Netwerkbeveiliging en insluiting

Netwerkbeveiliging is de traditionele punaise van bedrijfsbeveiligingsinspanningen. Cloud-computing heeft echter de vereiste voor netwerkperimeters verhoogd om poreuzer te zijn en veel aanvallers hebben de kunst van aanvallen op identiteitssysteemelementen (die bijna altijd netwerkcontroles omzeilen) onder de knie hebben. Deze factoren hebben de noodzaak verhoogd om zich voornamelijk te richten op identiteitsgebaseerde toegangsbeheer om resources te beveiligen in plaats van netwerktoegangsbeheer.

Dit vermindert de rol van netwerkbeveiligingscontroles, maar elimineer deze niet volledig. Hoewel netwerkbeveiliging niet langer de primaire focus is voor het beveiligen van cloudassets, is het nog steeds een topprioriteit voor de grote portfolio met verouderde assets (die zijn gebouwd met de veronderstelling dat er een perimeter op basis van een netwerkfirewall aanwezig was). Veel aanvallers maken nog steeds gebruik van scan- en misbruikmethoden in IP-bereiken van openbare cloudproviders, waarbij ze de verdediging kunnen binnendringen voor degenen die niet voldoen aan de basisbeveiliging van het netwerk. Netwerkbeveiligingscontroles bieden ook een diepgaande verdedigingselement voor uw strategie waarmee aanvallers die hun weg naar uw cloudimplementaties helpen beveiligen, detecteren, bevatten en uitwerpen.

In de categorie netwerkbeveiliging en -insluiting hebben we de volgende aanbevelingen voor aanbevolen procedures:

  • Netwerksegmentatie uitlijnen met algemene strategie

  • Netwerkbeheer en -beveiliging centraliseren

  • Een strategie voor netwerksluiting bouwen

  • Een strategie voor internetrand definiëren

Netwerkbeheer en -beveiliging centraliseren

Centraliseer de verantwoordelijkheid van de organisatie voor beheer en beveiliging van kernnetwerkfuncties, zoals cross-premises koppelingen, virtuele netwerken, subnetten en IP-adresschema's, evenals netwerkbeveiligingselementen zoals virtuele netwerkapparaten, versleuteling van activiteiten van virtuele cloudnetwerken en cross-premises verkeer, netwerktoegangsbeheer en andere traditionele netwerkbeveiligingsonderdelen.

Wanneer u netwerkbeheer en -beveiliging centraliseert, vermindert u het potentieel voor inconsistente strategieën waarmee potentiële aanvallers misbruikbare beveiligingsrisico's kunnen maken. Omdat alle afdelingen van de IT- en ontwikkelingsorganisaties niet hetzelfde niveau van netwerkbeheer en beveiligingskennis en -verfijning hebben, profiteren organisaties van het gebruik van de expertise en hulpprogramma's van een gecentraliseerd netwerkteam.

Microsoft Defender voor Cloud kan worden gebruikt om het beheer van netwerkbeveiliging te centraliseren.

Netwerksegmentatie afstemmen op segmentatiestrategie van bedrijf

Uw netwerksegmentatiemodel uitlijnen met het ondernemingssegmentatiemodel voor uw organisatie (gedefinieerd in de sectie Governance, Risico en Naleving).

Dit vermindert verwarring en resulterende uitdagingen met verschillende technische teams (netwerken, identiteit, toepassingen, enzovoort) die elk hun eigen segmentatie- en delegatiemodellen ontwikkelen die niet met elkaar zijn afgestemd. Dit leidt tot een eenvoudige en uniforme beveiligingsstrategie, waardoor het aantal fouten door menselijke fouten en het niet mogelijk is om de betrouwbaarheid te verhogen via automatisering.

Vergelijk installatiekopieën in netwerkbeveiliging en -insluiting.

image showing hybrid cloud infrastructure-network architecture

Beveiliging ontwikkelen buiten netwerkbesturingselementen

Zorg ervoor dat technische controles effectief bedreigingen kunnen voorkomen, detecteren en erop reageren buiten de netwerken die u beheert.

Naarmate organisaties overschakelen naar moderne architecturen, worden veel services en onderdelen die nodig zijn voor toepassingen toegankelijk via internet of op cloudprovidernetwerken, vaak door mobiele en andere apparaten buiten het netwerk. Traditionele netwerkbesturingselementen op basis van een 'vertrouwde intranet' -benadering kunnen niet effectief beveiligingsgaranties bieden voor deze toepassingen. Dit verschuivende landschap wordt goed vastgelegd door principes die worden beschreven door het Jericho Forum en 'Zero Trust'-benaderingen.

Bouw een strategie voor risicobeheersing op basis van een combinatie van netwerkbesturingselementen en toepassing, identiteit en andere controletypen.

  • Zorg ervoor dat resourcegroepering en beheerdersbevoegdheden zijn afgestemd op het segmentatiemodel (zie afbeelding XXXX)

  • Zorg ervoor dat u beveiligingscontroles ontwerpt waarmee verwacht verkeer, toegangsaanvragen en andere toepassingscommunicatie tussen segmenten worden geïdentificeerd en toegestaan. Bewaak de communicatie tussen segmenten om te identificeren bij onverwachte communicatie, zodat u kunt onderzoeken of u waarschuwingen wilt instellen of verkeer wilt blokkeren om het risico op aanvallers die segmentatiegrenzen overschrijden, te beperken.

Een beveiligingsbeheerstrategie bouwen

Maak een strategie voor risicobeheersing die bewezen benaderingen combineert, waaronder:

  • Bestaande besturingselementen en procedures voor netwerkbeveiliging

  • Systeemeigen beveiligingsbesturingselementen die beschikbaar zijn in Azure

  • Zero-trust-benaderingen

Insluiting van aanvalsvectoren binnen een omgeving is essentieel. Om effectief te zijn in cloudomgevingen kunnen traditionele benaderingen echter ontoereikend zijn en moeten beveiligingsorganisaties hun methoden ontwikkelen.

  • Consistentie van besturingselementen in on-premises en cloudinfrastructuur is belangrijk, maar verdediging is effectiever en beheerbaar wanneer u gebruikmaakt van systeemeigen mogelijkheden van een cloudserviceprovider, dynamische Just-In-Time-benaderingen (JIT) en geïntegreerde identiteits- en wachtwoordbesturingselementen, zoals die worden aanbevolen door nul vertrouwens-/continue validatiemethoden.

  • Een aanbevolen procedure voor netwerkbeveiliging is ervoor te zorgen dat er netwerktoegangsbeheer tussen netwerkconstructies zijn. Deze constructies kunnen virtuele netwerken of subnetten binnen die virtuele netwerken vertegenwoordigen. Dit werkt om East-West verkeer binnen uw cloudnetwerkinfrastructuur te beveiligen en te bevatten.

  • Een belangrijke beslissing voor het ontwerpen van netwerkbeveiliging is het gebruik van op host gebaseerde firewalls. Firewalls op basis van een host bieden ondersteuning voor een uitgebreide verdedigingsstrategie. Voor de meeste gebruikstaken is echter aanzienlijke beheeroverhead vereist. Als uw organisatie ze effectief heeft gevonden bij het beveiligen en detecteren van bedreigingen in het verleden, kunt u overwegen deze te gebruiken voor uw cloudassets. Als u ontdekt dat ze geen aanzienlijke waarde hebben toegevoegd, stopt u het gebruik ervan en verkent u systeemeigen oplossingen op het platform van uw cloudserviceprovider dat vergelijkbare waarde levert.

Een opkomende aanbeveling voor aanbevolen procedures is het aannemen van een Zero Trust-strategie op basis van gebruikers-, apparaat- en toepassingsidentiteiten. In tegenstelling tot netwerktoegangsbeheer die zijn gebaseerd op elementen zoals bron- en doel-IP-adres, protocollen en poortnummers, dwingt Zero Trust toegangsbeheer af en valideert het toegangsbeheer op 'toegangstijd'. Hierdoor hoeft u geen voorspellingsspel te spelen voor een volledige implementatie, netwerk of subnet. Alleen de doelresource moet de benodigde toegangsbeheer bieden.

  • Azure-netwerkbeveiligingsgroepen kunnen worden gebruikt voor basistoegangsbeheer op laag 3 & 4 tussen Azure Virtual Networks, hun subnetten en internet.

  • Azure Web Application Firewall en Azure Firewall kunnen worden gebruikt voor geavanceerdere netwerktoegangsbeheer waarvoor ondersteuning voor toepassingslagen is vereist.

  • Laps (Local Admin Password Solution) of een privileged Access Management van derden kan sterke lokale beheerderswachtwoorden instellen en just-in-time toegang tot deze wachtwoorden instellen

Daarnaast bieden derden microsegmentatiemethoden die uw netwerkbesturingselementen kunnen verbeteren door nul vertrouwensprincipes toe te passen op netwerken die u beheert met verouderde assets.

Een strategie voor internetrand definiëren

Kies of u systeemeigen cloudserviceproviderbesturingselementen of virtuele netwerkapparaten wilt gebruiken voor beveiliging van internetranden.

Internetrandverkeer (ook wel 'noord-zuid' verkeer genoemd) vertegenwoordigt netwerkconnectiviteit tussen uw assets in de cloud en internet. Verouderde workloads vereisen beveiliging tegen interneteindpunten omdat ze zijn gebouwd met de veronderstelling dat een internetfirewall deze tegen deze aanvallen heeft beveiligd. Een strategie voor internetrand is bedoeld om zoveel aanvallen van internet te beperken als redelijk is om te detecteren of te blokkeren.

Er zijn twee primaire opties die beveiligingsmaatregelen en bewaking voor internetranden kunnen bieden:

  • Systeemeigen besturingselementen voor cloudserviceproviders (Azure Firewall + [Web Application Firewall (WAF)]/azure/application-gateway/waf-overview))

  • Partner Virtual Network Appliances (Firewall en WAF Vendor available in Azure Marketplace)

  • Systeemeigen besturingselementen van cloudserviceproviders bieden doorgaans basisbeveiliging die goed genoeg is voor veelvoorkomende aanvallen, zoals de OWASP Top 10.

  • Partnermogelijkheden van cloudserviceproviders bieden daarentegen vaak veel geavanceerdere functies die kunnen beschermen tegen geavanceerde (maar vaak ongebruikelijke) aanvallen. Partneroplossingen kosten consistent meer dan systeemeigen besturingselementen. Bovendien kan de configuratie van partneroplossingen zeer complex en kwetsbaarder zijn dan systeemeigen besturingselementen, omdat ze niet worden geïntegreerd met de infrastructuurcontrollers van de cloud.

De beslissing om systeemeigen versus partnerbesturingselementen te gebruiken, moet zijn gebaseerd op de ervaring en vereisten van uw organisatie. Als de functies van de geavanceerde firewalloplossingen onvoldoende rendement bieden op investering, kunt u overwegen om de systeemeigen mogelijkheden te gebruiken die zijn ontworpen om eenvoudig te configureren en te schalen.

Verouderde netwerkbeveiligingstechnologie stopzetten

Stop het gebruik van op handtekeningen gebaseerde netwerkinbraakdetectie/netwerkinbraakpreventie (NIDS/NIPS)-systemen en netwerkgegevenslekken/verliespreventie (DLP).

De belangrijkste cloudserviceproviders filteren al op ongeldige pakketten en veelvoorkomende netwerklaagaanvallen, dus er is geen NIDS-/NIPS-oplossing nodig om deze te detecteren. Daarnaast worden traditionele NIDS-/NIPS-oplossingen meestal aangestuurd door op handtekeningen gebaseerde benaderingen (die als verouderd worden beschouwd) en worden ze eenvoudig ontwijkd door aanvallers en produceren doorgaans een hoge mate van fout-positieven.

DLP op basis van een netwerk neemt af bij het identificeren van onbedoeld en opzettelijk gegevensverlies. De reden hiervoor is dat de meeste moderne protocollen en aanvallers versleuteling op netwerkniveau gebruiken voor binnenkomende en uitgaande communicatie. De enige levensvatbare tijdelijke oplossing hiervoor is SSL-bridging, die een 'geautoriseerde man-in-the-middle' biedt die wordt beëindigd en vervolgens versleutelde netwerkverbindingen herstelt. De SSL-bridging-benadering is uit de gunst gevallen vanwege het vertrouwensniveau dat vereist is voor de partner die de oplossing uitvoert en de technologieën die worden gebruikt.

Op basis van deze logica bieden we een all-up aanbeveling die u stopt met het gebruik van deze verouderde netwerkbeveiligingstechnologieën. Als uw organisatieervaring echter is dat deze technologieën een tastbare impact hebben gehad op het voorkomen en detecteren van echte aanvallen, kunt u overwegen om ze over te zetten naar uw cloudomgeving.

Subnetbeveiliging van virtueel netwerk ontwerpen

Ontwerp virtuele netwerken en subnetten voor groei.

De meeste organisaties voegen uiteindelijk meer resources toe aan hun netwerken dan ze aanvankelijk hadden gepland. Wanneer dit gebeurt, moeten IP-adresserings- en subnettenschema's worden geherstructureerd om tegemoet te komen aan de extra resources. Dit is een arbeidsintensief proces. Er is een beperkte beveiligingswaarde bij het maken van een zeer groot aantal kleine subnetten en vervolgens proberen netwerktoegangsbeheer (zoals beveiligingsgroepen) toe te wijzen aan elk van deze netwerken.

U wordt aangeraden uw subnetten te plannen op basis van algemene rollen en functies die gebruikmaken van algemene protocollen voor deze rollen en functies. Hiermee kunt u resources toevoegen aan het subnet zonder dat u wijzigingen hoeft aan te brengen in beveiligingsgroepen die toegangsbeheer op netwerkniveau afdwingen.

Gebruik niet alle geopende regels voor binnenkomend en uitgaand verkeer van en naar subnetten. Gebruik een 'minimale bevoegdheid'-benadering van het netwerk en sta alleen relevante protocollen toe. Hierdoor vermindert u de totale kwetsbaarheid voor netwerkaanvallen op het subnet.

Alle geopende regels (voor inkomend/uitgaand verkeer naar en van 0.0.0.0-255.255.255.255) bieden een valse beveiligingszin, omdat een dergelijke regel helemaal geen beveiliging afdwingt.

De uitzondering hierop is echter als u alleen beveiligingsgroepen wilt gebruiken voor netwerklogboekregistratie. We raden dit niet aan, maar het is een optie als u een andere oplossing voor netwerktoegangsbeheer hebt.

Subnetten van Azure Virtual Network kunnen op deze manier worden ontworpen.

DDoS-aanvallen beperken

DDoS-oplossingen (Distributed Denial of Service) inschakelen voor alle bedrijfskritieke webtoepassingen en -services.

DDoS-aanvallen zijn gangbaar en worden eenvoudig uitgevoerd door niet-gesofisticeerde aanvallers. Er zijn zelfs DDoS as a service-opties op het donkere net. DDoS-aanvallen kunnen zeer degraderen en volledig de toegang tot uw services blokkeren en zelfs de services uitschakelen, afhankelijk van het type DDoS-aanval.

De belangrijkste cloudserviceproviders bieden DDoS-bescherming van services met verschillende effectiviteit en capaciteit. De cloudserviceproviders bieden doorgaans twee DDoS-beveiligingsopties:

  • DDoS-beveiliging op cloudnetwerkinfrastructuurniveau: alle klanten van de cloudserviceprovider profiteren van deze beveiligingen. De beveiliging is meestal gericht op het niveau van het netwerk (laag 3).

  • DDoS-beveiliging op hogere niveaus die uw services profileert. Dit soort beveiliging vormt een basislijn voor uw implementaties en gebruikt vervolgens machine learning-technieken om afwijkend verkeer te detecteren en proactief te beschermen op basis van hun beveiliging voordat er servicedegradatie plaatsvindt

We raden u aan de geavanceerde beveiliging te gebruiken voor services waarbij downtime negatieve gevolgen heeft voor het bedrijf.

Een voorbeeld van geavanceerde DDoS-beveiliging is de Azure DDoS Protection-service.

Beslissen over een beleid voor inkomend/uitgaand verkeer op internet

Kies ervoor om verkeer dat bestemd is voor internet te routeren via on-premises beveiligingsapparaten of om internetverbinding toe te staan via netwerkbeveiligingsapparaten in de cloud.

Internetverkeer routeren via on-premises netwerkbeveiligingsapparaten wordt ook wel 'geforceerde tunneling' genoemd. In een scenario met geforceerde tunneling wordt alle connectiviteit met internet gedwongen terug te keren naar on-premises netwerkbeveiligingsapparaten via een cross-premises WAN-koppeling. Het doel is om netwerkbeveiligingsteams meer beveiliging en zichtbaarheid te bieden voor internetverkeer. Zelfs wanneer uw resources in de cloud proberen te reageren op binnenkomende aanvragen van internet, worden de antwoorden gedwongen via on-premises netwerkbeveiligingsapparaten.

Geforceerde tunneling past ook bij een ' datacenteruitbreidingsparadigma' en kan goed werken voor een snel proof-of-concept, maar schaalt slecht vanwege de toegenomen verkeersbelasting, latentie en kosten.

De aanbevolen benadering voor het gebruik van productie-ondernemingen is om cloudresources toe te staan om rechtstreeks via cloudnetwerkbeveiligingsapparaten die zijn gedefinieerd door uw strategie voor internetrand te initiëren en erop te reageren.

De directe internetbenadering past bij het Nth-datacenterparadigma (azure-datacenters zijn bijvoorbeeld een natuurlijk onderdeel van mijn onderneming). Deze aanpak schaalt veel beter voor een bedrijfsimplementatie omdat hops worden verwijderd die belasting, latentie en kosten toevoegen.

We raden u aan om geforceerde tunneling te voorkomen om de hierboven genoemde redenen.

Verbeterde netwerkzichtbaarheid inschakelen

U moet verbeterde netwerkzichtbaarheid inschakelen door netwerklogboeken te integreren in een SIEM (Security Information and Event Management), zoals Microsoft Sentinel of een derde partneroplossing, zoals Splunk, QRadar of ArcSight ESM.

Als u logboeken van uw netwerkapparaten integreert en zelfs onbewerkt netwerkverkeer zelf, krijgt u meer inzicht in mogelijke beveiligingsrisico's die via de kabel stromen. Deze logboekgegevens kunnen worden geïntegreerd in geavanceerde SIEM-oplossingen of andere analyseplatforms. De moderne analyseplatformen op basis van machine learning ondersteunen opname van extreem grote hoeveelheden informatie en kunnen zeer snel grote gegevenssets analyseren. Bovendien kunnen deze oplossingen worden afgestemd om fout-positieve waarschuwingen aanzienlijk te verminderen.

Voorbeelden van netwerklogboeken die zichtbaarheid bieden, zijn:

Volgende stappen

Zie de beveiligingsdocumentatie van Microsoft voor aanvullende beveiligingsrichtlijnen van Microsoft.