Controle de Segurança: Segurança de rede
A Segurança de Rede abrange controles para proteger as redes, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS.
NS-1: estabelecer limites de segmentação de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: verifique se sua implantação de rede virtual está alinhada à sua estratégia de segmentação corporativa definida no controle de segurança GS-2. Toda carga de trabalho que possa incorrer em risco maior para a organização deve estar em redes virtuais isoladas.
Exemplos de carga de trabalho de alto risco incluem:
- Um aplicativo que armazena ou processa dados altamente confidenciais.
- Um aplicativo externo voltado para a rede acessível pelo público ou pelos usuários fora da sua organização.
- Um aplicativo que usa uma arquitetura insegura ou que contém vulnerabilidades que não podem ser facilmente corrigidas.
Para aprimorar sua estratégia de segmentação corporativa, restrinja ou monitore o tráfego entre os recursos internos usando os controles de rede. Para aplicativos específicos e bem definidos (como um aplicativo de três camadas), isso pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção" restringindo as portas, protocolos, IPs de origem e destino do tráfego de rede. Se você tiver muitos aplicativos e pontos de extremidade interagindo entre si, o bloqueio de tráfego pode não ser bem escalado e você pode ser capaz somente de monitorar o tráfego.
Diretrizes do Azure: crie uma VNet (rede virtual) como uma abordagem de segmentação fundamental em sua rede do Azure, para que recursos como VMs possam ser implantados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VNet para sub-redes menores.
Use NSG (grupos de segurança de rede) como um controle de camada de rede para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Consulte NS-7: Simplifique a configuração de segurança de rede para usar a Proteção de Rede Adaptável para recomendar regras de proteção de NSG com base no resultado da análise de tráfego e inteligência contra ameaças.
Você também pode usar ASGs (grupos de segurança de aplicativos) para simplificar a configuração complexa. Em vez de definir a política com base em endereços IP explícitos nos grupos de segurança de rede, os ASGS permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.
Implementação do Azure e contexto adicional:
- Conceitos e as melhores práticas da Rede virtual do Azure
- Adicionar, alterar ou excluir uma sub-rede da rede virtual
- Como criar um grupo de segurança de rede com uma configuração de segurança
- Entender e usar grupos de segurança de aplicativos
Diretrizes da AWS: crie uma VPC (Nuvem Virtual Privada) como uma abordagem de segmentação fundamental em sua rede AWS, para que recursos como instâncias de EC2 possam ser implantados no VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro do VPC para sub-redes menores.
Para instâncias EC2, use Grupos de Segurança como um firewall com estado para restringir o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. No nível da sub-rede VPC, use a NACL (Lista de Controle de Acesso de Rede) como um firewall sem estado para ter regras explícitas para o tráfego de entrada e saída para a sub-rede.
Observação: para controlar o tráfego de VPC, a Internet e o Gateway da NAT devem ser configurados para garantir que o tráfego de/para a Internet seja restrito.
Implementação do AWS e contexto adicional:
- Controlar o tráfego para instâncias do EC2 com grupos de segurança
- Comparar grupos de segurança e ACLs de rede
- Internet Gateway
- Gateway da NAT
Diretrizes do GCP: crie uma rede VPC (nuvem virtual privada) como uma abordagem de segmentação fundamental em sua rede GCP, para que recursos como VMs (instâncias de máquina virtual) do mecanismo de computação possam ser implantados na rede VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro do VPC para sub-redes menores.
Use regras de firewall do VPC como um controle de camada de rede distribuída para permitir ou negar conexões de ou para suas instâncias de destino na rede VPC, que incluem VMs, clusters GKE (Mecanismo de Kubernetes do Google) e instâncias de ambiente flexível do Mecanismo de Aplicativo.
Você também pode configurar regras de firewall de VPC para direcionar todas as instâncias na rede VPC, instâncias com uma marca de rede correspondente ou instâncias que usam uma conta de serviço específica, permitindo que você agrupe instâncias e defina políticas de segurança de rede com base nesses grupos.
Implementação do GCP e contexto adicional:
- Criar e gerenciar redes VPC
- Sub-redes VPC do Google Cloud
- Usar regras de firewall do VPC
- Adicionar marcas de rede
Stakeholders de segurança do cliente (Saiba mais):
NS-2: Proteger serviços nativos de nuvem com controles de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: proteja os serviços de nuvem estabelecendo um ponto de acesso privado para recursos. Você também deve desabilitar ou restringir o acesso de redes públicas quando possível.
Diretrizes do Azure: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado para estabelecer um ponto de acesso privado para os recursos. Usar Link Privado impedirá que a conexão privada faça o roteamento pela rede pública.
Observação: determinados serviços do Azure também podem permitir a comunicação privada por meio do recurso de ponto de extremidade de serviço, embora seja recomendável usar Link Privado do Azure para acesso seguro e privado aos serviços hospedados na plataforma do Azure.
Para determinados serviços, você pode optar por implantar a integração VNet para o serviço em que pode restringir a VNET para estabelecer um ponto de acesso privado para o serviço.
Você também tem a opção de configurar as regras de ACL de rede nativa do serviço ou simplesmente desabilitar o acesso à rede pública para bloquear o acesso de redes públicas.
Para VMs do Azure, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-rede públicas diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.
Implementação do Azure e contexto adicional:
- Entenda o Link Privado do Azure
- Integrar os serviços do Azure com redes virtuais para isolamento de rede
Diretrizes da AWS: implante o VPC PrivateLink para todos os recursos da AWS que dão suporte ao recurso PrivateLink, para permitir a conexão privada com os serviços ou serviços AWS com suporte hospedados por outras contas da AWS (serviços de ponto de extremidade VPC). O uso do PrivateLink impedirá que a conexão privada roteee pela rede pública.
Para determinados serviços, você pode optar por implantar a instância de serviço em seu próprio VPC para isolar o tráfego.
Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o Amazon S3 permite bloquear o acesso público no nível do bucket ou da conta.
Ao atribuir IPs aos seus recursos de serviço em seu VPC, a menos que haja um forte caso de uso, você deve evitar atribuir IPs/sub-redes públicas diretamente aos seus recursos e, em vez disso, usar IPs/sub-rede privados.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: implante implementações do VPC Private Google Access para todos os recursos GCP que dão suporte a ele para estabelecer um ponto de acesso privado para os recursos. Essas opções de acesso privado impedirão que a conexão privada faça o roteamento pela rede pública. O Google Access privado tem instâncias de VM que têm apenas endereços IP internos (sem endereços IP externos)
Para determinados serviços, você pode optar por implantar a instância de serviço em seu próprio VPC para isolar o tráfego. Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o firewall do Mecanismo de Aplicativo permite controlar qual tráfego de rede é permitido ou rejeitado ao se comunicar com o recurso do Mecanismo de Aplicativo. O Armazenamento em Nuvem é outro recurso em que você pode impor a prevenção de acesso público em buckets individuais ou no nível da organização.
Para VMs do Mecanismo de Computação GCP, a menos que haja um forte caso de uso, você deve evitar atribuir IPs/sub-redes públicas diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.
Implementação do GCP e contexto adicional:
- Google Access privado
- Opções de acesso privado para serviços
- Noções básicas sobre o firewall do Mecanismo de Aplicativo
- Armazenamento em Nuvem – usar a prevenção de acesso público
Stakeholders de segurança do cliente (Saiba mais):
NS-3: implantar firewall na borda da rede corporativa
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implante um firewall para executar a filtragem avançada no tráfego de rede de e para redes externas. Você também pode usar firewalls entre segmentos internos para dar suporte a uma estratégia de segmentação. Se necessário, use rotas personalizadas para sua sub-rede para substituir a rota do sistema quando precisar forçar o tráfego de rede a passar por um dispositivo de rede para fins de controle de segurança.
No mínimo, bloqueie endereços IP incorretos e protocolos de alto risco conhecidos, como o gerenciamento remoto (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).
Diretrizes do Azure: use Firewall do Azure para fornecer restrição de tráfego de camada de aplicativo totalmente com estado (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar UDR (rotas definidas pelo usuário) para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma UDR para redirecionar o tráfego de saída da Internet por meio de um Firewall do Azure específico ou uma dispositivo virtual de rede.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: use o Firewall de Rede da AWS para fornecer restrição de tráfego de camada de aplicativo totalmente com estado (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar tabelas de rotas VPC personalizadas para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma rota personalizada para redirecionar o tráfego de saída da Internet por meio de um Firewall da AWS específico ou uma dispositivo virtual de rede.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use as políticas de segurança do Google Cloud Armor para fornecer filtragem e proteção de camada 7 de ataques comuns na Web. Além disso, use regras de firewall de VPC para fornecer restrições de tráfego de camada de rede distribuídas e totalmente com estado e políticas de firewall para gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, crie políticas de firewall que agrupam regras de firewall e sejam hierárquicas para que possam ser aplicadas a várias redes VPC.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-4: implantar IDS/IPS (sistemas de detecção/prevenção de intrusões)
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Princípio de segurança: use os sistemas de detecção de intrusão de rede e prevenção de intrusão (IDS/IPS) para inspecionar o tráfego de rede e carga de trabalho de ou para sua carga de trabalho. Verifique se os IDS/IPS estão sempre ajustados para fornecer alertas de alta qualidade para sua solução SIEM.
Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, use IDS/IPS baseados em host ou uma solução de EDR (detecção e resposta de ponto de extremidade) baseada em host junto aos IDS/IPS de rede.
Diretrizes do Azure: use os recursos do IDPS do Firewall do Azure para proteger sua rede virtual para alertar e/ou bloquear o tráfego de e para domínios e endereços IP mal-intencionados conhecidos.
Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, implante IDS/IPS baseados em host ou uma solução de EDR baseada em host, como o Microsoft Defender para Ponto de Extremidade, no nível da VM junto aos IDS/IPS de rede.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: use a funcionalidade IPS do Firewall de Rede da AWS para proteger sua VPC para alertar e/ou bloquear o tráfego de e para domínios e endereços IP mal-intencionados conhecidos.
Para recursos de detecção e prevenção de nível de host mais aprofundados, implante IDS/IPS baseados em host ou uma solução de EDR (detecção e resposta de ponto de extremidade) baseada em host, como solução de terceiros para IDS/IPS baseado em host, no nível da VM em conjunto com o IDS/IPS de rede.
Observação: se estiver usando um IDS/IPS de terceiros do marketplace, use o Gateway de Trânsito e o Gateway Balancer para direcionar o tráfego para inspeção em linha.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use os recursos de IDS do Google Cloud para fornecer detecção de ameaças para invasões, malware, spyware e ataques de comando e controle em sua rede. O IDS de nuvem funciona criando uma rede emparelhada gerenciada pelo Google com instâncias de VM (máquina virtual) espelhadas. O tráfego na rede emparelhada é espelhado e inspecionado por tecnologias de proteção contra ameaças inseridas do Palo Alto Networks para fornecer detecção avançada de ameaças. Você pode espelho todo o tráfego de entrada e saída com base no protocolo ou no intervalo de endereços IP.
Para obter recursos mais detalhados de detecção e prevenção de nível de host, implante um ponto de extremidade IDS como um recurso zonal que pode inspecionar o tráfego de qualquer zona em sua região. Cada ponto de extremidade IDS recebe tráfego espelhado e executa a análise de detecção de ameaças.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
NS-5: implantar proteção contra DDOS
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princípio de segurança: implante a proteção contra DDoS (negação de serviço distribuído) para proteger sua rede e aplicativos contra ataques.
Diretrizes do Azure: a Proteção contra DDoS Básica é habilitada automaticamente para proteger a infraestrutura da plataforma subjacente do Azure (por exemplo, o DNS do Azure) e não requer nenhuma configuração dos usuários.
Para níveis mais altos de proteção de ataques de camada de aplicativo (Camada 7), como inundações HTTP e inundações de DNS, habilite o plano de proteção padrão de DDoS em sua VNet para proteger os recursos expostos às redes públicas.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: o AWS Shield Standard é habilitado automaticamente com mitigações padrão para proteger sua carga de trabalho contra ataques DDoS comuns de camada de rede e transporte (Camada 3 e 4)
Para níveis mais altos de proteção de seus aplicativos contra ataques de camada de aplicativo (Camada 7), como inundações https e inundações de DNS, habilite a proteção avançada do AWS Shield no Amazon EC2, ELB (Balanceamento de Carga Elástico), Amazon CloudFront, Acelerador Global da AWS e Amazon Route 53.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: o Google Cloud Armor oferece as seguintes opções para ajudar a proteger sistemas contra ataques de DDoS:
- Proteção contra DDoS de rede padrão: proteção always-on básica para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
- Proteção de DDoS de rede avançada: proteções adicionais para assinantes da Proteção Gerenciada Plus que usam balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
- A proteção contra DDoS de rede padrão está sempre habilitada. Você configura a proteção avançada contra DDoS de rede por região.
Implementação do GCP e contexto adicional:
- Configurar a proteção avançada contra DDoS de rede
- Visão geral do Google Cloud Armor
- Visão geral da política do Google Cloud Armor Security
Stakeholders de segurança do cliente (Saiba mais):
NS-6: implantar firewall do aplicativo Web
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implante um WAF (firewall de aplicativo Web) e configure as regras apropriadas para proteger seus aplicativos Web e APIs contra ataques específicos do aplicativo.
Diretrizes do Azure: use recursos de WAF (firewall de aplicativo Web) no Gateway de Aplicativo do Azure, no Azure Front Door e na CDN (Rede de Distribuição de Conteúdo do Azure) para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da rede.
Defina seu WAF em "detecção" ou "modo de prevenção", dependendo de suas necessidades e do cenário da ameaça.
Escolha um conjunto de regras interno, como as 10 principais vulnerabilidades do OWASP, e ajuste-o às necessidades do aplicativo.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: use o WAF (AWS Firewall de Aplicativo Web) na distribuição do Amazon CloudFront, no Gateway de API da Amazon, no Application Load Balancer ou no AWS AppSync para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da rede.
Use as Regras Gerenciadas do AWS para WAF para implantar grupos de linha de base internos e personalizá-los para as necessidades do aplicativo para os grupos de regras de caso de usuário.
Para simplificar a implantação de regras de WAF, você também pode usar a solução de Automações de Segurança do WAF da AWS para implantar automaticamente regras de WAF AWS predefinidas que filtram ataques baseados na Web em sua ACL Web.
Implementação do AWS e contexto adicional:
- Como funciona o WAF da AWS
- Automações de segurança do WAF da AWS
- Regras gerenciadas da AWS para WAF da AWS
Diretrizes do GCP: use o Google Cloud Armor para ajudar a proteger seus aplicativos e sites contra ataques de negação de serviço e web.
Use as regras prontas para uso do Google Cloud Armor com base nos padrões do setor para atenuar as vulnerabilidades comuns do aplicativo Web e ajudar a fornecer proteção contra o OWASP Top 10.
Configure suas regras de WAF pré-configuradas, cada uma consistindo em várias assinaturas originadas do CRS (ModSecurity Core Rules). Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras.
O Cloud Armor funciona em conjunto com balanceadores de carga externos e protege contra DDoS (negação de serviço distribuído) e outros ataques baseados na Web, sejam os aplicativos implantados no Google Cloud, em uma implantação híbrida ou em uma arquitetura de várias nuvens. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência configuráveis e ações em uma política de segurança. O Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem uma variedade de casos de uso.
A Proteção Adaptável no Cloud Armor ajuda você a prevenir, detectar e proteger seus aplicativos e serviços contra ataques distribuídos L7 analisando padrões de tráfego para seus serviços de back-end, detectando e alertando ataques suspeitos e gerando regras sugeridas do WAF para atenuar esses ataques. Essas regras podem ser ajustadas para atender às suas necessidades.
Implementação do GCP e contexto adicional:
- Google Cloud Armor
- Documentação do Apigee
- Integrando o Google Cloud Armor a outros produtos do Google
Stakeholders de segurança do cliente (Saiba mais):
NS-7: simplificar a configuração da segurança de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: ao gerenciar um ambiente de rede complexo, use ferramentas para simplificar, centralizar e aprimorar o gerenciamento de segurança de rede.
Diretrizes do Azure: use os seguintes recursos para simplificar a implementação e o gerenciamento da rede virtual, regras de NSG e regras de Firewall do Azure:
- Use o Gerenciador de Rede Virtual do Azure para agrupar, configurar, implantar e gerenciar redes virtuais e regras NSG entre regiões e assinaturas.
- Use a proteção de rede adaptável do Microsoft Defender para Nuvem para recomendar regras de proteção de NSG que limitam ainda mais portas, protocolos e IPs de origem com base na inteligência contra ameaças e no resultado da análise de tráfego.
- Use o Gerenciador de Firewall do Azure para centralizar a política de firewall e o gerenciamento de rotas da rede virtual. Para simplificar as regras de firewall e a implementação de grupos de segurança de rede, você também pode usar o modelo arm (Azure Resource Manager) do Gerenciador de Firewall do Azure.
Implementação do Azure e contexto adicional:
- Proteção de Rede Adaptável no Microsoft Defender para Nuvem
- Gerenciador de Firewall do Azure
- Criar um Firewall do Azure e uma política de firewall - modelo do ARM
Diretrizes da AWS: use o Gerenciador de Firewall do AWS para centralizar o gerenciamento de política de proteção de rede nos seguintes serviços:
- Políticas de WAF da AWS
- Políticas avançadas do AWS Shield
- Políticas de grupo de segurança do VPC
- Políticas de Firewall de Rede
O Gerenciador de Firewall da AWS pode analisar automaticamente suas políticas relacionadas ao firewall e criar descobertas para recursos não compatíveis e para ataques detectados e enviá-las ao Hub de Segurança da AWS para investigações.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: use os seguintes recursos para simplificar a implementação e o gerenciamento da rede VPC (nuvem virtual privada), regras de firewall e regras de WAF:
- Use redes VPC para gerenciar e configurar redes VPC individuais e regras de firewall de VPC.
- Use políticas de Firewall Hierárquico para agrupar regras de firewall e aplicar as regras de política hierarquicamente em escala global ou regional.
- Use o Google Cloud Armor para aplicar políticas de segurança personalizadas, regras de WAF pré-configuradas e proteção contra DDoS.
Você também pode o Centro de Inteligência de Rede para analisar sua rede e obter insights sobre sua topologia de rede virtual, regras de firewall e conectividade de rede status para melhorar a eficiência do gerenciamento.
Implementação do GCP e contexto adicional:
- Redes VPC
- Políticas de firewall hierárquicas
- Visão geral do Good Cloud Armor
- Central de Inteligência de Rede
Stakeholders de segurança do cliente (Saiba mais):
NS-8: detectar e desabilitar serviços e protocolos não seguros
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princípio de segurança: detectar e desabilitar serviços e protocolos inseguros na camada de sistema operacional, aplicativo ou pacote de software. Implantar controles de compensação se não for possível desabilitar serviços e protocolos inseguros.
Diretrizes do Azure: use a pasta de trabalho de protocolo inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, criptografias fracas em Kerberos e associações LDAP não assinadas. Desabilite serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.
Observação: se não for possível desabilitar serviços ou protocolos não seguros use controles de compensação, como bloquear o acesso aos recursos por meio do grupo de segurança de rede, do Firewall do Azure ou do Firewall de Aplicativo Web do Azure para reduzir a superfície de ataque.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: habilite os logs de fluxo do VPC e use o GuardDuty para analisar os Logs de Fluxo do VPC para identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.
Se os logs no ambiente do AWS puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a pasta de trabalho de protocolo não seguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros
Observação: se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de grupos de segurança, Firewall de Rede da AWS, AWS Firewall de Aplicativo Web para reduzir a superfície de ataque.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: habilite os logs de fluxo do VPC e use o BigQuery ou a Central de Comandos de Segurança para analisar os logs de fluxo do VPC para identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.
Se os logs no ambiente GCP puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a Pasta de Trabalho de Protocolo Inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros. Além disso, você pode encaminhar logs para o GOOGLE Cloud Chronicle SIEM e SOAR e criar regras personalizadas para a mesma finalidade.
Observação: se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de regras e políticas do Firewall do VPC, ou Cloud Armor para reduzir a superfície de ataque.
Implementação do GCP e contexto adicional:
- Usar logs de fluxo de VPC
- Análise de log de segurança no Google Cloud
- Visão geral - do BigQueryVisão geral do Centro de Comandos de Segurança
- Cargas de trabalho do Microsoft Sentinel para GCP
Stakeholders de segurança do cliente (Saiba mais):
NS-9: conectar rede local ou na nuvem em particular
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Princípio de segurança: use conexões privadas para proteger a comunicação entre redes diferentes, como datacenters do provedor de serviços de nuvem e infraestrutura local em um ambiente de colocação.
Diretrizes do Azure: para conectividade leve site a site ou ponto a site, use a VPN (rede virtual privada) do Azure para criar uma conexão segura entre seu site local ou dispositivo de usuário final e a rede virtual do Azure.
Para conexões de alto desempenho de nível empresarial, use o Azure ExpressRoute (ou WAN Virtual) para conectar datacenters do Azure e a infraestrutura local em um ambiente de co-localização.
Para conectar duas ou mais redes virtuais do Azure, use o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.
Implementação do Azure e contexto adicional:
- Visão geral da VPN do Azure
- O que são modelos de conectividade do ExpressRoute
- Emparelhamento de rede virtual
Diretrizes da AWS: para conectividade site a site ou ponto a site, use a VPN do AWS para criar uma conexão segura (quando a sobrecarga do IPsec não for uma preocupação) entre o site local ou o dispositivo de usuário final para a rede AWS.
Para conexões de alto desempenho de nível empresarial, use o AWS Direct Connect para conectar VPCs e recursos da AWS com sua infraestrutura local em um ambiente de co-localização.
Você tem a opção de usar o Emparelhamento VPC ou o Gateway de Trânsito para estabelecer a conectividade entre duas ou mais VPCs dentro ou entre regiões. O tráfego de rede entre o VPC emparelhado é privado e é mantido na rede de backbone da AWS. Quando você precisa ingressar em várias VPCs para criar uma sub-rede simples grande, você também tem a opção de usar o Compartilhamento de VPC.
Implementação da AWS e contexto adicional:
- Introdução ao AWS Direct Connect
- Introdução à VPN da AWS
- Gateway de Trânsito
- Criar e aceitar conexões de emparelhamento VPC
- Compartilhamento de VPC
Diretrizes do GCP: para conectividade leve site a site ou ponto a site, use a VPN do Google Cloud.
Para conexões de alto desempenho de nível empresarial, use o Google Cloud Interconnect ou o Partner Interconnect para se conectar a VPCs e recursos do Google Cloud com sua infraestrutura local em um ambiente de colocação.
Você tem a opção de usar o Emparelhamento de Rede VPC ou o Centro de Conectividade de Rede para estabelecer a conectividade entre duas ou mais VPCs dentro ou entre regiões. O tráfego de rede entre VPCs emparelhadas é privado e é mantido na rede de backbone do GCP. Quando você precisa unir várias VPCs para criar uma sub-rede simples grande, você também tem a opção de usar a VPC compartilhada
Implementação do GCP e contexto adicional:
- Visão geral da VPN na nuvem
- Interconexão na nuvem, interconexão dedicada e interconexão de parceiros
- Visão geral do Centro de Conectividade de Rede
- Conexão de Serviço Privado
Stakeholders de segurança do cliente (Saiba mais):
NS-10: garantir a segurança do DNS (Sistema de Nomes de Domínio)
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Princípio de segurança: verifique se a configuração de segurança do DNS (Sistema de Nomes de Domínio) protege contra riscos conhecidos:
- Use serviços DNS confiáveis autoritativos e recursivos em seu ambiente de nuvem para garantir que o cliente (como sistemas operacionais e aplicativos) receba o resultado correto da resolução.
- Separe a resolução do DNS público e privado para que o processo de resolução do DNS da rede privada possa ser isolado da rede pública.
- Verifique se a sua estratégia de segurança do DNS também inclui mitigações contra ataques comuns, como DNS pendente, ataques de amplificação de DNS, envenenamento e falsificação de DNS e assim por diante.
Diretrizes do Azure: use o DNS recursivo do Azure (geralmente atribuído à sua VM por meio de DHCP ou pré-configurado no serviço) ou um servidor DNS externo confiável em sua configuração de DNS recursivo de carga de trabalho, como no sistema operacional da VM ou no aplicativo.
Use o Azure DNS privado para uma configuração de zona DNS privada em que o processo de resolução DNS não sai da rede virtual. Use um DNS personalizado para restringir a resolução DNS para permitir apenas a resolução confiável para seu cliente.
Use Microsoft Defender para DNS para proteção avançada contra as seguintes ameaças de segurança à carga de trabalho ou ao serviço DNS:
- Exfiltração dos dados de seus recursos do Azure usando túnel DNS
- Malware se comunicando com um servidor de comando e controle
- Comunicação com domínios mal-intencionados, como phishing e mineração de criptografia
- Ataques ao DNS em comunicação com resolvedores de DNS mal-intencionados
Você também pode usar Microsoft Defender para Serviço de Aplicativo para detectar registros DNS pendentes se você desativar um site de Serviço de Aplicativo sem remover seu domínio personalizado do registrador DNS.
Implementação do Azure e contexto adicional:
- Visão geral do DNS do Azure
- Guia de implantação do DNS (Secure Domain Name System):
- DNS privado do Azure
- Azure Defender para DNS
- Evite entradas DNS pendentes e evite a tomada de controle de subdomínio:
Diretrizes da AWS: use o Servidor DNS da Amazon (em outras palavras, o servidor resolvedor do Amazon Route 53 que geralmente é atribuído a você por meio de DHCP ou pré-configurado no serviço) ou um servidor resolvedor de DNS confiável centralizado em sua configuração de DNS recursivo de carga de trabalho, como no sistema operacional da VM ou no aplicativo.
Use o Amazon Route 53 para criar uma configuração de zona hospedada privada em que o processo de resolução de DNS não deixe as VPCs designadas. Use o firewall do Amazon Route 53 para regular e filtrar o tráfego DNS/UDP de saída em seu VPC para os seguintes casos de uso:
- Evitar ataques como exfiltração de DNS em seu VPC
- Configurar a lista de permissões ou negações para os domínios que seus aplicativos podem consultar
Configure o recurso DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) no Amazon Route 53 para proteger o tráfego DNS para proteger seu domínio contra falsificação de DNS ou um ataque man-in-the-middle.
O Amazon Route 53 também fornece um serviço de registro DNS em que a Rota 53 pode ser usada como servidores de nomes autoritativos para seus domínios. As seguintes práticas recomendadas devem ser seguidas para garantir a segurança de seus nomes de domínio:
- Os nomes de domínio devem ser renovados automaticamente pelo serviço Amazon Route 53.
- Os nomes de domínio devem ter o recurso Transferir Bloqueio habilitado para mantê-los seguros.
- O SPF (Sender Policy Framework) deve ser usado para impedir que spammers falsifiquem seu domínio.
Implementação da AWS e contexto adicional:
- Configuração de DNSSEC do Amazon Route 53
- Firewall do Amazon Route 53
- Registro de domínio do Amazon Route 53
Diretrizes do GCP: use o servidor DNS do GCP (ou seja, o servidor de metadados que geralmente é atribuído à sua VM por meio de DHCP ou pré-configurado no serviço) ou um servidor resolvedor de DNS confiável centralizado (como o DNS público do Google) na configuração de DNS recursivo da carga de trabalho, como no sistema operacional da VM ou no aplicativo.
Use o DNS de Nuvem do GCP para criar uma zona DNS privada em que o processo de resolução DNS não deixe as VPCs desginadas. Regular e filtrar o tráfego DNS/UDP de saída em sua VPC nos casos de uso:
- Evitar ataques como exfiltração de DNS em seu VPC
- Configurar listas de permissões ou negações para os domínios que seus aplicativos consultam
Configure o recurso DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) no DNS de Nuvem para proteger o tráfego DNS para proteger seu domínio contra falsificação de DNS ou um ataque man-in-the-middle.
O Google Cloud Domains fornece serviços de registro de domínio. O DNS de nuvem do GCP pode ser usado como servidores de nomes autoritativos para seus domínios. As seguintes práticas recomendadas devem ser seguidas para garantir a segurança de seus nomes de domínio:
- Os nomes de domínio devem ser renovados automaticamente pelos Domínios do Google Cloud.
- Os nomes de domínio devem ter o recurso Transferir Bloqueio habilitado para mantê-los seguros
- O SPF (Sender Policy Framework) deve ser usado para impedir que spammers falsifiquem seu domínio.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):