Beveiligingsbeheer V2: Postuur- en beveiligingsproblemenbeheer

  • Artikel

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Postuur- en beveiligingsproblemenbeheer richt zich op besturingselementen voor het beoordelen en verbeteren van de Azure-beveiligingspostuur. Dit omvat het scannen van beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden, rapporteren en corrigeren van beveiligingsconfiguraties in Azure-resources.

Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving in Azure Security Benchmark: Postuur- en beveiligingsproblemenbeheer

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
PV-1 5.1 CM-2, CM-6

Definieer beveiligingsrails voor infrastructuur- en DevOps-teams door het eenvoudig te maken om de Azure-services die ze gebruiken veilig te configureren.

Start uw beveiligingsconfiguratie van Azure-services met de servicebasislijnen in de Azure Security Benchmark en pas deze zo nodig aan voor uw organisatie.

Gebruik Azure Security Center om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen.

U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-2: Veilige configuraties onderhouden voor Azure-services

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
PV-2 5.2 CM-2, CM-6

Gebruik Azure Security Center om uw configuratiebasislijn te bewaken en gebruik Azure Policy regel [weigeren] en [implementeren indien niet aanwezig] om beveiligde configuratie af te dwingen voor Azure-rekenresources, waaronder VM's, containers en andere.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-3: Veilige configuraties voor rekenresources instellen

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
PV-3 5.1 CM-2, CM-6

Gebruik Azure Security Center en Azure Policy om veilige configuraties in te stellen voor alle rekenresources, waaronder VM's, containers en andere. Daarnaast kunt u aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration om de beveiligingsconfiguratie vast te stellen van het besturingssysteem dat door uw organisatie is vereist.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-4: Veilige configuraties ondersteunen voor rekenresources

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
PV-4 5.2 CM-2, CM-6

Gebruik Azure Security Center en Azure Policy om configuratierisico's voor uw Azure-rekenresources regelmatig te beoordelen en op te lossen, waaronder VM's, containers en andere. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden dat door uw organisatie is vereist. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.

Houd er ook rekening mee dat Azure Marketplace VM-installatiekopieën die door Microsoft zijn gepubliceerd, worden beheerd en onderhouden door Microsoft.

Azure Security Center kan ook beveiligingsproblemen in containerinstallatiekopieën scannen en continue bewaking uitvoeren van uw Docker-configuratie in containers, op basis van de CIS Docker-benchmark. U kunt de pagina Azure Security Center aanbevelingen gebruiken om aanbevelingen weer te geven en problemen op te lossen.

Verantwoordelijkheid: Gedeeld

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-5: Aangepast besturingssysteem en containerinstallatiekopieën veilig opslaan

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
PV-5 5.3 CM-2, CM-6

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën. Gebruik een Azure-Shared Image Gallery om uw afbeeldingen te delen met verschillende gebruikers, service-principals of AD-groepen binnen uw organisatie. Sla containerinstallatiekopieën op in Azure Container Registry en gebruik Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-6: Evaluaties van softwareproblemen uitvoeren

Azure-id CIS Controls v7.1 ID('s) NIST SP 800-53 r4 ID('s)
PV-6 3.1, 3.2, 3.3, 3.6 CA-2, RA-5

Volg de aanbevelingen van Azure Security Center voor het uitvoeren van evaluatie van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers. Azure Security Center heeft een ingebouwde scanner voor beveiligingsproblemen om virtuele machines te scannen.

Gebruik een oplossing van derden voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en webtoepassingen. Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, administratieve account. Overweeg de JIT-inrichtingsmethodologie (Just-In-Time) voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.

Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn hersteld. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die door Azure Security Center worden voorgesteld, kunt u in de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Azure-id CIS Controls v7.1 ID('s) NIST SP 800-53 r4 ID('s)
PV-7 3.7 CA-2, RA-5, SI-2

Implementeer snel software-updates om beveiligingsproblemen met software in besturingssystemen en toepassingen op te heffen.

Gebruik een gemeenschappelijk risicoscoreprogramma (zoals Common Vulnerability Scoring System) of de standaardrisicoclassificaties van uw externe scanprogramma en pas deze aan uw omgeving aan, rekening houdend met welke toepassingen een hoog beveiligingsrisico vormen en welke een hoge uptime vereisen.

Gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates op uw Windows- en Linux-VM's worden geïnstalleerd. Zorg ervoor dat voor Virtuele Windows-machines Windows Update is ingeschakeld en dat deze is ingesteld op automatisch bijwerken.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of System Center Updates Publisher voor Configuration Manager.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

PV-8: Voer regelmatige simulaties van aanvallen uit

Azure-id CIS Controls v7.1 ID('s) NIST SP 800-53 r4 ID('s)
PV-8 20 CA-8, CA-2, RA-5

Voer naar behoefte penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg voor herstel van alle kritieke beveiligingsresultaten. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Belanghebbenden voor klantbeveiliging (meer informatie):