Kontrola zabezpieczeń: stan i zarządzanie lukami w zabezpieczeniach
Stan i zarządzanie lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i ulepszania stanu zabezpieczeń w chmurze, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i korygowania, a także śledzenia konfiguracji zabezpieczeń, raportowania i poprawiania zasobów w chmurze.
PV-1: Definiowanie i ustanawianie bezpiecznych konfiguracji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1,1 |
Zasada zabezpieczeń: Definiowanie punktów odniesienia konfiguracji zabezpieczeń dla różnych typów zasobów w chmurze. Możesz też użyć narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed wdrożeniem lub podczas wdrażania zasobów, aby środowisko było domyślnie zgodne po wdrożeniu.
Wskazówki dotyczące platformy Azure: Skorzystaj z testu porównawczego zabezpieczeń w chmurze firmy Microsoft i punktu odniesienia usługi, aby zdefiniować konfigurację odniesienia dla każdej odpowiedniej oferty lub usługi platformy Azure. Zapoznaj się z architekturą referencyjną platformy Azure i architekturą strefy docelowej Cloud Adoption Framework, aby zrozumieć krytyczne mechanizmy kontroli zabezpieczeń i konfiguracje, które mogą być potrzebne w zasobach platformy Azure.
Użyj strefy docelowej platformy Azure (i strategii), aby przyspieszyć wdrażanie obciążenia, konfigurując konfigurację usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i Azure Policy.
Implementacja platformy Azure i dodatkowy kontekst:
- Ilustracja przedstawiająca implementację środków zabezpieczających w strefie docelowej w skali przedsiębiorstwa
- Praca z zasadami zabezpieczeń w usłudze Microsoft Defender for Cloud
- Samouczek: Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
- Azure Blueprints
Wskazówki dotyczące platformy AWS: Skorzystaj z testu porównawczego zabezpieczeń w chmurze firmy Microsoft — wskazówki dotyczące wielu chmur dla platformy AWS i innych danych wejściowych, aby zdefiniować punkt odniesienia konfiguracji dla każdej odpowiedniej oferty lub usługi AWS. Zapoznaj się z filarem zabezpieczeń i innymi filarami w przewodniku AWS Well-Architectured Framework, aby zrozumieć krytyczne mechanizmy kontroli zabezpieczeń i konfiguracje, które mogą być potrzebne w zasobach platformy AWS.
Użyj szablonów platformy AWS CloudFormation i reguł konfiguracji platformy AWS w definicji strefy docelowej platformy AWS, aby zautomatyzować wdrażanie i konfigurację usług i środowisk aplikacji.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Skorzystaj z testu porównawczego zabezpieczeń w chmurze firmy Microsoft — wskazówki dotyczące wielu chmur dla platformy GCP i innych danych wejściowych, aby zdefiniować punkt odniesienia konfiguracji dla każdej odpowiedniej oferty lub usługi GCP. Zapoznaj się z filarami w strategiach podstawowych wdrożeń w usłudze Google Cloud i projektowaniu strefy docelowej.
Użyj modułów strategii Terraform dla usługi Google Cloud i użyj natywnego programu Google Cloud Deployment Manager, aby zautomatyzować wdrażanie i konfigurację usług i środowisk aplikacji.
Implementacja GCP i dodatkowy kontekst:
- Projekt strefy docelowej w usłudze Google Cloud. Strategie i moduły programu Terraform dla usługi Google Cloud. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- Strategia podstaw zabezpieczeń
- Google Cloud Deployment Manager
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-2: Inspekcja i wymuszanie bezpiecznych konfiguracji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy występuje odchylenie od zdefiniowanej konfiguracji odniesienia. Wymuś żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację.
Wskazówki dotyczące platformy Azure: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.
Użyj reguł Azure Policy [deny] i [deploy if not exist], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez Azure Policy, może być konieczne napisanie skryptów niestandardowych lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.
Implementacja platformy Azure i dodatkowy kontekst:
- Omówienie efektów usługi Azure Policy
- Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
- Pobieranie danych dotyczących zgodności zasobów platformy Azure
Wskazówki dotyczące platformy AWS: używanie reguł konfiguracji platformy AWS do przeprowadzania inspekcji konfiguracji zasobów platformy AWS. Możesz też rozwiązać problem dryfowania konfiguracji przy użyciu automatyzacji menedżera systemów platformy AWS skojarzonej z regułą konfiguracji platformy AWS. Użyj usługi Amazon CloudWatch, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.
W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez usługę AWS Config, może być konieczne napisanie skryptów niestandardowych lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.
Możesz również centralnie monitorować dryfowanie konfiguracji, dołączając konto platformy AWS do Microsoft Defender for Cloud.
Implementacja platformy AWS i dodatkowy kontekst:
- Korygowanie niezgodnych zasobów platformy AWS według reguł konfiguracji platformy AWS
- Wykrywanie niezarządzanych zmian konfiguracji w stosach i zasobach
- Pakiet zgodności konfiguracji platformy AWS
Wskazówki dotyczące platformy GCP: Konfigurowanie platformy GCP za pomocą usługi Google Cloud Security Command Center. Użyj usługi Google Cloud Monitoring in Operations Suite, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.
Aby zarządzać organizacjami, użyj zasad organizacyjnych, aby centralizować i programowo kontrolować zasoby w chmurze organizacji. Jako administrator zasad organizacji będziesz mieć możliwość konfigurowania ograniczeń w całej hierarchii zasobów.
W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez zasady organizacji, może być konieczne napisanie skryptów niestandardowych lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.
Implementacja GCP i dodatkowy kontekst:
- Wprowadzenie do usługi zasad organizacji.
- Centrum zasobów zgodności.
- Pakiet operacyjny Google Cloud (dawniej Stackdriver)
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: zdefiniuj bezpieczne punkty odniesienia konfiguracji dla zasobów obliczeniowych, takich jak maszyny wirtualne i kontenery. Użyj narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed lub podczas wdrażania zasobów obliczeniowych, aby środowisko było domyślnie zgodne po wdrożeniu. Alternatywnie użyj wstępnie skonfigurowanego obrazu, aby utworzyć żądaną konfigurację odniesienia w szablonie obrazu zasobu obliczeniowego.
Wskazówki dotyczące platformy Azure: Skorzystaj z zalecanych punktów odniesienia zabezpieczeń systemu operacyjnego platformy Azure (zarówno dla systemów Windows, jak i Linux) jako testu porównawczego, aby zdefiniować punkt odniesienia konfiguracji zasobów obliczeniowych.
Ponadto możesz użyć niestandardowego obrazu maszyny wirtualnej (przy użyciu narzędzia Azure Image Builder) lub obrazu kontenera z usługą Azure Automanage Machine Configuration (wcześniej nazywanej Azure Policy konfiguracją gościa) i Azure Automation State Configuration w celu ustanowienia żądanej konfiguracji zabezpieczeń.
Implementacja platformy Azure i dodatkowy kontekst:
- Punkt odniesienia konfiguracji zabezpieczeń systemu operacyjnego Linux
- Punkt odniesienia konfiguracji zabezpieczeń systemu operacyjnego Windows
- Zalecenie dotyczące konfiguracji zabezpieczeń dla zasobów obliczeniowych
- Omówienie Azure Automation State Configuration
Wskazówki dotyczące platformy AWS: Użyj obrazów maszyn platformy AWS (EC2 AWS) z zaufanych źródeł na platformie handlowej jako testu porównawczego, aby zdefiniować punkt odniesienia konfiguracji ec2.
Ponadto można użyć narzędzia EC2 Image Builder do utworzenia niestandardowego szablonu AMI za pomocą agenta Menedżera systemów w celu ustanowienia żądanej konfiguracji zabezpieczeń. Uwaga: Agent programu AWS Systems Manager jest wstępnie instalowany na niektórych urządzeniach Amazon Machine Images (AMI) udostępnianych przez platformę AWS.
W przypadku aplikacji obciążeń uruchomionych w ramach wystąpień usługi EC2, środowiska AWS Lambda lub kontenerów można użyć narzędzia AppConfig menedżera systemu platformy AWS, aby ustanowić żądaną konfigurację odniesienia.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Użyj zalecanych punktów odniesienia zabezpieczeń systemu operacyjnego Google Cloud (zarówno dla systemów Windows, jak i Linux) jako testu porównawczego w celu zdefiniowania punktu odniesienia konfiguracji zasobów obliczeniowych.
Ponadto można użyć niestandardowego obrazu maszyny wirtualnej przy użyciu narzędzia Packer Image Builder lub obrazu kontenera z obrazem kontenera Google Cloud Build w celu ustanowienia żądanej konfiguracji odniesienia.
Implementacja GCP i dodatkowy kontekst:
- Obrazy aparatu obliczeniowego Google.
- Najlepsze rozwiązania dotyczące zarządzania obrazami
- Kompilowanie obrazów kontenerów.
- Kompilowanie obrazów maszyn wirtualnych przy użyciu narzędzia Packer
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-4: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Ciągłe monitorowanie i alerty w przypadku odchylenia od zdefiniowanej konfiguracji odniesienia w zasobach obliczeniowych. Wymuszaj żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację w zasobach obliczeniowych.
Wskazówki dotyczące platformy Azure: Użyj Microsoft Defender dla usługi Cloud i Azure Automanage Machine Configuration (wcześniej nazywanej konfiguracją Azure Policy gościa), aby regularnie oceniać i korygować odchylenia konfiguracji zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony maszyn wirtualnych firmy Microsoft w połączeniu z Azure Automation State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń. Użyj Śledzenie zmian i spis w Azure Automation, aby śledzić zmiany w maszynach wirtualnych hostowanych na platformie Azure, lokalnie i innych środowiskach w chmurze, aby ułatwić określenie problemów operacyjnych i środowiskowych z oprogramowaniem zarządzanym przez Menedżera pakietów dystrybucji. Zainstaluj agenta zaświadczania gościa na maszynach wirtualnych, aby monitorować integralność rozruchu na poufnych maszynach wirtualnych.
Uwaga: Azure Marketplace obrazy maszyn wirtualnych opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Microsoft Defender dla chmury
- Jak utworzyć maszynę wirtualną platformy Azure na podstawie szablonu usługi ARM
- omówienie Azure Automation State Configuration
- Tworzenie maszyny wirtualnej z systemem Windows w Azure Portal
- Zabezpieczenia kontenerów w usłudze Microsoft Defender for Cloud
- omówienie Śledzenie zmian i spis
- Zaświadczenie gościa dla poufnych maszyn wirtualnych
Wskazówki dotyczące platformy AWS: Użyj funkcji Menedżera stanu menedżera systemu AWS, aby regularnie oceniać i korygować odchylenia konfiguracji w wystąpieniach usługi EC2. Ponadto można użyć szablonów CloudFormation, niestandardowych obrazów systemu operacyjnego, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony AMI w połączeniu z menedżerem systemów mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Można również centralnie monitorować dryf konfiguracji systemu operacyjnego i zarządzać nią za pośrednictwem Azure Automation State Configuration i dołączyć odpowiednie zasoby do ładu zabezpieczeń platformy Azure przy użyciu następujących metod:
- Dołączanie konta platformy AWS do usługi Microsoft Defender for Cloud
- Łączenie wystąpień usługi EC2 z usługą Microsoft Defender for Cloud za pomocą usługi Azure Arc dla serwerów
W przypadku aplikacji obciążeń działających w ramach wystąpień usługi EC2, środowiska AWS Lambda lub kontenerów możesz użyć polecenia AWS System Manager AppConfig do inspekcji i wymuszenia żądanej konfiguracji odniesienia.
Uwaga: interfejsy AMI opublikowane przez usługi Amazon Web Services w witrynie AWS Marketplace są zarządzane i obsługiwane przez usługi Amazon Web Services.
Implementacja platformy AWS i dodatkowy kontekst:
- Menedżer stanu programu AWS System Manager
- Łączenie kont platformy AWS z Microsoft Defender for Cloud
- Włączanie usługi State Configuration w usłudze Azure Automation
Wskazówki dotyczące narzędzia GCP: Użyj menedżera maszyn wirtualnych i centrum poleceń usługi Google Cloud Security, aby regularnie oceniać i korygować odchylenie konfiguracji wystąpień aparatu obliczeniowego, kontenerów i bezserwerowych kontraktów. Ponadto można użyć szablonów maszyn wirtualnych programu Deployment Manager, niestandardowych obrazów systemu operacyjnego, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony maszyn wirtualnych programu Deployment Manager w połączeniu z menedżerem maszyn wirtualnych mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Można również centralnie monitorować dryf konfiguracji systemu operacyjnego i zarządzać nią za pośrednictwem Azure Automation State Configuration i dołączyć odpowiednie zasoby do ładu zabezpieczeń platformy Azure przy użyciu następujących metod:
- Dołączanie projektu GCP do Microsoft Defender for Cloud
- Łączenie wystąpień maszyn wirtualnych GCP z usługą Microsoft Defender for Cloud za pomocą usługi Azure Arc dla serwerów
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Zasada zabezpieczeń: przeprowadzanie oceny luk w zabezpieczeniach dla zasobów w chmurze we wszystkich warstwach w ustalonym harmonogramie lub na żądanie. Śledź i porównaj wyniki skanowania, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Ocena powinna obejmować wszystkie typy luk w zabezpieczeniach, takie jak luki w zabezpieczeniach w usługach platformy Azure, sieci, sieci, sieci, systemach operacyjnych, błędnych konfiguracjach itd.
Należy pamiętać o potencjalnych zagrożeniach związanych z uprzywilejowanym dostępem używanym przez skanery luk w zabezpieczeniach. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń dostępu uprzywilejowanego, aby zabezpieczyć wszystkie konta administracyjne używane do skanowania.
Wskazówki dotyczące platformy Azure: postępuj zgodnie z zaleceniami Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL. Microsoft Defender for Cloud ma wbudowany skaner luk w zabezpieczeniach dla maszyn wirtualnych. Korzystanie z rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. aplikacji internetowych)
Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. W przypadku korzystania z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez Microsoft Defender dla chmury możesz przejść do portalu wybranego rozwiązania do skanowania, aby wyświetlić dane historyczne skanowania.
Podczas przeprowadzania skanowania zdalnego nie należy używać jednego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT (Just In Time) dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.
Uwaga: usługi Microsoft Defender (w tym defender dla serwerów, kontenerów, App Service, bazy danych i systemu DNS) osadzają pewne możliwości oceny luk w zabezpieczeniach. Alerty wygenerowane przez usługi Azure Defender powinny być monitorowane i przeglądane wraz z wynikiem Microsoft Defender narzędzia do skanowania luk w zabezpieczeniach w chmurze.
Uwaga: Upewnij się, że skonfigurowano powiadomienia e-mail w Microsoft Defender for Cloud.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Microsoft Defender dla chmury
- Zintegrowany skaner luk w zabezpieczeniach dla maszyn wirtualnych
- Ocena luk w zabezpieczeniach SQL
- Eksportowanie wyników skanowania Microsoft Defender pod kątem luk w zabezpieczeniach w chmurze
Wskazówki dotyczące platformy AWS: Użyj narzędzia Amazon Inspector do skanowania wystąpień i obrazów kontenerów amazon EC2 znajdujących się w usłudze Amazon Elastic Container Registry (Amazon ECR) pod kątem luk w zabezpieczeniach oprogramowania i niezamierzonej ekspozycji sieci. Korzystanie z rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. aplikacji internetowych)
Zapoznaj się z tematem ES-1 "Use Endpoint Detection and Response (EDR)", aby dołączyć konto platformy AWS do Microsoft Defender dla chmury i wdrożyć Microsoft Defender dla serwerów (z Ochrona punktu końcowego w usłudze Microsoft Defender zintegrowanym) w wystąpieniach usługi EC2. Microsoft Defender dla serwerów zapewnia natywną Zarządzanie zagrożeniami i lukami możliwości maszyn wirtualnych. Wynik skanowania luk w zabezpieczeniach zostanie skonsolidowany na pulpicie nawigacyjnym Microsoft Defender for Cloud.
Śledź stan wyników luk w zabezpieczeniach, aby upewnić się, że zostały one prawidłowo skorygowane lub pominięte, jeśli są uznawane za fałszywie dodatnie.
Podczas przeprowadzania skanowania zdalnego nie należy używać jednego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie tymczasowej metodologii aprowizacji dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.
Implementacja platformy AWS i dodatkowy kontekst:
- Amazon Inspector
- Badanie słabych punktów za pomocą zarządzania zagrożeniami i lukami w zabezpieczeniach usługi Ochrona punktu końcowego w usłudze Microsoft Defender
Wskazówki dotyczące narzędzia GCP: postępuj zgodnie z zaleceniami Microsoft Defender dla chmury lub/i Google Cloud Security Command Center w celu przeprowadzania ocen luk w zabezpieczeniach w wystąpieniach aparatu obliczeniowego. Usługa Security Command Center ma wbudowane oceny luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. skaner zabezpieczeń sieci Web)
Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. W przypadku korzystania z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Security Command Center możesz przestawić się do portalu wybranego rozwiązania do skanowania, aby wyświetlić dane historyczne skanowania.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: KORYGOWANIE WAD | 6.1, 6.2, 6.5, 11.2 |
Zasada zabezpieczeń: Szybkie i automatyczne wdrażanie poprawek i aktualizacji w celu skorygowania luk w zabezpieczeniach zasobów w chmurze. Użyj odpowiedniego podejścia opartego na ryzyku, aby określić priorytety korygowania luk w zabezpieczeniach. Na przykład bardziej poważne luki w zabezpieczeniach w zasobie o wyższej wartości należy rozwiązać jako wyższy priorytet.
Wskazówki dotyczące platformy Azure: użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu Microsoft System Center Aktualizacje Publisher dla Configuration Manager.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak skonfigurować rozwiązanie Update Management dla maszyn wirtualnych na platformie Azure
- Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych platformy Azure
Wskazówki dotyczące platformy AWS: Użyj menedżera systemów AWS — Menedżer poprawek, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są instalowane w systemach operacyjnych i aplikacjach. Menedżer poprawek obsługuje punkty odniesienia poprawek, aby umożliwić zdefiniowanie listy zatwierdzonych i odrzuconych poprawek dla systemów.
Za pomocą usługi Azure Automation Update Management można również centralnie zarządzać poprawkami i aktualizacjami wystąpień systemu Windows i Linux platformy AWS EC2.
W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu Microsoft System Center Aktualizacje Publisher dla Configuration Manager.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: zarządzanie poprawkami systemu operacyjnego w usłudze Google Cloud VM Manager lub rozwiązanie innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyny wirtualnej z systemem Windows upewnij się, że Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
W przypadku oprogramowania innej firmy użyj rozwiązania do zarządzania poprawkami innych firm lub programu Microsoft System Center Aktualizacje Publisher na potrzeby zarządzania konfiguracją.
Implementacja GCP i dodatkowy kontekst:
- Menedżer maszyn wirtualnych.
- Zarządzanie poprawkami systemu operacyjnego
- Google Kubernetes Engine (GKE). Stosowanie poprawek zabezpieczeń
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-7: Przeprowadzanie regularnych operacji czerwonego zespołu
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Zasada zabezpieczeń: Symulowanie rzeczywistych ataków w celu zapewnienia bardziej pełnego wglądu w lukę w zabezpieczeniach organizacji. Operacje red team i testy penetracyjne uzupełniają tradycyjne podejście do skanowania luk w zabezpieczeniach w celu wykrycia ryzyka.
Postępuj zgodnie z najlepszymi rozwiązaniami branżowymi, aby zaprojektować, przygotować i przeprowadzić tego rodzaju testy, aby upewnić się, że nie spowoduje to uszkodzenia ani zakłóceń w środowisku. Powinno to zawsze obejmować omawianie zakresu testowania i ograniczeń z odpowiednimi uczestnikami projektu i właścicielami zasobów.
Wskazówki dotyczące platformy Azure: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.
Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.
Implementacja platformy Azure i dodatkowy kontekst:
- Testy penetracyjne na platformie Azure
- Reguły testów penetracyjnych zaangażowania
- Testy typu „red team” w chmurze firmy Microsoft
- Przewodnik techniczny dotyczący testowania i oceny zabezpieczeń informacji
Wskazówki dotyczące platformy AWS: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy AWS i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.
Postępuj zgodnie z zasadami pomocy technicznej klienta platformy AWS dotyczącymi testowania penetracyjnego, aby upewnić się, że testy penetracyjne nie naruszają zasad platformy AWS.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące narzędzia GCP: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobie GCP i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.
Postępuj zgodnie z zasadami pomocy technicznej klienta GCP na potrzeby testowania penetracyjnego, aby upewnić się, że testy penetracyjne nie naruszają zasad GCP.
Implementacja GCP i dodatkowy kontekst:
- Cloud Security — często zadawane pytania dotyczące testowania penetracyjnego.
- Żądania testów przeciążeniowych/obciążeniowych/penetracyjnych
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):