Säkerhetskontroll: Nätverkssäkerhet
Nätverkssäkerhet omfattar kontroller för att skydda och skydda nätverk, inklusive att skydda virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS.
NS-1: Upprätta gränser för nätverkssegmentering
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Se till att distributionen av det virtuella nätverket överensstämmer med din strategi för företagssegmentering som definierats i GS-2-säkerhetskontrollen. Alla arbetsbelastningar som kan medföra högre risk för organisationen bör finnas i isolerade virtuella nätverk.
Exempel på högriskarbetsbelastningar är:
- Ett program som lagrar eller bearbetar mycket känsliga data.
- Ett externt nätverksanslutet program som är tillgängligt för allmänheten eller användare utanför organisationen.
- Ett program som använder osäker arkitektur eller som innehåller säkerhetsrisker som inte enkelt kan åtgärdas.
Om du vill förbättra din strategi för företagssegmentering begränsar eller övervakar du trafiken mellan interna resurser med hjälp av nätverkskontroller. För specifika, väldefinierade program (till exempel en app på tre nivåer) kan detta vara en mycket säker "neka som standard, tillåt med undantag" genom att begränsa portar, protokoll, käll- och mål-IP-adresser för nätverkstrafiken. Om du har många program och slutpunkter som interagerar med varandra kan det hända att blockerande trafik inte skalas bra och du kanske bara kan övervaka trafiken.
Azure-vägledning: Skapa ett virtuellt nätverk (VNet) som en grundläggande segmenteringsmetod i ditt Azure-nätverk, så att resurser som virtuella datorer kan distribueras till det virtuella nätverket inom en nätverksgräns. Om du vill segmentera nätverket ytterligare kan du skapa undernät i VNet för mindre undernätverk.
Använd nätverkssäkerhetsgrupper (NSG) som en nätverksnivåkontroll för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Se NS-7: Förenkla nätverkssäkerhetskonfigurationen för att använda anpassningsbar nätverkshärdning för att rekommendera NSG-härdningsregler baserat på hotinformation och trafikanalysresultat.
Du kan också använda programsäkerhetsgrupper (ASG:er) för att förenkla komplex konfiguration. I stället för att definiera principer som baseras på explicita IP-adresser i nätverkssäkerhetsgrupper kan du med HJÄLP av ASG:er konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.
Azure-implementering och ytterligare kontext:
- Begrepp och metodtips för Azure Virtual Network
- Lägga till, ändra eller ta bort ett virtuellt nätverksundernät
- Så här skapar du en nätverkssäkerhetsgrupp med säkerhetsregler
- Förstå och använda programsäkerhetsgrupper
AWS-vägledning: Skapa ett virtuellt privat moln (VPC) som en grundläggande segmenteringsmetod i ditt AWS-nätverk, så att resurser som EC2-instanser kan distribueras till VPC inom en nätverksgräns. Om du vill segmentera nätverket ytterligare kan du skapa undernät i VPC för mindre undernätverk.
För EC2-instanser använder du säkerhetsgrupper som en tillståndskänslig brandvägg för att begränsa trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. På VPC-undernätsnivå använder du Network Access Control List (NACL) som en tillståndslös brandvägg för att ha explicita regler för inkommande och utgående trafik till undernätet.
Obs! För att styra VPC-trafik bör Internet och NAT Gateway konfigureras för att säkerställa att trafiken från/till Internet är begränsad.
AWS-implementering och ytterligare kontext:
- Kontrollera trafik till EC2-instanser med säkerhetsgrupper
- Jämföra säkerhetsgrupper och nätverks-ACL:er
- Internet Gateway
- NAT Gateway
GCP-vägledning: Skapa ett virtuellt privat molnnätverk (VPC) som en grundläggande segmenteringsmetod i ditt GCP-nätverk, så att resurser som beräkningsmotorns virtuella datorinstanser (VM: er) kan distribueras till VPC-nätverket inom en nätverksgräns. Om du vill segmentera nätverket ytterligare kan du skapa undernät i VPC för mindre undernätverk.
Använd VPC-brandväggsregler som en kontroll för distribuerat nätverksnivå för att tillåta eller neka anslutningar till eller från dina målinstanser i VPC-nätverket, som omfattar virtuella datorer, Google Kubernetes Engine-kluster (GKE) och appmotorns flexibla miljöinstanser.
Du kan också konfigurera VPC-brandväggsregler för att rikta in alla instanser i VPC-nätverket, instanser med en matchande nätverkstagg eller instanser som använder ett specifikt tjänstkonto, så att du kan gruppera instanser och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.
GCP-implementering och ytterligare kontext:
- Skapa och hantera VPC-nätverk
- Google Cloud VPC-undernät
- Använda VPC-brandväggsregler
- Lägga till nätverkstaggar
Kunders säkerhetsintressenter (Läs mer):
NS-2: Skydda molnbaserade tjänster med nätverkskontroller
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Skydda molntjänster genom att upprätta en privat åtkomstpunkt för resurser. Du bör också inaktivera eller begränsa åtkomsten från offentliga nätverk när det är möjligt.
Azure-vägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna. Om du använder Private Link hindras den privata anslutningen från att dirigeras via det offentliga nätverket.
Obs! Vissa Azure-tjänster kan också tillåta privat kommunikation via tjänstslutpunktsfunktionen, men vi rekommenderar att du använder Azure Private Link för säker och privat åtkomst till tjänster som finns på Azure-plattformen.
För vissa tjänster kan du välja att distribuera VNet-integrering för tjänsten där du kan begränsa det virtuella nätverket för att upprätta en privat åtkomstpunkt för tjänsten.
Du kan också välja att konfigurera ACL-reglerna för tjänstens interna nätverk eller helt enkelt inaktivera åtkomst till offentliga nätverk för att blockera åtkomst från offentliga nätverk.
Om det inte finns ett starkt användningsfall för virtuella Azure-datorer bör du undvika att tilldela offentliga IP-adresser/undernät direkt till det virtuella datorgränssnittet och i stället använda gateway- eller lastbalanserare som klientdel för åtkomst av det offentliga nätverket.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Distribuera VPC PrivateLink för alla AWS-resurser som stöder PrivateLink-funktionen för att tillåta privat anslutning till de AWS-tjänster eller tjänster som stöds av andra AWS-konton (VPC-slutpunktstjänster). Om du använder PrivateLink hindras den privata anslutningen från att dirigeras via det offentliga nätverket.
För vissa tjänster kan du välja att distribuera tjänstinstansen till din egen VPC för att isolera trafiken.
Du har också möjlighet att konfigurera tjänstens interna ACL-regler för att blockera åtkomst från det offentliga nätverket. Med Amazon S3 kan du till exempel blockera offentlig åtkomst på bucket- eller kontonivå.
När du tilldelar IP-adresser till dina tjänstresurser i din virtuella dator, såvida det inte finns ett starkt användningsfall, bör du undvika att tilldela offentliga IP-adresser/undernät direkt till dina resurser och i stället använda privata IP-adresser/undernät.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Distribuera VPC Private Google Access-implementeringar för alla GCP-resurser som stöder det för att upprätta en privat åtkomstpunkt för resurserna. Dessa privata åtkomstalternativ förhindrar att den privata anslutningen dirigeras via det offentliga nätverket. Privat Google Access har VM-instanser som bara har interna IP-adresser (inga externa IP-adresser)
För vissa tjänster kan du välja att distribuera tjänstinstansen till din egen VPC för att isolera trafiken. Du har också möjlighet att konfigurera tjänstens interna ACL-regler för att blockera åtkomst från det offentliga nätverket. Med App Engine-brandväggen kan du till exempel styra vilken nätverkstrafik som tillåts eller avvisas när du kommunicerar med App Engine-resursen. Cloud Storage är en annan resurs där du kan framtvinga skydd mot offentlig åtkomst på enskilda bucketar eller på organisationsnivå.
Om det inte finns ett starkt användningsfall för virtuella datorer med GCP-beräkningsmotorn bör du undvika att tilldela offentliga IP-adresser/undernät direkt till det virtuella datorgränssnittet och i stället använda gateway- eller lastbalanseringstjänster som klientdel för åtkomst av det offentliga nätverket.
GCP-implementering och ytterligare kontext:
- Privat Google Access
- Privata åtkomstalternativ för tjänster
- Förstå appmotorns brandvägg
- Cloud Storage – använd skydd mot offentlig åtkomst
Kunders säkerhetsintressenter (Läs mer):
NS-3: Distribuera brandväggen i utkanten av företagsnätverket
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Distribuera en brandvägg för att utföra avancerad filtrering av nätverkstrafik till och från externa nätverk. Du kan också använda brandväggar mellan interna segment för att stödja en segmenteringsstrategi. Om det behövs använder du anpassade vägar för ditt undernät för att åsidosätta systemvägen när du behöver tvinga nätverkstrafiken att gå igenom en nätverksinstallation i säkerhetskontrollsyfte.
Blockera minst kända felaktiga IP-adresser och högriskprotokoll, till exempel fjärrhantering (till exempel RDP och SSH) och intranätprotokoll (till exempel SMB och Kerberos).
Azure-vägledning: Använd Azure Firewall för att tillhandahålla helt tillståndskänslig trafikbegränsning på programnivå (till exempel URL-filtrering) och/eller central hantering över ett stort antal företagssegment eller ekrar (i en hubb-/ekertopologi).
Om du har en komplex nätverkstopologi, till exempel en hubb-/ekerkonfiguration, kan du behöva skapa användardefinierade vägar (UDR) för att säkerställa att trafiken går via önskad väg. Du kan till exempel använda en UDR för att omdirigera utgående Internettrafik via en specifik Azure Firewall eller en virtuell nätverksinstallation.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS-nätverksbrandväggen för att tillhandahålla fullständigt tillståndskänslig trafikbegränsning på programnivå (till exempel URL-filtrering) och/eller central hantering över ett stort antal företagssegment eller ekrar (i en hubb-/ekertopologi).
Om du har en komplex nätverkstopologi, till exempel en hubb-/ekerkonfiguration, kan du behöva skapa anpassade VPC-routningstabeller för att säkerställa att trafiken går via önskad väg. Du kan till exempel använda en anpassad väg för att omdirigera utgående Internettrafik via en specifik AWS-brandvägg eller en virtuell nätverksinstallation.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Säkerhetsprinciper för Google Cloud Armor för att tillhandahålla Layer 7-filtrering och skydd av vanliga webbattacker. Använd dessutom VPC-brandväggsregler för att tillhandahålla distribuerade, fullständigt tillståndskänsliga trafikbegränsningar för nätverksnivå och brandväggsprinciper för central hantering över ett stort antal företagssegment eller ekrar (i en nav-/ekertopologi).
Om du har en komplex nätverkstopologi, till exempel en hubb-/ekerkonfiguration, skapar du brandväggsprinciper som grupperar brandväggsregler och är hierarkiska så att de kan tillämpas på flera VPC-nätverk.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
NS-4: Distribuera system för intrångsidentifiering/intrångsskydd (IDS/IPS)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Säkerhetsprincip: Använd system för identifiering av nätverksintrång och intrångsskydd (IDS/IPS) för att inspektera nätverket och nyttolasttrafik till eller från din arbetsbelastning. Se till att IDS/IPS alltid är justerat för att tillhandahålla högkvalitativa aviseringar till SIEM-lösningen.
Om du vill ha mer djupgående funktioner för identifiering och skydd på värdnivå använder du värdbaserad IDS/IPS eller en värdbaserad lösning för slutpunktsidentifiering och svar (EDR) tillsammans med nätverks-IDS/IPS.
Azure-vägledning: Använd Azure Firewall IDPS-funktioner för att skydda ditt virtuella nätverk för att varna om och/eller blockera trafik till och från kända skadliga IP-adresser och domäner.
Om du vill ha mer djupgående funktioner för identifiering och skydd på värdnivå kan du distribuera värdbaserad IDS/IPS eller en värdbaserad lösning för slutpunktsidentifiering och svar (EDR), till exempel Microsoft Defender för Endpoint, på VM-nivå tillsammans med nätverks-IDS/IPS.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS-nätverksbrandväggens IPS-funktion för att skydda din VPC för att varna om och/eller blockera trafik till och från kända skadliga IP-adresser och domäner.
Om du vill ha mer djupgående funktioner för identifiering och skydd på värdnivå distribuerar du värdbaserad IDS/IPS eller en värdbaserad lösning för identifiering och svar på slutpunkt (EDR), till exempel tredjepartslösning för värdbaserad IDS/IPS, på VM-nivå tillsammans med nätverks-IDS/IPS.
Obs! Om du använder en tredjeparts-IDS/IPS från Marketplace använder du Transit Gateway och Gateway Balancer för att dirigera trafiken för in-line-inspektion.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud IDS-funktioner för att ge hotidentifiering för intrång, skadlig kod, spionprogram och kommando- och kontrollattacker i nätverket. Moln-IDS fungerar genom att skapa ett Google-hanterat peer-kopplat nätverk med speglade virtuella datorinstanser (VM). Trafiken i det peerkopplade nätverket speglas och inspekteras sedan av inbäddade Palo Alto Networks hotskyddstekniker för att tillhandahålla avancerad hotidentifiering. Du kan spegla all inkommande och utgående trafik baserat på protokoll eller IP-adressintervall.
Om du vill ha mer djupgående funktioner för identifiering och skydd på värdnivå distribuerar du en IDS-slutpunkt som en zonindelad resurs som kan inspektera trafik från valfri zon i regionen. Varje IDS-slutpunkt tar emot speglad trafik och utför analys av hotidentifiering.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
NS-5: Distribuera DDOS-skydd
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Säkerhetsprincip: Distribuera DDoS-skydd (Distributed Denial of Service) för att skydda nätverket och programmen mot attacker.
Azure-vägledning: DDoS Protection Basic aktiveras automatiskt för att skydda den underliggande Azure-plattformsinfrastrukturen (t.ex. Azure DNS) och kräver ingen konfiguration från användarna.
För högre skyddsnivåer för dina layer-attacker (Layer 7), till exempel HTTP-översvämningar och DNS-översvämningar, aktiverar du DDoS-standardskyddsplanen för ditt VNet för att skydda resurser som exponeras för de offentliga nätverken.
Azure-implementering och ytterligare kontext:
AWS-vägledning: AWS Shield Standard aktiveras automatiskt med standardreduceringar för att skydda din arbetsbelastning från vanliga DDoS-attacker i nätverk och transportlager (Layer 3 och 4)
För högre skyddsnivåer för dina program mot angrepp på programlager (Layer 7), till exempel HTTPS-översvämningar och DNS-översvämningar, aktiverar du AWS Shield Avancerat skydd på Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator och Amazon Route 53.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Google Cloud Armor erbjuder följande alternativ för att skydda system mot DDoS-attacker:
- DDoS-skydd för standardnätverk: grundläggande alltid på-skydd för nätverkslastbalanserare, protokollvidarebefordring eller virtuella datorer med offentliga IP-adresser.
- Avancerat DDoS-skydd för nätverk: ytterligare skydd för Managed Protection Plus-prenumeranter som använder lastbalanserare för nätverk, protokollvidare eller virtuella datorer med offentliga IP-adresser.
- DDoS-skydd för standardnätverk är alltid aktiverat. Du konfigurerar avancerat DDoS-skydd per region.
GCP-implementering och ytterligare kontext:
- Konfigurera avancerat DDoS-skydd för nätverk
- Översikt över Google Cloud Armor
- Översikt över Säkerhetsprincip för Google Cloud Armor
Kunders säkerhetsintressenter (Läs mer):
NS-6: Distribuera brandvägg för webbprogram
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: Distribuera en brandvägg för webbaserade program (WAF) och konfigurera lämpliga regler för att skydda dina webbprogram och API:er från programspecifika attacker.
Azure-vägledning: Använd waf-funktioner (brandvägg för webbaserade program) i Azure Application Gateway, Azure Front Door och Azure Content Delivery Network (CDN) för att skydda dina program, tjänster och API:er mot programnivåattacker i utkanten av nätverket.
Ange waf i "identifiering" eller "förebyggande läge", beroende på dina behov och hotlandskap.
Välj en inbyggd regeluppsättning, till exempel OWASP Top 10 vulnerabilities, och justera den efter dina programbehov.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS Web Application Firewall (WAF) i Amazon CloudFront-distribution, Amazon API Gateway, Application Load Balancer eller AWS AppSync för att skydda dina program, tjänster och API:er mot programnivåattacker i utkanten av nätverket.
Använd AWS-hanterade regler för WAF för att distribuera inbyggda baslinjegrupper och anpassa dem efter dina programbehovför användarfallsregelgrupperna.
För att förenkla waf-regeldistributionen kan du också använda AWS WAF Security Automations-lösningen för att automatiskt distribuera fördefinierade AWS WAF-regler som filtrerar webbaserade attacker på din webb-ACL.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud Armor för att skydda dina program och webbplatser mot överbelastningsattacker och webbattacker.
Använd färdiga Google Cloud Armor-regler baserade på branschstandarder för att minska vanliga sårbarheter i webbprogram och skydda dig mot OWASP Top 10.
Konfigurera dina förkonfigurerade WAF-regler, som var och en består av flera signaturer som kommer från ModSecurity Core Rules (CRS). Varje signatur motsvarar en regel för identifiering av attacker i regeluppsättningen.
Cloud Armor fungerar tillsammans med externa lastbalanserare och skyddar mot distribuerade överbelastningsattacker (DDoS) och andra webbaserade attacker, oavsett om programmen distribueras i Google Cloud, i en hybriddistribution eller i en arkitektur med flera moln. Säkerhetsprinciper kan konfigureras manuellt med konfigurerbara matchningsvillkor och åtgärder i en säkerhetsprincip. Cloud Armor har också förkonfigurerade säkerhetsprinciper som omfattar en mängd olika användningsfall.
Adaptivt skydd i Cloud Armor hjälper dig att förhindra, identifiera och skydda program och tjänster från L7-distribuerade attacker genom att analysera trafikmönster till dina serverdelstjänster, identifiera och varna misstänkta attacker och generera föreslagna WAF-regler för att minimera sådana attacker. Dessa regler kan finjusteras för att uppfylla dina behov.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
NS-7: Förenkla nätverkssäkerhetskonfigurationen
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Säkerhetsprincip: När du hanterar en komplex nätverksmiljö kan du använda verktyg för att förenkla, centralisera och förbättra nätverkssäkerhetshanteringen.
Azure-vägledning: Använd följande funktioner för att förenkla implementeringen och hanteringen av det virtuella nätverket, NSG-regler och Azure Firewall regler:
- Använd Azure Virtual Network Manager för att gruppera, konfigurera, distribuera och hantera virtuella nätverk och NSG-regler mellan regioner och prenumerationer.
- Använd Microsoft Defender för molnanpassad nätverkshärdning för att rekommendera NSG-härdningsregler som ytterligare begränsar portar, protokoll och käll-IP-adresser baserat på resultat från hotinformation och trafikanalys.
- Använd Azure Firewall Manager för att centralisera brandväggsprincipen och väghanteringen för det virtuella nätverket. För att förenkla implementeringen av brandväggsregler och nätverkssäkerhetsgrupper kan du också använda mallen Azure Firewall Manager Azure Resource Manager(ARM).
Azure-implementering och ytterligare kontext:
- Anpassningsbar nätverkshärdning i Microsoft Defender för molnet
- Azure Firewall Manager
- Skapa en Azure Firewall och en brandväggsprincip – ARM-mall
AWS-vägledning: Använd AWS Firewall Manager för att centralisera hanteringen av nätverksskyddsprinciper i följande tjänster:
- AWS WAF-principer
- Avancerade principer för AWS Shield
- Principer för VPC-säkerhetsgrupper
- Principer för nätverksbrandvägg
AWS Firewall Manager kan automatiskt analysera dina brandväggsrelaterade principer och skapa resultat för icke-kompatibla resurser och för identifierade attacker och skicka dem till AWS Security Hub för undersökningar.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd följande funktioner för att förenkla implementeringen och hanteringen av det virtuella privata molnnätverket (VPC), brandväggsregler och WAF-regler:
- Använd VPC Networks för att hantera och konfigurera enskilda VPC-nätverk och VPC-brandväggsregler.
- Använd hierarkiska brandväggsprinciper för att gruppera brandväggsregler och tillämpa principreglerna hierarkiskt i global eller regional skala.
- Använd Google Cloud Armor för att tillämpa anpassade säkerhetsprinciper, förkonfigurerade WAF-regler och DDoS-skydd.
Du kan också använda Network Intelligence Center för att analysera nätverket och få insikter om din topologi för virtuella nätverk, brandväggsregler och nätverksanslutningsstatus för att förbättra hanteringseffektiviteten.
GCP-implementering och ytterligare kontext:
- VPC-nätverk
- Hierarkiska brandväggsprinciper
- Översikt över Good Cloud Armor
- Network Intelligence Center
Intressenter för kundsäkerhet (Läs mer):
NS-8: Identifiera och inaktivera osäkra tjänster och protokoll
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Säkerhetsprincip: Identifiera och inaktivera osäkra tjänster och protokoll i operativsystemet, programmet eller programvarupaketet. Distribuera kompenserande kontroller om det inte går att inaktivera osäkra tjänster och protokoll.
Azure-vägledning: Använd Microsoft Sentinels inbyggda arbetsbok för osäkert protokoll för att identifiera användningen av osäkra tjänster och protokoll som SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, svaga chiffer i Kerberos och osignerade LDAP-bindningar. Inaktivera osäkra tjänster och protokoll som inte uppfyller lämplig säkerhetsstandard.
Obs! Om det inte går att inaktivera osäkra tjänster eller protokoll kan du använda kompenserande kontroller som att blockera åtkomsten till resurserna via nätverkssäkerhetsgruppen, Azure Firewall eller Azure Web Application Firewall för att minska attackytan.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Aktivera VPC-flödesloggar och använd GuardDuty för att analysera VPC-flödesloggarna för att identifiera möjliga osäkra tjänster och protokoll som inte uppfyller lämplig säkerhetsstandard.
Om loggarna i AWS-miljön kan vidarebefordras till Microsoft Sentinel kan du också använda Microsoft Sentinels inbyggda arbetsbok för osäkert protokoll för att identifiera användningen av osäkra tjänster och protokoll
Obs! Om det inte går att inaktivera osäkra tjänster eller protokoll kan du använda kompenserande kontroller som att blockera åtkomsten till resurserna via säkerhetsgrupper, AWS-nätverksbrandväggen, AWS-Web Application Firewall för att minska attackytan.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Aktivera VPC-flödesloggar och använd BigQuery eller Security Command Center för att analysera VPC-flödesloggarna för att identifiera möjliga osäkra tjänster och protokoll som inte uppfyller lämplig säkerhetsstandard.
Om loggarna i GCP-miljön kan vidarebefordras till Microsoft Sentinel kan du också använda Microsoft Sentinels inbyggda arbetsbok för osäkert protokoll för att identifiera användningen av osäkra tjänster och protokoll. Dessutom kan du vidarebefordra loggar till Google Cloud Chronicle SIEM och SOAR och skapa anpassade regler för samma ändamål.
Obs! Om det inte går att inaktivera osäkra tjänster eller protokoll kan du använda kompenserande kontroller som att blockera åtkomsten till resurserna via regler och principer för VPC-brandväggen eller Cloud Armor för att minska attackytan.
GCP-implementering och ytterligare kontext:
- Använda VPC-flödesloggar
- Säkerhetslogganalys i Google Cloud
- Översikt över - BigQueryÖversikt över Security Command Center
- Microsoft Sentinel för GCP-arbetsbelastningar
Intressenter för kundsäkerhet (Läs mer):
NS-9: Anslut lokalt eller molnbaserat nätverk privat
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | Ej tillämpligt |
Säkerhetsprincip: Använd privata anslutningar för säker kommunikation mellan olika nätverk, till exempel datacenter för molntjänstleverantörer och lokal infrastruktur i en samlokaliseringsmiljö.
Azure-vägledning: För enkel plats-till-plats- eller punkt-till-plats-anslutning använder du Azure virtual private network (VPN) för att skapa en säker anslutning mellan din lokala plats eller slutanvändarens enhet och det virtuella Azure-nätverket.
För anslutningar med höga prestanda på företagsnivå använder du Azure ExpressRoute (eller Virtual WAN) för att ansluta Azure-datacenter och lokal infrastruktur i en samplatsmiljö.
När du ansluter två eller flera virtuella Azure-nätverk tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och sparas i Azure-stamnätverket.
Azure-implementering och ytterligare kontext:
AWS-vägledning: För plats-till-plats- eller punkt-till-plats-anslutning använder du AWS VPN för att skapa en säker anslutning (när IPsec-omkostnader inte är ett problem) mellan din lokala plats eller slutanvändarens enhet till AWS-nätverket.
För anslutningar med höga prestanda på företagsnivå använder du AWS Direct Connect för att ansluta virtuella AWS-datorer och resurser till din lokala infrastruktur i en samplatsmiljö.
Du har möjlighet att använda VPC-peering eller transitgateway för att upprätta anslutningar mellan två eller flera virtuella datorer inom eller mellan regioner. Nätverkstrafiken mellan peer-kopplade VPC är privat och behålls i AWS-stamnätverket. När du behöver ansluta flera virtuella datorer för att skapa ett stort platt undernät har du också möjlighet att använda VPC-delning.
AWS-implementering och ytterligare kontext:
- Introduktion till AWS Direct Connect
- Introduktion till AWS VPN
- Transit Gateway
- Skapa och acceptera VPC-peeringanslutningar
- VPC-delning
GCP-vägledning: För enkel plats-till-plats- eller punkt-till-plats-anslutning använder du Google Cloud VPN.
För anslutningar med höga prestanda på företagsnivå använder du Google Cloud Interconnect eller Partner Interconnect för att ansluta till virtuella Datorer och resurser i Google Cloud med din lokala infrastruktur i en samlokaliseringsmiljö.
Du kan använda VPC Network Peering eller Network Connectivity Center för att upprätta anslutning mellan två eller flera virtuella datorer inom eller mellan regioner. Nätverkstrafiken mellan peer-kopplade virtuella datorer är privat och sparas i GCP-stamnätverket. När du behöver ansluta flera virtuella datorer för att skapa ett stort platt undernät har du också möjlighet att använda delad VPC
GCP-implementering och ytterligare kontext:
- Översikt över Moln-VPN
- Cloud Interconnect, Dedicated Interconnect och Partner Interconnect
- Översikt över Nätverksanslutningscenter
- Private Service Connect
Kunders säkerhetsintressenter (Läs mer):
NS-10: Kontrollera DNS-säkerhet (Domain Name System)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | Ej tillämpligt |
Säkerhetsprincip: Se till att DNS-säkerhetskonfigurationen (Domain Name System) skyddar mot kända risker:
- Använd betrodda auktoritativa och rekursiva DNS-tjänster i din molnmiljö för att säkerställa att klienten (till exempel operativsystem och program) får rätt lösningsresultat.
- Separera den offentliga och privata DNS-matchningen så att DNS-matchningsprocessen för det privata nätverket kan isoleras från det offentliga nätverket.
- Se till att dns-säkerhetsstrategin även innehåller åtgärder mot vanliga attacker, till exempel dinglande DNS-, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning osv.
Azure-vägledning: Använd Rekursiv DNS i Azure (vanligtvis tilldelad till den virtuella datorn via DHCP eller förkonfigurerad i tjänsten) eller en betrodd extern DNS-server i din arbetsbelastnings rekursiva DNS-konfiguration, till exempel i den virtuella datorns operativsystem eller i programmet.
Använd Azure Privat DNS för en privat DNS-zonkonfiguration där DNS-matchningsprocessen inte lämnar det virtuella nätverket. Använd en anpassad DNS för att begränsa DNS-matchningen så att endast betrodd lösning tillåts för klienten.
Använd Microsoft Defender för DNS för avancerat skydd mot följande säkerhetshot mot arbetsbelastningen eller DNS-tjänsten:
- Dataexfiltrering från dina Azure-resurser med DNS-tunneltrafik
- Skadlig kod som kommunicerar med en kommando- och kontrollserver
- Kommunikation med skadliga domäner, till exempel nätfiske och kryptoutvinning
- DNS-attacker i kommunikation med skadliga DNS-matchare
Du kan också använda Microsoft Defender för App Service för att identifiera dinglande DNS-poster om du inaktiverar en App Service webbplats utan att ta bort dess anpassade domän från DNS-registratorn.
Azure-implementering och ytterligare kontext:
- Översikt över Azure DNS
- Distributionsguide för Secure Domain Name System (DNS):
- Privat DNS i Azure
- Azure Defender för DNS
- Förhindra dinglande DNS-poster och undvik underdomänövertagande:
AWS-vägledning: Använd Amazon DNS Server (med andra ord Amazon Route 53 Resolver-servern som vanligtvis tilldelas dig via DHCP eller förkonfigurerad i tjänsten) eller en centraliserad betrodd DNS-matchningsserver i din arbetsbelastningsrekursiva DNS-konfiguration, till exempel i den virtuella datorns operativsystem eller i programmet.
Använd Amazon Route 53 för att skapa en privat värdbaserad zonkonfiguration där DNS-matchningsprocessen inte lämnar de avsedda virtuella datorerna. Använd Amazon Route 53-brandväggen för att reglera och filtrera utgående DNS/UDP-trafik i din virtuella dator för följande användningsfall:
- Förhindra attacker som DNS-exfiltrering i din VPC
- Konfigurera listan över tillåtna eller nekanden för de domäner som dina program kan fråga efter
Konfigurera DNSSEC-funktionen (Domain Name System Security Extensions) i Amazon Route 53 för att skydda DNS-trafik för att skydda din domän från DNS-förfalskning eller en man-in-the-middle-attack.
Amazon Route 53 tillhandahåller också en DNS-registreringstjänst där Route 53 kan användas som auktoritativa namnservrar för dina domäner. Följande metodtips bör följas för att säkerställa säkerheten för dina domännamn:
- Domännamn bör förnyas automatiskt av Amazon Route 53-tjänsten.
- Domännamn bör ha funktionen Överföringslås aktiverad för att skydda dem.
- SPF (Sender Policy Framework) bör användas för att stoppa spammare från att förfalska din domän.
AWS-implementering och ytterligare kontext:
- Konfiguration av Amazon Route 53 DNSSEC
- Amazon Route 53-brandvägg
- Domänregistrering för Amazon Route 53
GCP-vägledning: Använd GCP DNS-server (t.ex. metadataserver som vanligtvis tilldelas till den virtuella datorn via DHCP eller förkonfigurerad i tjänsten) eller en centraliserad betrodd DNS-matchningsserver (till exempel Googles offentliga DNS) i din arbetsbelastningsrekursiva DNS-konfiguration, till exempel i den virtuella datorns operativsystem eller i programmet.
Använd GCP Cloud DNS för att skapa en privat DNS-zon där DNS-matchningsprocessen inte lämnar de desginerade virtuella datorerna. Reglera och filtrera utgående DNS/UDP-trafik i din VPC användningsfallen:
- Förhindra attacker som DNS-exfiltrering i din VPC
- Konfigurera tillåt eller neka listor för de domäner som dina program frågar efter
Konfigurera DNSSEC-funktionen (Domain Name System Security Extensions) i Cloud DNS för att skydda DNS-trafik för att skydda din domän från DNS-förfalskning eller en man-in-the-middle-attack.
Google Cloud Domains tillhandahåller domänregistreringstjänster. GCP Cloud DNS kan användas som auktoritativa namnservrar för dina domäner. Följande metodtips bör följas för att säkerställa säkerheten för dina domännamn:
- Domännamn bör förnyas automatiskt av Google Cloud Domains.
- Domännamn bör ha funktionen Överföringslås aktiverad för att skydda dem
- SPF (Sender Policy Framework) bör användas för att stoppa spammare från att förfalska din domän.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):