Security Control v3: Testtartás és biztonságirés-kezelés

A Testure and Vulnerability Management az Azure biztonsági helyzetének felmérésére és javítására szolgáló vezérlőkre összpontosít, beleértve a sebezhetőségek vizsgálatát, a behatolási tesztelést és a szervizelést, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást az Azure-erőforrásokban.

PV-1: Biztonságos konfigurációk definiálása és létrehozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Biztonsági elv: Definiálja a biztonságos konfigurációs alapkonfigurációkat a felhő különböző erőforrástípusaihoz. Azt is megteheti, hogy a konfigurációkezelő eszközökkel automatikusan létrehozza a konfigurációs alapkonfigurációt az erőforrás üzembe helyezése előtt vagy közben, hogy a környezet alapértelmezés szerint megfelelő legyen az üzembe helyezés után.

Azure-útmutató: Az Azure Security Benchmark és a szolgáltatás alapkonfigurációja segítségével határozza meg a konfigurációs alapkonfigurációt az egyes Azure-ajánlatokhoz vagy -szolgáltatásokhoz. Tekintse meg az Azure referenciaarchitektúráját és felhőadaptálási keretrendszer kezdőzóna architektúráját az Azure-erőforrások kritikus fontosságú biztonsági vezérlőinek és konfigurációinak megismeréséhez.

Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását, beleértve az Azure Resource Manager-sablonokat, az Azure RBAC-vezérlőket és -szabályzatokat egyetlen tervdefinícióban.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PV-2: Biztonságos konfigurációk naplózása és kényszerítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Biztonsági elv: Folyamatos figyelés és riasztás, ha eltér a megadott alapkonfigurációtól. A nem megfelelő konfiguráció megtagadásával vagy egy konfiguráció üzembe helyezésével kényszerítse ki a kívánt konfigurációt az alapkonfigurációnak megfelelően.

Azure-útmutató: A Felhőhöz készült Microsoft Defender használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha az erőforrások konfigurációs eltérést észlelnek.

Használja Azure Policy [deny] és [deploy if not exist] szabályt az Azure-erőforrások biztonságos konfigurációjának kikényszerítéséhez.

A Azure Policy által nem támogatott erőforrás-konfiguráció naplózása és kényszerítése esetén előfordulhat, hogy saját szkripteket kell írnia, vagy külső eszközök használatával kell implementálnia a konfigurációs naplózást és a kényszerítést.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PV-3: A számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.1 CM-2, CM-6 2,2

Biztonsági elv: Határozza meg a számítási erőforrások, például virtuális gépek és tárolók biztonságos konfigurációs alapkonfigurációit. A konfigurációkezelő eszközökkel automatikusan létrehozhatja a konfigurációs alapkonfigurációt a számítási erőforrás üzembe helyezése előtt vagy alatt, hogy a környezet alapértelmezés szerint megfelelő legyen az üzembe helyezés után. Másik lehetőségként egy előre konfigurált rendszerképet is használhat a kívánt alapkonfiguráció létrehozásához a számítási erőforrás rendszerképsablonjába.

Azure-útmutató: A számítási erőforrás konfigurációs alapkonfigurációjának meghatározásához használja az Azure által ajánlott operációsrendszer-alapkonfigurációt (Windows és Linux esetén egyaránt).

Emellett egyéni virtuálisgép-rendszerképet vagy tárolórendszerképet is használhat Azure Policy vendégkonfigurációval, és Azure Automation State Configuration a kívánt biztonsági konfiguráció létrehozásához.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PV-4: Számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.1 CM-2, CM-6 2,2

Biztonsági elv: Folyamatos figyelés és riasztás, ha a számítási erőforrásokban eltér a megadott alapkonfigurációtól. Kényszerítse ki a kívánt konfigurációt az alapkonfigurációnak megfelelően, ha megtagadja a nem megfelelő konfigurációt, vagy üzembe helyez egy konfigurációt a számítási erőforrásokban.

Azure-útmutató: A Felhőhöz készült Microsoft Defender és Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure-beli számítási erőforrások konfigurációs eltéréseit, beleértve a virtuális gépeket, a tárolókat és másokat. Emellett Azure-Resource Manager-sablonokat, egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration is használhat az operációs rendszer biztonsági konfigurációjának fenntartásához. A Microsoft virtuálisgép-sablonjai a Azure Automation State Configuration együtt segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Megjegyzés: Azure Marketplace Microsoft által közzétett virtuálisgép-rendszerképeket a Microsoft kezeli és tartja karban.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PV-5: Biztonsági rések felmérése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Biztonsági elv: A felhőbeli erőforrások biztonsági réseinek felmérése rögzített ütemezésben vagy igény szerint minden szinten. Kövesse nyomon és hasonlítsa össze a vizsgálati eredményeket a biztonsági rések elhárításának ellenőrzéséhez. Az értékelésnek tartalmaznia kell az összes biztonsági rést, például az Azure-szolgáltatások, a hálózat, a web, az operációs rendszerek, a helytelen konfigurációk stb. biztonsági réseit.

Vegye figyelembe a biztonságirés-ellenőrzők által használt kiemelt hozzáféréssel járó lehetséges kockázatokat. A rendszerbiztonsági ajánlott eljárásokat követve biztonságossá teheti a vizsgálathoz használt rendszergazdai fiókokat.

Azure-útmutató: Kövesse az Felhőhöz készült Microsoft Defender ajánlásait az Azure-beli virtuális gépeken, tárolórendszerképeken és SQL kiszolgálókon végzett sebezhetőségi felmérésekhez. Felhőhöz készült Microsoft Defender beépített biztonságirés-ellenőrzővel rendelkezik a virtuális gépek vizsgálatához. Külső megoldás használata biztonsági rések felméréséhez hálózati eszközökön és alkalmazásokon (például webalkalmazásokon)

Konzisztens időközönként exportálja a vizsgálati eredményeket, és összehasonlítja az eredményeket a korábbi vizsgálatokkal annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e. A Felhőhöz készült Microsoft Defender által javasolt biztonságirés-kezelés javaslatok használatakor a kiválasztott vizsgálati megoldás portáljára váltva megtekintheti az előzményvizsgálati adatokat.

Távoli vizsgálatok során ne használjon egyetlen, állandó rendszergazdai fiókot. Fontolja meg a JIT (Just In Time) kiépítési módszertanának implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak biztonsági rések vizsgálatára kell használni.

Megjegyzés: Az Azure Defender-szolgáltatások (beleértve a Kiszolgálóhoz készült Defendert, a tárolóregisztrációs adatbázist, a App Service, a SQL és a DNS-t) beágyaznak bizonyos sebezhetőségi felmérési képességeket. Az Azure Defender-szolgáltatásokból származó riasztásokat az Felhőhöz készült Microsoft Defender biztonságirés-ellenőrző eszköz eredményeivel együtt kell figyelni és ellenőrizni.

Megjegyzés: Győződjön meg arról, hogy a beállítási e-mail-értesítések Felhőhöz készült Microsoft Defender.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PV-6: A biztonsági rések gyors és automatikus elhárítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: HIBAJAVÍTÓ 6.1, 6.2, 6.5, 11.2

Biztonsági elv: Gyorsan és automatikusan üzembe helyezhet javításokat és frissítéseket a felhőerőforrások biztonsági réseinek javítása érdekében. A biztonsági rések elhárításának rangsorolásához használja a megfelelő kockázatalapú megközelítést. Egy magasabb értékű objektum súlyosabb biztonsági réseit például magasabb prioritásúként kell kezelni.

Azure-útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows és Linux rendszerű virtuális gépeken. Windows virtuális gépek esetében győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.

Harmadik féltől származó szoftverekhez használjon külső javításkezelési megoldást, vagy System Center Frissítések Publisher Configuration Manager.

Rangsorolja, hogy mely frissítéseket helyezze üzembe először egy közös kockázatpontozási program (például közös sebezhetőségi pontozási rendszer) vagy a külső vizsgálati eszköz által biztosított alapértelmezett kockázati minősítések használatával, és szabja testre a környezetet. Azt is figyelembe kell vennie, hogy mely alkalmazások jelentenek magas biztonsági kockázatot, és melyek igényelnek magas üzemidőt.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PV-7: Rendszeres vörös csapatműveletek végrehajtása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Biztonsági elv: Valós támadásokat szimulálhat, hogy teljesebb képet nyújtson a szervezet biztonsági réséről. A vörös csapatműveletek és behatolástesztek kiegészítik a biztonságirés-vizsgálat hagyományos megközelítését a kockázatok felderítéséhez.

Kövesse az iparág ajánlott eljárásait az ilyen jellegű tesztelés megtervezéséhez, előkészítéséhez és elvégzéséhez, hogy az ne okozzon kárt vagy fennakadást a környezetben. Ennek mindig tartalmaznia kell a tesztelés hatókörének és korlátozásainak megvitatását az érintett érdekelt felekkel és az erőforrás-tulajdonosokkal.

Azure-útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):