Управление безопасностью, версия 3. Управление состоянием безопасности и уязвимостями
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Управление состоянием безопасности и уязвимостями охватывает аспекты управления, касающиеся оценки и улучшения состояния безопасности в Azure. Это включает в себя сканирование уязвимостей, тестирование на проникновение и исправление уязвимостей, а также отслеживание конфигурации безопасности для ресурсов Azure, отчеты по ним и рекомендации по исправлению.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Управление состоянием безопасности и уязвимостями.
PV-1: Настройка безопасных конфигураций для служб Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5.1 | CM-2, CM-6 |
Определите границы безопасности для инфраструктуры и групп DevOps, упрощающие безопасную настройку используемых ими служб Azure.
Запустите настройку безопасности служб Azure, используя базовые показатели службы, полученные от Azure Security Benchmark, и настройте их в соответствии с потребностями своей организации.
Используйте Центр безопасности Azure, чтобы настроить политику Azure для аудита и принудительного применения конфигураций для своих ресурсов Azure.
Можно использовать схемы Azure Blueprints для автоматизации развертывания и настройки служб и окружений приложений, объединяя в одном определении схемы шаблоны Azure Resource Manager, элементы управления доступом на основе ролей Azure и политики Azure.
Иллюстрация реализации границ в целевой зоне масштаба предприятия
Работа с политиками безопасности в Центре безопасности Azure
Создание политик и управление ими для обеспечения соответствия
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-2: создание устойчивых безопасных конфигураций для служб Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5,2 | CM-2, CM-6 |
Используйте Центр безопасности Azure для мониторинга конфигурационной базы и применения правила [отказывать] и [развернуть, если не существует] Политики Azure для обеспечения безопасной конфигурации для различных вычислительных ресурсов Azure, в том числе виртуальных машин, контейнеров и т. д.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-3: настройка безопасных конфигураций вычислительных ресурсов
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5.1 | CM-2, CM-6 |
Используйте Центр безопасности Azure и Политику Azure, чтобы обеспечить защищенную конфигурацию всех вычислительных ресурсов, включая виртуальные машины, контейнеры и др. Кроме того, можно использовать пользовательские образы ОС или службу State Configuration службы автоматизации Azure, чтобы создать конфигурацию безопасности операционной системы, необходимой для организации.
Обзор службы "Настройка состояния службы автоматизации Azure"
Отправка универсального диска VHD и создание виртуальных машин с его помощью в Azure
Создание виртуальной машины Linux на основе пользовательского диска с помощью Azure CLI
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-4: сохранение безопасных конфигураций для вычислительных ресурсов
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5,2 | CM-2, CM-6 |
Используйте Центр безопасности Azure и Политику Azure, чтобы регулярно производить оценку и устранение рисков конфигурации для вычислительных ресурсов Azure, в том числе виртуальных машин, контейнеров и др. Кроме того, вы можете использовать шаблоны Azure Resource Manager, пользовательские образы ОС или службу State Configuration службы автоматизации Azure для поддержания конфигурации безопасности операционной системы, необходимой для вашей организации. Шаблоны виртуальных машин Майкрософт в сочетании со State Configuration службы автоматизации Azure могут помочь в обеспечении и поддержании требований безопасности.
Также обратите внимание, что образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и обслуживаются ей же.
В Центре безопасности Azure может также проверяться наличие уязвимостей в образе контейнера и выполняться непрерывный мониторинг конфигурации Docker в контейнерах на основе теста производительности Docker в CIS. Вы можете просмотреть эти рекомендации и устранить проблемы на странице рекомендаций Центра безопасности Azure.
Применение рекомендаций по оценке уязвимостей в Центре безопасности Azure
Обзор службы "Настройка состояния службы автоматизации Azure"
Пример сценария для отправки VHD в Azure и создания виртуальной машины
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5,3 | CM-2, CM-6 |
Используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы доступ к пользовательским образам был только у полномочных пользователей. Используя Общую коллекцию образов Azure, вы можете делиться своими образами с другими пользователями, субъектами-службами или группами Azure AD в вашей организации. Храните образы контейнеров в реестре контейнеров Azure и используйте Azure RBAC, чтобы убедиться, что доступ имеют только полномочные пользователи.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-6: выполнение оценок уязвимостей программного обеспечения
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Следуйте рекомендациям Центра безопасности Azure, чтобы выполнить оценку уязвимостей на виртуальных машинах Azure, в образах контейнеров и серверах SQL. Центр безопасности Azure имеет встроенный сканер уязвимостей для проверки виртуальных машин.
Используйте стороннее решение для оценки уязвимостей на сетевых устройствах и в веб-приложениях. При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.
Экспорт результатов сканирования через одинаковые интервалы и сравнение с результатами предыдущих сканирований для проверки устранения уязвимостей. При использовании рекомендаций по управлению уязвимостями, предлагаемых Центром безопасности Azure, можно вывести сводную информацию на портал выбранного решения сканирования и просмотреть журнал данных сканирования.
Применение рекомендаций по оценке уязвимостей в Центре безопасности Azure
Экспорт результатов сканирования уязвимостей в Центре безопасности Azure
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3,7 | CA-2, RA-5, SI-2 |
Быстро разверните обновления программного обеспечения для устранения уязвимостей программного обеспечения в операционных системах и приложениях.
Используйте общую программу оценки рисков (например, Common Vulnerability Scoring System) или оценку рисков по умолчанию, предоставляемые сторонним средством сканирования и адаптированные к вашей среде, учитывая, какие именно приложения представляют высокий риск для безопасности и требуют длительного времени непрерывной работы.
Используйте Управление обновлениями службы автоматизации Azure или стороннее решение, чтобы убедиться, что на виртуальных машинах Windows и Linux установлены последние обновления системы безопасности. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.
Для программного обеспечения сторонних производителей воспользуйтесь решением управления исправлениями или средством System Center Updates Publisher для Configuration Manager.
Настройка Управления обновлениями для виртуальных машин в Azure
Управление обновлениями и исправлениями для виртуальных машин Azure
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-8: регулярное моделирование атак
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
При необходимости выполните тестирование на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и отслеживайте исправления всех критических точек безопасности. Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.
Правила взаимодействия при выполнении тестирования на проникновение
Привлечение "красных команд для тестирования "Microsoft Cloud
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):