Kontrola zabezpieczeń w wersji 2: stan i zarządzanie lukami w zabezpieczeniach
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Zarządzanie stanami i lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i poprawy stanu zabezpieczeń platformy Azure. Obejmuje to skanowanie luk w zabezpieczeniach, testowanie penetracyjne i korygowanie, a także śledzenie konfiguracji zabezpieczeń, raportowanie i poprawianie zasobów platformy Azure.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: stan i zarządzanie lukami w zabezpieczeniach
PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Zdefiniuj bariery zabezpieczające dla zespołów ds. infrastruktury i metodyki DevOps, ułatwiając bezpieczne konfigurowanie używanych przez nich usług platformy Azure.
Rozpocznij konfigurację zabezpieczeń usług platformy Azure przy użyciu punktów odniesienia usług w teściu porównawczym zabezpieczeń platformy Azure i dostosuj je zgodnie z potrzebami dla organizacji.
Użyj Azure Security Center, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure.
Usługa Azure Blueprints służy do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i zasad, w jednej definicji strategii.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Użyj Azure Security Center, aby monitorować konfigurację odniesienia i używać reguły Azure Policy [odmów] i [wdróż, jeśli nie istnieją], aby wymusić bezpieczną konfigurację zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Użyj Azure Security Center i Azure Policy do ustanowienia bezpiecznych konfiguracji dla wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć niestandardowych obrazów systemu operacyjnego lub Azure Automation State Configuration w celu ustanowienia konfiguracji zabezpieczeń systemu operacyjnego wymaganego przez organizację.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Użyj Azure Security Center i Azure Policy, aby regularnie oceniać i korygować zagrożenia związane z konfiguracją zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację. Szablony maszyn wirtualnych firmy Microsoft w połączeniu z Azure Automation State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Należy również pamiętać, że Azure Marketplace obrazy maszyn wirtualnych opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.
Azure Security Center mogą również skanować luki w zabezpieczeniach obrazów kontenerów i przeprowadzać ciągłe monitorowanie konfiguracji platformy Docker w kontenerach na podstawie testu porównawczego ciS Docker. Możesz użyć strony zaleceń Azure Security Center, aby wyświetlić zalecenia i rozwiązać problemy.
Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Azure Security Center
Jak utworzyć maszynę wirtualną platformy Azure na podstawie szablonu usługi ARM
Tworzenie maszyny wirtualnej z systemem Windows w Azure Portal
Informacje na temat pobierania szablonu dla maszyny wirtualnej
Odpowiedzialność: Współużytkowane
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-5: Bezpieczne przechowywanie niestandardowych systemów operacyjnych i obrazów kontenerów
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby mieć pewność, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów niestandardowych. Usługa Azure Shared Image Gallery umożliwia udostępnianie obrazów różnym użytkownikom, jednostkom usługi lub grupom usługi AD w organizacji. Przechowywanie obrazów kontenerów w Azure Container Registry i używanie kontroli dostępu opartej na rolach platformy Azure w celu zapewnienia, że tylko autoryzowani użytkownicy mają dostęp.
Omówienie kontroli dostępu opartej na rolach platformy Azure
Omówienie kontroli dostępu opartej na rolach platformy Azure dla usługi Container Registry
Jak skonfigurować kontrolę dostępu opartą na rolach platformy Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Postępuj zgodnie z zaleceniami Azure Security Center dotyczącymi przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL. Azure Security Center ma wbudowany skaner luk w zabezpieczeniach do skanowania maszyn wirtualnych.
Użyj rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach internetowych. Podczas przeprowadzania skanowania zdalnego nie należy używać jednego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT (Just In Time) dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.
Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. W przypadku korzystania z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez Azure Security Center można przejść do portalu wybranego rozwiązania do skanowania, aby wyświetlić dane historyczne skanowania.
Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Azure Security Center
Zintegrowany skaner luk w zabezpieczeniach dla maszyn wirtualnych
Eksportowanie wyników skanowania luk w zabezpieczeniach Azure Security Center
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Szybkie wdrażanie aktualizacji oprogramowania w celu skorygowania luk w zabezpieczeniach oprogramowania w systemach operacyjnych i aplikacjach.
Użyj wspólnego programu oceniania ryzyka (takiego jak typowy system oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka udostępnianych przez narzędzie do skanowania innej firmy i dostosuj je do środowiska, biorąc pod uwagę, które aplikacje stanowią wysokie ryzyko bezpieczeństwa i które wymagają wysokiego czasu pracy.
Użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemami Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu System Center Aktualizacje Publisher dla Configuration Manager.
Jak skonfigurować rozwiązanie Update Management dla maszyn wirtualnych na platformie Azure
Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych platformy Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-8: Przeprowadzanie regularnej symulacji ataków
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
W razie potrzeby przeprowadź testy penetracyjne lub czerwone działania zespołu na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.
Odpowiedzialność: Współużytkowane
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):