Управление безопасностью: безопасность сети

Сетевая безопасность охватывает элементы управления для защиты и защиты сетей, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак и защиту DNS.

NS-1. Установка границ сегментации сети

Принцип безопасности. Убедитесь, что развертывание виртуальной сети соответствует стратегии сегментации предприятия, определенной в элементе управления безопасностью GS-2. Любая рабочая нагрузка, которая может привести к более высокому риску для организации, должна находиться в изолированных виртуальных сетях.

Примеры рабочей нагрузки с высоким риском включают:

• Приложение, в котором хранятся или обрабатываются высокочувствительные данные.
• Внешнее приложение с доступом к сети, доступное общедоступным или пользователям за пределами вашей организации.
• Приложение, использующее небезопасную архитектуру или содержащие уязвимости, которые не могут быть легко устранены.

Чтобы улучшить стратегию сегментации предприятия, ограничить или отслеживать трафик между внутренними ресурсами с помощью сетевых элементов управления. Для конкретных хорошо определенных приложений (таких как 3-уровневое приложение), это может быть высокобезопасным подходом "запретить по умолчанию, разрешать по исключению", ограничивая порты, протоколы, исходные и целевые IP-адреса сетевого трафика. Если у вас есть множество приложений и конечных точек, взаимодействующих друг с другом, блокировка трафика может не масштабироваться, и вы можете только отслеживать трафик.

Руководство по Azure. Создание виртуальной сети в качестве основного подхода к сегментации в сети Azure, поэтому такие ресурсы, как виртуальные машины, можно развертывать в виртуальной сети в пределах сети. Чтобы дополнительно сегментировать сеть, можно создать подсети внутри виртуальной сети для небольших подсетей.

Используйте группы безопасности сети (NSG) в качестве элемента управления уровнем сети, чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения. См. раздел NS-7. Упрощение конфигурации безопасности сети для использования адаптивной защиты сети, чтобы рекомендовать правила защиты NSG на основе результатов анализа угроз и трафика.

Вы также можете использовать группы безопасности приложений (ASG) для упрощения сложной конфигурации. Вместо определения политики на основе явных IP-адресов в группах безопасности сети ASG позволяет настроить сетевую безопасность как естественное расширение структуры приложения, позволяя группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

Реализация Azure и дополнительный контекст:

• Основные понятия и рекомендации по виртуальной сети Azure
• Добавление, изменение или удаление подсети виртуальной сети
• Создание группы безопасности сети с правилами безопасности
• Общие сведения о группах безопасности приложений и их использовании

Руководство по AWS: Создайте Виртуальное Частное Облако (VPC) как основной подход к сегментации вашей сети в AWS, чтобы ресурсы, такие как экземпляры EC2, можно было развернуть в VPC в пределах сетевой границы. Чтобы дополнительно сегментировать сеть, можно создать подсети внутри VPC для небольших подсетей.

Для экземпляров EC2 используйте группы безопасности в качестве брандмауэра с отслеживанием состояния, чтобы ограничить трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. На уровне подсети VPC используйте список управления доступом к сети (NACL) в качестве брандмауэра без отслеживания состояния, чтобы иметь явные правила для входящего и исходящего трафика в подсеть.

Примечание. Чтобы управлять трафиком VPC, Интернетом и шлюзом NAT, необходимо настроить, чтобы обеспечить ограничение трафика из Интернета в Интернет.

Реализация AWS и дополнительный контекст:

• Управление трафиком к экземплярам EC2 с помощью групп безопасности
• Сравнение групп безопасности и сетевых списков управления доступом
• Интернет-шлюз
• Шлюз NAT

Руководство по GCP: Создайте сеть виртуального частного облака (VPC) как основной подход к сегментации в вашей сети GCP, чтобы можно было развернуть такие ресурсы, как экземпляры виртуальных машин Compute Engine (VM), в сети VPC в пределах сетевой границы. Чтобы дополнительно сегментировать сеть, можно создать подсети внутри VPC для небольших подсетей.

Используйте правила брандмауэра VPC в качестве элемента управления распределенным сетевым уровнем, чтобы разрешить или запретить подключения к целевым экземплярам в сети VPC, включая виртуальные машины, кластеры Google Kubernetes Engine (GKE) и экземпляры гибкой среды обработчика приложений.

Вы также можете настроить правила брандмауэра VPC для всех экземпляров в сети VPC, экземпляров с подходящим сетевым тегом или тех, которые используют определённую сервисную учётную запись, позволяя вам группировать экземпляры и определять политики безопасности сети на основе этих групп.

Реализация GCP и дополнительный контекст:

• Создание сетей VPC и управление ими
• Подсети Google Cloud VPC
• Использование правил брандмауэра VPC
• Добавление сетевых тегов

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-2. Защита облачных собственных служб с помощью сетевых элементов управления

Принцип безопасности: защита облачных служб путем создания частной точки доступа для ресурсов. Вы также должны отключить или ограничить доступ из общедоступных сетей, когда это возможно.

Руководство по Azure. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию Приватного канала, чтобы установить частную точку доступа для ресурсов. Использование Private Link предотвратит маршрутизацию частного соединения через общедоступную сеть.

Примечание. Некоторые службы Azure также могут разрешать частное взаимодействие через функцию конечной точки службы, хотя рекомендуется использовать Приватный канал Azure для безопасного и частного доступа к службам, размещенным на платформе Azure.

Для некоторых служб можно развернуть интеграцию виртуальной сети для службы, где можно ограничить виртуальную сеть, чтобы установить частную точку доступа для службы.

Вы также можете настроить правила ACL собственной сети службы или просто отключить доступ к общедоступной сети для блокировки доступа из общедоступных сетей.

Для виртуальных машин Azure, если не существует строгого варианта использования, следует избегать назначения общедоступных IP-адресов или подсети непосредственно интерфейсу виртуальной машины и вместо этого использовать шлюз или службы подсистемы балансировки нагрузки в качестве внешнего интерфейса для доступа к общедоступной сети.

Реализация Azure и дополнительный контекст:

• Общие сведения о приватном канале Azure
• Интеграция служб Azure с виртуальными сетями для изоляции сети

Руководство по AWS. Развертывание VPC PrivateLink для всех ресурсов AWS, поддерживающих функцию PrivateLink, чтобы разрешить частное подключение к поддерживаемым службам ИЛИ службам AWS, размещенным другими учетными записями AWS (службами конечных точек VPC). При использовании PrivateLink частное подключение не будет проходить через общедоступную сеть.

Для определенных служб можно развернуть экземпляр службы в вашей собственной виртуальной частной облачной сети (VPC), чтобы изолировать трафик.

Вы также можете настроить собственные правила ACL службы для блокировки доступа из общедоступной сети. Например, Amazon S3 позволяет блокировать общедоступный доступ на уровне контейнера или учетной записи.

При назначении IP-адресов ресурсам службы в VPC, если не существует строгого варианта использования, следует избегать назначения общедоступных IP-адресов или подсети непосредственно ресурсам и вместо этого использовать частные IP-адреса или подсеть.

Реализация AWS и дополнительный контекст:

• AWS PrivateLink
• Блокировка общедоступного доступа к хранилищу Amazon S3

Руководство по GCP. Развертывание реализаций частного Google Access VPC для всех ресурсов GCP, поддерживающих его для создания частной точки доступа для ресурсов. Эти параметры частного доступа будут препятствовать маршрутизации частных подключений через публичную сеть. Частный Google Access имеет экземпляры виртуальных машин, имеющие только внутренние IP-адреса (без внешних IP-адресов)

Для определенных служб можно развернуть экземпляр службы в вашей собственной виртуальной частной облачной сети (VPC), чтобы изолировать трафик. Вы также можете настроить собственные правила ACL службы для блокировки доступа из общедоступной сети. Например, брандмауэр ядра приложений позволяет управлять разрешенным или отклоненным сетевым трафиком при взаимодействии с ресурсом ядра приложений. Облачное хранилище — это другой ресурс, в котором можно применить защиту общедоступного доступа к отдельным контейнерам или на уровне организации.

Для виртуальных машин подсистемы вычислений GCP, если не существует строгого варианта использования, следует избегать назначения общедоступных IP-адресов и подсетей непосредственно интерфейсу виртуальной машины и вместо этого использовать шлюз или службы подсистемы балансировки нагрузки в качестве внешнего интерфейса для доступа к общедоступной сети.

Реализация GCP и дополнительный контекст:

• Частный Google Access
• Параметры закрытого доступа для служб
• Общие сведения о брандмауэре ядра приложений
• Облачное хранилище — использование защиты общедоступного доступа

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-3: развертывание брандмауэра на границе корпоративной сети

Принцип безопасности. Развертывание брандмауэра для расширенной фильтрации сетевого трафика в внешние сети и из нее. Брандмауэры можно использовать и между внутренними сегментами, поддерживая стратегию сегментации. При необходимости используйте настраиваемые маршруты для подсети, чтобы переопределить системный маршрут, когда необходимо принудительно передать сетевой трафик через сетевое устройство для управления безопасностью.

Как минимум, блокируют известные плохие IP-адреса и протоколы с высоким риском, такие как удаленное управление (например, протоколы RDP и SSH) и интрасети (например, SMB и Kerberos).

Руководство по Azure: Используйте брандмауэр Azure для обеспечения полного ограничения трафика уровня приложений с полным отслеживанием состояния (например, фильтрации URL-адресов) и/или централизованного управления для большого количества корпоративных сегментов или периферийных сегментов (в топологии концентратор/периферия).

Если у вас есть сложная топология сети, например настройка концентратора или периферийной сети, может потребоваться создать определяемые пользователем маршруты (UDR), чтобы обеспечить передачу трафика через нужный маршрут. Например, вы можете использовать UDR для перенаправления исходящего трафика через определенный брандмауэр Azure или сетевое виртуальное устройство.

Реализация Azure и дополнительный контекст:

• Развертывание брандмауэра Azure
• Маршрутизация трафика в виртуальной сети

Руководство по AWS: Используйте сетевой брандмауэр AWS для обеспечения полного и контролируемого ограничения трафика на уровне приложений (например, фильтрации URL) и/или централизованного управления для множества корпоративных сегментов или спиц (в топологии концентратор/спицы).

Если у вас есть сложная сетевая топология, например настройка концентратора или периферийной сети, может потребоваться создать пользовательские таблицы маршрутов VPC, чтобы обеспечить передачу трафика через нужный маршрут. Например, можно использовать пользовательский маршрут для перенаправления исходящего трафика через определенный брандмауэр AWS или сетевое виртуальное устройство.

Реализация AWS и дополнительный контекст:

• Брандмауэр сети AWS
• Aws VPC настраивает пользовательские таблицы маршрутов

Руководство по GCP. Используйте политики безопасности Google Cloud Armor, чтобы обеспечить фильтрацию и защиту распространенных веб-атак уровня 7. Кроме того, используйте правила брандмауэра VPC для обеспечения распределенного, полноценного контроля состояния сетевого трафика и политики брандмауэра для централизованного управления большим числом сегментов предприятия или сегментов-спиц (в топологии концентратор-спица).

Если у вас есть сложная топология сети, например настройка концентратора или периферийной сети, создайте политики брандмауэра, которые группируют правила брандмауэра и должны быть иерархическими, чтобы они могли применяться к нескольким сетям VPC.

Реализация GCP и дополнительный контекст:

• Использование правил брандмауэра VPC
• Политики брандмауэра
• Рекомендации по Google Cloud Armor

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-4: развертывание систем обнаружения и предотвращения вторжений (IDS/IPS)

Принцип безопасности: Используйте системы обнаружения вторжений и предотвращения вторжений в сеть (IDS/IPS) для проверки сетевого трафика и полезной нагрузки в ваш рабочий процесс и из него. Убедитесь, что IDS и IPS всегда настроены на предоставление высококачественных оповещений для вашего решения SIEM.

Для более глубокого обнаружения и предотвращения на уровне узла используйте системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на уровне узла или решение для обнаружения и реагирования на конечных точках (EDR) на уровне узла в сочетании с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).

Руководство по Azure: Используйте возможности системы обнаружения и предотвращения вторжений (IDPS) брандмауэра Azure для защиты вашей виртуальной сети, чтобы оповещать и/или блокировать трафик в и из известных вредоносных IP-адресов и доменов.

Чтобы получить более подробную возможность обнаружения и предотвращения на уровне узла, разверните идентификаторы и IPS на основе узла или решение обнаружения конечных точек на основе узла (EDR), например Microsoft Defender для конечной точки, на уровне виртуальной машины в сочетании с сетевыми идентификаторами и IPS.

Реализация Azure и дополнительный контекст:

• Система обнаружения и предотвращения вторжений брандмауэра Azure
• Возможности Microsoft Defender для Endpoint

Руководство по AWS. Используйте функцию IPS сетевого брандмауэра AWS, чтобы защитить VPC для оповещения и блокировки трафика в известные вредоносные IP-адреса и домены.

Для более подробных возможностей обнаружения и предотвращения на уровне узла разверните идентификаторы и IPS на основе узла или решение обнаружения конечных точек на основе узла (EDR), например стороннее решение для идентификаторов и IPS на основе узла, на уровне виртуальной машины в сочетании с сетевыми идентификаторами и IPS.

Примечание. Если используется сторонний IDS/IPS из Marketplace, используйте Transit Gateway и балансировщик шлюзов для перенаправления трафика для встроенной инспекции.

Реализация AWS и дополнительный контекст:

• Группы правил с отслеживанием состояния IPS в брандмауэре сети AWS
• Amazon Маркетплейс: IPS

Руководство по GCP. Использование возможностей Google Cloud IDS для обнаружения угроз для вторжений, вредоносных программ, шпионских программ и атак управления в вашей сети. Облачная система обнаружения вторжений работает, создавая управляемую Google пиринговую сеть с зеркальными экземплярами виртуальных машин. Трафик в пиринговой сети зеркально отражается, а затем проверяется внедренными технологиями защиты от угроз Palo Alto Networks, чтобы обеспечить расширенное обнаружение угроз. Вы можете зеркально отображать весь трафик входящего трафика и исходящего трафика на основе протокола или диапазона IP-адресов.

Для более подробных возможностей обнаружения и предотвращения на уровне узла разверните конечную точку IDS в качестве зонального ресурса, который может проверять трафик из любой зоны в своем регионе. Каждая конечная точка IDS получает зеркальный трафик и выполняет анализ обнаружения угроз.

Реализация GCP и дополнительный контекст:

• Общие сведения о системе обнаружения вторжений в облаке

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-5: развертывание защиты от атак DDoS

Принцип безопасности. Развертывание защиты распределенного типа "отказ в обслуживании" (DDoS) для защиты сети и приложений от атак.

Руководство по Azure. Защита от атак DDoS Basic автоматически включена для защиты базовой инфраструктуры платформы Azure (например, Azure DNS) и не требует настройки от пользователей.

Для более высоких уровней защиты уровня приложений (уровень 7), таких как наводнения HTTP и наводнения DNS, включите стандартный план защиты DDoS в виртуальной сети для защиты ресурсов, предоставляемых общедоступным сетям.

Реализация Azure и дополнительный контекст:

• Управление защитой от атак DDoS Azure уровня "Стандартный" с помощью портала Azure

Руководство по AWS: AWS Shield Standard автоматически включается с стандартными механизмами защиты для защиты рабочей нагрузки от распространенных атак на сеть и транспортный уровень (уровень 3 и 4) атак DDoS

Для повышения уровня защиты приложений от атак уровня приложений (уровень 7), таких как наводнения HTTPS и наводнения DNS, включите расширенную защиту AWS Shield в Amazon EC2, эластичную балансировку нагрузки (ELB), Amazon CloudFront, AWS Global Accelerator и Amazon Route 53.

Реализация AWS и дополнительный контекст:

• Функции щита AWS

Руководство по GCP: Google Cloud Armor предлагает следующие варианты для защиты систем от атак DDoS:

• Защита от атак DDoS уровня "Стандартный" — базовая защита для подсистем балансировки нагрузки сети, перенаправления протоколов или виртуальных машин с общедоступными IP-адресами.
• Расширенная защита от атак DDoS сети: дополнительные средства защиты для подписчиков Managed Protection Plus, использующих подсистемы балансировки нагрузки сети, перенаправление протоколов или виртуальные машины с общедоступными IP-адресами.
• Стандартная сетевая защита от атак DDoS всегда включена. Вы настраиваете расширенную защиту от атак DDoS сети на основе каждого региона.

Реализация GCP и дополнительный контекст:

• Настройка расширенной защиты от атак DDoS сети
• Обзор Google Cloud Armor
• Обзор политики Google Cloud Armor Security

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-6: развертывание брандмауэра веб-приложения

Принцип безопасности. Развертывание брандмауэра веб-приложения (WAF) и настройка соответствующих правил для защиты веб-приложений и API от атак, относящихся к приложениям.

Руководство по Azure. Использование возможностей брандмауэра веб-приложений (WAF) в Шлюзе приложений Azure, Azure Front Door и сети доставки содержимого Azure (CDN) для защиты приложений, служб и API от атак на уровне приложений в пограничной сети.

Задайте WAF в режиме обнаружения или предотвращения в зависимости от потребностей и ландшафта угроз.

Выберите встроенный набор правил, например список уязвимостей OWASP Top 10, и настройте его под нужды вашего приложения.

Реализация Azure и дополнительный контекст:

• Развертывание Azure WAF

Руководство по AWS. Использование брандмауэра веб-приложений AWS (WAF) в дистрибутиве Amazon CloudFront, шлюзе API Amazon, Application Load Balancer или AWS AppSync для защиты приложений, служб и API от атак на уровне приложений в пограничной сети.

Используйте управляемые правила AWS для WAF, чтобы развернуть встроенные базовые группы и настроить их в соответствии с потребностями приложения для групп правил пользовательских сценариев.

Чтобы упростить развертывание правил WAF, можно также использовать решение aws WAF Security Automations для автоматического развертывания предварительно определенных правил AWS WAF, которые фильтруют веб-атаки на веб-ACL.

Реализация AWS и дополнительный контекст:

• Как работает AWS WAF
• Службы автоматизации безопасности AWS WAF
• Управляемые правила AWS для AWS WAF

Руководство по GCP. Использование Google Cloud Armor для защиты приложений и веб-сайтов от отказов в обслуживании и веб-атаках.

Используйте стандартные правила Google Cloud Armor на основе отраслевых стандартов, чтобы устранить распространенные уязвимости веб-приложения и обеспечить защиту от OWASP Top 10.

Настройте предварительно настроенные правила WAF, каждая из которых состоит из нескольких подписей, полученных из правил ModSecurity Core (CRS). Каждая подпись соответствует правилу обнаружения атак в наборе правил.

Cloud Armor работает совместно с внешними подсистемами балансировки нагрузки и защищает от распределенных атак типа "отказ в обслуживании" (DDoS) и других веб-атак, будь то приложения развернуты в Google Cloud, в гибридном развертывании или в многооблачной архитектуре. Политики безопасности можно настроить вручную, с настраиваемыми условиями соответствия и действиями в политике безопасности. Cloud Armor также включает предварительно настроенные политики безопасности, охватывающие различные варианты использования.

Адаптивная защита в Cloud Armor помогает предотвратить, обнаруживать и защищать приложения и службы от распределенных атак L7 путем анализа шаблонов трафика в внутренние службы, обнаружения и оповещения предполагаемых атак и создания предлагаемых правил WAF для устранения таких атак. Эти правила можно настроить в соответствии с вашими потребностями.

Реализация GCP и дополнительный контекст:

• Облачная броня Google
• Документация по Apigee
• Интеграция Google Cloud Armor с другими продуктами Google

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-7: упрощение конфигурации безопасности сети

Принцип безопасности. При управлении сложной сетевой средой используйте средства для упрощения, централизации и улучшения управления безопасностью сети.

Руководство по Azure. Используйте следующие функции, чтобы упростить реализацию и управление виртуальной сетью, правилами NSG и правилами брандмауэра Azure:

• Используйте Диспетчер виртуальных сетей Azure для группирования, настройки, развертывания и управления виртуальными сетями и правилами группы безопасности сети в разных регионах и подписках.
• Используйте Microsoft Defender для адаптивного усиления сети в облаке, чтобы рекомендовать правила безопасности сети (NSG), которые ограничивают порты, протоколы и исходные IP-адреса на основе информации о текущих угрозах и результатов анализа трафика.
• Используйте диспетчер брандмауэра Azure, чтобы централизировать политику брандмауэра и управление маршрутизацией виртуальной сети. Чтобы упростить правила брандмауэра и реализацию групп безопасности сети, можно также использовать шаблон Azure Firewall Manager Azure Resource Manager (ARM).

Реализация Azure и дополнительный контекст:

• Адаптивная защита сети в Microsoft Defender для облака
• Диспетчер брандмауэра Azure
• Создание брандмауэра Azure и политики брандмауэра — шаблон ARM

Руководство по AWS. Используйте диспетчер брандмауэра AWS для централизованного управления политикой защиты сети в следующих службах:

• Правила AWS WAF
• Расширенные политики AWS Shield
• Политики группы безопасности VPC
• Политики брандмауэра сети

Диспетчер брандмауэра AWS может автоматически анализировать политики, связанные с брандмауэром, и создавать выводы для несоответствующих ресурсов, а также обнаруживать атаки и отправлять их в Центр безопасности AWS для расследований.

Реализация AWS и дополнительный контекст:

• Диспетчер брандмауэра AWS
• Результаты диспетчера брандмауэра AWS

Руководство по GCP. Используйте следующие функции, чтобы упростить реализацию и управление сетью виртуального частного облака (VPC), правилами брандмауэра и правилами WAF:

• Используйте VPC Networks для управления и настройки отдельных сетей VPC и правил брандмауэра VPC.
• Используйте иерархические политики брандмауэра для группирования правил брандмауэра и применения правил политики иерархически в глобальном или региональном масштабе.
• Используйте Google Cloud Armor для применения пользовательских политик безопасности, предварительно настроенных правил WAF и защиты от атак DDoS.

Центр аналитики сети также позволяет анализировать сеть и получать аналитические сведения о топологии виртуальной сети, правилах брандмауэра и состоянии сетевого подключения для повышения эффективности управления.

Реализация GCP и дополнительный контекст:

• Сети VPC
• Иерархические политики брандмауэра
• Обзор Good Cloud Armor
• Центр аналитики сети

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-8: обнаружение и отключение небезопасных служб и протоколов

Принцип безопасности: обнаружение и отключение небезопасных служб и протоколов на уровне ОС, приложения или пакета программного обеспечения. Развертывание компенсирующих элементов управления, если отключение небезопасных служб и протоколов невозможно.

Руководство по Azure. Используйте встроенную книгу протокола Microsoft Sentinel для обнаружения использования небезопасных служб и протоколов, таких как SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, слабые шифры в Kerberos и неназначенные привязки LDAP. Отключите небезопасные службы и протоколы, которые не соответствуют соответствующему стандарту безопасности.

Примечание. Если отключение небезопасных служб или протоколов невозможно, используйте компенсирующие элементы управления, такие как блокировка доступа к ресурсам через группу безопасности сети, брандмауэр Azure или брандмауэр веб-приложения Azure, чтобы уменьшить область атаки.

Реализация Azure и дополнительный контекст:

• Книга небезопасных протоколов Azure Sentinel

Руководство по AWS. Включите журналы потоков VPC и используйте GuardDuty для анализа журналов потоков VPC, чтобы определить возможные небезопасные службы и протоколы, которые не соответствуют соответствующему стандарту безопасности.

Если журналы в среде AWS можно перенаправить в Microsoft Sentinel, можно также использовать встроенную книгу протокола Microsoft Sentinel для обнаружения использования небезопасных служб и протоколов.

Примечание. Если отключение небезопасных служб или протоколов невозможно, используйте компенсирующие элементы управления, такие как блокировка доступа к ресурсам с помощью групп безопасности, брандмауэра сети AWS, брандмауэра веб-приложений AWS, чтобы уменьшить область атаки.

Реализация AWS и дополнительный контекст:

• Использование GuardDuty с журналами потоков VPC в качестве источника данных

Руководство по GCP. Включение журналов потоков VPC и использование BigQuery или Центра управления безопасностью для анализа журналов потоков VPC для выявления возможных небезопасных служб и протоколов, которые не соответствуют соответствующему стандарту безопасности.

Если журналы в среде GCP можно перенаправить в Microsoft Sentinel, можно также использовать встроенную книгу протокола Microsoft Sentinel для обнаружения использования небезопасных служб и протоколов. Кроме того, журналы можно отправлять в Google Cloud Chronicle SIEM и SOAR и создавать пользовательские правила для той же цели.

Примечание. Если отключение небезопасных служб или протоколов невозможно, используйте компенсирующие элементы управления, такие как блокировка доступа к ресурсам с помощью правил и политик брандмауэра VPC, или Cloud Armor для уменьшения области атаки.

Реализация GCP и дополнительный контекст:

• Использование журналов потоков VPC
• Аналитика журналов безопасности в Google Cloud
• Обзор BigQuery - Обзор Центра управления безопасностью
• Microsoft Sentinel для нагрузок GCP

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-9: подключение к локальной или облачной сети в частном режиме

Принцип безопасности. Используйте частные подключения для безопасного обмена данными между разными сетями, например центрами обработки данных поставщика облачных служб и локальной инфраструктурой в среде совместного размещения.

Руководство по Azure. Для упрощенного подключения типа "сеть — сеть" или "точка — сеть" используйте виртуальную частную сеть Azure для создания безопасного подключения между локальным сайтом или конечным пользователем и виртуальной сетью Azure.

Для высокопроизводительных подключений корпоративного уровня используйте Azure ExpressRoute (или виртуальную глобальную сеть) для подключения центров обработки данных Azure и локальной инфраструктуры в среде совместного расположения.

При подключении двух или нескольких виртуальных сетей Azure используйте пиринг между виртуальными сетями. Сетевой трафик между одноранговой виртуальной сетью является частным и хранится в магистральной сети Azure.

Реализация Azure и дополнительный контекст:

• Общие сведения о VPN Azure
• Что такое модели подключения ExpressRoute
• Пиринг виртуальной сети

Руководство по AWS. Для подключения типа "сеть — сеть" или "точка — сеть" используйте VPN AWS для создания безопасного подключения (если расходы на IPsec не являются проблемой) между локальным сайтом или конечным пользователем в сети AWS.

Для высокопроизводительных подключений корпоративного уровня используйте AWS Direct Connect для подключения виртуальных машин AWS и ресурсов к локальной инфраструктуре в совместном расположении.

Вы можете использовать пиринг VPC или транзитный шлюз для установления подключения между двумя или несколькими виртуальными компьютерами в пределах или между регионами. Сетевой трафик между пиринговыми VPC является частным и проходит по магистральной сети AWS без выхода за её пределы. При подключении нескольких виртуальных частных облаков для создания большой плоской подсети можно также использовать совместное использование VPC.

Реализация AWS и дополнительный контекст:

• Введение в AWS Direct Connect
• Общие сведения о VPN AWS
• Транзитный шлюз
• Создание и принятие подключений пиринга VPC
• Общий доступ к VPC

Руководство по GCP. Для упрощенного подключения типа "сеть — сеть" или "точка — сеть" используйте VPN Google Cloud.

Для высокопроизводительных подключений корпоративного уровня используйте Google Cloud Interconnect или Partner Interconnect, чтобы подключиться к виртуальным частным облакам Google Cloud и ресурсам с вашей локальной инфраструктурой в условиях совместного размещения.

Вы можете использовать пиринг между сетями VPC или Центр сетевого подключения для установления подключения между двумя или несколькими виртуальными сетями в пределах или между регионами. Сетевой трафик между пиринговых VPC остается частным и передается по основной сети GCP. Когда нужно объединить несколько виртуальных частных облаков для создания большой плоской подсети, можно также использовать общую виртуальную частную сеть.

Реализация GCP и дополнительный контекст:

• Обзор облачных VPN
• Облачное соединение, Выделенное соединение и Партнёрское соединение
• Общие сведения о Центре подключения к сети
• Подключение к частной службе

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps

NS-10: обеспечение безопасности системы доменных имен (DNS)

Принцип безопасности. Убедитесь, что конфигурация безопасности системы доменных имен (DNS) защищает от известных рисков:

• Используйте авторитетные и доверенные рекурсивные службы DNS в облачной среде, чтобы гарантировать, что клиент (например, операционные системы и приложения) получает правильный результат разрешения.
• Отделите разрешение общедоступных и частных DNS, чтобы процесс разрешения DNS для частной сети можно изолировать от общедоступной сети.
• Убедитесь, что стратегия безопасности DNS также включает в себя устранение распространенных атак, таких как зависшие записи DNS, атаки усиления DNS, отравление DNS, спуфинг и т. д.
  

Руководство по Azure. Используйте рекурсивную DNS Azure (обычно назначенную виртуальной машине через DHCP или предварительно настроенную в службе) или доверенный внешний DNS-сервер в рекурсивной настройке DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте Azure Private DNS для настройки частной зоны DNS, где процесс разрешения DNS не покидает виртуальную сеть. Используйте пользовательский DNS, чтобы ограничить разрешение DNS только доверенным разрешением для клиента.

Используйте Microsoft Defender для DNS для расширенной защиты от следующих угроз безопасности для рабочей нагрузки или службы DNS:

• Утечка данных из ресурсов Azure с помощью туннелирования DNS
• Вредоносное ПО, взаимодействующее с сервером управления и контроля.
• Обмен данными с вредоносными доменами, такими как фишинг и криптодобыча
• Атаки DNS при взаимодействии с вредоносными резолверами DNS

Вы также можете использовать Microsoft Defender для App Service для обнаружения висимых записей DNS, если вы исключаете веб-сайт App Service без удаления пользовательского домена из регистратора DNS.

Реализация Azure и дополнительный контекст:

• Обзор Azure DNS
• Руководство по развертыванию защищенной системы доменных имен (DNS):
• Частный DNS Azure
• Azure Defender для DNS
• Предотвратить появление висячих записей DNS и избежать захвата поддомена:

Руководство по AWS. Используйте dns-сервер Amazon (иными словами, сервер сопоставителя Amazon Route 53, который обычно назначается через DHCP или предварительно настроен в службе) или централизованный доверенный сервер сопоставителя DNS в настройке рекурсивной DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте Amazon Route 53, чтобы создать настройку частной размещенной зоны, в которой процесс разрешения DNS не покидает назначенные виртуальные машины. Используйте брандмауэр Amazon Route 53 для регулирования и фильтрации исходящего трафика DNS/UDP в VPC для следующих вариантов использования:

• Предотвращение атак, таких как утечка DNS в VPC
• Настройка списка разрешений или запретов для доменов, которые могут запрашивать приложения

Настройте функцию "Расширения безопасности системы доменных имен" (DNSSEC) в Amazon Route 53, чтобы обезопасить DNS-трафик и защитить домен от подмены DNS или атаки типа "человек посередине".

Amazon Route 53 также предоставляет службу регистрации DNS, где маршрут 53 можно использовать в качестве доверенных серверов имен для ваших доменов. Чтобы обеспечить безопасность доменных имен, выполните следующие рекомендации.

• Доменные имена должны автоматически обновляться службой Amazon Route 53.
• Доменные имена должны включать функцию блокировки передачи, чтобы обеспечить их безопасность.
• Фреймворк политики отправителя (SPF) должен использоваться для предотвращения спамеров от подделки вашего домена.

Реализация AWS и дополнительный контекст:

• Конфигурация DNSSEC Amazon Route 53
• Брандмауэр Amazon Route 53
• Регистрация домена Amazon Route 53

Руководство по GCP. Используйте DNS-сервер GCP (т. е. сервер метаданных, который обычно назначается виртуальной машине через DHCP или предварительно настроен в службе) или централизованный доверенный сервер сопоставителя DNS (например, Google Public DNS) в настройке рекурсивного DNS рабочей нагрузки, например в операционной системе виртуальной машины или в приложении.

Используйте GCP Cloud DNS для создания частной зоны DNS, в которой процесс разрешения DNS не покидает выделенные VPC. Регулируйте и фильтруйте исходящий трафик DNS/UDP в вашем VPC для сценариев использования.

• Предотвращение атак, таких как утечка DNS в VPC
• Настройка списков разрешений или запретов для доменов, запрашивающих приложения

Настройте функцию DNSSEC в Cloud DNS для защиты DNS-трафика и вашего домена от спуфинга DNS или атаки "человек посредине".

Домены Google Cloud предоставляют службы регистрации доменов. GCP Cloud DNS можно использовать в качестве доверенных серверов имен для доменов. Чтобы обеспечить безопасность доменных имен, выполните следующие рекомендации.

• Доменные имена должны автоматически обновляться доменными доменами Google Cloud.
• Доменные имена должны включать функцию блокировки передачи, чтобы обеспечить их безопасность
• Фреймворк политики отправителя (SPF) должен использоваться для предотвращения спамеров от подделки вашего домена.

Реализация GCP и дополнительный контекст:

• Google Public DNS
• Домены Google Cloud
• Рекомендации по облачному DNS

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление осанкой
• Безопасность приложений и DevOps