Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych, rejestrowanie i wykrywanie zagrożeń oraz zabezpieczenia sieci
Kontrola zabezpieczeń: ochrona danych
Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, zarządzania kluczami i zarządzania certyfikatami.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Zasada zabezpieczeń: Ochrona danych przesyłanych przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.
Określ granicę sieci i zakres usługi, w którym szyfrowanie danych w trakcie przesyłania jest obowiązkowe, zarówno wewnątrz, jak i na zewnątrz sieci. Chociaż jest to opcjonalne w przypadku ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych.
Wskazówki dotyczące platformy Azure: Wymuszanie bezpiecznego transferu w usługach, takich jak Azure Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.
Wymuś protokół HTTPS dla obciążeń i usług aplikacji internetowych, upewniając się, że wszyscy klienci łączący się z zasobami platformy Azure używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
W przypadku zdalnego zarządzania maszynami wirtualnymi platformy Azure użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. W celu bezpiecznego transferu plików należy użyć usługi SFTP/FTPS w usłudze Azure Storage Blob, app service apps i Function, zamiast używać zwykłej usługi FTP.
Uwaga / Notatka
Szyfrowanie danych przesyłanych jest włączone dla całego ruchu platformy Azure przesyłanego między centrami danych platformy Azure. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług platformy Azure. Niektóre usługi, takie jak Azure Storage i Application Gateway, mogą wymuszać protokół TLS w wersji 1.2 lub nowszej po stronie serwera.
Implementacja platformy Azure i dodatkowy kontekst:
- podwójne szyfrowanie danych platformy Azure podczas przesyłania
- Omówienie szyfrowania podczas przesyłania przy użyciu usługi Azure
- informacje na temat zabezpieczeń protokołu TLS
- Wymuszanie bezpiecznego transferu w usłudze Azure Storage
Wskazówki dotyczące platformy AWS: Wymuszanie bezpiecznego transferu w usługach, takich jak Amazon S3, RDS i CloudFront, gdzie wbudowana jest natywna funkcja szyfrowania tranzytowego.
Wymuś protokół HTTPS (na przykład w AWS Elastic Load Balancer) dla aplikacji webowych i usług pracujących obciążeń (po stronie serwera lub klienta, albo po obu), zapewniając, że wszyscy klienci łączący się z zasobami AWS używają TLS w wersji 1.2 lub nowszej.
W przypadku zdalnego zarządzania wystąpieniami usługi EC2 użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Do bezpiecznego transferu plików należy użyć usługi AWS Transfer SFTP lub FTPS zamiast zwykłej usługi FTP.
Uwaga / Notatka
Cały ruch sieciowy między centrami danych platformy AWS jest niewidocznie szyfrowany w warstwie fizycznej. Cały ruch w ramach VPC i między połączonymi sieciami VPC w różnych regionach jest przezroczysto szyfrowany w warstwie sieciowej przy użyciu obsługiwanych typów wystąpień usługi Amazon EC2. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług AWS. Niektóre usługi, takie jak AWS Load Balancer, mogą wymuszać protokół TLS w wersji 1.2 lub nowszej po stronie serwera.
Implementacja platformy AWS i dodatkowy kontekst:
- zasady zabezpieczeń protokołu TLS w usłudze Elastic Load Balancer
- AWS Transfer SFTP i FTPS
Wskazówki dotyczące platformy GCP: Wymuszaj bezpieczny transfer w usługach takich jak Google Cloud Storage, gdzie jest wbudowana funkcja natywnego szyfrowania danych w trakcie przesyłania.
Wymuś protokół HTTPS dla obciążeń i usług aplikacji internetowych, zapewniając, że wszyscy klienci łączący się z zasobami GCP używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej.
Do zdalnego zarządzania Google Cloud Compute Engine użyj protokołu SSH (dla systemu Linux) lub RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. W celu bezpiecznego transferu plików należy użyć usługi SFTP/FTPS w usługach takich jak Google Cloud Big Query lub Cloud App Engine zamiast zwykłej usługi FTP.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Application Security i DevOps
- Zabezpieczenia danych
Kontrola zabezpieczeń: rejestrowanie i wykrywanie zagrożeń
Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń w chmurze oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług w chmurze, w tym włączania wykrywania, badania i procesów korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach w chmurze; Obejmuje również zbieranie dzienników za pomocą usługi monitorowania w chmurze, scentralizowanie analizy zabezpieczeń za pomocą rozwiązania SIEM, synchronizacji czasu i przechowywania dzienników.
LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Zasada zabezpieczeń: włącz rejestrowanie dla usług sieciowych, aby obsługiwać badania zdarzeń związane z siecią, wyszukiwanie zagrożeń i generowanie alertów zabezpieczeń. Dzienniki sieciowe mogą obejmować dzienniki z usług sieciowych, takich jak filtrowanie adresów IP, zapora sieci i aplikacji, system DNS, monitorowanie przepływu itd.
Wskazówki dotyczące platformy Azure: Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników usługi Azure Firewall i dzienników zapory aplikacji internetowej (WAF) oraz dzienników z maszyn wirtualnych za pośrednictwem agenta zbierania danych ruchu sieciowego na potrzeby analizy zabezpieczeń w celu obsługi badań zdarzeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor, a następnie użyć analizy ruchu, aby uzyskać szczegółowe informacje.
Zbierz dzienniki zapytań DNS, aby pomóc w korelowaniu innych danych sieciowych.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak włączyć dzienniki przepływu grupy zabezpieczeń sieciowych
- dzienniki i metryki usługi Azure Firewall
- rozwiązania do monitorowania sieci platformy Azure w usłudze Azure Monitor
- Zbieranie szczegółowych informacji o infrastrukturze DNS przy użyciu rozwiązania DNS Analytics
Wskazówki dotyczące platformy AWS: włącz i zbierz logi sieciowe, takie jak logi przepływu VPC, logi WAF oraz logi zapytań Route53 Resolver do analizy bezpieczeństwa, aby wspierać badania dotyczące incydentów i generowanie alertów bezpieczeństwa. Dzienniki można wyeksportować do usługi CloudWatch na potrzeby monitorowania lub zasobnika magazynu S3, aby przesyłać do rozwiązania Microsoft Sentinel w celu scentralizowanej analizy.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące GCP: Większość dzienników działań sieciowych jest dostępna za pośrednictwem dzienników przepływu VPC, które rejestrują próbkę przepływów sieciowych wysyłanych i odbieranych przez zasoby, w tym instancji używanych jako maszyny wirtualne Google Compute i węzły Kubernetes Engine. Te dzienniki mogą służyć do monitorowania sieci, śledczego, analizy zabezpieczeń w czasie rzeczywistym i optymalizacji wydatków.
Dzienniki przepływów można wyświetlić w Cloud Logging oraz eksportować do docelowych lokalizacji obsługiwanych przez eksport tej usługi. Dzienniki przepływu są agregowane dla połączeń z maszyn wirtualnych Compute Engine i eksportowane w czasie rzeczywistym. Subskrybowając usługę Pub/Sub, możesz analizować dzienniki przepływów przy użyciu interfejsów API przesyłania strumieniowego w czasie rzeczywistym.
Uwaga / Notatka
Można również użyć funkcji dublowania pakietów, która klonuje ruch określonych wystąpień w sieci wirtualnej chmury prywatnej (VPC) i przekazuje go do analizy. Dublowanie pakietów przechwytuje cały ruch i dane pakietów, w tym ładunki i nagłówki.
Implementacja GCP i dodatkowy kontekst:
- Użyj dzienników przepływu VPC
- informacje dotyczące rejestrowania dzienników audytu VPC
- dublowanie pakietów
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Operacje zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- zabezpieczenia aplikacji i DevOps
- Analiza zagrożeń
Kontrola zabezpieczeń: zabezpieczenia sieci
Zabezpieczenia sieci obejmują mechanizmy kontroli zabezpieczania i ochrony sieci, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania i ograniczania ataków zewnętrznych oraz zabezpieczania systemu DNS.
NS-1: Ustanawianie granic segmentacji sieci
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Zasada zabezpieczeń: Upewnij się, że wdrożenie sieci wirtualnej jest zgodne ze strategią segmentacji przedsiębiorstwa zdefiniowaną w kontroli zabezpieczeń GS-2. Każde obciążenie, które może wiązać się z większym ryzykiem dla organizacji, powinno znajdować się w izolowanych sieciach wirtualnych.
Przykłady obciążeń wysokiego ryzyka obejmują:
- Aplikacja przechowująca lub przetwarzająca wysoce poufne dane.
- Zewnętrzna aplikacja dostępna dla sieci publicznej lub użytkowników spoza organizacji.
- Aplikacja korzystająca z niezabezpieczonej architektury lub zawierająca luki w zabezpieczeniach, których nie można łatwo skorygować.
Aby zwiększyć strategię segmentacji przedsiębiorstwa, ogranicz lub monitoruj ruch między zasobami wewnętrznymi przy użyciu mechanizmów kontroli sieci. W przypadku określonych, dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być wysoce bezpieczne podejście "odmów domyślnie, zezwól na wyjątek", ograniczając porty, protokoły, źródłowe i docelowe adresy IP ruchu sieciowego. Jeśli masz wiele aplikacji i punktów końcowych współdziałających ze sobą, blokowanie ruchu może nie działać prawidłowo i może być możliwe tylko monitorowanie ruchu.
Wskazówki dotyczące platformy Azure: Tworzenie sieci wirtualnej jako podstawowego podejścia do segmentacji w sieci platformy Azure, dzięki czemu zasoby, takie jak maszyny wirtualne, można wdrożyć w sieci wirtualnej w granicach sieci. Aby dodatkowo podzielić sieć na segmenty, możesz utworzyć podsieci wewnątrz sieci wirtualnej dla mniejszych podsieci.
Użyj sieciowych grup zabezpieczeń jako kontrolki warstwy sieciowej, aby ograniczyć lub monitorować ruch według portu, protokołu, źródłowego adresu IP lub docelowego adresu IP. Zapoznaj się z tematem NS-7: Upraszczanie konfiguracji zabezpieczeń sieci, aby używać Adaptacyjnego Wzmacniania Sieci do zalecania reguł wzmacniania grup zabezpieczeń sieci na podstawie analizy zagrożeń i wyników analizy ruchu.
Można również użyć grup zabezpieczeń aplikacji (ASG), aby uprościć złożoną konfigurację. Zamiast definiować zasady na podstawie jawnych adresów IP w tradycyjnych sieciowych grupach zabezpieczeń, grupy zabezpieczeń aplikacji (ASG) umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala grupować maszyny wirtualne i definiować polityki bezpieczeństwa sieci na podstawie tych grup.
Implementacja platformy Azure i dodatkowy kontekst:
- Pojęcia i najlepsze rozwiązania dotyczące usługi Azure Virtual Network
- Dodawanie, zmienianie i usuwanie podsieci sieci wirtualnej
- Jak utworzyć sieciową grupę zabezpieczeń przy użyciu reguł zabezpieczeń
- Omówienie i używanie grup zabezpieczeń aplikacji
Wskazówki dotyczące AWS: Utwórz wirtualną chmurę prywatną (VPC) jako podstawowe podejście do segmentacji w sieci AWS, aby zasoby, takie jak instancje EC2, można było wdrożyć w VPC w obrębie granicy sieci. Aby dodatkowo podzielić sieć na segmenty, możesz utworzyć podsieci wewnątrz sieci VPC dla mniejszych podsieci.
W przypadku wystąpień usługi EC2 użyj grup zabezpieczeń jako zapory stanowej, aby ograniczyć ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Na poziomie podsieci VPC używaj listy kontroli dostępu do sieci (NACL) jako zapory sieciowej bezstanowej, aby ustanowić wyraźne reguły dla ruchu przychodzącego i wychodzącego z podsieci.
Uwaga / Notatka
Aby kontrolować ruch VPC, należy skonfigurować bramę internetową oraz bramę NAT, aby zapewnić, że ruch z/do Internetu jest ograniczony.
Implementacja platformy AWS i dodatkowy kontekst:
- Kontrola ruchu na instancjach EC2 za pomocą grup zabezpieczeń
- Porównaj grupy zabezpieczeń i listy kontroli dostępu sieciowego (ACL)
- Brama internetowa
- Brama translatora adresów sieciowych
Wskazówki dotyczące GCP: Utwórz sieć wirtualną chmury prywatnej (VPC) jako podstawowy sposób segmentacji w swojej sieci GCP, aby zasoby, takie jak instancje maszyn wirtualnych Compute Engine, mogły być wdrażane w sieci VPC w obrębie granic sieciowych. Aby dodatkowo podzielić sieć na segmenty, możesz utworzyć podsieci wewnątrz sieci VPC dla mniejszych podsieci.
Użyj reguł zapory VPC jako rozproszonego systemu kontroli warstwy sieciowej, aby zezwolić na połączenia do lub z docelowych instancji w sieci VPC, w tym maszyn wirtualnych, klastrów Google Kubernetes Engine (GKE) i instancji w elastycznym środowisku usługi App Engine.
Reguły zapory VPC można również skonfigurować tak, aby były przeznaczone dla wszystkich wystąpień w sieci VPC, wystąpień z pasującym tagiem sieciowym lub wystąpień korzystających z określonego konta usługi, umożliwiając grupowanie wystąpień i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.
Implementacja GCP i dodatkowy kontekst:
- Tworzenie sieci VPC i zarządzanie nimi
- Podsieci VPC Google Cloud
- Używanie reguł zapory VPC
- Dodawanie tagów sieciowych
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps
NS-2: Zabezpieczanie usług natywnych dla chmury za pomocą kontrolek sieci
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Zasada zabezpieczeń: Zabezpieczanie usług w chmurze przez ustanowienie prywatnego punktu dostępu dla zasobów. Należy również wyłączyć lub ograniczyć dostęp z sieci publicznych, jeśli to możliwe.
Wskazówki dotyczące platformy Azure: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure, które obsługują funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów. Korzystanie z usługi Private Link powoduje, że połączenie prywatne nie jest przekierowywane przez sieć publiczną.
Uwaga / Notatka
Niektóre usługi platformy Azure mogą również zezwalać na prywatną komunikację za pośrednictwem funkcji punktu końcowego usługi, chociaż zaleca się używanie usługi Azure Private Link do bezpiecznego i prywatnego dostępu do usług hostowanych na platformie Azure.
W przypadku niektórych usług można wdrożyć integrację sieci wirtualnej dla usługi, w której można ograniczyć sieć wirtualną do ustanowienia prywatnego punktu dostępu dla usługi.
Istnieje również możliwość skonfigurowania wbudowanych reguł listy kontroli dostępu (ACL) sieci usługi lub po prostu wyłączenia dostępu z sieci publicznej, aby zablokować dostęp z takich sieci.
W przypadku maszyn wirtualnych platformy Azure, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do interfejsu maszyny wirtualnej i zamiast tego używać usług bramy lub modułu równoważenia obciążenia jako frontonu w celu uzyskania dostępu przez sieć publiczną.
Implementacja platformy Azure i dodatkowy kontekst:
- Zrozumienie usługi Azure Private Link
- Integrowanie usług platformy Azure z sieciami wirtualnymi na potrzeby izolacji sieci
Wskazówki dotyczące platformy AWS: Wdrażanie usługi VPC PrivateLink dla wszystkich zasobów platformy AWS obsługujących funkcję PrivateLink w celu umożliwienia połączenia prywatnego z obsługiwanymi usługami AWS lub usługami hostowanymi przez inne konta platformy AWS (usługi punktu końcowego VPC). Korzystanie z usługi PrivateLink powoduje, że połączenie prywatne nie jest przekierowywane przez sieć publiczną.
W przypadku niektórych usług możesz wdrożyć wystąpienie usługi we własnym VPC, aby odizolować ruch.
Istnieje również możliwość skonfigurowania natywnych reguł ACL usługi w celu zablokowania dostępu z sieci publicznej. Na przykład usługa Amazon S3 umożliwia blokowanie dostępu publicznego na poziomie zasobnika lub konta.
Podczas przypisywania adresów IP do zasobów usługi w VPC, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do zasobów i zamiast tego używać prywatnych adresów IP/podsieci.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Wdrażanie implementacji prywatnego dostępu do Google VPC dla wszystkich zasobów GCP, które go obsługują, w celu ustanowienia prywatnego punktu dostępu dla tych zasobów. Te opcje dostępu prywatnego uniemożliwiają routing połączenia prywatnego za pośrednictwem sieci publicznej. Prywatny dostęp Google ma instancje maszyn wirtualnych, które mają tylko wewnętrzne adresy IP, bez zewnętrznych adresów IP.
W przypadku niektórych usług możesz wdrożyć wystąpienie usługi we własnym VPC, aby odizolować ruch. Istnieje również możliwość skonfigurowania natywnych reguł ACL usługi w celu zablokowania dostępu z sieci publicznej. Na przykład zapora usługi App Engine umożliwia kontrolowanie, który ruch sieciowy jest dozwolony lub odrzucany podczas komunikacji z zasobem usługi App Engine. Usługa Cloud Storage to kolejny zasób, w którym można wymusić zapobieganie dostępowi publicznej dla poszczególnych zasobników lub na poziomie organizacji.
W przypadku maszyn wirtualnych aparatu obliczeniowego GCP, chyba że istnieje silny przypadek użycia, należy unikać przypisywania publicznych adresów IP/podsieci bezpośrednio do interfejsu maszyny wirtualnej i zamiast tego używać usług bramy lub modułu równoważenia obciążenia jako frontonu w celu uzyskania dostępu przez sieć publiczną.
Implementacja GCP i dodatkowy kontekst:
- Prywatny dostęp do usługi Google
- Opcje dostępu prywatnego dla usług
- Zrozumienie zapory usługi App Engine
- Magazyn w chmurze — zapobieganie dostępowi publicznemu
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps
NS-3: Wdrażanie zapory na brzegu sieci przedsiębiorstwa
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Zasada zabezpieczeń: Wdróż zaporę, aby przeprowadzić zaawansowane filtrowanie ruchu sieciowego do i z sieci zewnętrznych. Za pomocą zapór między segmentami wewnętrznymi można również obsługiwać strategię segmentacji. Jeśli jest to wymagane, użyj tras niestandardowych dla podsieci, aby przesłonić trasę systemową, gdy musisz wymusić przejście przez urządzenie sieciowe do celów kontroli zabezpieczeń.
Co najmniej blokuj znane złe adresy IP i protokoły wysokiego ryzyka, takie jak zdalne zarządzanie (na przykład RDP i SSH) i protokoły intranetowe (na przykład SMB i Kerberos).
Wskazówki dotyczące platformy Azure: Użyj usługi Azure Firewall, aby zapewnić w pełni stanowe filtrowanie ruchu warstwy aplikacji (np. filtrowanie URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub spokes (w topologii hub/spoke).
Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie tras zdefiniowanych przez użytkownika w celu zapewnienia, że ruch przechodzi przez żądaną trasę. Możesz na przykład skorzystać z opcji użycia trasy zdefiniowanej przez użytkownika (UDR) do przekierowywania ruchu internetowego wychodzącego za pośrednictwem określonego firewall'a Azure lub wirtualnego urządzenia sieciowego.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: Użyj zapory sieciowej platformy AWS, aby zapewnić w pełni stanowe ograniczenie ruchu warstwy aplikacji (takie jak filtrowanie adresów URL) i/lub centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub szprych (w topologii piasty/szprych).
Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, może być konieczne utworzenie niestandardowych tabel tras VPC, aby upewnić się, że ruch przechodzi przez żądaną trasę. Możesz na przykład użyć trasy niestandardowej w celu przekierowania ruchu wychodzącego do Internetu przez określoną zaporę sieciową AWS lub wirtualne urządzenie sieciowe.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Użyj zasad zabezpieczeń google Cloud Armor, aby zapewnić filtrowanie i ochronę typowych ataków internetowych w warstwie 7. Ponadto użyj reguł zapory VPC do zapewnienia rozproszonego, w pełni stanowego ograniczenia ruchu w warstwie sieciowej oraz zasad zapory umożliwiających centralne zarządzanie dużą liczbą segmentów przedsiębiorstwa lub odgałęzień (w topologii piasta/odgałęzienia).
Jeśli masz złożoną topologię sieci, taką jak konfiguracja piasty/szprych, utwórz zasady zapory, które grupują reguły zapory i mają być hierarchiczne, aby mogły być stosowane do wielu sieci VPC.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps
NS-5: Wdrażanie ochrony przed atakami DDOS
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Zasada zabezpieczeń: Wdrażanie ochrony przed rozproszoną odmową usługi (DDoS) w celu ochrony sieci i aplikacji przed atakami.
Wskazówki dotyczące platformy Azure: Usługa DDoS Protection w warstwie Podstawowa jest automatycznie włączona w celu ochrony podstawowej infrastruktury platformy Azure (np. usługi Azure DNS) i nie wymaga konfiguracji od użytkowników.
W przypadku wyższych poziomów ochrony ataków warstwy aplikacji (warstwa 7), takich jak powodzie HTTP i powodzie DNS, włącz plan ochrony przed atakami DDoS w sieci wirtualnej w celu ochrony zasobów, które są narażone na sieci publiczne.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: Usługa AWS Shield Standard jest automatycznie włączona przy użyciu standardowych środków zaradczych w celu ochrony obciążenia przed typowymi atakami DDoS w warstwie sieciowej i transportowej (warstwa 3 i 4)
Aby uzyskać wyższy poziom ochrony aplikacji przed atakiem warstwy aplikacji (warstwa 7), takim jak powodzie HTTPS i powodzie DNS, włącz usługę AWS Shield Advanced Protection w usłudze Amazon EC2, elastic load balancing (ELB), Amazon CloudFront, AWS Global Accelerator i Amazon Route 53.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Usługa Google Cloud Armor oferuje następujące opcje, które ułatwiają ochronę systemów przed atakami DDoS:
- Standardowa ochrona przed atakami DDoS sieci: podstawowa ochrona zawsze włączona dla modułów równoważenia obciążenia sieciowego, przekazywania protokołu lub maszyn wirtualnych z publicznymi adresami IP.
- Zaawansowana ochrona przed atakami DDoS sieci: dodatkowe zabezpieczenia dla subskrybentów usługi Managed Protection Plus korzystających z modułów równoważenia obciążenia sieciowego, przekazywania protokołu lub maszyn wirtualnych z publicznymi adresami IP.
- Standardowa ochrona sieci przed DDoS jest zawsze włączona. Zaawansowana ochrona przed atakami DDoS sieci jest konfigurowana dla poszczególnych regionów.
Implementacja GCP i dodatkowy kontekst:
- Konfigurowanie zaawansowanej ochrony przed atakami DDoS sieci
- Omówienie usługi Google Cloud Armor
- Omówienie zasad usługi Google Cloud Armor Security
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps
NS-6: Wdrażanie zapory aplikacji internetowej
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Zasada zabezpieczeń: Wdrażanie zapory aplikacji internetowej (WAF) i konfigurowanie odpowiednich reguł w celu ochrony aplikacji internetowych i interfejsów API przed atakami specyficznymi dla aplikacji.
Wskazówki dotyczące platformy Azure: korzystanie z funkcji zapory aplikacji internetowych w usłudze Azure Application Gateway, usłudze Azure Front Door i usłudze Azure Content Delivery Network (CDN) w celu ochrony aplikacji, usług i interfejsów API przed atakami warstwy aplikacji na brzegu sieci.
Ustaw swoją WAF (zapora aplikacji internetowej) w trybie "wykrywania" lub "zapobiegania", w zależności od potrzeb i krajobrazu zagrożeń.
Wybierz wbudowany zestaw reguł, taki jak luki w zabezpieczeniach OWASP Top 10, i dostosuj go do potrzeb aplikacji.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: Korzystanie z zapory Web Application Firewall (WAF) platformy AWS w dystrybucji Amazon CloudFront, usłudze Amazon API Gateway, Application Load Balancer lub AWS AppSync w celu ochrony aplikacji, usług i interfejsów API przed atakami na warstwie aplikacji na brzegu sieci.
Użyj reguł zarządzanych AWS WAF, aby wdrożyć wbudowane grupy bazowe i dostosować je do potrzeb Twojej aplikacji dla grup reguł dla przypadków użycia.
Aby uprościć wdrażanie reguł AWS WAF, możesz również użyć rozwiązania AWS WAF Security Automations, aby automatycznie wdrażać wstępnie zdefiniowane reguły AWS WAF, które filtrują ataki internetowe w twojej liście ACL sieci Web.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Użyj narzędzia Google Cloud Armor, aby chronić aplikacje i witryny internetowe przed atakami typu "odmowa usługi" i ataków internetowych.
Użyj wbudowanych reguł google Cloud Armor opartych na standardach branżowych, aby wyeliminować typowe luki w zabezpieczeniach aplikacji internetowych i zapewnić ochronę przed OWASP Top 10.
Skonfiguruj predefiniowane reguły zapory aplikacji internetowej, każda z nich składa się z wielu podpisów pochodzących z reguł ModSecurity Core Rules (CRS). Każdy podpis odpowiada regule wykrywania ataków w zestawie reguł.
Usługa Cloud Armor działa w połączeniu z zewnętrznymi modułami równoważenia obciążenia i chroni przed rozproszoną odmową usługi (DDoS) i innymi atakami internetowymi, niezależnie od tego, czy aplikacje są wdrażane w chmurze Google Cloud, we wdrożeniu hybrydowym, czy w architekturze wielochmurowej. Zasady zabezpieczeń można skonfigurować ręcznie, z konfigurowalnymi warunkami dopasowania i akcjami w zasadach zabezpieczeń. Usługa Cloud Armor oferuje również wstępnie skonfigurowane zasady zabezpieczeń, które obejmują różne przypadki użycia.
Funkcja adaptacyjnej ochrony w usłudze Cloud Armor pomaga zapobiegać, wykrywać i chronić aplikacje i usługi przed atakami rozproszonymi na poziomie warstwy L7, analizując wzorce ruchu od strony zaplecza, wykrywając i ostrzegając przed podejrzanymi atakami oraz generując sugerowane reguły zapory aplikacji internetowej w celu złagodzenia takich ataków. Te reguły można dostosować w celu spełnienia Twoich potrzeb.
Implementacja GCP i dodatkowy kontekst:
- Google Cloud Armor
- Dokumentacja usługi Apigee
- Integrowanie aplikacji Google Cloud Armor z innymi produktami Google
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps
NS-8: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Zasada zabezpieczeń: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów w warstwie systemu operacyjnego, aplikacji lub pakietu oprogramowania. Wdróż mechanizmy kontroli wyrównywającej, jeśli wyłączenie niezabezpieczonych usług i protokołów nie jest możliwe.
Wskazówki dotyczące platformy Azure: Użyj wbudowanego skoroszytu protokołu niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów, takich jak SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, słabe szyfry w protokole Kerberos i niepodpisane powiązania LDAP. Wyłącz niezabezpieczone usługi i protokoły, które nie spełniają odpowiedniego standardu zabezpieczeń.
Uwaga / Notatka
Jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem sieciowej grupy zabezpieczeń, usługi Azure Firewall lub zapory aplikacji internetowej platformy Azure, aby zmniejszyć obszar ataków.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: włącz dzienniki przepływu VPC i użyj funkcji GuardDuty, aby przeanalizować dzienniki przepływu VPC w celu zidentyfikowania możliwych niezabezpieczonych usług i protokołów, które nie spełniają odpowiedniego standardu zabezpieczeń.
Jeśli dzienniki w środowisku platformy AWS mogą być przekazywane do usługi Microsoft Sentinel, możesz również użyć wbudowanego skoroszytu protokołu Niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów
Uwaga / Notatka
Jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem grup zabezpieczeń, zapory sieciowej platformy AWS, zapory aplikacji internetowej platformy AWS, aby zmniejszyć obszar ataków.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Włącz dzienniki przepływu VPC i użyj trybu BigQuery lub Security Command Center, aby przeanalizować dzienniki przepływu VPC w celu zidentyfikowania możliwych niezabezpieczonych usług i protokołów, które nie spełniają odpowiedniego standardu zabezpieczeń.
Jeśli dzienniki w środowisku GCP można przekazać do usługi Microsoft Sentinel, możesz również użyć wbudowanego skoroszytu protokołu Niezabezpieczonego usługi Microsoft Sentinel, aby odnaleźć użycie niezabezpieczonych usług i protokołów. Ponadto można przekazywać dzienniki do usługi Google Cloud Chronicle SIEM i SOAR oraz tworzyć niestandardowe reguły w tym samym celu.
Uwaga / Notatka
Jeśli wyłączenie niezabezpieczonych usług lub protokołów nie jest możliwe, użyj mechanizmów wyrównywalnych, takich jak blokowanie dostępu do zasobów za pośrednictwem reguł i zasad zapory VPC lub cloud Armor w celu zmniejszenia obszaru ataków.
Implementacja GCP i dodatkowy kontekst:
- Użyj dzienników przepływu VPC
- Analiza dzienników zabezpieczeń w usłudze Google Cloud
- Omówienie BigQuery - Omówienie Security Command Center
- Usługa Microsoft Sentinel dla obciążeń GCP
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps
NS-9: Łączenie sieci lokalnej lub chmurowej prywatnie
| Identyfikatory Kontroli CIS w wersji 8 | ID NIST SP 800-53 r4 | identyfikatoryPCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/A |
Zasada zabezpieczeń: używaj połączeń prywatnych do bezpiecznej komunikacji między różnymi sieciami, takimi jak centra danych dostawcy usług w chmurze i infrastruktura lokalna w środowisku kolokacji.
Wskazówki dotyczące platformy Azure: W przypadku uproszczonej łączności typu lokacja-lokacja lub połączenia punkt-lokacja użyj wirtualnej sieci prywatnej (VPN) platformy Azure, aby utworzyć bezpieczne połączenie między lokacją lokalną lub urządzeniem użytkownika końcowego a siecią wirtualną platformy Azure.
W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi Azure ExpressRoute (lub virtual WAN), aby połączyć centra danych platformy Azure i infrastrukturę lokalną w środowisku wspólnej lokalizacji.
Podczas łączenia dwóch lub większej liczby sieci wirtualnych platformy Azure używaj sparowania sieci wirtualnych. Ruch sieciowy między równorzędnymi sieciami wirtualnymi jest prywatny i przekazywany w sieci szkieletowej platformy Azure.
Implementacja platformy Azure i dodatkowy kontekst:
- Omówienie sieci VPN platformy Azure
- Jakie są modele łączności usługi ExpressRoute
- Peering sieci wirtualnych
Wskazówki dotyczące platformy AWS: w przypadku łączności typu lokacja-lokacja lub połączenia typu punkt-lokacja użyj sieci VPN platformy AWS, aby utworzyć bezpieczne połączenie (gdy obciążenie protokołu IPsec nie jest problemem) między lokacją lokalną lub urządzeniem użytkownika końcowego z siecią awS.
W przypadku połączeń o wysokiej wydajności na poziomie przedsiębiorstwa użyj usługi AWS Direct Connect, aby połączyć sieci VPN i zasoby platformy AWS z infrastrukturą lokalną w środowisku współlokacyjnym.
Istnieje możliwość używania komunikacji równorzędnej VPC lub bramy tranzytowej w celu ustanowienia łączności między co najmniej dwoma wirtualnymi kontrolerami sieci w ramach lub między regionami. Ruch sieciowy między sparowanymi sieciami VPC jest prywatny i przesyłany w sieci szkieletowej AWS. Jeśli musisz dołączyć wiele sieci VPC, aby utworzyć duży płaski segment sieci, możesz również użyć VPC Sharing.
Implementacja platformy AWS i dodatkowy kontekst:
- Wprowadzenie do programu AWS Direct Connect
- Wprowadzenie do sieci VPN platformy AWS
- Brama tranzytowa
- Tworzenie i akceptowanie połączeń peeringowych VPC
- Udostępnianie VPC
Wskazówki GCP: dla lekkiej łączności typu lokacja-lokacja lub punkt-lokacja można użyć Google Cloud VPN.
W celu uzyskania wysokowydajnych połączeń na poziomie przedsiębiorstwa użyj Google Cloud Interconnect lub Partner Interconnect, aby połączyć się z sieciami VPC i zasobami Google Cloud za pomocą lokalnej infrastruktury w środowisku kolokacyjnym.
Istnieje możliwość używania peeringu sieci VPC lub Centrum Łączności Sieciowej w celu ustanowienia łączności między dwoma lub więcej sieciami VPC w obrębie lub pomiędzy regionami. Ruch sieciowy między równorzędnymi sieciami VPC jest prywatny i jest kierowany w sieci szkieletowej GCP. Jeśli musisz dołączyć wiele sieci VPC, aby utworzyć dużą płaską podsieć, możesz również użyć współdzielonej sieci VPC.
Implementacja GCP i dodatkowy kontekst:
- Omówienie sieci VPN w chmurze
- Interkonekt chmurowy, dedykowane interkonekt, i interkonekt partnerski
- Omówienie centrum łączności sieciowej
- Private Service Connect
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- zarządzanie postawą
- Application Security i DevOps