Управление безопасностью: сетевая безопасность

  • Статья

Сетевая безопасность охватывает элементы управления для защиты и защиты сетей, включая защиту виртуальных сетей, установление частных подключений, предотвращение и устранение внешних атак, а также защиту DNS.

NS-1: установка границы сегментации сети

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Принцип безопасности. Убедитесь, что развертывание виртуальной сети соответствует стратегии сегментации предприятия, определенной в элементе управления безопасностью GS-2. Любую рабочую нагрузку, которая может создавать высокий риск для организации, следует изолировать в виртуальных сетях.

Примерами рабочих нагрузок с высоким риском могут служить:

  • приложения, хранящие или обрабатывающие данные с данные высокого уровня конфиденциальности;
  • приложение, к которому можно подключаться из внешней сети и доступное пользователям за пределами организации;
  • приложение с небезопасной архитектурой или с уязвимостями, которые непросто исправить.

Чтобы улучшить стратегию сегментации предприятия, ограничьте или отслеживайте трафик между внутренними ресурсами с помощью средств управления сетью. К некоторым четко определенным приложениям, например к трехуровневому приложению, может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию, разрешать в порядке исключения" путем ограничения портов, протоколов, исходных и конечных IP-адресов в сетевом трафике. Если большое число приложений и конечных точек взаимодействуют друг с другом, блокировка трафика может не масштабироваться надлежащим образом и вам может быть доступен только мониторинг трафика.

Руководство Azure. Создайте виртуальную сеть в качестве основного подхода к сегментации в сети Azure, чтобы такие ресурсы, как виртуальные машины, можно было развернуть в виртуальной сети в пределах сети. В целях дальнейшего сегментирования для небольших подсетей можно создавать подсети внутри виртуальной сети.

Используйте группы безопасности сети (NSG) в качестве средства управления уровня сети, чтобы ограничивать или отслеживать трафик по порту, протоколу, IP-адресу источника или назначения. См. раздел NS-7. Упростите конфигурацию безопасности сети , чтобы использовать адаптивную защиту сети, чтобы рекомендовать правила усиления защиты NSG на основе результатов анализа угроз и анализа трафика.

Чтобы упростить сложную конфигурацию можно также использовать группы безопасности приложений. Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения, вместо того чтобы определять политику на основе явных IP-адресов для групп безопасности сети. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.

Реализация Azure и дополнительный контекст:

Руководство AWS. Создайте виртуальное частное облако (VPC) в качестве фундаментального подхода к сегментации в сети AWS, чтобы такие ресурсы, как экземпляры EC2, можно было развернуть в VPC в пределах сети. Для дальнейшего сегментирования сети можно создать подсети внутри VPC для небольших подсетей.

Для экземпляров EC2 используйте группы безопасности в качестве брандмауэра с отслеживанием состояния, чтобы ограничить трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения. На уровне подсети VPC используйте список сетевых контроль доступа (NACL) в качестве брандмауэра без отслеживания состояния, чтобы иметь явные правила для входящего и исходящего трафика в подсеть.

Примечание. Для управления трафиком VPC необходимо настроить Интернет и шлюз NAT, чтобы обеспечить ограничение трафика из Интернета и в интернет.

Реализация AWS и дополнительный контекст:

Руководство GCP. Создайте сеть виртуального частного облака (VPC) в качестве фундаментального подхода к сегментации в сети GCP, чтобы такие ресурсы, как экземпляры виртуальных машин вычислительной подсистемы, можно было развернуть в сети VPC в пределах сети. Для дальнейшего сегментирования сети можно создать подсети внутри VPC для небольших подсетей.

Используйте правила брандмауэра VPC в качестве распределенного сетевого уровня, чтобы разрешить или запретить подключения к целевым экземплярам в сети VPC, которые включают виртуальные машины, кластеры Google Kubernetes Engine (GKE) и экземпляры гибкой среды обработчика приложений.

Вы также можете настроить правила брандмауэра VPC для всех экземпляров в сети VPC, экземпляров с соответствующим сетевым тегом или экземпляров, использующих определенную учетную запись службы, что позволяет группировать экземпляры и определять политики безопасности сети на основе этих групп.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

NS-2. Защита собственных облачных служб с помощью элементов управления сетью

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Принцип безопасности. Защита облачных служб путем создания частной точки доступа для ресурсов. Кроме того, по возможности следует отключить или ограничить доступ из общедоступных сетей.

Руководство по Azure. Разверните частные конечные точки для всех ресурсов Azure, которые поддерживают функцию Приватный канал для создания частной точки доступа для ресурсов. Использование Приватный канал позволит сохранить частное подключение от маршрутизации через общедоступную сеть.

Примечание. Некоторые службы Azure также могут разрешать частный обмен данными через функцию конечной точки службы, хотя рекомендуется использовать Приватный канал Azure для безопасного и частного доступа к службам, размещенным на платформе Azure.

Для некоторых служб можно развернуть интеграцию с виртуальной сетью для службы, где можно ограничить виртуальную сеть, чтобы установить частную точку доступа для службы.

Вы также можете настроить собственные правила ACL службы или просто отключить доступ к общедоступной сети, чтобы заблокировать доступ из общедоступных сетей.

Для виртуальных машин Azure, если нет надежного варианта использования, следует избегать назначения общедоступных IP-адресов или подсети непосредственно интерфейсу виртуальной машины и вместо этого использовать шлюзы или службы подсистемы балансировки нагрузки в качестве внешнего интерфейса для доступа через общедоступную сеть.

Реализация Azure и дополнительный контекст:

Руководство AWS. Разверните VPC PrivateLink для всех ресурсов AWS, поддерживающих функцию PrivateLink, чтобы разрешить частное подключение к поддерживаемым службам AWS или службам, размещенным в других учетных записях AWS (службах конечных точек VPC). При использовании PrivateLink частное подключение не будет проходить через общедоступную сеть.

Для некоторых служб можно развернуть экземпляр службы в собственном VPC, чтобы изолировать трафик.

Вы также можете настроить собственные правила ACL службы, чтобы блокировать доступ из общедоступной сети. Например, Amazon S3 позволяет блокировать общий доступ на уровне контейнера или учетной записи.

При назначении IP-адресов для ресурсов службы в VPC, если нет надежного варианта использования, следует избегать назначения общедоступных IP-адресов или подсети непосредственно своим ресурсам и вместо этого использовать частные IP-адреса или подсеть.

Реализация AWS и дополнительный контекст:

Руководство GCP. Разверните частные реализации VPC Google Access для всех ресурсов GCP, которые его поддерживают, чтобы создать частную точку доступа для ресурсов. Эти варианты частного доступа не позволят частному подключению проходить через общедоступную сеть. Частный Google Access имеет экземпляры виртуальных машин, которые имеют только внутренние IP-адреса (без внешних IP-адресов).

Для некоторых служб можно развернуть экземпляр службы в собственном VPC, чтобы изолировать трафик. Вы также можете настроить собственные правила ACL службы, чтобы блокировать доступ из общедоступной сети. Например, брандмауэр обработчика приложений позволяет управлять тем, какой сетевой трафик разрешен или отклонен при взаимодействии с ресурсом обработчика приложений. Облачное хранилище — это еще один ресурс, в котором можно применить предотвращение общего доступа к отдельным контейнерам или на уровне организации.

Для виртуальных машин вычислительного ядра GCP, если нет надежного варианта использования, следует избегать назначения общедоступных IP-адресов или подсетей непосредственно интерфейсу виртуальной машины и вместо этого использовать службы шлюза или подсистемы балансировки нагрузки в качестве внешнего интерфейса для доступа через общедоступную сеть.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

NS-3: развертывание брандмауэра на границе корпоративной сети

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Принцип безопасности. Разверните брандмауэр для выполнения расширенной фильтрации сетевого трафика во внешних сетях и из них. Брандмауэры можно использовать и между внутренними сегментами, поддерживая стратегию сегментации. При необходимости используйте настраиваемые маршруты для подсети, чтобы переопределить маршрут системы, когда необходимо принудительно передать сетевой трафик через (модуль) в целях управления безопасностью.

Следует, как минимум, блокировать известные неправильные IP-адреса и протоколы с высоким риском, такие как протоколы удаленного управления (например, RDP и SSH) и интрасети (например, SMB и Kerberos).

Руководство по Azure. Используйте Брандмауэр Azure для обеспечения ограничения трафика на уровне приложения с полным отслеживанием состояния (например, фильтрации URL-адресов) и (или) централизованного управления большим количеством корпоративных сегментов или периферийных сегментов (в звездообразной топологии).

Если у вас используется сложная топология сети, например звездообразная, может потребоваться создать определяемые пользователем маршруты (UDR), чтобы трафик проходил по нужному маршруту. Например, вы можете использовать UDR для перенаправления исходящего интернет-трафика через определенный Брандмауэр Azure или виртуальный сетевой (модуль).

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте брандмауэр сети AWS для обеспечения ограничения трафика на уровне приложения с полным отслеживанием состояния (например, фильтрации URL-адресов) и (или) централизованного управления большим количеством корпоративных сегментов или периферийных сегментов (в звездообразной топологии).

При наличии сложной сетевой топологии, например звездообразной настройки, может потребоваться создать настраиваемые таблицы маршрутов VPC, чтобы обеспечить прохождение трафика по нужному маршруту. Например, вы можете использовать пользовательский маршрут для перенаправления исходящего интернет-трафика через определенный брандмауэр AWS или виртуальную сетевую (модуль).

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте политики безопасности Google Cloud Armor, чтобы обеспечить фильтрацию уровня 7 и защиту от распространенных веб-атак. Кроме того, используйте правила брандмауэра VPC, чтобы обеспечить распределенное ограничение трафика на уровне сети с полным отслеживанием состояния и политики брандмауэра для централизованного управления большим количеством корпоративных сегментов или периферийных сегментов (в звездообразной топологии).

Если у вас есть сложная топология сети, например звездообразная конфигурация, создайте политики брандмауэра, которые группируют правила брандмауэра и должны быть иерархическими, чтобы их можно было применять к нескольким сетям VPC.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

NS-4: развертывание систем обнаружения и предотвращения вторжений (IDS/IPS)

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11,4

Принцип безопасности. Используйте системы обнаружения сетевых вторжений и предотвращения вторжений (IDS/IPS) для проверки трафика сети и полезных данных в рабочую нагрузку или из нее. Проследите, чтобы решение IDS/IPS всегда было настроено для предоставления высококачественных оповещений для решения SIEM.

Чтобы получить доступ к более детальным функциям обнаружения и предотвращения на уровне узлов, используйте решение IDS/IPS на основе узла или решение для обнаружения и нейтрализации атак на конечные точки (EDR) на основе узла в сочетании с сетевой системой IDS/IPS.

Руководство по Azure. Используйте возможности IDPS Брандмауэр Azure для защиты виртуальной сети для оповещения об известных вредоносных IP-адресах и доменах и (или) блокировке трафика.

Чтобы получить доступ к более детальным функциям обнаружения и предотвращения на уровне узлов, разверните решение IDS/IPS на основе узла или решение для обнаружения и нейтрализации атак на конечные точки (EDR) на основе узла, такое как Microsoft Defender для конечной точки, на уровне виртуальных машин в сочетании с сетевой системой IDS/IPS.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте функцию IPS сетевого брандмауэра AWS для защиты VPC для оповещения об известных вредоносных IP-адресах и доменах и (или) блокировке трафика.

Чтобы получить более подробные возможности обнаружения и предотвращения на уровне узла, разверните на уровне узла IDS/IPS или решение обнаружения конечных точек на основе узла (EDR), например стороннее решение для IDS/IPS на основе узла, на уровне виртуальной машины в сочетании с сетевыми идентификаторами или IPS.

Примечание. Если вы используете сторонние IDS/IPS из Marketplace, используйте транзитный шлюз и балансировщик шлюзов, чтобы направлять трафик для встроенной проверки.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте возможности Google Cloud IDS для обнаружения угроз для вторжений, вредоносных программ, шпионских программ и атак команд и управления в вашей сети. Cloud IDS работает путем создания управляемой Google одноранговой сети с зеркальными экземплярами виртуальных машин. Трафик в одноранговой сети зеркально отражается, а затем проверяется внедренными технологиями защиты от угроз Palo Alto Networks для обеспечения расширенного обнаружения угроз. Вы можете зеркало весь входящий и исходящий трафик на основе протокола или диапазона IP-адресов.

Чтобы получить более подробные возможности обнаружения и предотвращения на уровне узла, разверните конечную точку IDS в качестве зонального ресурса, который может проверять трафик из любой зоны в своем регионе. Каждая конечная точка IDS получает зеркальный трафик и выполняет анализ обнаружения угроз.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

NS-5: развертывание защиты от атак DDoS

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Принцип безопасности. Разверните распределенную защиту от атак типа "отказ в обслуживании" (DDoS), чтобы защитить сеть и приложения от атак.

Руководство по Azure. Защита от атак DDoS уровня "Базовый" автоматически включается для защиты инфраструктуры базовой платформы Azure (например, Azure DNS) и не требует настройки от пользователей.

Для более высоких уровней защиты атак уровня приложений (уровень 7), таких как потоки HTTP и DNS, включите стандартный план защиты от атак DDoS в виртуальной сети, чтобы защитить ресурсы, предоставляемые общедоступным сетям.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Aws Shield Уровня "Стандартный" автоматически включает стандартные средства защиты для защиты рабочей нагрузки от атак DDoS на общем сетевом и транспортном уровнях (уровнях 3 и 4)

Для более высокого уровня защиты приложений от атак уровня приложений (уровень 7), таких как потоки HTTPS и DNS, включите расширенную защиту AWS Shield в Amazon EC2, Elastic Load Balanceing (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Google Cloud Armor предлагает следующие варианты защиты систем от атак DDoS:

  • Защита от атак DDoS (цен. категория "Стандартный") — базовая постоянная защита для подсистем балансировки нагрузки сети, переадресации протоколов или виртуальных машин с общедоступными IP-адресами.
  • Расширенная защита от атак DDoS в сети: дополнительные средства защиты для подписчиков Managed Protection Plus, которые используют балансировщики сетевой нагрузки, переадресацию протоколов или виртуальные машины с общедоступными IP-адресами.
  • Защита от атак DDoS в сети уровня "Стандартный" всегда включена. Расширенная защита от атак DDoS в сети настраивается для каждого региона.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

NS-6: развертывание брандмауэра веб-приложения

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Принцип безопасности. Разверните брандмауэр веб-приложения (WAF) и настройте соответствующие правила для защиты веб-приложений и API от атак, относящихся к приложениям.

Руководство Azure. Используйте возможности брандмауэра веб-приложений (WAF) в Шлюз приложений Azure, Azure Front Door и сети доставки содержимого Azure (CDN) для защиты приложений, служб и API от атак на уровне приложений на границе сети.

Настройте для WAF режим "обнаружения" или "предотвращения" в зависимости от потребностей и картины угроз.

Выберите встроенный набор правил, например 10 основных уязвимостей OWASP, и настройте его в соответствии с потребностями приложения.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте AWS Брандмауэр веб-приложений (WAF) в дистрибутиве Amazon CloudFront, Шлюзе API Amazon, Load Balancer приложений или AWS AppSync для защиты приложений, служб и API от атак на уровне приложений на границе сети.

Используйте управляемые правила AWS для WAF, чтобы развернуть встроенные группы базовых показателей и настроить их в соответствии с потребностями приложения для групп правил пользовательского сценария.

Чтобы упростить развертывание правил WAF, можно также использовать решение AWS WAF Security Automations для автоматического развертывания предварительно определенных правил WAF AWS, которые фильтруют веб-атаки в веб-ACL.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте Google Cloud Armor для защиты приложений и веб-сайтов от атак типа "отказ в обслуживании" и веб-атак.

Используйте стандартные правила Google Cloud Armor, основанные на отраслевых стандартах, чтобы устранить распространенные уязвимости веб-приложений и обеспечить защиту от OWASP Top 10.

Настройте предварительно настроенные правила WAF, каждая из которых состоит из нескольких сигнатур, полученных из основных правил ModSecurity (CRS). Каждая сигнатура соответствует правилу обнаружения атак в наборе правил.

Cloud Armor работает в сочетании с внешними подсистемами балансировки нагрузки и защищает от распределенных атак типа "отказ в обслуживании" (DDoS) и других веб-атак, независимо от того, развернуты ли приложения в Google Cloud, в гибридном развертывании или в многооблачной архитектуре. Политики безопасности можно настроить вручную с настраиваемыми условиями соответствия и действиями в политике безопасности. Cloud Armor также содержит предварительно настроенные политики безопасности, которые охватывают различные варианты использования.

Адаптивная защита в Cloud Armor помогает предотвращать, обнаруживать и защищать приложения и службы от распределенных атак уровня 7, анализируя шаблоны трафика к серверным службам, обнаруживая и оповещая о предполагаемых атаках, а также создавая предлагаемые правила WAF для устранения таких атак. Эти правила можно настроить в соответствии с вашими потребностями.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

NS-7: упрощение конфигурации безопасности сети

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Принцип безопасности. При управлении сложной сетевой средой используйте средства для упрощения, централизации и улучшения управления безопасностью сети.

Руководство Azure. Используйте следующие функции, чтобы упростить реализацию виртуальной сети, правила NSG и правила Брандмауэр Azure и управление ими.

  • Используйте Azure виртуальная сеть Manager для группировки, настройки, развертывания и управления виртуальными сетями и правилами NSG в разных регионах и подписках.
  • Используйте Адаптивную защиту сети в Microsoft Defender для облака, чтобы рекомендовать правила усиления защиты NSG, которые дополнительно ограничивают порты, протоколы и исходные IP-адреса на основе анализа угроз и анализа трафика.
  • Используйте Диспетчер брандмауэра Azure для централизации управления политиками брандмауэра и маршрутами в виртуальной сети. Чтобы упростить правила брандмауэра и реализацию групп безопасности сети, можно также использовать шаблон azure Resource Manager (ARM) Брандмауэр Azure Manager.

Реализация Azure и дополнительный контекст:

Руководство AWS. Используйте диспетчер брандмауэра AWS для централизации управления политиками защиты сети в следующих службах:

  • Политики AWS WAF
  • Расширенные политики AWS Shield
  • Политики групп безопасности VPC
  • Политики брандмауэра сети

Диспетчер брандмауэра AWS может автоматически анализировать политики, связанные с брандмауэром, и создавать результаты для ресурсов, не соответствующих требованиям, и обнаруживать обнаруженные атаки, а также отправлять их в ЦЕНТР безопасности AWS для исследования.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте следующие функции для упрощения реализации сети виртуального частного облака (VPC), правил брандмауэра и правил WAF и управления ими:

  • Используйте VPC Networks для управления и настройки отдельных сетей VPC и правил брандмауэра VPC.
  • Используйте иерархические политики брандмауэра для группировки правил брандмауэра и их иерархического применения в глобальном или региональном масштабе.
  • Используйте Google Cloud Armor для применения пользовательских политик безопасности, предварительно настроенных правил WAF и защиты от атак DDoS.

Вы также можете использовать Центр аналитики сети для анализа сети и получения аналитических сведений о топологии виртуальной сети, правилах брандмауэра и состоянии сетевого подключения для повышения эффективности управления.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

NS-8: обнаружение и отключение небезопасных служб и протоколов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Принцип безопасности. Обнаружение и отключение небезопасных служб и протоколов на уровне ОС, приложения или программного пакета. Развертывайте компенсирующие элементы управления, когда отключение небезопасных служб и протоколов невозможно.

Руководство Azure. Используйте встроенную книгу небезопасных протоколов Microsoft Sentinel, чтобы обнаружить использование небезопасных служб и протоколов, таких как SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, слабые шифры в Kerberos и неподписанные привязки LDAP. Отключите небезопасные службы и протоколы, которые не соответствуют надлежащему стандарту безопасности.

Примечание. Если отключить небезопасные службы или протоколы невозможно, используйте компенсирующие элементы управления, такие как блокировка доступа к ресурсам с помощью группы безопасности сети, Брандмауэра Azure или брандмауэра веб-приложения Azure, чтобы сократить число направлений атак.

Реализация Azure и дополнительный контекст:

Руководство AWS. Включите журналы потоков VPC и используйте GuardDuty для анализа журналов потоков VPC, чтобы определить возможные небезопасные службы и протоколы, которые не соответствуют соответствующему стандарту безопасности.

Если журналы в среде AWS можно пересылать в Microsoft Sentinel, можно также использовать встроенную книгу небезопасных протоколов Microsoft Sentinel для обнаружения использования небезопасных служб и протоколов.

Примечание. Если отключить небезопасные службы или протоколы невозможно, используйте компенсирующие элементы управления, такие как блокирование доступа к ресурсам через группы безопасности, сетевой брандмауэр AWS, AWS Брандмауэр веб-приложений, чтобы уменьшить количество направлений атак.

Реализация AWS и дополнительный контекст:

Руководство GCP. Включите журналы потоков VPC и используйте BigQuery или Центр команд безопасности для анализа журналов потоков VPC, чтобы определить возможные небезопасные службы и протоколы, которые не соответствуют соответствующему стандарту безопасности.

Если журналы в среде GCP можно пересылать в Microsoft Sentinel, можно также использовать встроенную книгу небезопасных протоколов Microsoft Sentinel для обнаружения использования небезопасных служб и протоколов. Кроме того, вы можете пересылать журналы в GOOGLE Cloud Chronicle SIEM и SOAR и создавать пользовательские правила для той же цели.

Примечание. Если отключить небезопасные службы или протоколы невозможно, используйте компенсирующие элементы управления, такие как блокирование доступа к ресурсам с помощью правил и политик брандмауэра VPC или Cloud Armor, чтобы уменьшить количество направлений атак.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

NS-9: подключение к локальной или облачной сети в частном режиме

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
12.7 CA-3, AC-17, AC-4 Н/Д

Принцип безопасности. Используйте частные подключения для безопасного обмена данными между различными сетями, такими как центры обработки данных поставщика облачных служб и локальная инфраструктура в среде совместного размещения.

Руководство по Azure. Для упрощенного подключения типа "сеть — сеть" или "точка — сеть" используйте виртуальную частную сеть Azure (VPN), чтобы создать безопасное подключение между локальным сайтом или устройством конечного пользователя и виртуальной сетью Azure.

Для высокопроизводительных подключений корпоративного уровня используйте Azure ExpressRoute (или Виртуальная глобальная сеть) для подключения центров обработки данных Azure и локальной инфраструктуры в среде совместного размещения.

При подключении двух или более виртуальных сетей Azure друг к другу используйте пиринг между виртуальными сетями. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Реализация Azure и дополнительный контекст:

Руководство AWS. Для подключения типа "сеть — сеть" или "точка — сеть" используйте AWS VPN, чтобы создать безопасное подключение (когда расходы на IPsec не является проблемой) между локальным сайтом или устройством конечного пользователя к сети AWS.

Для высокопроизводительных подключений корпоративного уровня используйте AWS Direct Connect для подключения виртуальных компьютеров и ресурсов AWS к локальной инфраструктуре в среде совместного размещения.

Вы можете использовать пиринг VPC или транзитный шлюз, чтобы установить подключение между двумя или более виртуальными пк в пределах или между регионами. Сетевой трафик между одноранговым VPC является частным и хранится в магистральной сети AWS. Если вам нужно присоединить несколько виртуальных компьютеров для создания большой плоской подсети, вы также можете использовать совместное использование VPC.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Для упрощенного подключения типа "сеть — сеть" или "точка — сеть" используйте Google Cloud VPN.

Для высокопроизводительных подключений корпоративного уровня используйте Google Cloud Interconnect или Partner Interconnect для подключения к виртуальным машинам Google Cloud и ресурсам с помощью локальной инфраструктуры в среде совместного размещения.

Вы можете использовать пиринг между сетями VPC или Центр сетевых подключений, чтобы установить подключение между двумя или более виртуальными пк в пределах или между регионами. Сетевой трафик между одноранговой сетью VPC является частным и хранится в магистральной сети GCP. Если вам нужно объединить несколько виртуальных компьютеров для создания большой плоской подсети, вы также можете использовать общий VPC.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

NS-10: обеспечение безопасности системы доменных имен (DNS)

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
4.9, 9.2 SC-20, SC-21 Н/Д

Принцип безопасности. Убедитесь, что конфигурация безопасности системы доменных имен (DNS) защищает от известных рисков:

  • Используйте доверенные заслуживающие доверия и рекурсивные службы DNS в облачной среде, чтобы убедиться, что клиент (например, операционные системы и приложения) получает правильный результат разрешения.
  • Разделите общедоступное и частное разрешение DNS, чтобы процесс разрешения DNS для частной сети можно было изолировать от общедоступной сети.
  • Убедитесь в том, что стратегия безопасности DNS также включает в себя устранение распространенных атак, таких как "висячие" записи DNS, атаки с усилением DNS, спуфинг и подделка записей кэша DNS и т. п.

Руководство Azure. Используйте рекурсивную службу DNS Azure (обычно назначается виртуальной машине через DHCP или предварительно настроенную в службе) или доверенный внешний DNS-сервер в рекурсивной настройке DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте azure Частная зона DNS для настройки частной зоны DNS, в которой процесс разрешения DNS не покидает виртуальную сеть. Используйте пользовательскую службу DNS, чтобы ограничить разрешение DNS, чтобы разрешить только доверенное разрешение для клиента.

Используйте Microsoft Defender для DNS для расширенной защиты от следующих угроз безопасности рабочей нагрузки или службы DNS:

  • кражи данных из ресурсов Azure с помощью туннелирования DNS;
  • Вредоносная программа, взаимодействующая с сервером команд и управления
  • Обмен данными с вредоносными доменами, такими как фишинг и майнинг шифрования
  • атаки DNS при обмене данными с вредоносными сопоставителями DNS;

Вы также можете использовать Microsoft Defender для Служба приложений, чтобы обнаруживать висячие записи DNS при списании веб-сайта Служба приложений, не удаляя его личный домен от регистратора DNS.

Реализация Azure и дополнительный контекст:

Руководство AWS. Используйте Amazon DNS Server (иными словами, сервер Сопоставителя Amazon Route 53, который обычно назначается через DHCP или предварительно настроен в службе) или централизованный доверенный сервер сопоставителя DNS в рекурсивной настройке DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте Amazon Route 53 для создания частной размещенной зоны, в которой процесс разрешения DNS не покидает назначенные виртуальные пк. Используйте брандмауэр Amazon Route 53 для регулирования и фильтрации исходящего трафика DNS/UDP в VPC в следующих вариантах использования:

  • Предотвращение атак, таких как кража DNS в VPC
  • Настройка списка разрешений или запретов для доменов, которые могут запрашивать приложения

Настройте функцию расширений безопасности системы доменных имен (DNSSEC) в Amazon Route 53, чтобы защитить трафик DNS, чтобы защитить ваш домен от спуфингом DNS или атаки "злоумышленник в середине".

Amazon Route 53 также предоставляет службу регистрации DNS, где Route 53 можно использовать в качестве заслуживающих доверия серверов доменных имен для ваших доменов. Чтобы обеспечить безопасность доменных имен, следует придерживаться следующих рекомендаций.

  • Доменные имена должны быть автоматически продлены службой Amazon Route 53.
  • В доменных именах должна быть включена функция блокировки передачи, чтобы обеспечить их безопасность.
  • Следует использовать платформу политики отправителей (SPF), чтобы предотвратить подмену домена спамом.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте DNS-сервер GCP (т. е. сервер метаданных, который обычно назначается виртуальной машине через DHCP или предварительно настроен в службе) или централизованный доверенный сервер сопоставителя DNS (например, Общедоступный DNS Google) в рекурсивной настройке DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте GCP Cloud DNS для создания частной зоны DNS, в которой процесс разрешения DNS не покидает десгинированные VPC. Регулируйте и фильтруйте исходящий трафик DNS/UDP в VPC в вариантах использования:

  • Предотвращение атак, таких как кража DNS в VPC
  • Настройка списков разрешений или запретов для доменов, к которым запрашивают приложения

Настройте функцию расширений безопасности системы доменных имен (DNSSEC) в облачной службе DNS, чтобы защитить трафик DNS, чтобы защитить ваш домен от спуфингов DNS или атаки "злоумышленник в середине".

Google Cloud Domains предоставляет службы регистрации доменов. GCP Cloud DNS можно использовать в качестве полномочных серверов имен для ваших доменов. Чтобы обеспечить безопасность доменных имен, следует придерживаться следующих рекомендаций.

  • Домены Google Cloud должны автоматически продлевать доменные имена.
  • В доменных именах должна быть включена функция блокировки передачи, чтобы обеспечить их безопасность
  • Следует использовать платформу политики отправителей (SPF), чтобы предотвратить подмену домена спамом.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):