Microsoft Cloud Security Benchmark: Proteção de Dados, Registro em Log e Detecção de Ameaças e Segurança de Rede
Controle de Segurança: Proteção de dados
A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados.
DP-3: Criptografar dados confidenciais em trânsito
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Princípio de segurança: proteja os dados em trânsito contra ataques "fora de banda" (como captura de tráfego) usando criptografia para garantir que os invasores não possam ler ou modificar facilmente os dados.
Defina o limite de rede e o escopo do serviço onde a criptografia de dados em trânsito é obrigatória dentro e fora da rede. Embora isso seja opcional para o tráfego em redes privadas, isso é fundamental para o tráfego em redes externas e públicas.
Diretrizes do Azure: imponha a transferência segura em serviços como o Armazenamento do Azure, em que um recurso de criptografia de trânsito de dados nativos é integrado.
Imponha HTTPS para cargas de trabalho e serviços de aplicativo Web, garantindo que todos os clientes que se conectam aos recursos do Azure usem tls (segurança de camada de transporte) v1.2 ou posterior. Para o gerenciamento remoto de VMs, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.
Para o gerenciamento remoto de máquinas virtuais do Azure, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivos, use o serviço SFTP/FTPS no Blob de Armazenamento do Azure, aplicativos do Serviço de Aplicativo e aplicativos de funções, em vez de usar o serviço FTP regular.
Observação
A criptografia de dados em trânsito está habilitada para todo o tráfego do Azure que trafega entre datacenters do Azure. O TLS v1.2 ou posterior está habilitado na maioria dos serviços do Azure por padrão. E alguns serviços, como o Armazenamento do Azure e o Gateway de Aplicativo, podem impor o TLS v1.2 ou posterior no lado do servidor.
Implementação do Azure e contexto adicional:
- Criptografia dupla para dados do Azure em trânsito
- Entender a criptografia em trânsito com o Azure
- Informações sobre a segurança do TLS
- Impor transferência segura no armazenamento do Azure
Diretrizes da AWS: impor transferência segura em serviços como Amazon S3, RDS e CloudFront, em que um recurso de criptografia de dados nativos em trânsito é integrado.
Imponha HTTPS (como no AWS Elastic Load Balancer) para serviços e aplicativos Web de carga de trabalho (no lado do servidor ou no lado do cliente ou em ambos) garantindo que todos os clientes que se conectam aos seus recursos do AWS usem o TLS v1.2 ou posterior.
Para o gerenciamento remoto de instâncias EC2, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivo, use o serviço SFTP ou FTPS de Transferência do AWS em vez de um serviço FTP regular.
Observação
Todo o tráfego de rede entre data centers do AWS é criptografado de forma transparente na camada física. Todo o tráfego em um VPC e entre VPCs emparelhadas entre regiões é criptografado de forma transparente na camada de rede ao usar tipos de instância do Amazon EC2 com suporte. O TLS v1.2 ou posterior está habilitado na maioria dos serviços do AWS por padrão. E alguns serviços, como o AWS Load Balancer, podem impor o TLS v1.2 ou posterior no lado do servidor.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: impor a transferência segura em serviços como o Google Cloud Storage, em que um recurso de criptografia de trânsito de dados nativos é integrado.
Garanta HTTPS para cargas de trabalho e serviços de aplicativo web, garantindo que todos os clientes que se conectam aos recursos do GCP usem TLS (segurança de camada de transporte) v1.2 ou posterior.
Para gerenciamento remoto, o Google Cloud Compute Engine usa SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivos, use o serviço SFTP/FTPS em serviços como o Google Cloud Big Query ou o Cloud App Engine em vez de um serviço FTP regular.
Implementação do GCP e contexto adicional:
- Criptografia em trânsito
- Criptografia em trânsito no Google Cloud
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Segurança de infraestrutura e de ponto de extremidade
- Segurança de Aplicações e DevOps
- Segurança de Dados
Controle de segurança: registro em log e detecção de ameaças
O registro em log e detecção de ameaças abrange controles para detectar ameaças na nuvem e habilitar, coletar e armazenar logs de auditoria para serviços de nuvem, incluindo habilitar processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços de nuvem; ele também inclui coletar logs com um serviço de monitoramento de nuvem, centralizar a análise de segurança com um SIEM, sincronização de tempo e retenção de log.
LT-4: Habilitar o registro em log de rede para investigação de segurança
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Princípio de segurança: habilite o registro em log para seus serviços de rede para dar suporte a investigações de incidentes relacionadas à rede, busca de ameaças e geração de alertas de segurança. Os logs de rede podem incluir logs de serviços de rede, como filtragem de IP, firewall de rede e aplicativo, DNS, monitoramento de fluxo e assim por diante.
Diretrizes do Azure: Habilite e colete logs de recursos do NSG (grupo de segurança de rede), logs de fluxo do NSG, logs do Firewall do Azure e logs do WAF (Firewall de Aplicativo Web) e logs de máquinas virtuais através do agente de coleta de dados de tráfego de rede para análises de segurança, a fim de dar suporte a investigações de incidentes e geração de alertas de segurança. Você pode enviar os logs de fluxo para um workspace do Log Analytics do Azure Monitor e, em seguida, usar a Análise de Tráfego para fornecer insights.
Colete logs de consulta DNS para ajudar a correlacionar outros dados de rede.
Implementação do Azure e contexto adicional:
- Como habilitar os logs de fluxo do Grupo de Segurança de Rede
- Logs e métricas do Firewall do Azure
- soluções de monitoramento de rede do Azure no Azure Monitor
- Reunir insights sobre sua infraestrutura DNS com a solução de Análise de DNS
Diretrizes da AWS: Habilite e colete logs de rede, como logs de fluxo da VPC, logs de WAF e logs de consulta do Resolvedor do Route53 para a análise de segurança, dar suporte a investigações de incidentes e gerar alertas de segurança. Os logs podem ser exportados para o CloudWatch para monitoramento ou um bucket de armazenamento S3 para ingestão na solução do Microsoft Sentinel para análise centralizada.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: a maioria dos logs de atividades de rede está disponível por meio dos VPC Flow Logs, que registram uma amostra de fluxos de rede enviados e recebidos por recursos, incluindo instâncias usadas como VMs do Google Compute Engine, nós do Google Kubernetes Engine. Esses logs podem ser usados para monitoramento de rede, perícia, análise de segurança em tempo real e otimização de despesas.
Você pode visualizar logs de fluxo no Cloud Logging e exportar logs para destinos compatíveis com a exportação do Cloud Logging. Os logs de fluxo são agregados por conexão das VMs do Mecanismo de Computação e exportados em tempo real. Ao assinar o Pub/Sub, você pode analisar logs de fluxo usando APIs de streaming em tempo real.
Observação
Você também pode usar o Espelhamento de Pacotes, que clona o tráfego de instâncias especificadas em sua rede VPC (Nuvem Privada Virtual) e encaminha-o para análise. O Espelhamento de Pacotes captura todos os dados de tráfego e pacotes, incluindo cargas e cabeçalhos.
Implementação do GCP e contexto adicional:
Interessados na segurança do cliente (Saiba mais):
- operações de segurança
- Segurança de infraestrutura e de ponto de extremidade
- segurança de aplicações e DevOps
- Informações sobre ameaças
Controle de Segurança: Segurança de rede
A Segurança de Rede abrange controles para proteger e proteger redes, incluindo proteger redes virtuais, estabelecer conexões privadas, prevenir e mitigar ataques externos e proteger o DNS.
NS-1: estabelecer limites de segmentação de rede
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | Identificações PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: verifique se sua implantação de rede virtual está alinhada à sua estratégia de segmentação empresarial definida no controle de segurança GS-2. Toda carga de trabalho que possa incorrer em risco maior para a organização deve estar em redes virtuais isoladas.
Exemplos de carga de trabalho de alto risco incluem:
- Um aplicativo que armazena ou processa dados altamente confidenciais.
- Um aplicativo externo voltado para a rede acessível pelo público ou pelos usuários fora da sua organização.
- Um aplicativo que usa uma arquitetura insegura ou que contém vulnerabilidades que não podem ser facilmente corrigidas.
Para aprimorar sua estratégia de segmentação corporativa, restrinja ou monitore o tráfego entre os recursos internos usando os controles de rede. Para aplicativos específicos e bem definidos (como um aplicativo de três camadas), isso pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção" restringindo as portas, protocolos, IPs de origem e destino do tráfego de rede. Se você tiver muitos aplicativos e pontos de extremidade interagindo entre si, o bloqueio de tráfego pode não escalar bem, e você pode apenas monitorar o tráfego.
Diretrizes do Azure: crie uma VNet (rede virtual) como uma abordagem de segmentação fundamental em sua rede do Azure, para que recursos como VMs possam ser implantados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VNet para sub-redes menores.
Use NSG (grupos de segurança de rede) como um controle de camada de rede para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Consulte o NS-7: Simplifique a configuração de segurança de rede para usar a Proteção Adaptativa de Rede e recomendar regras de endurecimento de NSG com base na inteligência de ameaças e no resultado da análise de tráfego.
Você também pode usar ASGs (grupos de segurança de aplicativos) para simplificar a configuração complexa. Em vez de definir a política com base em endereços IP explícitos nos grupos de segurança de rede, os ASGS permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.
Implementação do Azure e contexto adicional:
- Conceitos e as melhores práticas da Rede virtual do Azure
- Adicionar, alterar ou excluir uma sub-rede de rede virtual
- Como criar um grupo de segurança de rede com regras de segurança
- Entender e usar grupos de segurança de aplicativos
Diretrizes da AWS: crie uma VPC (Nuvem Virtual Privada) como uma abordagem de segmentação fundamental em sua rede AWS, para que recursos como instâncias de EC2 possam ser implantados no VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro do VPC para sub-redes menores.
Para instâncias de EC2, use Grupos de Segurança como um firewall com estado para restringir o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. No nível da sub-rede VPC, use a NACL (Lista de Controle de Acesso à Rede) como um firewall sem estado para ter regras explícitas para o tráfego de entrada e saída para a sub-rede.
Observação
Para controlar o tráfego de VPC, o Gateway de Internet e NAT deve ser configurado para garantir que o tráfego de/para a Internet seja restrito.
Implementação do AWS e contexto adicional:
- Controlar o tráfego para instâncias EC2 com grupos de segurança
- Comparar grupos de segurança e ACLs de rede
- Internet Gateway
- Gateway da NAT
Diretrizes do GCP: crie uma rede VPC (nuvem virtual privada) como uma abordagem de segmentação fundamental em sua rede GCP, para que recursos como VMs (instâncias de máquina virtual) do mecanismo de computação possam ser implantados na rede VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro do VPC para sub-redes menores.
Use regras de firewall de VPC como um controle de camada de rede distribuída para permitir ou negar conexões de ou para suas instâncias de destino na rede VPC, que incluem VMs, clusters do Mecanismo de Kubernetes do Google (GKE) e instâncias de ambiente flexíveis do Mecanismo de Aplicativo.
Você também pode configurar regras de firewall de VPC para direcionar todas as instâncias na rede VPC, instâncias com uma marca de rede correspondente ou instâncias que usam uma conta de serviço específica, permitindo que você agrupe instâncias e defina políticas de segurança de rede com base nesses grupos.
Implementação do GCP e contexto adicional:
- Criar e gerenciar redes VPC
- Sub-redes da VPC do Google Cloud
- Usar regras de firewall do VPC
- Adicionar marcas de rede
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps
NS-2: Proteger serviços nativos de nuvem com controles de rede
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: proteger os serviços de nuvem estabelecendo um ponto de acesso privado para recursos. Você também deve desabilitar ou restringir o acesso de redes públicas quando possível.
Diretrizes do Azure: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso de Link Privado para estabelecer um ponto de acesso privado para os recursos. O uso do Link Privado impede o roteamento da conexão privada pela rede pública.
Observação
Determinados serviços do Azure também podem permitir a comunicação privada por meio do recurso de ponto de extremidade de serviço, embora seja recomendável usar o Link Privado do Azure para acesso seguro e privado aos serviços hospedados na plataforma do Azure.
Para determinados serviços, você pode optar por implantar a integração VNet para o serviço em que pode restringir a VNET para estabelecer um ponto de acesso privado para o serviço.
Você também tem a opção de configurar as regras de ACL de rede nativa do serviço ou simplesmente desabilitar o acesso à rede pública para bloquear o acesso de redes públicas.
Para VMs do Azure, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-rede públicos diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.
Implementação do Azure e contexto adicional:
- Entender o Link Privado do Azure
- Integrar os serviços do Azure com redes virtuais para isolamento de rede
Diretrizes da AWS: implantar o PrivateLink do VPC para todos os recursos do AWS que dão suporte ao recurso PrivateLink, para permitir a conexão privada com os serviços ou serviços AWS com suporte hospedados por outras contas do AWS (serviços de ponto de extremidade VPC). O uso do PrivateLink impede o roteamento da conexão privada pela rede pública.
Para determinados serviços, você pode optar por implantar a instância de serviço em seu próprio VPC para isolar o tráfego.
Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o Amazon S3 permite bloquear o acesso público no nível do bucket ou da conta.
Ao atribuir IPs aos seus recursos de serviço em seu VPC, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-rede públicos diretamente aos seus recursos e, em vez disso, usar IPs/sub-rede privados.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: implantar implementações do VPC Private Google Access para todos os recursos do GCP que dão suporte a ele para estabelecer um ponto de acesso privado para os recursos. Essas opções de acesso privado impedem o roteamento da conexão privada pela rede pública. O Google Access privado tem instâncias de VM que têm apenas endereços IP internos (sem endereços IP externos)
Para determinados serviços, você pode optar por implantar a instância de serviço em seu próprio VPC para isolar o tráfego. Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o firewall do Mecanismo de Aplicativo permite controlar qual tráfego de rede é permitido ou rejeitado ao se comunicar com o recurso do Mecanismo de Aplicativo. O Armazenamento em Nuvem é outro recurso em que você pode impor a prevenção de acesso público em buckets individuais ou no nível da organização.
Para VMs do Mecanismo de Computação GCP, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-redes públicas diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.
Implementação do GCP e contexto adicional:
- Acesso privado do Google
- Opções de acesso privado para serviços
- Noções básicas sobre o firewall do Mecanismo de Aplicativo
- Armazenamento em Nuvem – usar a prevenção de acesso público
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps
NS-3: implantar firewall na borda da rede corporativa
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | PCI-DSS IDs v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implante um firewall para executar filtragem avançada no tráfego de rede de e para redes externas. Você também pode usar firewalls entre segmentos internos para dar suporte a uma estratégia de segmentação. Se necessário, use rotas personalizadas para sua sub-rede para substituir a rota do sistema quando precisar forçar o tráfego de rede a passar por um dispositivo de rede para fins de controle de segurança.
No mínimo, bloqueie endereços IP incorretos e protocolos de alto risco conhecidos, como o gerenciamento remoto (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).
Diretrizes do Azure: Use o Firewall do Azure para fornecer restrição de tráfego de camada de aplicativo totalmente com estado (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia de hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar UDR (rotas definidas pelo usuário) para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma UDR para redirecionar o tráfego de saída da Internet por meio de um Firewall do Azure específico ou de um aplicativo virtual de rede.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: Use o AWS Network Firewall para fornecer restrição de tráfego de camada de aplicativo totalmente com estado (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia de hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar tabelas de rotas VPC personalizadas para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma rota personalizada para redirecionar o tráfego de saída da Internet por meio de um Firewall do AWS específico ou de uma solução de virtualização de rede.
Implementação do AWS e contexto adicional:
Diretrizes da GCP: Use as políticas de segurança do Google Cloud Armor para fornecer filtragem e proteção da Camada 7 de ataques da Web comuns. Além disso, use regras de firewall da VPC para fornecer restrições de tráfego da camada de rede distribuídas e inteiramente com estado, além de políticas de firewall para gestão centralizada de um grande número de segmentos corporativos ou spokes (em uma topologia de hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, crie políticas de firewall que agrupam regras de firewall e sejam hierárquicas para que possam ser aplicadas a várias redes VPC.
Implementação do GCP e contexto adicional:
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps
NS-5: implantar proteção contra DDOS
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Princípio de segurança: implante a proteção contra DDoS (negação de serviço distribuído) para proteger sua rede e aplicativos contra ataques.
Diretrizes do Azure: o DDoS Protection Basic é habilitado automaticamente para proteger a infraestrutura da plataforma subjacente do Azure (por exemplo, DNS do Azure) e não requer nenhuma configuração dos usuários.
Para níveis mais altos de proteção de ataques de camada de aplicativo (Camada 7), como inundações HTTP e inundações de DNS, habilite o plano de proteção padrão DDoS em sua VNet para proteger os recursos expostos às redes públicas.
Implementação do Azure e contexto adicional:
Diretrizes do AWS: o AWS Shield Standard é habilitado automaticamente com mitigações padrão para proteger sua carga de trabalho contra ataques DDoS de rede e transporte comuns (Camada 3 e 4)
Para níveis mais altos de proteção de seus aplicativos contra ataques de camada de aplicativo (Camada 7), como inundações HTTPS e inundações de DNS, habilite a proteção avançada do AWS Shield no Amazon EC2, ELB (Balanceamento de Carga Elástico), Amazon CloudFront, Acelerador Global da AWS e Amazon Route 53.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: o Google Cloud Armor oferece as seguintes opções para ajudar a proteger sistemas contra ataques de DDoS:
- Proteção DDoS de rede padrão: proteção contínua básica para balanceadores de carga de rede, encaminhamento de protocolo ou máquinas virtuais com endereços IP públicos.
- Proteção de DDoS de rede avançada: proteções adicionais para assinantes da Proteção Gerenciada Plus que usam balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
- A proteção DDoS de rede padrão está sempre habilitada. Você configura a proteção DDoS de rede avançada por região.
Implementação do GCP e contexto adicional:
- Configurar proteção DDoS de rede avançada
- Visão geral do Google Cloud Armor
- Visão geral da política do Google Cloud Armor Security
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps
NS-6: implantar firewall do aplicativo Web
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Princípio de segurança: implante um WAF (firewall de aplicativo Web) e configure as regras apropriadas para proteger seus aplicativos Web e APIs contra ataques específicos do aplicativo.
Diretrizes do Azure: use recursos de WAF (firewall de aplicativo Web) no Gateway de Aplicativo do Azure, no Azure Front Door e na CDN (Rede de Distribuição de Conteúdo) do Azure para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da rede.
Defina seu WAF em "detecção" ou "modo de prevenção", dependendo de suas necessidades e do cenário da ameaça.
Escolha um conjunto de regras interno, como as principais vulnerabilidades do OWASP 10, e ajuste-o de acordo com as necessidades do aplicativo.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: use o WAF (Firewall de Aplicativo Web) da AWS na distribuição do Amazon CloudFront, no Gateway de API do Amazon, no Application Load Balancer ou no AWS AppSync para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da rede.
Use as Regras Gerenciadas pela AWS para WAF para implantar grupos de linha de base internos e personalizá-los de acordo com as necessidades do aplicativo para os grupos de regras de caso de usuário.
Para simplificar a implantação de regras do WAF, você também pode usar a solução de Automações de Segurança de WAF do AWS para implantar automaticamente regras de WAF do AWS predefinidas que filtram ataques baseados na Web em sua ACL Web.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: use o Google Cloud Armor para ajudar a proteger seus aplicativos e sites contra ataques de negação de serviço e web.
Use as regras prontas para uso do Google Cloud Armor com base nos padrões do setor para atenuar vulnerabilidades comuns de aplicativos Web e ajudar a fornecer proteção contra o OWASP Top 10.
Configure suas regras de WAF pré-configuradas, cada uma consistindo em várias assinaturas provenientes de CRS (ModSecurity Core Rules). Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras.
O Cloud Armor funciona em conjunto com balanceadores de carga externos e protege contra DDoS (negação de serviço distribuído) e outros ataques baseados na Web, sejam eles implantados no Google Cloud, em uma implantação híbrida ou em uma arquitetura multinuvem. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência configuráveis e ações em uma política de segurança. O Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem uma variedade de casos de uso.
A Proteção Adaptável no Cloud Armor ajuda você a prevenir, detectar e proteger seus aplicativos e serviços contra ataques distribuídos L7 analisando padrões de tráfego para seus serviços de back-end, detectando e alertando ataques suspeitos e gerando regras sugeridas do WAF para atenuar esses ataques. Essas regras podem ser ajustadas para atender às suas necessidades.
Implementação do GCP e contexto adicional:
- Google Cloud Armor
- Documentação do Apigee
- Integrando o Google Cloud Armor a outros produtos do Google
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps
NS-8: detectar e desabilitar serviços e protocolos não seguros
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Princípio de segurança: detectar e desabilitar serviços e protocolos inseguros na camada do sistema operacional, aplicativo ou pacote de software. Implante controles de compensação se não for possível desabilitar serviços e protocolos inseguros.
Diretrizes do Azure: use o caderno de trabalho de protocolo inseguro interno do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cifras fracas no Kerberos e vinculações LDAP não assinadas. Desabilite serviços e protocolos inseguros que não atendam ao padrão de segurança apropriado.
Observação
Se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio do grupo de segurança de rede, do Firewall do Azure ou do Firewall do Aplicativo Web do Azure para reduzir a superfície de ataque.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: Habilite Logs de Fluxo da VPC e use GuardDuty para analisá-los e identificar possíveis serviços e protocolos inseguros que não cumpram o padrão de segurança adequado.
Se os logs no ambiente do AWS puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a pasta de trabalho de protocolo inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros
Observação
Se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de grupos de segurança, Firewall de Rede AWS, Firewall de Aplicativo Web da AWS para reduzir a superfície de ataque.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: habilite os logs de fluxo do VPC e use o BigQuery ou o Centro de Comando de Segurança para analisar os logs de fluxo do VPC e identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.
Se os logs no ambiente GCP puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a pasta de trabalho de protocolo inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros. Além disso, você pode encaminhar logs para o GOOGLE Cloud Chronicle SIEM e SOAR e criar regras personalizadas para a mesma finalidade.
Observação
Se não for possível desabilitar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de regras e políticas do Firewall do VPC, ou Cloud Armor para reduzir a superfície de ataque.
Implementação do GCP e contexto adicional:
- Usar Logs de Fluxo da VPC
- Análise de logs de segurança no Google Cloud
- Visão geral do BigQuery - Visão geral da Central de Comandos de Segurança
- Microsoft Sentinel para cargas de trabalho da GCP
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps
NS-9: Conecte a rede local ou na nuvem de forma privada
| ID(s) de Controles CIS v8 | ID(s) NIST SP 800-53 r4 | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | Não aplicável |
Princípio de segurança: use conexões privadas para garantir comunicação segura entre diferentes redes, como datacenters do provedor de serviços de nuvem e infraestrutura local em um ambiente de colocation.
Diretrizes do Azure: para conectividade site a site ou ponto a site leve, use a VPN (rede virtual privada) do Azure para criar uma conexão segura entre seu site local ou dispositivo de usuário final e a rede virtual do Azure.
Para conexões de alto desempenho de nível empresarial, use o Azure ExpressRoute (ou WAN Virtual) para conectar datacenters do Azure e a infraestrutura local em um ambiente de co-localização.
Para conectar duas ou mais redes virtuais do Azure, use o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais em modo de peering é privado e é mantido na rede principal do Azure.
Implementação do Azure e contexto adicional:
- Visão geral da VPN do Azure
- Quais são os modelos de conectividade do ExpressRoute
- Emparelhamento de rede virtual
Diretrizes do AWS: para conectividade site a site ou ponto a site, use a VPN do AWS para criar uma conexão segura (quando a sobrecarga do IPsec não for uma preocupação) entre seu site local ou dispositivo de usuário final para a rede AWS.
Para conexões de alto desempenho de nível empresarial, use o AWS Direct Connect para conectar VPCs e recursos do AWS com sua infraestrutura local em um ambiente de co-localização.
Você tem a opção de usar Emparelhamento da VPC ou o Transit Gateway para estabelecer conectividade entre duas ou mais VPCs dentro de uma região ou entre regiões. O tráfego de rede entre VPCs emparelhados é privado e é mantido na rede de backbone da AWS. Quando você precisa unir várias VPCs para criar uma sub-rede plana grande, você também tem a opção de usar o compartilhamento de VPC.
Implementação do AWS e contexto adicional:
- Introdução ao AWS Direct Connect
- Introdução à VPN do AWS
- Gateway de Trânsito
- Criar e aceitar conexões de emparelhamento da VPC
- Compartilhamento de VPC
Diretrizes do GCP: para conectividade site a site ou ponto a site leve, use o Google Cloud VPN.
Para conexões de alto desempenho de nível empresarial, use o Google Cloud Interconnect ou o Partner Interconnect para se conectar às VPCs e recursos do Google Cloud com sua infraestrutura local em um ambiente de colocation.
Você tem a opção de usar o Emparelhamento de Rede VPC ou o Centro de Conectividade de Rede para estabelecer conectividade entre duas ou mais VPCs dentro ou entre regiões. O tráfego de rede entre VPCs emparelhadas é privado e é mantido na rede de backbone do GCP. Quando você precisa unir várias VPCs para criar uma sub-rede simples grande, você também tem a opção de usar o VPC compartilhado
Implementação do GCP e contexto adicional:
- Visão geral da VPN na nuvem
- Interconexão na nuvem, interconexão dedicada e interconexão de parceiros
- Visão geral do Centro de Conectividade de Rede
- Conexão de Serviço Privado
Interessados na segurança do cliente (Saiba mais):
- arquitetura de segurança
- Gerenciamento de Postura
- Segurança de Aplicações e DevOps