsolatok használata a különböző hálózatok, például a felhőszolgáltató adatközpontjai és a helyszíni infrastruktúra közötti biztonságos kommunikációhoz egy közös elhelyezési környezetben.

Azure-útmutató: A helyek közötti vagy pont–hely kapcsolat egyszerű használatához az Azure-beli virtuális magánhálózat (VPN) használatával hozzon létre biztonságos kapcsolatot a helyszíni hely vagy a végfelhasználói eszköz és az Azure-beli virtuális hálózat között.

Nagyvállalati szintű, nagy teljesítményű kapcsolatok esetén az Azure ExpressRoute (vagy Virtual WAN) használatával összekapcsolhatja az Azure-adatközpontokat és a helyszíni infrastruktúrát egy közös elhelyezési környezetben.

Két vagy több Azure-beli virtuális hálózat összekapcsolásakor használjon virtuális hálózatok közötti társviszony-létesítést. A társviszonyban lévő virtuális hálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán van tárolva.

Azure-implementáció és további környezet:

AWS-útmutató: Helyek közötti vagy pont–hely kapcsolat esetén az AWS VPN használatával hozzon létre biztonságos kapcsolatot (ha az IPsec többletterhelése nem jelent problémát) a helyszíni hely vagy a végfelhasználói eszköz között az AWS-hálózattal.

Nagyvállalati szintű, nagy teljesítményű kapcsolatok esetén az AWS Direct Connect használatával összekapcsolhatja az AWS VPN-eket és erőforrásokat a helyszíni infrastruktúrával egy közös helyen.

A VPC-társviszony vagy a tranzitátjáró használatával kapcsolatot létesíthet két vagy több VPN között a régiókon belül vagy között. A társviszonyban lévő VPC közötti hálózati forgalom privát, és az AWS gerinchálózatán van tárolva. Ha több VPN-hez kell csatlakoznia egy nagy, egybesimított alhálózat létrehozásához, használhatja a VPC-megosztást is.

AWS-implementáció és további környezet:

GCP-útmutató: A helyek közötti vagy pont–hely kapcsolat egyszerű használatához használja a Google Cloud VPN-t.

Nagyvállalati szintű, nagy teljesítményű kapcsolatok esetén a Google Cloud Interconnect vagy a Partner Interconnect használatával csatlakozhat a Google Cloud VPN-ekhez és erőforrásokhoz a helyszíni infrastruktúrával egy közös elhelyezési környezetben.

Lehetősége van a VPC hálózati társviszony-létesítés vagy a Hálózati kapcsolati központ használatával kapcsolatot létesíteni két vagy több VPN között a régiókon belül vagy között. A társviszonyban lévő VPN-ek közötti hálózati forgalom privát, és a GCP gerinchálózatán van tárolva. Ha több VPN-hez kell csatlakoznia egy nagy, egybesimított alhálózat létrehozásához, használhatja a megosztott VPC-t is

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

NS-10: A tartománynévrendszer (DNS) biztonságának biztosítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.9, 9.2 SC-20, SC-21 N/A

Biztonsági elv: Győződjön meg arról, hogy a tartománynévrendszer (DNS) biztonsági konfigurációja védelmet nyújt az ismert kockázatok ellen:

  • Megbízható mérvadó és rekurzív DNS-szolgáltatások használata a felhőkörnyezetben annak biztosításához, hogy az ügyfél (például az operációs rendszerek és alkalmazások) a megfelelő felbontást kapja.
  • Válassza el a nyilvános és a privát DNS-feloldásokat, hogy a magánhálózat DNS-feloldási folyamata elkülöníthető legyen a nyilvános hálózattól.
  • Győződjön meg arról, hogy a DNS biztonsági stratégiája olyan gyakori támadások elleni kockázatcsökkentéseket is tartalmaz, mint a dangling DNS, DNS-erősítő támadások, DNS-mérgezés és hamisítás stb.

Azure-útmutató: Használja az Azure rekurzív DNS-t (általában DHCP-n keresztül vagy a szolgáltatásban előre konfigurált módon rendeli hozzá a virtuális géphez) vagy egy megbízható külső DNS-kiszolgálót a számítási feladat rekurzív DNS-beállításában, például a virtuális gép operációs rendszerében vagy az alkalmazásban.

Használja az Azure saját DNS egy privát DNS-zóna beállításához, ahol a DNS-feloldási folyamat nem hagyja el a virtuális hálózatot. Egyéni DNS-sel korlátozhatja a DNS-feloldásokat, hogy csak az ügyfél számára engedélyezze a megbízható feloldásokat.

A Microsoft Defender dns-hez való használatával speciális védelmet biztosít a számítási feladat vagy a DNS-szolgáltatás következő biztonsági fenyegetései ellen:

  • Adatkiszivárgás az Azure-erőforrásokból DNS-bújtatás használatával
  • Parancs- és vezérlőkiszolgálóval kommunikáló kártevők
  • Kommunikáció rosszindulatú tartományokkal, például adathalászattal és kriptovaluta-bányászattal
  • DNS-támadások a rosszindulatú DNS-feloldókkal folytatott kommunikáció során

A Microsoft Defender is használható az App Service a dangoló DNS-rekordok észleléséhez, ha egy App Service webhelyet leszerel anélkül, hogy eltávolítaná annak egyéni tartományát a DNS-regisztrálóból.

Azure-implementáció és további környezet:

AWS-útmutató: Használja az Amazon DNS-kiszolgálót (más szóval az Amazon Route 53 Resolver-kiszolgálót, amely általában DHCP-n keresztül vagy a szolgáltatásban előre konfigurálva van) vagy egy központosított megbízható DNS-feloldó kiszolgálót a számítási feladat rekurzív DNS-beállításában, például a virtuális gép operációs rendszerében vagy az alkalmazásban.

Az Amazon Route 53 használatával privát üzemeltetett zónabeállítást hozhat létre, ahol a DNS-feloldási folyamat nem hagyja el a kijelölt VPN-eket. Az Amazon Route 53 tűzfalával szabályozhatja és szűrheti a kimenő DNS-/UDP-forgalmat a VPC-ben az alábbi használati esetekben:

  • Az olyan támadások megakadályozása, mint a DNS-kiszivárgás a VPC-ben
  • Az alkalmazások által lekérdezhető tartományok engedélyezési vagy megtagadási listájának beállítása

Konfigurálja a tartománynévrendszer biztonsági bővítményeinek (DNSSEC) funkcióját az Amazon Route 53-ban a DNS-forgalom védelméhez, hogy megvédje a tartományt a DNS-hamisítástól vagy egy közbeékelt támadástól.

Az Amazon Route 53 egy DNS-regisztrációs szolgáltatást is biztosít, ahol az 53-as útvonal mérvadó névkiszolgálóként használható a tartományokhoz. A tartománynevek biztonságának biztosítása érdekében kövesse az alábbi ajánlott eljárásokat:

  • A tartományneveket automatikusan meg kell újítania az Amazon Route 53 szolgáltatásnak.
  • A tartományneveken engedélyezve kell lennie az Átadási zár funkciónak a biztonságuk érdekében.
  • A feladói házirend keretrendszerét (SPF) kell használni, hogy megakadályozza a levélszemétküldők számára a tartomány hamisítását.

AWS-implementáció és további környezet:

GCP-útmutató: Használjon GCP DNS-kiszolgálót (azaz olyan metaadat-kiszolgálót, amely általában DHCP-n keresztül van hozzárendelve a virtuális géphez, vagy a szolgáltatásban előre konfigurálva van) vagy egy központosított megbízható DNS-feloldó kiszolgálót (például a Google Nyilvános DNS-t) a számítási feladat rekurzív DNS-beállításában, például a virtuális gép operációs rendszerében vagy az alkalmazásban.

A GCP Cloud DNS használatával hozzon létre egy privát DNS-zónát, ahol a DNS-feloldási folyamat nem hagyja el a desginated VPN-eket. A VPC kimenő DNS-/UDP-forgalmának szabályozása és szűrése a használati esetekben:

  • Az olyan támadások megakadályozása, mint a DNS-kiszivárgás a VPC-ben
  • Engedélyezési vagy megtagadási listák beállítása az alkalmazások által lekérdezett tartományokhoz

Konfigurálja a dnssec (Domain Name System Security Extensions) szolgáltatást a felhőBELI DNS-ben a DNS-forgalom védelméhez, hogy megvédje a tartományt a DNS-hamisítástól vagy egy közbeékelt támadástól.

A Google Cloud Domains tartományregisztrációs szolgáltatásokat nyújt. A GCP cloud DNS mérvadó névkiszolgálóként használható a tartományokhoz. A tartománynevek biztonságának biztosítása érdekében kövesse az alábbi ajánlott eljárásokat:

  • A tartományneveket automatikusan meg kell újítania a Google Cloud Domains szolgáltatásnak.
  • A tartományneveken engedélyezve kell lennie az Átadási zár funkciónak a biztonságuk érdekében
  • A feladói házirend keretrendszerét (SPF) kell használni, hogy megakadályozza a levélszemétküldők számára a tartomány hamisítását.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):