Microsoft Cloud Security Benchmark: Datenschutz, Protokollierung und Bedrohungserkennung und Netzwerksicherheit
Sicherheitskontrolle: Datenschutz
Der Schutz von Daten umfasst die Kontrolle des Schutzes ruhender Daten, in Übertragung begriffener Daten und des Zugriffs über autorisierte Zugriffsmechanismen. Hierzu gehören auch das Ermitteln, Klassifizieren, Schützen und Überwachen vertraulicher Daten mithilfe von Zugriffssteuerung, Verschlüsselung sowie Schlüssel- und Zertifikatverwaltung.
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Sicherheitsprinzip: Schützen Sie die Daten während der Übertragung vor "Out-of-Band"-Angriffen (z. B. Der Datenverkehrserfassung) mithilfe von Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Legen Sie die Netzwerkgrenze und den Dienstbereich fest, wo die Verschlüsselung von Daten bei der Übertragung innerhalb und außerhalb des Netzwerks obligatorisch ist. Dies ist zwar optional für den Datenverkehr in privaten Netzwerken, dies ist jedoch für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung.
Azure-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Azure Storage, bei denen ein systemeigenes Feature für die Übertragungsverschlüsselung integriert ist.
Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren Azure-Ressourcen herstellen, Transport Layer Security (TLS) v1.2 oder höher verwenden. Verwenden Sie für die Remoteverwaltung von VMs SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Verwenden Sie für die Remoteverwaltung virtueller Azure-Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Azure Storage Blob-, App-Dienst-Apps und Funktions-Apps, anstatt den regulären FTP-Dienst zu verwenden.
Hinweis
Die Datenverschlüsselung während der Übertragung ist für den gesamten Azure-Datenverkehr aktiviert, der sich zwischen Azure-Rechenzentren bewegt. TLS v1.2 oder höher ist standardmäßig für die meisten Azure-Dienste aktiviert. Und einige Dienste wie Azure Storage und Anwendungsgateway können TLS v1.2 oder höher auf der Serverseite erzwingen.
Azure-Implementierung und zusätzlicher Kontext:
- Doppelte Verschlüsselung für Azure-Daten während der Übertragung
- Verstehen der Verschlüsselung während der Übertragung mit Azure
- Informationen zur TLS-Sicherheits-
- Erzwingen der sicheren Übertragung in Azure Storage
AWS-Leitfaden: Sichere Übertragung in Diensten wie Amazon S3, RDS und CloudFront erzwingen, bei denen eine native Verschlüsselungsfunktion für die Datenübertragung integriert ist.
Erzwingen Sie HTTPS (z. B. in AWS Elastic Load Balancer) für Workload-Webanwendungen und -Dienste (entweder auf serverseitiger oder clientseitiger Ebene oder auf beiden Seiten), indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren AWS-Ressourcen herstellen, TLS v1.2 oder höher verwenden.
Verwenden Sie für die Remoteverwaltung von EC2-Instanzen SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den AWS Transfer SFTP- oder FTPS-Dienst anstelle eines regulären FTP-Diensts.
Hinweis
Der gesamte Netzwerkdatenverkehr zwischen AWS-Rechenzentren wird transparent auf physischer Ebene verschlüsselt. Der gesamte Datenverkehr innerhalb einer VPC und zwischen verknüpften VPCs über Regionen hinweg wird bei Verwendung unterstützter Amazon EC2-Instanztypen auf der Netzwerkschicht transparent verschlüsselt. TLS v1.2 oder höher ist standardmäßig für die meisten AWS-Dienste aktiviert. Und einige Dienste wie AWS Load Balancer können TLS v1.2 oder höher auf der Serverseite erzwingen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Google Cloud Storage, bei denen ein systemeigenes Feature für die Übertragungsverschlüsselung integriert ist.
Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, um sicherzustellen, dass alle Clients, die eine Verbindung mit Ihren GCP-Ressourcen herstellen, Transport Layer Security (TLS) v1.2 oder höher verwenden.
Für die Remoteverwaltung verwenden Google Cloud Compute Engine SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Diensten wie Google Cloud Big Query oder Cloud App Engine anstelle eines regulären FTP-Diensts.
GCP-Implementierung und zusätzlicher Kontext:
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps-
- Datensicherheit
Sicherheitssteuerung: Protokollierung und Bedrohungserkennung
Protokollierung und Bedrohungserkennung umfasst Steuerelemente zum Erkennen von Bedrohungen in der Cloud und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Clouddienste, einschließlich der Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Kontrollen, um qualitativ hochwertige Warnungen mit nativer Bedrohungserkennung in Clouddiensten zu generieren; Sie umfasst auch das Sammeln von Protokollen mit einem Cloudüberwachungsdienst, die Zentrale der Sicherheitsanalyse mit einem SIEM, zeitsynchronisierung und Protokollaufbewahrung.
LT-4: Aktivieren der Netzwerkprotokollierung für sicherheitsrelevante Untersuchungen
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Netzwerkdienste, um netzwerkbezogene Vorfalluntersuchungen, Bedrohungssuche und Sicherheitswarnungsgenerierung zu unterstützen. Die Netzwerkprotokolle können Protokolle von Netzwerkdiensten wie IP-Filterung, Netzwerk- und Anwendungsfirewall, DNS, Ablaufüberwachung usw. enthalten.
Azure-Leitfaden: Aktivieren und Sammeln von Netzwerksicherheitsgruppenprotokollen (NSG), NSG-Flussprotokollen, Azure-Firewall-Protokollen, WAF-Protokollen (Web Application Firewall) und Protokollen von virtuellen Maschinen über den Netzwerkverkehrsdaten-Erfassungs-Agent zur Sicherheitsanalyse, zur Unterstützung von Vorfalluntersuchungen und zur Erzeugung von Sicherheitswarnungen. Sie können die Ablaufprotokolle an einen Azure Monitor Log Analytics-Arbeitsbereich senden und dann Traffic Analytics verwenden, um Einblicke zu liefern.
Sammeln Sie DNS-Abfrageprotokolle, um das Korrelieren anderer Netzwerkdaten zu unterstützen.
Azure-Implementierung und zusätzlicher Kontext:
- Aktivieren von Datenflussprotokollen für Netzwerksicherheitsgruppen
- Azure Firewall-Protokolle und Metriken
- Azure-Netzwerküberwachungslösungen in Azure Monitor
- Sammeln von Erkenntnissen über Ihre DNS-Infrastruktur mit der DNS Analytics-Lösung
AWS-Leitfaden: Netzwerkprotokolle wie VPC Flow Logs, WAF-Protokolle und Route53 Resolver-Abfrageprotokolle aktivieren und sammeln, um Sicherheitsanalysen zur Unterstützung von Vorfalluntersuchungen und zur Generierung von Sicherheitswarnungen durchzuführen. Die Protokolle können entweder zur Überwachung an CloudWatch oder zur Einspeisung in die Microsoft Sentinel-Lösung für zentralisierte Analysen in einen S3-Speicher-Bucket exportiert werden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Die meisten Protokolle der Netzwerkaktivitäten sind über die VPC Flow Logs verfügbar, die eine Stichprobe von Netzwerkflüssen erfassen, die von Ressourcen gesendet und empfangen werden, einschließlich Instanzen, die als Google Compute-VMs und Kubernetes Engine-Knoten verwendet werden. Diese Protokolle können für die Netzwerküberwachung, forensische Analyse, Echtzeitsicherheitsanalyse und Spesenoptimierung verwendet werden.
Sie können Ablaufprotokolle in der Cloudprotokollierung anzeigen und Protokolle an das Ziel exportieren, das der Export von Cloudprotokollierung unterstützt. Datenflussprotokolle werden nach Verbindung von Compute Engine-VMs aggregiert und in Echtzeit exportiert. Durch Abonnieren von Pub/Sub können Sie Ablaufprotokolle mithilfe von Echtzeitstreaming-APIs analysieren.
Hinweis
Sie können auch Packet Mirroring verwenden, um den Datenverkehr der in Ihrem Virtual Private Cloud (VPC)-Netzwerk angegebenen Instanzen zu klonen und zur Untersuchung weiterzuleiten. Die Paketspiegelung erfasst den gesamten Traffic und alle Paketdaten, einschließlich Nutzlasten und Kopfdaten.
GCP-Implementierung und zusätzlicher Kontext:
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
- Sicherheitsvorgänge
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps-
- Bedrohungsinformationen
Sicherheitssteuerung: Netzwerksicherheit
Die Netzwerksicherheit umfasst Steuerelemente zum Sichern und Schützen von Netzwerken, einschließlich sicherung virtueller Netzwerke, Einrichten privater Verbindungen, Verhindern und Mildern externer Angriffe und Schützen von DNS.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Stellen Sie sicher, dass Ihre Bereitstellung im virtuellen Netzwerk an Ihre Unternehmenssegmentierungsstrategie ausgerichtet ist, die in der GS-2-Sicherheitskontrolle definiert ist. Workloads, die für die Organisation ein höheres Risiko darstellen könnten, sollten in separaten virtuellen Netzwerken isoliert werden.
Beispiele für Workloads mit hohem Risiko:
- Eine Anwendung, die hochsensible Daten speichert oder verarbeitet
- Eine externe Netzwerkanwendung, die für die Öffentlichkeit oder für Benutzer außerhalb Ihrer Organisation zugänglich ist
- Eine Anwendung, die unsichere Architektur verwendet oder Sicherheitsrisiken enthält, die nicht einfach behoben werden können.
Um Ihre Strategie für die Unternehmenssegmentierung zu verbessern, beschränken oder überwachen Sie den Datenverkehr zwischen internen Ressourcen mithilfe von Netzwerkkontrollen. Für bestimmte klar definierte Anwendungen (z. B. einer Drei-Schichten-App) ist beispielsweise ein äußerst sicherer Ansatz denkbar, bei dem der Datenverkehr standardmäßig verweigert wird und nur Ausnahmen zugelassen werden. Dies erfolgt durch Einschränken der Ports, Protokolle, Quell- und Ziel-IP-Adressen des Netzwerkdatenverkehrs. Wenn viele Anwendungen und Endpunkte miteinander interagieren, ist das Blockieren des Datenverkehrs in diesem Maßstab möglicherweise nicht praktikabel, und der Datenverkehr kann vielleicht nur überwacht werden.
Azure-Leitfaden: Erstellen Sie ein virtuelles Netzwerk (VNet) als grundlegenden Segmentierungsansatz in Ihrem Azure-Netzwerk, sodass Ressourcen wie VMs innerhalb einer Netzwerkgrenze in das VNet bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb des VNet erstellen, um kleinere Unternetzwerke zu erhalten.
Verwenden Sie Netzwerksicherheitsgruppen (NSG) als Kontrolle der Netzwerkschicht, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Weitere Informationen finden Sie unter NS-7: Vereinfachen der Netzwerksicherheitskonfiguration für die Verwendung der adaptiven Netzwerkhärtung, um NSG-Härtungsregeln basierend auf dem Ergebnis der Bedrohungserkennung und der Datenverkehrsanalyse zu empfehlen.
Sie können auch Anwendungssicherheitsgruppen (ASGs) verwenden, um eine komplexe Konfiguration zu vereinfachen. Anstatt eine Richtlinie auf Basis expliziter IP-Adressen in Netzwerksicherheitsgruppen zu definieren, können Sie mit ASGs die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.
Azure-Implementierung und zusätzlicher Kontext:
- Azure Virtual Network – Konzepte und bewährte Methoden
- Subnetz eines virtuellen Netzwerks hinzufügen, ändern oder löschen
- So erstellen Sie eine Netzwerksicherheitsgruppe mit Sicherheitsregeln
- Verstehen und Verwenden von Anwendungssicherheitsgruppen
AWS-Leitfaden: Erstellen Sie eine Virtual Private Cloud (VPC) als grundlegenden Segmentierungsansatz in Ihrem AWS-Netzwerk, sodass Ressourcen wie EC2-Instanzen innerhalb einer Netzwerkgrenze in die VPC bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb der VPC für kleinere Unternetzwerke erstellen.
Verwenden Sie für EC2-Instanzen Sicherheitsgruppen als zustandsbehaftete Firewall, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken. Verwenden Sie auf der VPC-Subnetzebene die Network Access Control List (NACL) als zustandslose Firewall, um explizite Regeln für den eingehenden und ausgehenden Datenverkehr zum Subnetz festzulegen.
Hinweis
Um den VPC-Datenverkehr zu steuern, sollten die Internet- und NAT-Gateways konfiguriert werden, um sicherzustellen, dass der Datenverkehr von und zum Internet eingeschränkt wird.
AWS-Implementierung und zusätzlicher Kontext:
- Steuern des Datenverkehrs an EC2-Instanzen mit Sicherheitsgruppen
- Vergleichen von Sicherheitsgruppen und Netzwerk-ACLs
- Internetgateway
- NAT-Gateway
GCP-Leitfaden: Erstellen Sie ein virtuelles privates Cloud-Netzwerk (VPC) als grundlegenden Segmentierungsansatz in Ihrem GCP-Netzwerk, sodass Ressourcen wie virtuelle Maschineninstanzen (Virtual Machine Instances, VMs) der Compute Engine innerhalb der Netzwerkgrenzen in das VPC-Netzwerk bereitgestellt werden können. Um das Netzwerk weiter zu segmentieren, können Sie Subnetze innerhalb des VPC für kleinere Teilnetzwerke erstellen.
Verwenden Sie VPC-Firewall-Regeln als verteilte Kontrolle der Netzwerkschicht, um Verbindungen zu oder von Ihren zielgerichteten Instanzen im VPC-Netzwerk zuzulassen oder zu verweigern, die VMs, Google Kubernetes Engine (GKE)-Cluster und flexible Instanzen der App Engine-Umgebung umfassen.
Sie können VPC-Firewallregeln konfigurieren, um auf alle Instanzen im VPC-Netzwerk, Instanzen mit einem passenden Netzwerktag oder Instanzen, die ein bestimmtes Dienstkonto verwenden, abzuzielen. Dadurch können Sie Instanzen gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen festlegen.
GCP-Implementierung und zusätzlicher Kontext:
- Erstellen und verwalten von VPC-Netzwerken
- Google Cloud VPC-Subnetze
- Verwenden von VPC-Firewall-Regeln
- Hinzufügen von Netzwerktags
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
NS-2: Sichern nativer Clouddienste mit Netzwerksteuerelementen
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Sichere Clouddienste durch Einrichten eines privaten Zugriffspunkts für Ressourcen. Wenn möglich, sollten Sie auch den Zugriff von öffentlichen Netzwerken deaktivieren oder einschränken.
Azure-Leitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Privater Link" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Die Verwendung von privatem Link verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird.
Hinweis
Bestimmte Azure-Dienste ermöglichen möglicherweise auch die private Kommunikation über das Feature des Dienstendpunkts, es wird jedoch empfohlen, Azure Private Link für einen sicheren und privaten Zugriff auf Dienste zu verwenden, die auf der Azure-Plattform gehostet werden.
Für bestimmte Dienste können Sie die VNet-Integration für den Dienst bereitstellen, in dem Sie das VNET einschränken können, um einen privaten Zugriffspunkt für den Dienst einzurichten.
Sie haben auch die Möglichkeit, die ACL-Regeln für das systemeigene Dienstnetzwerk zu konfigurieren oder einfach den Zugriff auf öffentliche Netzwerke zu deaktivieren, um den Zugriff von öffentlichen Netzwerken zu blockieren.
Für Azure-VMs sollten Sie, sofern kein starker Anwendungsfall vorhanden ist, vermeiden, öffentliche IPs/Subnetze direkt der VM-Schnittstelle zuzuweisen und stattdessen Gateway- oder Lastenausgleichsdienste als Front-End für den Zugriff durch das öffentliche Netzwerk zu verwenden.
Azure-Implementierung und zusätzlicher Kontext:
- Azure Private Link verstehen
- Integrieren von Azure-Diensten mit virtuellen Netzwerken zur Netzwerkisolation
AWS-Leitfaden: Bereitstellen von AWS PrivateLink für alle AWS-Ressourcen, die das PrivateLink-Feature unterstützen, um eine private Verbindung mit den unterstützten AWS-Diensten oder -Diensten zu ermöglichen, die von anderen AWS-Konten (AWS-Endpunktdienste) gehostet werden. Die Verwendung von PrivateLink verhindert, dass die private Verbindung über das öffentliche Netzwerk weitergeleitet wird.
Für bestimmte Dienste können Sie die Dienstinstanz in Ihrer eigenen VPC bereitstellen, um den Datenverkehr zu isolieren.
Sie haben auch die Möglichkeit, die systemeigenen ACL-Regeln des Diensts zu konfigurieren, um den Zugriff vom öffentlichen Netzwerk zu blockieren. So können Sie z. B. mit Amazon S3 den öffentlichen Zugriff auf Bucket- oder Kontoebene blockieren.
Wenn Sie Ihren Dienstressourcen in Ihrer VPC IPs zuweisen, sollten Sie, es sei denn, es gibt einen triftigen Anwendungsfall, keine öffentlichen IPs/Subnetze direkt für Ihre Ressourcen zuweisen und stattdessen private IPs/Subnetze verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Implementieren Sie VPC Private Google Access für alle GCP-Ressourcen, die dies unterstützen, um einen privaten Zugriffspunkt für die Ressourcen zu erstellen. Diese Optionen für den privaten Zugriff sorgen dafür, dass die private Verbindung nicht über das öffentliche Netzwerk weitergeleitet wird. Privater Google Access verfügt über VM-Instanzen, die nur interne IP-Adressen haben (keine externen IP-Adressen)
Für bestimmte Dienste können Sie die Dienstinstanz in Ihrer eigenen VPC bereitstellen, um den Datenverkehr zu isolieren. Sie haben auch die Möglichkeit, die systemeigenen ACL-Regeln des Diensts zu konfigurieren, um den Zugriff vom öffentlichen Netzwerk zu blockieren. Mit der App Engine-Firewall können Sie beispielsweise steuern, welcher Netzwerkdatenverkehr bei der Kommunikation mit der App Engine-Ressource zugelassen oder abgelehnt wird. CloudSpeicher ist eine weitere Ressource, in der Sie die Verhinderung des öffentlichen Zugriffs auf einzelne Buckets oder auf Organisationsebene erzwingen können.
Für VMs der GCP Compute Engine sollten Sie, es sei denn, es gibt einen triftigen Anwendungsfall, keine öffentlichen IPs/Subnetze direkt der VM-Schnittstelle zuweisen und stattdessen Gateway- oder Lastenausgleichsdienste als Frontend für den Zugriff auf das öffentliche Netzwerk verwenden.
GCP-Implementierung und zusätzlicher Kontext:
- Privater Google-Zugriff
- Optionen für den privaten Zugriff für Dienste
- Grundlegendes zur App Engine-Firewall
- Cloudspeicher – Schutz vor öffentlichem Zugriff
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
NS-3: Bereitstellen einer Firewall im Edgebereich des Unternehmensnetzwerks
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Stellen Sie eine Firewall bereit, um erweiterte Filterung für Netzwerkdatenverkehr zu und von externen Netzwerken durchzuführen. Sie können auch Firewalls zwischen internen Segmenten verwenden, um eine Segmentierungsstrategie zu unterstützen. Verwenden Sie bei Bedarf benutzerdefinierte Routen für Ihr Subnetz, um die Systemroute außer Kraft zu setzen, wenn Sie erzwingen müssen, dass der Netzwerkdatenverkehr zu Sicherheitskontrollen durch eine Netzwerkanwendung geleitet wird.
Blockieren Sie zumindest bekannte schädliche IP-Adressen und Protokolle mit hohem Risiko wie die Remoteverwaltung (z. B. RDP und SSH) und Intranetprotokolle (z. B. SMB und Kerberos).
Azure-Leitfaden: Verwenden Sie Azure Firewall, um vollständig zustandsbehaftete Anwendungsschicht-Datenverkehrseinschränkungen (z. B. URL-Filterung) und/oder zentrale Verwaltung über eine große Anzahl von Unternehmenssegmenten oder Speichen (in einer Hub/Spoke-Topologie) bereitzustellen.
Wenn Sie über eine komplexe Netzwerktopologie wie z. B. eine Hub-Spoke-Einrichtung verfügen, müssen Sie möglicherweise benutzerdefinierte Routen (User-Defined Routes, UDRs) erstellen, um sicherzustellen, dass der Datenverkehr die gewünschte Route durchläuft. Sie haben beispielsweise die Möglichkeit, einen UDR zum Umleiten von Internetdatenverkehr über eine bestimmte Azure-Firewall oder eine virtuelle Netzwerk-Appliance zu verwenden.
Azure-Implementierung und zusätzlicher Kontext:
- Bereitstellen von Azure Firewall
- Routing von Datenverkehr für virtuelle Netzwerke
AWS-Leitfaden: Verwenden Sie die AWS-Netzwerkfirewall, um eine vollständige zustandsbehaftete Datenverkehrseinschränkung auf Anwendungsebene (z. B. URL-Filterung) und/oder zentrale Verwaltung über eine große Anzahl von Unternehmenssegmenten oder Speichen (in einer Hub/Spoke-Topologie) bereitzustellen.
Wenn Sie über eine komplexe Netzwerktopologie verfügen, z. B. eine Hub-/Speicheneinrichtung, müssen Sie möglicherweise benutzerdefinierte VPC-Routentabellen erstellen, damit der Datenverkehr die gewünschte Route nimmt. Sie haben beispielsweise die Möglichkeit, eine benutzerdefinierte Route zum Umleiten von Internetdatenverkehr über eine bestimmte AWS-Firewall oder eine virtuelle Netzwerk-Appliance zu verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Armor-Sicherheitsrichtlinien, um Layer 7-Filterung und Schutz allgemeiner Webangriffe bereitzustellen. Verwenden Sie außerdem VPC-Firewallregeln, um Einschränkungen für den Datenverkehr in verteilten, vollständig zustandsbehafteten Vermittlungsschichten des Netzwerks bereitzustellen, sowie Firewallrichtlinien für die zentrale Verwaltung zahlreicher Segmente und Spokes im Unternehmen (in einer Hub/Spoke-Topologie).
Wenn Sie über eine komplexe Netzwerktopologie verfügen, z. B. ein Hub/Spoke-Setup, erstellen Sie Firewallrichtlinien, die Firewallregeln gruppieren und hierarchisch aufgebaut sind, sodass sie auf mehrere VPC-Netzwerke angewendet werden können.
GCP-Implementierung und zusätzlicher Kontext:
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
NS-5: Bereitstellen von DDOS-Schutz
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Sicherheitsprinzip: Bereitstellen des DDoS-Schutzes (Distributed Denial of Service), um Ihr Netzwerk und Ihre Anwendungen vor Angriffen zu schützen.
Azure-Leitfaden: DDoS Protection Basic ist automatisch aktiviert, um die zugrunde liegende Azure-Plattforminfrastruktur (z. B. Azure DNS) zu schützen und erfordert keine Konfiguration der Benutzer.
Aktivieren Sie den DDoS-Standardschutzplan auf Ihrem VNet, um die Anwendungsschicht (Layer 7) gegen Angriffe wie HTTP- und DNS-Fluten zu schützen und Ressourcen abzudecken, die öffentlichen Netzwerken ausgesetzt sind.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: AWS Shield Standard wird automatisch mit Standardminderungen aktiviert, um Ihre Workload vor allgemeinen Netzwerk- und Transportebenen (Layer 3 und 4) DDoS-Angriffen zu schützen
Aktivieren Sie für einen höheren Schutz Ihrer Anwendungen vor Angriffen auf Anwendungsschicht (Layer 7) wie HTTPS-Überschwemmungen und DNS-Überschwemmungen den AWS Shield Advanced-Schutz auf Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Google Cloud Armor bietet die folgenden Optionen zum Schutz von Systemen vor DDoS-Angriffen:
- Standardnetzwerk-DDoS-Schutz: grundlegender Always-On-Schutz für Netzwerklastenausgleichsgeräte, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen.
- Erweiterter DDoS-Schutz im Netzwerk: zusätzliche Schutzfunktionen für Managed Protection Plus-Abonnenten, die Netzwerklastenausgleichsgeräte, Protokollweiterleitungen oder VMs mit öffentlichen IP-Adressen verwenden.
- Standardmäßiger Netzwerk-DDoS-Schutz ist immer aktiviert. Sie konfigurieren den erweiterten DDoS-Schutz des Netzwerks pro Region.
GCP-Implementierung und zusätzlicher Kontext:
- Konfigurieren des erweiterten DDoS-Schutzes für Netzwerke
- Übersicht über Google Cloud Armor
- Übersicht über die Google Cloud Armor Security-Richtlinie
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
NS-6: Bereitstellen einer Web Application Firewall
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Sicherheitsprinzip: Stellen Sie eine Webanwendungsfirewall (WAF) bereit und konfigurieren Sie die entsprechenden Regeln, um Ihre Webanwendungen und APIs vor anwendungsspezifischen Angriffen zu schützen.
Azure-Leitfaden: Verwenden der Funktionen der Webanwendungsfirewall (WAF) in Azure-Anwendungsgateway, Azure Front Door und Azure Content Delivery Network (CDN), um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsschicht am Rand Ihres Netzwerks zu schützen.
Legen Sie Ihre WAF je nach Bedarf und Bedrohungslandschaft auf den Erkennungs- oder den Schutzmodus fest.
Wählen Sie einen integrierten Regelsatz, wie die OWASP Top 10-Sicherheitsrisiken, und passen Sie ihn an Ihre Anwendungsanforderungen an.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden sie AWS Web Application Firewall (WAF) in Amazon CloudFront Distribution, Amazon API Gateway, Application Load Balancer oder AWS AppSync, um Ihre Anwendungen, Dienste und APIs vor Angriffen auf Anwendungsschicht am Rand Ihres Netzwerks zu schützen.
Verwenden Sie AWS Managed Rules für WAF, um integrierte Basisregelgruppen bereitzustellen und sie an die Anforderungen Ihrer Anwendung für spezifische Anwendungsfall-Regelgruppen anzupassen.
Um die Bereitstellung von WAF-Regeln zu vereinfachen, können Sie auch die AWS WAF Security Automations-Lösung verwenden, um vordefinierte AWS WAF-Regeln automatisch bereitzustellen, die webbasierte Angriffe auf Ihre Web-ACL filtern.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Armor, um Ihre Anwendungen und Websites vor Denial-of-Service- und Webangriffen zu schützen.
Verwenden Sie sofort einsatzbereite Regeln von Google Cloud Armor, die auf Branchenstandards basieren, um häufige Sicherheitsrisiken für Webanwendungen zu mindern und schutz vor OWASP Top 10 zu bieten.
Richten Sie Ihre vorkonfigurierten WAF-Regeln ein, die jeweils aus mehreren Signaturen bestehen, die aus ModSecurity Core Rules (CRS) stammen. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz.
Cloud Armor arbeitet in Verbindung mit externen Lastenausgleichsmodulen und schützt vor verteilten Denial-of-Service (DDoS) und anderen webbasierten Angriffen, unabhängig davon, ob die Anwendungen in Google Cloud, in einer Hybridbereitstellung oder in einer Multicloud-Architektur bereitgestellt werden. Sicherheitsrichtlinien können manuell konfiguriert werden, mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie. Cloud Armor bietet auch vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken.
Adaptiver Schutz in Cloud Armor hilft Ihnen, Ihre Anwendung und Dienste vor L7 verteilten Angriffen zu verhindern, zu erkennen und zu schützen, indem Sie Muster des Datenverkehrs an Ihre Back-End-Dienste analysieren, verdächtige Angriffe erkennen und warnen und vorgeschlagene WAF-Regeln generieren, um solche Angriffe zu mindern. Diese Regeln können fein abgestimmt werden, um Ihren Anforderungen gerecht zu werden.
GCP-Implementierung und zusätzlicher Kontext:
- Google Cloud Armor
- Apigee-Dokumentation
- Integrieren von Google Cloud Armor mit anderen Google-Produkten
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
NS-8: Erkennen und Deaktivieren unsicherer Dienste und Protokolle
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Sicherheitsprinzip: Erkennen und Deaktivieren unsicherer Dienste und Protokolle auf der Betriebssystem-, Anwendungs- oder Softwarepaketebene. Stellen Sie ausgleichende Kontrollmechanismen bereit, wenn das Deaktivieren unsicherer Dienste und Protokolle nicht möglich ist.
Azure-Leitfaden: Verwenden Sie die integrierte Insecure-Protokollarbeitsmappe von Microsoft Sentinel, um die Verwendung unsicherer Dienste und Protokolle wie SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, schwache Verschlüsselungen in Kerberos und nicht signierte LDAP-Binds zu ermitteln. Deaktivieren Sie unsichere Dienste und Protokolle, die nicht den entsprechenden Sicherheitsstandard erfüllen.
Hinweis
Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie Ausgleichssteuerelemente, z. B. das Blockieren des Zugriffs auf die Ressourcen über die Netzwerksicherheitsgruppe, die Azure-Firewall oder die Azure-Webanwendungsfirewall, um die Angriffsfläche zu verringern.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Aktivieren Sie VPC-Flow-Logs und verwenden Sie GuardDuty, um die VPC-Flow-Logs zu analysieren und mögliche unsichere Dienste und Protokolle zu identifizieren, die die entsprechenden Sicherheitsstandards nicht erfüllen.
Wenn die Protokolle in der AWS-Umgebung an Microsoft Sentinel weitergeleitet werden können, können Sie auch die integrierte Insecure-Protokollarbeitsmappe von Microsoft Sentinel verwenden, um die Verwendung unsicherer Dienste und Protokolle zu ermitteln.
Hinweis
Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie ausgleichende Kontrollen wie das Blockieren des Zugriffs auf die Ressourcen über Sicherheitsgruppen, AWS Network Firewall, AWS Web Application Firewall, um die Angriffsfläche zu reduzieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Aktivieren Sie VPC Flow Logs und verwenden Sie BigQuery oder das Security Command Center, um die VPC Flow Logs zu analysieren und die möglichen unsicheren Dienste und Protokolle zu identifizieren, die nicht den entsprechenden Sicherheitsstandards entsprechen.
Wenn die Protokolle in der GCP-Umgebung an Microsoft Sentinel weitergeleitet werden können, können Sie auch die integrierte Insecure-Protokollarbeitsmappe von Microsoft Sentinel verwenden, um die Verwendung unsicherer Dienste und Protokolle zu ermitteln. Darüber hinaus können Sie Protokolle an Google Cloud Chronicle SIEM und SOAR weiterleiten und benutzerdefinierte Regeln für denselben Zweck erstellen.
Hinweis
Wenn das Deaktivieren unsicherer Dienste oder Protokolle nicht möglich ist, verwenden Sie kompensierende Maßnahmen, z. B. das Blockieren des Zugriffs auf die Ressourcen durch VPC-Firewallregeln und -richtlinien oder Cloud Armor, um die Angriffsfläche zu verringern.
GCP-Implementierung und zusätzlicher Kontext:
- Verwendung von VPC Flow Logs
- Sicherheitsprotokollanalyse in Google Cloud
- BigQuery-Übersicht - Übersicht über das Security Command Center
- Microsoft Sentinel für GCP-Workloads
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):
NS-9: Herstellen einer privaten lokalen oder Cloudnetzwerkverbindung
| CIS-Steuerelemente v8-ID(n) | NIST SP 800-53 r4 Kennung(en) | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | Nicht verfügbar |
Sicherheitsprinzip: Verwenden Sie private Verbindungen für die sichere Kommunikation zwischen verschiedenen Netzwerken, z. B. Clouddienstanbieter-Rechenzentren und lokale Infrastruktur in einer Colocation-Umgebung.
Azure-Leitfaden: Für eine einfache Standort-zu-Standort- oder Punkt-zu-Standort-Konnektivität verwenden Sie Azure Virtual Private Network (VPN), um eine sichere Verbindung zwischen Ihrem lokalen Standort oder Endbenutzergerät und dem virtuellen Azure-Netzwerk zu erstellen.
Verwenden Sie Azure ExpressRoute (oder Virtual WAN), um Azure-Rechenzentren und lokale Infrastruktur in einer Co-Location-Umgebung für leistungsstarke Verbindungen auf Unternehmensebene zu verbinden.
Wenn Sie mehrere Azure-VNets miteinander verbinden, verwenden Sie das VNet-Peering. Der Netzwerkdatenverkehr zwischen virtuellen Netzwerken mit Peering ist privat und wird im Azure-Backbonenetzwerk gespeichert.
Azure-Implementierung und zusätzlicher Kontext:
- Azure VPN-Übersicht
- Was sind die ExpressRoute-Konnektivitätsmodelle?
- Peering in virtuellen Netzwerken
AWS-Leitfaden: Für Standort-zu-Standort- oder Point-to-Site-Konnektivität verwenden Sie AWS-VPN, um eine sichere Verbindung (wenn IPsec-Overhead kein Problem darstellt) zwischen Ihrem lokalen Standort oder Endbenutzergerät mit dem AWS-Netzwerk zu erstellen.
Für Hochleistungsverbindungen auf Unternehmensebene nutzen Sie AWS Direct Connect, um AWS-VPCs und -Ressourcen mit Ihrer lokalen Infrastruktur in einer Co-Location-Umgebung zu verbinden.
Sie haben die Möglichkeit, VPC-Peering oder ein Transit Gateway zu verwenden, um Verbindungen zwischen zwei oder mehr VPCs innerhalb desselben oder regionsübergreifend herzustellen. Der Netzwerkdatenverkehr zwischen gepeerten VPCs ist privat und wird im AWS-Backbone-Netzwerk übertragen. Wenn Sie mehrere VPCs verknüpfen müssen, um ein großes, flaches Subnetz zu erstellen, haben Sie auch die Möglichkeit, VPC-Sharing zu verwenden.
AWS-Implementierung und zusätzlicher Kontext:
- Einführung in AWS Direct Connect
- AWS VPN-Einführung
- Transitgateway
- Erstellen und Akzeptieren von VPC-Peeringverbindungen
- VPC-Freigabe
GCP-Leitfaden: Für einfache Standort-zu-Standort- oder Point-to-Site-Konnektivität verwenden Sie Google Cloud VPN.
Verwenden Sie für leistungsstarke Verbindungen auf Unternehmensebene Google Cloud Interconnect oder Partner Interconnect, um eine Verbindung mit Google Cloud VPCs und Ressourcen mit Ihrer lokalen Infrastruktur in einer Colocation-Umgebung herzustellen.
Sie haben die Möglichkeit, VPC-Netzwerk-Peering oder das Netzwerk-Konnektivitätscenter zu verwenden, um Verbindungen zwischen zwei oder mehr VPCs innerhalb einer Region oder regionenübergreifend herzustellen. Der Netzwerkdatenverkehr zwischen peered VPCs ist privat und wird im GCP-Backbone-Netzwerk gespeichert. Wenn Sie mehrere VPCs verbinden müssen, um ein großes flaches Subnetz zu erstellen, haben Sie auch die Möglichkeit, Shared VPC zu verwenden.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über Cloud VPN
- Cloud Interconnect, Dedicated Interconnect und Partner Interconnect
- Übersicht über das Netzwerkkonnektivitätscenter
- Private Service Connect
Projektbeteiligte der Kundensicherheit (Erfahren Sie mehr):