Controllo di sicurezza: sicurezza di rete

La sicurezza di rete copre i controlli per proteggere e proteggere le reti virtuali, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione di attacchi esterni e la protezione del DNS.

NS-1: Stabilire limiti di segmentazione di rete

Principio di sicurezza: assicurarsi che la distribuzione della rete virtuale sia allineata alla strategia di segmentazione aziendale definita nel controllo di sicurezza GS-2. Qualsiasi carico di lavoro che potrebbe comportare un rischio maggiore per l'organizzazione deve risiedere in reti virtuali isolate.

Tra gli esempi di carico di lavoro ad alto rischio sono inclusi:

• Un'applicazione che archivia o elabora dati altamente sensibili.
• Un'applicazione di rete esterna accessibile da utenti pubblici o esterni all'organizzazione.
• Un'applicazione che usa architettura non sicura o che contiene vulnerabilità che non possono essere facilmente risolte.

Per migliorare la strategia di segmentazione aziendale, limitare o monitorare il traffico tra le risorse interne usando i controlli di rete. Per applicazioni specifiche e ben definite, ad esempio un'app a 3 livelli, questo può essere un approccio di tipo "negato per impostazione predefinita, consentito per eccezione" limitando le porte, i protocolli, l'origine e gli indirizzi IP di destinazione del traffico di rete. Se sono presenti molte applicazioni ed endpoint che interagiscono tra loro, il blocco del traffico potrebbe compromettere la scalabilità ed è possibile che si riesca solo a monitorare solo il traffico.

Linee guida di Azure: creare una rete virtuale (VNet) come approccio di segmentazione fondamentale nella rete di Azure, in modo che le risorse, ad esempio le macchine virtuali, possano essere distribuite nella rete virtuale all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno della rete virtuale per reti secondarie più piccole.

Usare i gruppi di sicurezza di rete come controllo del livello di rete per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione. Fare riferimento a NS-7: Semplificare la configurazione della sicurezza di rete per usare la protezione adattiva della rete per raccomandare regole di indurimento del gruppo di sicurezza di rete in base ai risultati dell'intelligence sulle minacce e dell'analisi del traffico.

È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare una configurazione complessa. Anziché definire i criteri in base agli indirizzi IP nei gruppi di sicurezza di rete, i gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.

Implementazione di Azure e contesto aggiuntivo:

• Concetti e procedure consigliate della rete virtuale di Azure
• Aggiungere, modificare o eliminare una subnet di rete virtuale
• Come creare un gruppo di sicurezza di rete con regole di sicurezza
• Comprendere e usare i gruppi di sicurezza delle applicazioni

Linee guida AWS: crea un cloud privato virtuale (VPC) come approccio di segmentazione fondamentale nella tua rete AWS, in modo che risorse come le istanze EC2 possano essere distribuite nel VPC all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno di VPC per reti secondarie più piccole.

Per le istanze ec2, usare i gruppi di sicurezza come firewall con stato per limitare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. A livello di subnet VPC, usare Network Access Control List (NACL) come firewall senza stato per avere regole esplicite per il traffico in ingresso e in uscita verso la subnet.

Nota: per controllare il traffico VPC, è necessario configurare Internet e NAT Gateway in modo da garantire che il traffico da/verso Internet sia limitato.

Implementazione di AWS e contesto aggiuntivo:

• Controllare il traffico verso istanze EC2 con gruppi di sicurezza
• Confrontare gruppi di sicurezza e ACL di rete
• Internet Gateway
• Gateway NAT

Linee guida GCP: crea una rete VPC (Virtual Private Cloud) come approccio di segmentazione fondamentale nella tua rete GCP, in modo che risorse come le istanze di macchine virtuali (VM) del motore di calcolo possano essere distribuite nella rete VPC all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno del VPC per reti secondarie più piccole.

Usare le regole del firewall VPC come controllo del livello di rete distribuito per consentire o negare le connessioni alle istanze di destinazione nella rete VPC, incluse le macchine virtuali, i cluster GKE (Google Kubernetes Engine) e le istanze dell'ambiente flessibile del motore di app.

È anche possibile configurare le regole del firewall VPC per impostare come destinazione tutte le istanze della rete VPC, le istanze con un tag di rete corrispondente o le istanze che usano un account del servizio specifico, consentendo di raggruppare le istanze e definire i criteri di sicurezza di rete in base a tali gruppi.

Implementazione di GCP e contesto aggiuntivo:

• Creare e gestire reti VPC
• Subnet VPC di Google Cloud
• Usare le regole del firewall VPC
• Aggiungere tag di rete

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

NS-2: Proteggere i servizi nativi del cloud con controlli di rete

Principio di sicurezza: sicurezza dei servizi cloud grazie alla creazione di un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso dalle reti pubbliche, quando possibile.

Linee guida di Azure: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato per stabilire un punto di accesso privato per le risorse. L'uso di collegamento privato impedirà il routing della connessione privata attraverso la rete pubblica.

Nota: alcuni servizi di Azure possono anche consentire la comunicazione privata tramite la funzionalità dell'endpoint del servizio, anche se è consigliabile usare Collegamento privato di Azure per l'accesso sicuro e privato ai servizi ospitati nella piattaforma Azure.

Per determinati servizi, è possibile scegliere di distribuire l'integrazione della rete virtuale per il servizio in cui è possibile limitare la rete virtuale per stabilire un punto di accesso privato per il servizio.

È anche possibile configurare le regole ACL di rete native del servizio o semplicemente disabilitare l'accesso alla rete pubblica per bloccare l'accesso dalle reti pubbliche.

Per le macchine virtuali di Azure, a meno che non esista un caso d'uso forte, è consigliabile evitare di assegnare indirizzi IP pubblici/subnet direttamente all'interfaccia della macchina virtuale e usare invece i servizi gateway o di bilanciamento del carico come front-end per l'accesso dalla rete pubblica.

Implementazione di Azure e contesto aggiuntivo:

• Informazioni sul collegamento privato di Azure
• Integrare i servizi di Azure con le reti virtuali per l'isolamento della rete

Linee guida AWS: distribuisci VPC PrivateLink per tutte le risorse AWS che supportano la funzione PrivateLink, per consentire la connessione privata ai servizi AWS supportati o ai servizi ospitati da altri account AWS (servizi endpoint VPC). L'utilizzo di PrivateLink impedirà il routing della connessione privata attraverso la rete pubblica.

Per determinati servizi, è possibile scegliere di distribuire l'istanza del servizio nel proprio VPC per isolare il traffico.

È anche possibile configurare le regole ACL native del servizio per bloccare l'accesso dalla rete pubblica. Ad esempio, Amazon S3 consente di bloccare l'accesso pubblico a livello di bucket o account.

Quando si assegnano IP alle risorse di servizio nel VPC, a meno che non vi sia un caso d'uso forte, è consigliabile evitare di assegnare IP/subnet pubblici direttamente alle risorse e utilizzare invece IP/subnet privati.

Implementazione di AWS e contesto aggiuntivo:

• AWS Collegamento privato
• Blocco dell'accesso pubblico all'archiviazione amazon S3

Linee guida GCP: implementa le implementazioni di VPC Private Google Access per tutte le risorse GCP che lo supportano per stabilire un punto di accesso privato per le risorse. Queste opzioni di accesso privato impediranno alla connessione privata di passare attraverso la rete pubblica. Private Google Access dispone di istanze VM che hanno solo indirizzi IP interni (nessun indirizzo IP esterno)

Per determinati servizi, è possibile scegliere di distribuire l'istanza del servizio nel proprio VPC per isolare il traffico. È anche possibile configurare le regole ACL native del servizio per bloccare l'accesso dalla rete pubblica. Ad esempio, il firewall del motore di app consente di controllare il traffico di rete consentito o rifiutato durante la comunicazione con la risorsa motore di app. Archiviazione cloud è un'altra risorsa in cui è possibile applicare la prevenzione dell'accesso pubblico a singoli bucket o a livello di organizzazione.

Per le macchine virtuali GCP Compute Engine, a meno che non esista un caso d'uso forte, è consigliabile evitare di assegnare IP/subnet pubblici direttamente all'interfaccia della macchina virtuale e utilizzare invece i servizi gateway o di bilanciamento del carico come front-end per l'accesso dalla rete pubblica.

Implementazione di GCP e contesto aggiuntivo:

• Accesso privato a Google
• Opzioni di accesso privato per i servizi
• Informazioni sul firewall del motore di app
• Archiviazione cloud: usare la prevenzione dell'accesso pubblico

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

NS-3: Implementare il firewall ai bordi della rete aziendale

Principio di sicurezza: distribuire un firewall per eseguire filtri avanzati sul traffico di rete da e verso reti esterne. È anche possibile usare firewall tra segmenti interni per supportare una strategia di segmentazione. Se necessario, usare route personalizzate per la subnet per eseguire l'override della route di sistema quando è necessario forzare il traffico di rete a passare attraverso un'appliance di rete per scopi di controllo della sicurezza.

Come minimo, bloccare gli indirizzi IP dannosi noti e i protocolli ad alto rischio, ad esempio la gestione remota (come RDP e SSH) e i protocolli Intranet (come SMB e Kerberos).

Linee guida di Azure: usare Firewall di Azure per fornire restrizioni del traffico a livello di applicazione con stato completo (ad esempio il filtro URL) e/o la gestione centralizzata su un numero elevato di segmenti aziendali o spoke (in una topologia hub/spoke).

Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub-spoke, potrebbe essere necessario creare route definite dall'utente per garantire che il traffico passi attraverso la route desiderata. Ad esempio, hai la possibilità di utilizzare un UDR (User Defined Route) per reindirizzare il traffico Internet in uscita tramite il firewall di Azure o un'appliance virtuale di rete specifica.

Implementazione di Azure e contesto aggiuntivo:

• Come distribuire Firewall di Azure
• Instradamento del traffico della rete virtuale

Linee guida AWS: utilizza AWS Network Firewall per fornire una restrizione del traffico a livello di applicazione completamente stateful (come il filtro URL) e/o una gestione centralizzata su un numero elevato di segmenti aziendali o spoke (in una topologia hub/spoke).

Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub/spoke, potrebbe essere necessario creare tabelle di route VPC personalizzate per garantire che il traffico attraversi la route desiderata. Ad esempio, è possibile usare una route personalizzata per reindirizzare il traffico Internet in uscita tramite un firewall AWS specifico o un'appliance virtuale di rete.

Implementazione di AWS e contesto aggiuntivo:

• AWS Network Firewall
• AWS VPC configura tabelle di route personalizzate

Linee guida GCP: utilizza i criteri di sicurezza di Google Cloud Armor per fornire un filtro di livello 7 e protezione dagli attacchi web più comuni. Inoltre, utilizzare le regole del firewall VPC per fornire restrizioni del traffico a livello di rete distribuito e a stato completamente mantenuto e politiche del firewall per una gestione centralizzata su un numero elevato di segmenti o spoke aziendali (in una topologia hub e spoke).

Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub/spoke, creare criteri firewall che raggruppano le regole del firewall e essere gerarchici in modo che possano essere applicati a più reti VPC.

Implementazione di GCP e contesto aggiuntivo:

• Usare le regole del firewall VPC
• Criteri firewall
• Procedure consigliate per Google Cloud Armor

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 4: Distribuire sistemi di rilevamento/prevenzione intrusioni (IDS/IPS)

Principio di sicurezza: utilizzare i sistemi di rilevamento e prevenzione delle intrusioni di rete (IDS/IPS) per ispezionare la rete e il traffico del payload da o verso il carico di lavoro. Assicurarsi che il sistema di rilevamento/prevenzione intrusioni (IDS/IPS) sia sempre ottimizzato per fornire avvisi di qualità elevata alla soluzione SIEM.

Per funzionalità di rilevamento e prevenzione a livello di host più avanzate, usare sistemi di rilevamento/prevenzione intrusioni (IDS/IPS) basati su host o una soluzione di rilevamento e reazione dagli endpoint (EDR) basata su host in combinazione con il sistema di rilevamento/prevenzione intrusioni di rete.

Linee guida di Azure: usare le funzionalità IDPS di Firewall di Azure per proteggere la rete virtuale per avvisare e/o bloccare il traffico da e verso indirizzi IP e domini dannosi noti.

Per funzionalità di rilevamento e prevenzione a livello di host più avanzate, usare sistemi di rilevamento/prevenzione intrusioni (IDS/IPS) basati su host o una soluzione di rilevamento e reazione dagli endpoint (EDR) basata su host, ad esempio Microsoft Defender per endpoint, a livello di macchina virtuale in combinazione con il sistema di rilevamento/prevenzione intrusioni di rete.

Implementazione di Azure e contesto aggiuntivo:

• Azure Firewall IDPS
• Funzionalità di Microsoft Defender per Endpoint

Guida AWS: utilizza la funzionalità IPS di AWS Network Firewall per proteggere il tuo VPC per avvisare e/o bloccare il traffico da e verso indirizzi IP e domini dannosi noti.

Per funzionalità di rilevamento e prevenzione a livello di host più approfondite, distribuire IDS/IPS basato su host o una soluzione EDR (Endpoint Detection and Response) basata su host, ad esempio una soluzione di terze parti per IDS/IPS basato su host, a livello di macchina virtuale in combinazione con l'IDS/IPS di rete.

Nota: se utilizzi un IDS/IPS di terze parti dal marketplace, utilizza Transit Gateway e Gateway Balancer per indirizzare il traffico per l'ispezione in linea.

Implementazione di AWS e contesto aggiuntivo:

• Gruppi di regole stateful IPS in AWS Network Firewall
• Mercato Amazon: IPS

Linee guida GCP: utilizza le funzionalità di Google Cloud IDS per rilevare le minacce di intrusioni, malware, spyware e attacchi di comando e controllo sulla tua rete. Cloud IDS funziona creando una rete peered gestita da Google con istanze di macchine virtuali (VM) con mirroring. Il mirroring del traffico nella rete peered e quindi viene ispezionato dalle tecnologie di protezione dalle minacce integrate di Palo Alto Networks per fornire un rilevamento avanzato delle minacce. È possibile eseguire il mirroring di tutto il traffico in entrata e in uscita in base al protocollo o all'intervallo di indirizzi IP.

Per funzionalità di rilevamento e prevenzione a livello di host più approfondite, distribuisci un endpoint IDS come risorsa zonale in grado di ispezionare il traffico da qualsiasi zona della regione. Ogni endpoint IDS riceve il traffico in mirroring ed esegue l'analisi del rilevamento delle minacce.

Implementazione di GCP e contesto aggiuntivo:

• Panoramica di Cloud IDS

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

NS-5: Distribuire la protezione DDoS

Principio di sicurezza: implementa la protezione DDoS (Distributed Denial of Service) per proteggere la rete e le applicazioni dagli attacchi.

Linee guida di Azure: Protezione DDoS di base viene abilitata automaticamente per proteggere l'infrastruttura della piattaforma sottostante di Azure (ad esempio DNS di Azure) e non richiede alcuna configurazione da parte degli utenti.

Per livelli più elevati di protezione degli attacchi del livello applicazione (livello 7), ad esempio inondazioni HTTP e inondazioni DNS, abilitare il piano di protezione standard DDoS nella rete virtuale per proteggere le risorse esposte alle reti pubbliche.

Implementazione di Azure e contesto aggiuntivo:

• Gestisci la protezione DDoS Standard di Azure utilizzando il portale di Azure

Linee guida AWS: AWS Shield Standard viene abilitato automaticamente con mitigazioni standard per proteggere il carico di lavoro dagli attacchi DDoS di livello di rete e di trasporto comuni (livello 3 e 4)

Per livelli più elevati di protezione delle applicazioni da attacchi di livello applicazione (livello 7), ad esempio inondazioni HTTPS e inondazioni DNS, abilitare aws Shield Advanced protection on Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53.

Implementazione di AWS e contesto aggiuntivo:

• Funzionalità di AWS Shield

Linee guida GCP: Google Cloud Armor offre le seguenti opzioni per proteggere i sistemi dagli attacchi DDoS:

• Protezione DDoS di rete standard: protezione sempre attiva di base per i servizi di bilanciamento del carico di rete, l'inoltro del protocollo o le macchine virtuali con indirizzi IP pubblici.
• Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Managed Protection Plus che utilizzano bilanciatori del carico di rete, inoltro di protocollo o macchine virtuali con indirizzi IP pubblici.
• La protezione DDoS di rete Standard è sempre abilitata. La protezione DDoS di rete avanzata viene configurata in base all'area.

Implementazione di GCP e contesto aggiuntivo:

• Configurare la protezione DDoS di rete avanzata
• Panoramica di Google Cloud Armor
• Panoramica dei criteri di sicurezza di Google Cloud Armor

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

NS-6: Distribuire firewall per applicazioni web

Principio di sicurezza: distribuire un Web Application Firewall (WAF) e configurare le regole appropriate per proteggere le applicazioni Web e le API da attacchi specifici dell'applicazione.

Linee guida di Azure: usare le funzionalità Web application firewall (WAF) in gateway applicazione di Azure, Frontdoor di Azure e rete per la distribuzione di contenuti (CDN) di Azure per proteggere le applicazioni, i servizi e le API dagli attacchi a livello di applicazione ai margini della rete.

Imposta il Web Application Firewall in "modalità di rilevamento" o "modalità di prevenzione", a seconda delle esigenze e del panorama delle minacce.

Scegliere un set di regole predefinito, ad esempio vulnerabilità OWASP Top 10 e ottimizzarlo in base alle esigenze dell'applicazione.

Implementazione di Azure e contesto aggiuntivo:

• Come implementare Azure WAF

Linee guida AWS: utilizza AWS Web Application Firewall (WAF) nella distribuzione Amazon CloudFront, Amazon API Gateway, Application Load Balancer o AWS AppSync per proteggere le tue applicazioni, i tuoi servizi e le tue API dagli attacchi a livello di applicazione all'edge della tua rete.

Utilizza AWS Managed Rules for WAF per distribuire gruppi di base integrati e personalizzarli in base alle esigenze della tua applicazione per i gruppi di regole dei casi utente.

Per semplificare la distribuzione delle regole WAF, è inoltre possibile utilizzare la soluzione AWS WAF Security Automations per distribuire automaticamente le regole AWS WAF predefinite che filtrano gli attacchi basati sul Web sull'ACL Web.

Implementazione di AWS e contesto aggiuntivo:

• Funzionamento di AWS WAF
• Automazioni di sicurezza AWS WAF
• Regole gestite di AWS per AWS WAF

Linee guida di GCP: utilizza Google Cloud Armor per proteggere le tue applicazioni e i tuoi siti web da attacchi di tipo Denial of Service e Web.

Utilizza le regole predefinite di Google Cloud Armor basate sugli standard di settore per mitigare le vulnerabilità comuni delle applicazioni web e fornire protezione da OWASP Top 10.

Configurare le regole WAF preconfigurate, ognuna costituita da più firme provenienti da ModSecurity Core Rules (CRS). Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole.

Cloud Armor funziona in combinazione con sistemi di bilanciamento del carico esterni e protegge da attacchi DDoS (Distributed Denial-of-Service) e altri attacchi basati sul Web, indipendentemente dal fatto che le applicazioni vengano implementate su Google Cloud, in un deployment ibrido o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza configurabili e azioni in un criterio di sicurezza. Cloud Armor include anche criteri di sicurezza preconfigurati, che coprono un'ampia gamma di casi d'uso.

La protezione adattiva in Cloud Armor consente di prevenire, rilevare e proteggere le applicazioni e i servizi dagli attacchi distribuiti L7 analizzando i modelli di traffico ai servizi back-end, rilevando e avvisando gli attacchi sospetti e generando regole WAF suggerite per attenuare tali attacchi. Queste regole possono essere ottimizzate per soddisfare le proprie esigenze.

Implementazione di GCP e contesto aggiuntivo:

• Armatura cloud di Google
• Documentazione di Apigee
• Integrazione di Google Cloud Armor con altri prodotti Google

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 7: Semplificare la configurazione di sicurezza della rete

Principio di sicurezza: quando si gestisce un ambiente di rete complesso, utilizzare strumenti per semplificare, centralizzare e migliorare la gestione della sicurezza della rete.

Linee guida di Azure: usare le funzionalità seguenti per semplificare l'implementazione e la gestione della rete virtuale, delle regole del gruppo di sicurezza di rete e delle regole di Firewall di Azure:

• Usa Azure Virtual Network Manager per raggruppare, configurare, distribuire e gestire le reti virtuali e le regole del gruppo di sicurezza di rete tra aree e sottoscrizioni.
• Usare la Protezione avanzata adattiva per la rete di Microsoft Defender per il cloud per consigliare regole di protezione avanzata del gruppo di sicurezza di rete che limitano ulteriormente porte, protocolli e indirizzi IP di origine in base all'intelligence sulle minacce e al risultato dell'analisi del traffico.
• Usare Gestione firewall di Azure per centralizzare i criteri firewall e la gestione delle route della rete virtuale. Per semplificare l'implementazione delle regole del firewall e dei gruppi di sicurezza di rete, è anche possibile usare il modello Azure Resource Manager (ARM) di Azure Firewall Manager.

Implementazione di Azure e contesto aggiuntivo:

• Protezione avanzata adattiva della rete in Microsoft Defender for Cloud
• Gestione firewall di Azure
• Creare un firewall di Azure e un criterio di firewall - modello di Gestione delle Risorse

Linee guida AWS: utilizza AWS Firewall Manager per centralizzare la gestione delle policy di protezione della rete tra i seguenti servizi:

• Policy di AWS WAF
• Policy avanzate di AWS Shield
• Policy del gruppo di sicurezza VPC
• Criteri del firewall di rete

AWS Firewall Manager è in grado di analizzare automaticamente le policy relative al firewall e creare risultati per le risorse non conformi e per gli attacchi rilevati e inviarli ad AWS Security Hub per le indagini.

Implementazione di AWS e contesto aggiuntivo:

• AWS Firewall Manager
• Risultati di AWS Firewall Manager

Linee guida GCP: utilizza le seguenti funzionalità per semplificare l'implementazione e la gestione della rete VPC (Virtual Private Cloud), delle regole del firewall e delle regole WAF:

• Utilizza le reti VPC per gestire e configurare le singole reti VPC e le regole del firewall VPC.
• Utilizzare i criteri del firewall gerarchico per raggruppare le regole del firewall e applicare le regole dei criteri in modo gerarchico su scala globale o regionale.
• Utilizza Google Cloud Armor per applicare criteri di sicurezza personalizzati, regole WAF preconfigurate e protezione DDoS.

È inoltre possibile utilizzare Network Intelligence Center per analizzare la rete e ottenere informazioni dettagliate sulla topologia della rete virtuale, sulle regole del firewall e sullo stato della connettività di rete per migliorare l'efficienza della gestione.

Implementazione di GCP e contesto aggiuntivo:

• Reti VPC
• Criteri gerarchici del firewall
• Panoramica di Good Cloud Armor
• Centro intelligence di rete

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 8: Rilevare e disabilitare i servizi e i protocolli non sicuri

Principio di sicurezza: rileva e disabilita servizi e protocolli non sicuri a livello di sistema operativo, applicazione o pacchetto software. Distribuire controlli di compensazione se non è possibile disabilitare i servizi e i protocolli non sicuri.

Linee guida di Azure: usare la cartella di lavoro predefinita del protocollo non sicuro di Microsoft Sentinel per individuare l'uso di servizi e protocolli non sicuri, ad esempio SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, crittografie deboli in Kerberos e binding LDAP non firmati. Disabilitare i servizi e i protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.

Nota: se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccare l'accesso alle risorse tramite gruppo di sicurezza di rete, Firewall di Azure o Web Application Firewall di Azure per ridurre la superficie di attacco.

Implementazione di Azure e contesto aggiuntivo:

• Cartella di lavoro dei protocolli non sicuri di Azure Sentinel

Guida AWS: abilita i log di flusso VPC e utilizza GuardDuty per analizzare i log di flusso VPC per identificare i possibili servizi e protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.

Se i log nell'ambiente AWS possono essere inoltrati a Microsoft Sentinel, è anche possibile usare la cartella di lavoro predefinita del protocollo non sicuro di Microsoft Sentinel per individuare l'uso di servizi e protocolli non sicuri

Nota: se non è possibile disabilitare i servizi o i protocolli non sicuri, utilizzare controlli di compensazione come il blocco dell'accesso alle risorse tramite gruppi di sicurezza, AWS Network Firewall, AWS Web Application Firewall per ridurre la superficie di attacco.

Implementazione di AWS e contesto aggiuntivo:

• Usare GuardDuty con i log dei flussi VPC come origine dati

Guida GCP: abilita i log di flusso VPC e utilizza BigQuery o Security Command Center per analizzare i log di flusso VPC e identificare i possibili servizi e protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.

Se i log nell'ambiente GCP possono essere inoltrati a Microsoft Sentinel, è anche possibile usare la cartella di lavoro predefinita del protocollo non sicuro di Microsoft Sentinel per individuare l'uso di servizi e protocolli non sicuri. È anche possibile inoltrare i log a SIEM e SOAR di Google Cloud Cronache e creare regole personalizzate per lo stesso scopo.

Nota: se non è possibile disabilitare i servizi o i protocolli non sicuri, utilizza controlli di compensazione come il blocco dell'accesso alle risorse tramite le regole e le policy del firewall VPC o Cloud Armor per ridurre la superficie di attacco.

Implementazione di GCP e contesto aggiuntivo:

• Usare i log dei flussi VPC
• Analisi dei log di sicurezza in Google Cloud
• Panoramica di BigQuery - Panoramica del Centro comandi di sicurezza
• Carichi di lavoro di Microsoft Sentinel per GCP

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

NS-9: Connettere la rete locale o cloud privatamente

Principio di sicurezza: utilizzare connessioni private per la comunicazione sicura tra reti diverse, ad esempio i data center del provider di servizi cloud e l'infrastruttura locale in un ambiente di colocation.

Linee guida di Azure: per una connettività leggera da sito a sito o da punto a sito, usare la rete privata virtuale (VPN) di Azure per creare una connessione sicura tra il sito locale o il dispositivo dell'utente finale e la rete virtuale di Azure.

Per le connessioni a prestazioni elevate a livello aziendale, usare Azure ExpressRoute (o rete WAN virtuale) per connettere i data center di Azure e l'infrastruttura locale in un ambiente con percorso condiviso.

Per la connessione di due o più reti virtuali di Azure, usare il peering di reti virtuali. Il traffico di rete tra reti virtuali con peering è privato e viene mantenuto nella rete backbone di Azure.

Implementazione di Azure e contesto aggiuntivo:

• Panoramica della VPN di Azure
• Che cosa sono i modelli di connettività ExpressRoute
• Interconnessione di reti virtuali

Linee guida AWS: per la connettività da sito a sito o da punto a sito, utilizza AWS VPN per creare una connessione sicura (quando il sovraccarico IPsec non è un problema) tra il sito locale o il dispositivo dell'utente finale alla rete AWS.

Per le connessioni ad alte prestazioni di livello aziendale, usare AWS Direct Connect per connettere VPN e risorse AWS all'infrastruttura locale in un ambiente di condivisione della posizione.

È possibile usare il peering VPC o il gateway di transito per stabilire la connettività tra due o più VPC all'interno o tra aree. Il traffico di rete tra VPC con peering è privato e viene mantenuto nella rete backbone AWS. Quando è necessario aggiungere più VPC per creare una subnet flat di grandi dimensioni, è anche possibile usare la condivisione VPC.

Implementazione di AWS e contesto aggiuntivo:

• Introduzione ad AWS Direct Connect
• Introduzione a AWS VPN
• Gateway di transito
• Creare e accettare connessioni peering VPC
• Condivisione VPC

Linee guida GCP: per una connettività site-to-site o point-to-site leggera, utilizza Google Cloud VPN.

Per le connessioni ad alte prestazioni di livello aziendale, usare Google Cloud Interconnect o l'interconnessione partner per connettersi alle VPN e alle risorse di Google Cloud con l'infrastruttura locale in un ambiente di condivisione.

È possibile usare il peering di rete VPC o il Centro connettività di rete per stabilire la connettività tra due o più VPC all'interno o tra aree geografiche. Il traffico di rete tra vpn con peering è privato e viene mantenuto nella rete backbone GCP. Quando è necessario aggiungere più VPC per creare una subnet flat di grandi dimensioni, è anche possibile usare VPC condiviso

Implementazione di GCP e contesto aggiuntivo:

• Panoramica della VPN cloud
• Interconnessione cloud, interconnessione dedicata e interconnessione partner
• Panoramica del Centro connettività di rete
• Connessione al servizio privato

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 10: Garantire la sicurezza del DNS (Domain Name System)

Principio di sicurezza: assicurarsi che la configurazione di sicurezza DNS (Domain Name System) protegga dai rischi noti:

• Utilizza servizi DNS autorevoli e ricorsivi affidabili nel tuo ambiente cloud per garantire che il client (ad esempio sistemi operativi e applicazioni) riceva il risultato di risoluzione corretto.
• Separare la risoluzione DNS pubblica e privata in modo che il processo di risoluzione DNS per la rete privata possa essere isolato dalla rete pubblica.
• Assicurarsi che la strategia di sicurezza per il DNS includa anche la prevenzione da attacchi comuni, ad esempio dangling DNS, attacchi di amplificazione DNS, DNS poisoning e spoofing e così via.
  

Linee guida di Azure: usare DNS ricorsivo di Azure (in genere assegnato alla macchina virtuale tramite DHCP o preconfigurato nel servizio) o un server DNS esterno attendibile nella configurazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.

Usare DNS privato di Azure per una configurazione della zona DNS privata in cui il processo di risoluzione DNS non lascia la rete virtuale. Utilizzare un DNS personalizzato per limitare la risoluzione DNS in modo da consentire solo la risoluzione attendibile al client.

Usare Microsoft Defender per DNS per una protezione avanzata contro le minacce alla sicurezza seguenti per il carico di lavoro o il servizio DNS:

• Esfiltrazione di dati dalle risorse di Azure tramite tunneling DNS
• Malware che comunica con un server di comando e controllo
• Comunicazione con domini dannosi, come phishing e crypto mining
• Attacchi DNS nella comunicazione con resolver DNS dannosi

È anche possibile usare Microsoft Defender per il servizio app per rilevare i record DNS sospesi se si rimuove un sito Web del servizio app senza rimuovere il dominio personalizzato dal registrar DNS.

Implementazione di Azure e contesto aggiuntivo:

• Panoramica di DNS di Azure
• Guida alla distribuzione dns (Secure Domain Name System):
• DNS privato di Azure
• Azure Defender per DNS
• Prevenire registrazioni DNS orfane e evitare l'acquisizione del sottodominio:

Guida AWS: utilizza il server Amazon DNS (in altre parole, il server resolver di Amazon Route 53 che di solito ti viene assegnato tramite DHCP o preconfigurato nel servizio) o un server resolver DNS affidabile centralizzato nella configurazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della VM o nell'applicazione.

Utilizza Amazon Route 53 per creare una configurazione di zona ospitata privata in cui il processo di risoluzione DNS non lascia i VPC designati. Utilizza il firewall Amazon Route 53 per regolare e filtrare il traffico DNS/UDP in uscita nel tuo VPC per i seguenti casi d'uso:

• Previeni attacchi come l'esfiltrazione DNS nel tuo VPC
• Configurare l'elenco Consenti o Nega per i domini che le applicazioni possono interrogare

Configura la funzione DNSSEC (Domain Name System Security Extensions) in Amazon Route 53 per proteggere il traffico DNS e proteggere il tuo dominio dallo spoofing DNS o da un attacco man-in-the-middle.

Amazon Route 53 fornisce anche un servizio di registrazione DNS in cui Route 53 può essere utilizzato come server dei nomi autorevoli per i domini. Per garantire la sicurezza dei nomi di dominio, è necessario seguire le seguenti best practice:

• I nomi di dominio devono essere rinnovati automaticamente dal servizio Amazon Route 53.
• Per proteggerli, è necessario che la funzione di blocco del trasferimento sia attivata per i nomi di dominio.
• Il Sender Policy Framework (SPF) deve essere utilizzato per impedire agli spammer di falsificare il tuo dominio.

Implementazione di AWS e contesto aggiuntivo:

• Configurazione DNSSEC di Amazon Route 53
• Firewall di Amazon Route 53
• Registrazione del dominio Amazon Route 53

Linee guida GCP: usare il server DNS GCP (ovvero il server di metadati che in genere viene assegnato alla macchina virtuale tramite DHCP o preconfigurato nel servizio) o un server resolver DNS attendibile centralizzato (ad esempio Google Public DNS) nella configurazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.

Utilizza GCP Cloud DNS per creare una zona DNS privata in cui il processo di risoluzione DNS non lascia i VPC designati. Regola e filtra il traffico DNS/UDP in uscita nel tuo VPC I casi d'uso:

• Previeni attacchi come l'esfiltrazione DNS nel tuo VPC
• Configurare gli elenchi Consenti o Negati per i domini su cui le applicazioni eseguono query

Configura la funzione Domain Name System Security Extensions (DNSSEC) in Cloud DNS per proteggere il traffico DNS e proteggere il tuo dominio dallo spoofing DNS o da un attacco man-in-the-middle.

Google Cloud Domains fornisce servizi di registrazione del dominio. GCP Cloud DNS può essere utilizzato come server dei nomi autorevoli per i tuoi domini. Per garantire la sicurezza dei nomi di dominio, è necessario seguire le seguenti best practice:

• I nomi di dominio devono essere rinnovati automaticamente da Google Cloud Domains.
• Per proteggerli, i nomi di dominio devono avere la funzione Blocco trasferimento abilitata
• Il Sender Policy Framework (SPF) deve essere utilizzato per impedire agli spammer di falsificare il tuo dominio.

Implementazione di GCP e contesto aggiuntivo:

• DNS pubblico di Google
• Domini Google Cloud
• Best practice per Cloud DNS

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

• Architettura di sicurezza
• Gestione del comportamento
• Sicurezza delle applicazioni e DevOps