Beveiligingsbeheer v3: Houding en vulnerability management
Postuur- en beveiligingsbeheer richt zich op besturingselementen voor het beoordelen en verbeteren van de Azure-beveiligingspostuur, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden van beveiligingsconfiguraties, rapportage en correctie in Azure-resources.
PV-1: Veilige configuraties definiëren en instellen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Beveiligingsprincipe: Definieer de beveiligde configuratiebasislijnen voor verschillende resourcetypen in de cloud. U kunt ook hulpprogramma's voor configuratiebeheer gebruiken om de configuratiebasislijn automatisch vóór of tijdens de resource-implementatie tot stand te brengen, zodat de omgeving standaard compatibel kan zijn na de implementatie.
Azure-richtlijnen: Gebruik de Azure Security Benchmark en servicebasislijn om uw configuratiebasislijn te definiëren voor elke respectieve Azure-aanbieding of -service. Raadpleeg de referentiearchitectuur van Azure en Cloud Adoption Framework architectuur voor landingszones om inzicht te krijgen in de kritieke beveiligingscontroles en configuraties die mogelijk nodig zijn voor azure-resources.
Gebruik Azure Blueprints om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.
Implementatie en aanvullende context:
- Illustratie van de implementatie van kaders in Enterprise Scale Landing Zone
- Werken met beveiligingsbeleid in Microsoft Defender voor Cloud
- Zelfstudie: Beleidsregels voor het afdwingen van naleving maken en beheren
- Azure Blueprints
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-2: Beveiligde configuraties controleren en afdwingen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Beveiligingsprincipe: Continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie te implementeren.
Azure-richtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources.
Gebruik Azure Policy regel [weigeren] en [implementeren als deze niet bestaat] om veilige configuratie in Azure-resources af te dwingen.
Voor controle en afdwinging van resources die niet worden ondersteund door Azure Policy, moet u mogelijk uw eigen scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.
Implementatie en aanvullende context:
- Inzicht in Azure Policy effecten
- Beleidsregels voor het afdwingen van naleving maken en beheren
- Nalevingsgegevens van Azure-resources ophalen
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-3: Veilige configuraties definiëren en instellen voor rekenresources
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Beveiligingsprincipe: Definieer de beveiligde configuratiebasislijnen voor uw rekenresources, zoals VM's en containers. Gebruik hulpprogramma's voor configuratiebeheer om de configuratiebasislijn automatisch voor of tijdens de implementatie van rekenresources tot stand te brengen, zodat de omgeving standaard compatibel kan zijn na de implementatie. U kunt ook een vooraf geconfigureerde installatiekopieën gebruiken om de gewenste configuratiebasislijn te bouwen in de sjabloon voor de rekenresource-installatiekopieën.
Azure-richtlijnen: Gebruik de door Azure aanbevolen basislijn voor besturingssystemen (voor zowel Windows als Linux) als benchmark om de basislijn voor de rekenresourceconfiguratie te definiëren.
Daarnaast kunt u aangepaste VM-installatiekopieën of containerinstallatiekopieën gebruiken met Azure Policy gastconfiguratie en Azure Automation State Configuration om de gewenste beveiligingsconfiguratie tot stand te brengen.
Implementatie en aanvullende context:
- Basislijn voor linux-besturingssysteembeveiligingsconfiguratie
- Windows basislijn voor beveiligingsconfiguratie van het besturingssysteem
- Aanbeveling voor beveiligingsconfiguratie voor rekenresources
- overzicht van Azure Automation State Configuration
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-4: Veilige configuraties voor rekenresources controleren en afdwingen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Beveiligingsprincipe: Continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn in uw rekenresources. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie in rekenresources te implementeren.
Azure-richtlijnen: Gebruik Microsoft Defender voor Cloud en Azure Policy gastconfiguratieagent om de configuratiedeviaties van uw Azure-rekenresources regelmatig te evalueren en te herstellen, waaronder VM's, containers en andere. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.
Opmerking: Azure Marketplace VM-installatiekopieën die door Microsoft worden gepubliceerd, worden beheerd en onderhouden door Microsoft.
Implementatie en aanvullende context:
- Aanbevelingen voor Microsoft Defender voor Cloud evaluatie van beveiligingsproblemen implementeren
- Een virtuele Azure-machine maken op een ARM-sjabloon
- overzicht van Azure Automation State Configuration
- Een Windows virtuele machine maken in de Azure Portal
- Containerbeveiliging in Microsoft Defender for Cloud
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Beveiligingsprincipe: Voer een evaluatie van beveiligingsproblemen uit voor uw cloudresources in alle lagen in een vast schema of op aanvraag. Houd de scanresultaten bij en vergelijk ze om te controleren of de beveiligingsproblemen zijn opgelost. De evaluatie moet alle soorten beveiligingsproblemen bevatten, zoals beveiligingsproblemen in Azure-services, netwerk, web, besturingssystemen, onjuiste configuraties, enzovoort.
Houd rekening met de mogelijke risico's die zijn gekoppeld aan de bevoegde toegang die wordt gebruikt door de scanners voor beveiligingsproblemen. Volg de aanbevolen procedure voor beveiliging van bevoegde toegang om beheerdersaccounts te beveiligen die worden gebruikt voor het scannen.
Azure-richtlijnen: Volg aanbevelingen van Microsoft Defender voor Cloud voor het uitvoeren van evaluatie van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL servers. Microsoft Defender voor Cloud beschikt over een ingebouwde scanner voor beveiligingsproblemen voor het scannen van virtuele machines. Een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld webtoepassingen)
Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn opgelost. Wanneer u vulnerability management aanbevelingen gebruikt die worden voorgesteld door Microsoft Defender voor Cloud, kunt u in de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.
Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, beheerdersaccount. Overweeg om JIT-inrichtingsmethodologie (Just-In-Time) voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.
Opmerking: Azure Defender-services (inclusief Defender voor server, containerregister, App Service, SQL en DNS) sluiten bepaalde mogelijkheden voor evaluatie van beveiligingsproblemen in. De waarschuwingen die worden gegenereerd op basis van Azure Defender-services, moeten worden bewaakt en gecontroleerd, samen met het resultaat van Microsoft Defender voor Cloud hulpprogramma voor het scannen van beveiligingsproblemen.
Opmerking: zorg ervoor dat uw e-mailmeldingen instellen in Microsoft Defender voor Cloud.
Implementatie en aanvullende context:
- Aanbevelingen voor Microsoft Defender voor Cloud evaluatie van beveiligingsproblemen implementeren
- Geïntegreerde scanner voor beveiligingsproblemen voor virtuele machines
- evaluatie van beveiligingsproblemen SQL
- Scanresultaten voor Microsoft Defender voor Cloud beveiligingsproblemen exporteren
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-6: Beveiligingsproblemen snel en automatisch oplossen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: FOUTHERSTEL | 6.1, 6.2, 6.5, 11.2 |
Beveiligingsprincipe: Implementeer snel en automatisch patches en updates om beveiligingsproblemen in uw cloudresources op te lossen. Gebruik de juiste benadering op basis van risico's om prioriteit te geven aan het herstel van de beveiligingsproblemen. Zo moeten ernstigere beveiligingsproblemen in een asset met een hogere waarde worden aangepakt als een hogere prioriteit.
Azure-richtlijnen: Gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw Windows- en Linux-VM's. Zorg ervoor dat Windows Update is ingeschakeld voor Windows VM's en dat deze is ingesteld op automatisch bijwerken.
Gebruik voor software van derden een patchbeheeroplossing van derden of System Center Updates Publisher voor Configuration Manager.
Geef prioriteit aan welke updates eerst moeten worden geïmplementeerd met behulp van een gemeenschappelijk programma voor het scoren van risico's (zoals Common Vulnerability Scoring System) of de standaardrisicobeoordelingen van uw hulpprogramma voor scannen van derden en aanpassen aan uw omgeving. U moet ook overwegen welke toepassingen een hoog beveiligingsrisico vormen en welke toepassingen een hoge uptime vereisen.
Implementatie en aanvullende context:
- Updatebeheer configureren voor virtuele machines in Azure
- Updates en patches voor uw Azure-VM's beheren
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-7: Regelmatige rode teambewerkingen uitvoeren
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Beveiligingsprincipe: Simuleer echte aanvallen om een volledigere weergave te bieden van het beveiligingsprobleem van uw organisatie. Rode teambewerkingen en penetratietests vormen een aanvulling op de traditionele benadering voor het scannen van beveiligingsproblemen om risico's te detecteren.
Volg aanbevolen procedures voor de branche om dit soort tests te ontwerpen, voor te bereiden en uit te voeren om ervoor te zorgen dat deze geen schade of onderbreking in uw omgeving veroorzaakt. Dit moet altijd betrekking hebben op testbereik en beperkingen met relevante belanghebbenden en resource-eigenaren.
Azure-richtlijnen: Voer naar behoefte penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.
Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.
Implementatie en aanvullende context:
- Penetratietesten in Azure
- Regels voor het inzetten van penetratietests
- Microsoft Cloud Red Teaming
- Technische handleiding voor het testen en evalueren van informatiebeveiliging
Belanghebbenden voor klantbeveiliging (meer informatie):