보안 컨트롤: 취약성 관리
취약성 관리 권장 사항은 취약성을 식별 및 수정하고 공격자가 공격할 기회를 최소화하기 위해 새로운 정보를 지속적으로 획득, 평가, 조치하는 것과 관련된 문제를 해결하는 데 중점을 둡니다.
5.1: 자동화된 취약성 검사 도구 실행
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 5.1 | 3.1, 3.2, 3.3 | Customer |
Azure 가상 머신, 컨테이너 이미지, SQL 서버에서 취약성 평가를 수행하는 방법에 대한 Azure Security Center의 권장 사항을 따르세요.
타사 솔루션을 사용하여 네트워크 디바이스 및 웹 애플리케이션에 대한 취약성 평가를 수행합니다. 원격 검사를 수행하는 경우 단일 영구 관리자 계정을 사용하지 마세요. 검색 계정에 대한 JIT 프로비저닝 방법론을 구현하는 것이 좋습니다. 검색 계정에 대한 자격 증명을 보호하고, 모니터링하고, 취약성 검색에만 사용해야 합니다.
5.2: 자동화된 운영 체제 패치 관리 솔루션 배포
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 5.2 | 3.4 | Customer |
Azure “업데이트 관리”를 사용하여 최신 보안 업데이트가 Windows와 Linux VM에 설치되어 있는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.
5.3: 타사 소프트웨어 타이틀을 위한 자동화된 패치 관리 솔루션 배포
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 5.3 | 3.5 | Customer |
타사 패치 관리 솔루션을 사용합니다. 환경에서 이미 System Center Configuration Manager를 활용하고 있는 고객은 System Center Updates Publisher를 활용하여 사용자 지정 업데이트를 Windows Server Update Service에 게시할 수 있습니다. 이렇게 하면 업데이트 관리자가 타사 소프트웨어를 사용하여 System Center Configuration Manager를 업데이트 리포지토리로 사용하는 머신을 패치할 수 있습니다.
5.4: 연속 취약성 검색 비교
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 5.4 | 3.6 | Customer |
검사 결과를 일관된 간격으로 내보내고 결과를 비교하여 취약성이 수정되었는지 확인합니다. Azure Security Center에서 제안하는 취약성 관리 권장 사항을 사용하는 경우 선택한 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.
5.5: 위험 등급 프로세스를 사용하여 검색된 취약성의 수정 우선 순위 지정
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 5.5 | 3.7 | Customer |
일반적인 위험 채점 프로그램(예: Common Vulnerability Scoring System) 또는 타사 검사 도구에 제공된 기본 위험 등급을 사용합니다.
다음 단계
- 다음 보안 컨트롤: 인벤토리 및 자산 관리를 참조하세요.