Benchmark de segurança na nuvem da Microsoft: proteção de dados, registo de logs, deteção de ameaças e segurança de rede

  • 15 minutos

Controlo de Segurança: Proteção de dados

A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados.

DP-3: Criptografar dados confidenciais em trânsito

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Princípio de segurança: Proteja os dados em trânsito contra ataques "fora de banda" (como captura de tráfego) usando criptografia para garantir que os invasores não possam ler ou modificar facilmente os dados.

Defina o limite da rede e o escopo do serviço onde a criptografia de dados em trânsito é obrigatória dentro e fora da rede. Embora isso seja opcional para o tráfego em redes privadas, isso é crítico para o tráfego em redes externas e públicas.

Orientação do Azure: imponha a transferência segura em serviços como o Armazenamento do Azure, onde um recurso nativo de criptografia de dados em trânsito é incorporado.

Imponha HTTPS para cargas de trabalho e serviços de aplicativos Web garantindo que todos os clientes que se conectam aos seus recursos do Azure usem TLS (Transport Layer Security) v1.2 ou posterior. Para gerenciamento remoto de VMs, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.

Para gerenciamento remoto de máquinas virtuais do Azure, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivos, use o serviço SFTP/FTPS no Blob de Armazenamento do Azure, aplicativos do Serviço de Aplicativo e aplicativos de Função, em vez de usar o serviço FTP regular.

Observação

A criptografia de dados em trânsito está habilitada para todo o tráfego do Azure que viaja entre datacenters do Azure. O TLS v1.2 ou posterior está habilitado na maioria dos serviços do Azure por padrão. E alguns serviços, como o Armazenamento do Azure e o Gateway de Aplicativos, podem impor o TLS v1.2 ou posterior no lado do servidor.

Implementação do Azure e contexto adicional:

Orientação da AWS: imponha a transferência segura em serviços como Amazon S3, RDS e CloudFront, onde um recurso nativo de criptografia de dados em trânsito é incorporado.

Imponha HTTPS (como no AWS Elastic Load Balancer) para aplicativos e serviços da web de carga de trabalho (no lado do servidor ou do cliente, ou em ambos) garantindo que todos os clientes que se conectam aos seus recursos da AWS usem o TLS v1.2 ou posterior.

Para o gerenciamento remoto de instâncias do EC2, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para uma transferência segura de arquivos, use o serviço AWS Transfer SFTP ou FTPS em vez de um serviço FTP normal.

Observação

Todo o tráfego de rede entre os data centers da AWS é criptografado de forma transparente na camada física. Todo o tráfego dentro de uma VPC e entre VPCs emparelhadas entre regiões é criptografado de forma transparente na camada de rede ao usar tipos de instância compatíveis do Amazon EC2. O TLS v1.2 ou posterior está habilitado na maioria dos serviços da AWS por padrão. E alguns serviços, como o AWS Load Balancer, podem impor o TLS v1.2 ou posterior no lado do servidor.

Implementação da AWS e contexto adicional:

Orientação do GCP: imponha a transferência segura em serviços como o Google Cloud Storage, onde um recurso nativo de criptografia de dados em trânsito está incorporado.

Imponha HTTPS para cargas de trabalho e serviços de aplicativos Web, garantindo que todos os clientes que se conectam aos seus recursos GCP usem TLS (Transport Layer Security) v1.2 ou posterior.

Para gerenciamento remoto, o Google Cloud Compute Engine usa SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para uma transferência segura de ficheiros, utilize o serviço SFTP/FTPS em serviços como o Google Cloud Big Query ou o Cloud App Engine em vez de um serviço FTP normal.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

Controle de segurança: registro e deteção de ameaças

O Registo e Deteção de Ameaças abrange controlos para detetar ameaças na nuvem e ativar, recolher e armazenar registos de auditoria para serviços na nuvem, incluindo a ativação de processos de deteção, investigação e correção com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas em serviços na nuvem; também inclui a coleta de logs com um serviço de monitoramento em nuvem, centralização da análise de segurança com um SIEM, sincronização de tempo e retenção de logs.

LT-4: Habilitar o log de rede para investigação de segurança

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Princípio de segurança: habilite o registro em log para seus serviços de rede para dar suporte a investigações de incidentes relacionados à rede, caça a ameaças e geração de alertas de segurança. Os logs de rede podem incluir logs de serviços de rede, como filtragem de IP, firewall de rede e de aplicações, DNS, monitorização de fluxo e assim por diante.

Orientação do Azure: habilite e colete logs de recursos do grupo de segurança de rede (NSG), logs de fluxo NSG, logs do Firewall do Azure e logs do Web Application Firewall (WAF) e logs de máquinas virtuais por meio do agente de coleta de dados de tráfego de rede para análise de segurança para dar suporte a investigações de incidentes e geração de alertas de segurança. Você pode enviar os logs de fluxo para um espaço de trabalho do Azure Monitor Log Analytics e, em seguida, usar a Análise de Tráfego para fornecer informações.

Colete logs de consulta DNS para ajudar a correlacionar outros dados da rede.

Implementação do Azure e contexto adicional:

Orientação da AWS: habilite e colete logs de rede, como VPC Flow Logs, WAF Logs, e logs de consulta do Route53 Resolver, para análise de segurança que dê suporte a investigações de incidentes e geração de alertas de segurança. Os logs podem ser exportados para o CloudWatch para monitoramento ou um bucket de armazenamento do S3 para ingestão na solução Microsoft Sentinel para análise centralizada.

Implementação da AWS e contexto adicional:

Orientação do GCP: A maioria dos registos de atividades de rede está disponível através dos VPC Flow Logs, que registam uma amostra dos fluxos de rede enviados e recebidos pelos recursos, incluindo instâncias usadas como VMs do Google Compute e nós do Kubernetes Engine. Esses logs podem ser usados para monitoramento de rede, perícia, análise de segurança em tempo real e otimização de despesas.

Pode visualizar logs de fluxo no Cloud Logging e exportá-los para os destinos que a exportação do Cloud Logging suporta. Os logs de fluxo das VMs do Compute Engine são agregados por conexão e exportados em tempo real. Ao assinar o Pub/Sub, você pode analisar logs de fluxo usando APIs de streaming em tempo real.

Observação

Pode também utilizar o Packet Mirroring para clonar o tráfego de instâncias especificadas na sua rede Virtual Private Cloud (VPC) e encaminhá-lo para análise. O Packet Mirroring captura todo o tráfego e dados de pacotes, incluindo cargas úteis e cabeçalhos.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

Controle de Segurança: Segurança de rede

A Segurança de Rede abrange controlos para proteger e proteger redes, incluindo a proteção de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a proteção do DNS.

NS-1: Estabelecer limites de segmentação de rede

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princípio de segurança: Certifique-se de que sua implantação de rede virtual esteja alinhada à estratégia de segmentação corporativa definida no controle de segurança GS-2. Qualquer carga de trabalho que possa incorrer em maior risco para a organização deve estar em redes virtuais isoladas.

Exemplos de carga de trabalho de alto risco incluem:

  • Um aplicativo que armazena ou processa dados altamente confidenciais.
  • Um aplicativo externo voltado para a rede acessível pelo público ou usuários fora da sua organização.
  • Um aplicativo que usa arquitetura insegura ou que contém vulnerabilidades que não podem ser facilmente corrigidas.

Para melhorar sua estratégia de segmentação empresarial, restrinja ou monitore o tráfego entre recursos internos usando controles de rede. Para aplicativos específicos e bem definidos (como um aplicativo de 3 camadas), essa pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção", restringindo as portas, protocolos, IPs de origem e destino do tráfego de rede. Se tiveres muitas aplicações e endpoints interagindo uns com os outros, o bloqueio de tráfego pode não ser escalável e poderás apenas monitorizar o tráfego.

Orientação do Azure: crie uma rede virtual (VNet) como uma abordagem de segmentação fundamental em sua rede do Azure, para que recursos como VMs possam ser implantados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VNet para sub-redes menores.

Use grupos de segurança de rede (NSG) como um controle de camada de rede para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Consulte NS-7: Simplifique a configuração de segurança de rede para usar o Adaptive Network Hardening para recomendar regras de proteção NSG com base em informações sobre ameaças e resultados de análise de tráfego.

Você também pode usar grupos de segurança de aplicativos (ASGs) para simplificar a configuração complexa. Em vez de definir políticas com base em endereços IP explícitos em grupos de segurança de rede, os ASGs permitem configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

Implementação do Azure e contexto adicional:

Orientação da AWS: crie uma Virtual Private Cloud (VPC) como uma abordagem de segmentação fundamental em sua rede da AWS, para que recursos como instâncias do EC2 possam ser implantados na VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VPC para sub-redes menores.

Para instâncias do EC2, use Security Groups como um firewall com estado para restringir o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. No nível da sub-rede da VPC, use a Lista de Controle de Acesso à Rede (NACL) como um firewall sem estado para ter regras explícitas para o tráfego de entrada e saída para a sub-rede.

Observação

Para controlar o tráfego da VPC, a Internet e o NAT Gateway devem ser configurados para garantir que o tráfego de/para a Internet seja restrito.

Implementação da AWS e contexto adicional:

Orientação do GCP: crie uma rede de nuvem privada virtual (VPC) como uma abordagem de segmentação fundamental em sua rede GCP, para que recursos como instâncias de máquina virtual (VMs) do mecanismo de computação possam ser implantados na rede VPC dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VPC para sub-redes menores.

Use as regras de firewall da VPC como um controle de camada de rede distribuída para permitir ou negar conexões de ou para suas instâncias de destino na rede VPC, que incluem VMs, clusters do Google Kubernetes Engine (GKE) e instâncias de ambiente flexível do App Engine.

Você também pode configurar regras de firewall da VPC para direcionar todas as instâncias na rede VPC, instâncias com uma marca de rede correspondente ou instâncias que usam uma conta de serviço específica, permitindo agrupar instâncias e definir políticas de segurança de rede com base nesses grupos.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

NS-2: Serviços nativos de nuvem seguros com controles de rede

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Princípio de segurança: Proteger os serviços de nuvem estabelecendo um ponto de acesso privado para recursos. Você também deve desativar ou restringir o acesso de redes públicas quando possível.

Orientação do Azure: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado para estabelecer um ponto de acesso privado para os recursos. O uso do Private Link impede que a conexão privada seja roteada pela rede pública.

Observação

Alguns serviços do Azure também podem permitir comunicação privada por meio do recurso de ponto de extremidade de serviço, embora seja recomendável usar o Azure Private Link para acesso seguro e privado a serviços hospedados na plataforma Azure.

Para determinados serviços, você pode optar por implantar a integração de rede virtual para o serviço, onde você pode restringir a rede virtual para estabelecer um ponto de acesso privado para o serviço.

Você também tem a opção de configurar as regras de ACL de rede nativa do serviço ou simplesmente desabilitar o acesso à rede pública para bloquear o acesso de redes públicas.

Para VMs do Azure, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-redes públicas diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.

Implementação do Azure e contexto adicional:

Orientação da AWS: implante o VPC PrivateLink para todos os recursos da AWS compatíveis com o recurso PrivateLink para permitir a conexão privada com os serviços da AWS compatíveis ou hospedados por outras contas da AWS (VPC endpoint services). O uso do PrivateLink impede que a conexão privada seja roteada pela rede pública.

Para determinados serviços, você pode optar por implantar a instância de serviço em sua própria VPC para isolar o tráfego.

Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o Amazon S3 permite bloquear o acesso público no nível do bucket ou da conta.

Ao atribuir IPs aos seus recursos de serviço na VPC, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-redes públicas diretamente aos seus recursos e, em vez disso, usar IPs/sub-redes privadas.

Implementação da AWS e contexto adicional:

Orientação do GCP: implante implementações do VPC Private Google Access para todos os recursos do GCP que o suportam para estabelecer um ponto de acesso privado para os recursos. Essas opções de acesso privado impedem que a conexão privada seja roteada pela rede pública. O Google Access privado tem instâncias de VM que têm apenas endereços IP internos (sem endereços IP externos)

Para determinados serviços, você pode optar por implantar a instância de serviço em sua própria VPC para isolar o tráfego. Você também tem a opção de configurar as regras de ACL nativas do serviço para bloquear o acesso da rede pública. Por exemplo, o firewall do App Engine permite controlar qual tráfego de rede é permitido ou rejeitado ao se comunicar com o recurso do App Engine. O armazenamento em nuvem é outro recurso onde você pode impor a prevenção de acesso público em buckets individuais ou no nível da organização.

Para VMs do GCP Compute Engine, a menos que haja um caso de uso forte, você deve evitar atribuir IPs/sub-redes públicas diretamente à interface da VM e, em vez disso, usar serviços de gateway ou balanceador de carga como o front-end para acesso pela rede pública.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

NS-3: Implante o firewall na borda da rede corporativa

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Princípio de segurança: Implante um firewall para executar filtragem avançada no tráfego de rede de e para redes externas. Você também pode usar firewalls entre segmentos internos para dar suporte a uma estratégia de segmentação. Se necessário, use rotas personalizadas para sua sub-rede para substituir a rota do sistema quando precisar forçar o tráfego de rede a passar por um dispositivo de rede para fins de controle de segurança.

No mínimo, bloqueie endereços IP incorretos conhecidos e protocolos de alto risco, como gerenciamento remoto (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).
Orientação do Azure: use o Firewall do Azure para fornecer restrição de tráfego de camada de aplicativo com monitoração de estado total (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou raios (em uma topologia hub/spoke).

Se você tiver uma topologia de rede complexa, como uma configuração hub/spoke, talvez seja necessário criar rotas definidas pelo usuário (UDR) para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar um UDR para redirecionar o tráfego de saída da Internet por meio de um Firewall do Azure específico ou de um dispositivo virtual de rede.

Implementação do Azure e contexto adicional:

Orientação da AWS: utilize o AWS Network Firewall para fornecer restrição de tráfego de camada de aplicação com estado completo (como filtragem de URL) e/ou gestão centralizada sobre um grande número de segmentos ou ramificações empresariais (numa topologia hub/spoke).

Se você tiver uma topologia de rede complexa, como uma configuração hub/spoke, talvez seja necessário criar tabelas de rotas de VPC personalizadas para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma rota personalizada para redirecionar o tráfego de saída da Internet por meio de um firewall específico da AWS ou de um dispositivo virtual de rede.

Implementação da AWS e contexto adicional:

Orientação do GCP: use as políticas de segurança do Google Cloud Armor para fornecer filtragem de Camada 7 e proteção contra ataques comuns da Web. Além disso, use as regras de firewall da VPC para fornecer restrições de tráfego de camada de rede distribuídas e totalmente com estado, e políticas de firewall para gerenciamento central em um grande número de segmentos ou ramificações corporativas (em uma topologia de centro/ramificação).

Se você tiver uma topologia de rede complexa, como uma configuração hub/spoke, crie políticas de firewall que agrupem regras de firewall e sejam hierárquicas para que possam ser aplicadas a várias redes VPC.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

NS-5: Implantar a proteção DDOS

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Princípio de segurança: implante proteção distribuída contra negação de serviço (DDoS) para proteger sua rede e aplicativos contra ataques.

Orientação do Azure: a Proteção contra DDoS Básica é habilitada automaticamente para proteger a infraestrutura da plataforma subjacente do Azure (por exemplo, DNS do Azure) e não requer nenhuma configuração dos usuários.

Para níveis mais altos de proteção de ataques da camada de aplicativo (Camada 7), como inundações HTTP e DNS, habilite o plano de proteção padrão DDoS em sua rede virtual para proteger os recursos expostos às redes públicas.

Implementação do Azure e contexto adicional:

Orientação da AWS: o AWS Shield Standard é ativado automaticamente com mitigações padrão para proteger sua carga de trabalho contra ataques DDoS comuns de rede e camada de transporte (camadas 3 e 4)

Para obter níveis mais altos de proteção de seus aplicativos contra ataques à camada de aplicativos (camada 7), como inundações de HTTPS e DNS, habilite a proteção avançada do AWS Shield no Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator e Amazon Route 53.

Implementação da AWS e contexto adicional:

Orientação do GCP: o Google Cloud Armor oferece as seguintes opções para ajudar a proteger os sistemas contra ataques DDoS:

  • Proteção DDoS de rede padrão: proteção básica sempre ativa para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
  • Proteção avançada contra DDoS de rede: proteções adicionais para assinantes do Managed Protection Plus que usam balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
  • A proteção padrão contra DDoS de rede está sempre ativada. Você configura a proteção avançada contra DDoS de rede por região.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

NS-6: Implante o firewall de aplicativos Web

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Princípio de segurança: implante um firewall de aplicativo Web (WAF) e configure as regras apropriadas para proteger seus aplicativos Web e APIs contra ataques específicos de aplicativos.

Orientação do Azure: use os recursos de firewall de aplicativo Web (WAF) no Azure Application Gateway, Azure Front Door e Azure Content Delivery Network (CDN) para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda de sua rede.

Defina seu WAF em "deteção" ou "modo de prevenção", dependendo de suas necessidades e cenário de ameaças.

Escolha um conjunto de regras incorporado, como as 10 principais vulnerabilidades do OWASP, e adapte-o às necessidades da sua aplicação.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o AWS Web Application Firewall (WAF) na distribuição do Amazon CloudFront, no Amazon API Gateway, no Application Load Balancer ou no AWS AppSync para proteger seus aplicativos, serviços e APIs contra ataques à camada de aplicativos na borda da rede.

Use o AWS Managed Rules for WAF para implantar grupos de linha de base integrados e personalizá-los de acordo com as necessidades do seu aplicativo para os grupos de regras de caso de usuário.

Para simplificar a implantação de regras do WAF, você também pode usar a solução AWS WAF Security Automations para implantar automaticamente regras predefinidas do AWS WAF que filtram ataques baseados na web em sua ACL da web.

Implementação da AWS e contexto adicional:

Orientação do GCP: use o Google Cloud Armor para ajudar a proteger seus aplicativos e sites contra negação de serviço e ataques na Web.

Use as regras prontas para uso do Google Cloud Armor com base nos padrões do setor para mitigar vulnerabilidades comuns de aplicativos da Web e ajudar a fornecer proteção contra o OWASP Top 10.

Configure suas regras WAF pré-configuradas, cada uma consistindo em várias assinaturas originadas de ModSecurity Core Rules (CRS). Cada assinatura corresponde a uma regra de deteção de ataque no conjunto de regras.

O Cloud Armor funciona em conjunto com balanceadores de carga externos e protege contra negação de serviço distribuída (DDoS) e outros ataques baseados na Web, quer os aplicativos sejam implantados no Google Cloud, em uma implantação híbrida ou em uma arquitetura multicloud. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência configuráveis e ações em uma política de segurança. O Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem uma variedade de casos de uso.

A Proteção Adaptativa no Cloud Armor ajuda você a prevenir, detetar e proteger seus aplicativos e serviços contra ataques distribuídos L7, analisando padrões de tráfego para seus serviços de back-end, detetando e alertando ataques suspeitos e gerando regras WAF sugeridas para mitigar tais ataques. Essas regras podem ser ajustadas para atender às suas necessidades.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

NS-8: Detetar e desabilitar serviços e protocolos inseguros

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Princípio de segurança: Detete e desative serviços e protocolos inseguros na camada do sistema operacional, aplicativo ou pacote de software. Implante controles de compensação se não for possível desabilitar serviços e protocolos inseguros.

Orientação do Azure: use a Pasta de Trabalho de Protocolo Inseguro interna do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cifras fracas no Kerberos e Ligações LDAP não assinadas. Desative serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.

Observação

Se não for possível desativar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio do grupo de segurança de rede, do Firewall do Azure ou do Firewall de Aplicativo Web do Azure para reduzir a superfície de ataque.

Implementação do Azure e contexto adicional:

Orientação da AWS: habilite os VPC Flow Logs e use o GuardDuty para analisar os VPC Flow Logs para identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.

Se os logs no ambiente da AWS puderem ser encaminhados para o Microsoft Sentinel, você também poderá usar a pasta de trabalho de protocolo insegura integrada do Microsoft Sentinel para descobrir o uso de serviços e protocolos inseguros

Observação

Se não for possível desativar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de grupos de segurança, AWS Network Firewall, AWS Web Application Firewall para reduzir a superfície de ataque.

Implementação da AWS e contexto adicional:

Orientação do GCP: habilite os logs de fluxo da VPC e use o BigQuery ou o Security Command Center para analisar os logs de fluxo da VPC para identificar os possíveis serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.

Se os logs no ambiente GCP puderem ser encaminhados para o Microsoft Sentinel, poderá também usar a Pasta de Trabalho de Protocolo Inseguro interna do Microsoft Sentinel para descobrir o uso de protocolos e serviços inseguros. Além disso, você pode encaminhar logs para o Google Cloud Chronicle, SIEM e SOAR e criar regras personalizadas para a mesma finalidade.

Observação

Se não for possível desativar serviços ou protocolos inseguros, use controles de compensação, como bloquear o acesso aos recursos por meio de regras e políticas do Firewall da VPC ou do Cloud Armor para reduzir a superfície de ataque.

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):

NS-9: Conecte-se à rede local ou na nuvem de forma privada

Controles CIS v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
12.7 CA-3, AC-17, AC-4 N/A

Princípio de segurança: use conexões privadas para comunicação segura entre diferentes redes, como datacenters de provedores de serviços em nuvem e infraestrutura local em um ambiente de colocation.

Orientação do Azure: para conectividade leve site a site ou ponto a site, use a VPN (rede virtual privada) do Azure para criar uma conexão segura entre seu site local ou dispositivo de usuário final e a rede virtual do Azure.

Para ligações de alto desempenho a nível empresarial, use o Azure ExpressRoute (ou WAN Virtual) para ligar os datacenters do Azure e a infraestrutura local num ambiente de co-localização.

Ao conectar duas ou mais redes virtuais do Azure juntas, use o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.

Implementação do Azure e contexto adicional:

Orientação da AWS: para conectividade site a site ou ponto a site, use a AWS VPN para criar uma conexão segura (quando a sobrecarga de IPsec não for uma preocupação) entre seu site local ou dispositivo de usuário final à rede da AWS.

Para conexões de alto desempenho a nível empresarial, use o AWS Direct Connect para conectar VPCs e recursos da AWS à sua infraestrutura local em um ambiente de co-localização.

Você tem a opção de usar o Emparelhamento de VPC ou o Gateway de Trânsito para estabelecer conectividade entre duas ou mais VPCs, dentro de uma região ou entre regiões. O tráfego de rede entre as VPCs emparelhadas é privado e é mantido na infraestrutura de rede da AWS. Quando você precisa unir várias VPCs para criar uma grande sub-rede plana, você também tem a opção de usar o VPC Sharing.

Implementação da AWS e contexto adicional:

Orientação do GCP: para conectividade leve site a site ou ponto a site, use o Google Cloud VPN.

Para conexões de alto desempenho de nível empresarial, use o Google Cloud Interconnect ou o Partner Interconnect para se conectar a VPCs e recursos do Google Cloud com sua infraestrutura local em um ambiente de colocation.

Você tem a opção de usar o emparelhamento de rede da VPC ou o Centro de Conectividade de Rede para estabelecer conectividade entre duas ou mais VPCs dentro ou entre regiões. O tráfego de rede entre VPCs emparelhadas é privado e é mantido na rede de backbone do GCP. Quando precisar unir várias VPCs para criar uma grande sub-rede plana, você também terá a opção de usar a VPC compartilhada

Implementação do GCP e contexto adicional:

Partes interessadas na segurança do cliente (Saiba mais):