Säkerhetskontroll v3: Hållning och hantering av säkerhetsrisker

Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra Azures säkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i Azure-resurser.

PV-1: Definiera och upprätta säkra konfigurationer

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Säkerhetsprincip: Definiera säkra konfigurationsbaslinjer för olika resurstyper i molnet. Du kan också använda konfigurationshanteringsverktyg för att upprätta konfigurationsbaslinjen automatiskt före eller under resursdistributionen så att miljön kan vara kompatibel som standard efter distributionen.

Azure-vägledning: Använd Azure Security Benchmark och tjänstbaslinjen för att definiera din konfigurationsbaslinje för varje respektive Azure-erbjudande eller tjänst. Se Referensarkitektur för Azure och Cloud Adoption Framework-landningszonarkitektur för att förstå de kritiska säkerhetskontroller och konfigurationer som kan behövas för azure-resurser.

Använd Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer, inklusive Azure Resource Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-2: Granska och framtvinga säkra konfigurationer

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Säkerhetsprincip: Övervaka och varna kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den icke-kompatibla konfigurationen eller distribuera en konfiguration.

Azure-vägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna.

Använd regeln Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säker konfiguration mellan Azure-resurser.

För granskning och tillämpning av resurskonfigurationer som inte stöds av Azure Policy kan du behöva skriva egna skript eller använda verktyg från tredje part för att implementera konfigurationsgranskningen och tillämpningen.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
4.1 CM-2, CM-6 2.2

Säkerhetsprincip: Definiera säkra konfigurationsbaslinjer för dina beräkningsresurser, till exempel virtuella datorer och containrar. Använd konfigurationshanteringsverktyg för att upprätta konfigurationsbaslinjen automatiskt före eller under distributionen av beräkningsresursen så att miljön kan vara kompatibel som standard efter distributionen. Du kan också använda en förkonfigurerad avbildning för att skapa önskad konfigurationsbaslinje i mallen för beräkningsresursens avbildning.

Azure-vägledning: Använd Azures rekommenderade operativsystembaslinje (för både Windows och Linux) som ett riktmärke för att definiera baslinjen för beräkningsresurskonfigurationen.

Dessutom kan du använda anpassad VM-avbildning eller containeravbildning med Azure Policy gästkonfiguration och Azure Automation State Configuration för att upprätta önskad säkerhetskonfiguration.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-4: Granska och framtvinga säkra konfigurationer för beräkningsresurser

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
4.1 CM-2, CM-6 2.2

Säkerhetsprincip: Övervaka och avisera kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen i dina beräkningsresurser. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den icke-kompatibla konfigurationen eller distribuera en konfiguration i beräkningsresurser.

Azure-vägledning: Använd Microsoft Defender för molnet och Azure Policy gästkonfigurationsagent för att regelbundet utvärdera och åtgärda konfigurationsavvikelser för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar med mera. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätthålla operativsystemets säkerhetskonfiguration. Mallar för virtuella Microsoft-datorer tillsammans med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Obs! Azure Marketplace VM-avbildningar som publiceras av Microsoft hanteras och underhålls av Microsoft.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-5: Utföra sårbarhetsbedömningar

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Säkerhetsprincip: Utför sårbarhetsbedömning för dina molnresurser på alla nivåer i ett fast schema eller på begäran. Spåra och jämför genomsökningsresultaten för att kontrollera att säkerhetsriskerna har åtgärdats. Utvärderingen bör omfatta alla typer av sårbarheter, till exempel sårbarheter i Azure-tjänster, nätverk, webb, operativsystem, felkonfigurationer och så vidare.

Tänk på de potentiella riskerna med privilegierad åtkomst som används av sårbarhetsskannrarna. Följ bästa praxis för privilegierad åtkomstsäkerhet för att skydda alla administrativa konton som används för genomsökningen.

Azure-vägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL servrar. Microsoft Defender för molnet har en inbyggd sårbarhetsskanner för genomsökning av virtuella datorer. Använda en lösning från tredje part för att utföra sårbarhetsbedömningar på nätverksenheter och program (t.ex. webbprogram)

Exportera genomsökningsresultat med konsekventa intervall och jämför resultaten med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder hantering av säkerhetsrisker rekommendationer som föreslås av Microsoft Defender för molnet kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.

När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera JIT-etableringsmetod (just-in-time) för genomsökningskontot. Autentiseringsuppgifterna för genomsökningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

Obs! Azure Defender-tjänster (inklusive Defender för server, containerregister, App Service, SQL och DNS) bäddar in vissa sårbarhetsbedömningsfunktioner. Aviseringarna som genereras från Azure Defender-tjänsterna bör övervakas och granskas tillsammans med resultatet från Microsoft Defender för molnet sårbarhetsgenomsökningsverktyg.

Obs! Kontrollera att du har konfigurerat e-postaviseringar i Microsoft Defender för molnet.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: REPARATION AV FEL 6.1, 6.2, 6.5, 11.2

Säkerhetsprincip: Distribuera snabbt och automatiskt korrigeringar och uppdateringar för att åtgärda säkerhetsrisker i dina molnresurser. Använd lämplig riskbaserad metod för att prioritera reparationen av säkerhetsriskerna. Till exempel bör allvarligare sårbarheter i en tillgång med högre värde åtgärdas som en högre prioritet.

Azure-vägledning: Använd Azure Automation Uppdateringshantering eller en lösning från tredje part för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina Windows och virtuella Linux-datorer. För Windows virtuella datorer kontrollerar du att Windows Update har aktiverats och har ställts in på att uppdateras automatiskt.

För programvara från tredje part använder du en lösning för uppdateringshantering från tredje part eller System Center Uppdateringar Publisher för Configuration Manager.

Prioritera vilka uppdateringar som ska distribueras först med hjälp av ett vanligt riskbedömningsprogram (till exempel Common Vulnerability Scoring System) eller standardriskklassificeringarna som tillhandahålls av ditt genomsökningsverktyg från tredje part och skräddarsy dem efter din miljö. Du bör också överväga vilka program som utgör en hög säkerhetsrisk och vilka som kräver hög drifttid.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-7: Utföra regelbundna röda teamåtgärder

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Säkerhetsprincip: Simulera verkliga attacker för att ge en mer fullständig vy över organisationens sårbarhet. Red Team-åtgärder och intrångstester kompletterar den traditionella sårbarhetsgenomsökningsmetoden för att identifiera risker.

Följ branschens bästa praxis för att utforma, förbereda och genomföra den här typen av testning för att säkerställa att den inte orsakar skada eller störningar i din miljö. Detta bör alltid omfatta att diskutera testningsomfång och begränsningar med relevanta intressenter och resursägare.

Azure-vägledning: Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas.

Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):