安全控制:安全配置

注意

此处提供了最新的 Azure 安全基准。

建立、实现并主动管理(跟踪、报告、更正)Azure 资源的安全配置,防止攻击者利用易受攻击的服务和设置。

7.1:为所有 Azure 资源建立安全配置

Azure ID CIS ID 责任方
7.1 5.1 客户

使用 Azure Policy 别名创建自定义策略,审核或强制实施 Azure 资源的配置。 你还可以使用内置的 Azure Policy 定义。

此外,Azure 资源管理器能够以 JavaScript 对象表示法 (JSON) 导出模板,应该对其进行检查,以确保配置满足/超过组织的安全要求。

还可以使用来自 Azure 安全中心的建议作为 Azure 资源的安全配置基线。

7.2:建立安全的操作系统配置

Azure ID CIS ID 责任方
7.2 5.1 客户

使用 Azure 安全中心建议来维护所有计算资源上的安全配置。 此外,你可以使用自定义操作系统映像或 Azure 自动化 State Configuration来建立组织所需的操作系统的安全配置。

7.3:维护安全的 Azure 资源配置

Azure ID CIS ID 责任方
7.3 5.2 客户

使用 Azure Policy“[拒绝]”和“[不存在则部署]”对不同的 Azure 资源强制实施安全设置。 此外,你可以使用 Azure 资源管理器模板维护组织所需的 Azure 资源的安全配置。

7.4:维护安全的操作系统配置

Azure ID CIS ID 责任方
7.4 5.2 共享

遵循 Azure 安全中心关于在 Azure 计算资源上执行漏洞评估的建议。 此外,你可以使用 Azure 资源管理器模板、自定义操作系统映像或 Azure 自动化 State Configuration 来维护组织所需的操作系统的安全配置。 结合 Azure 自动化 Desired State Configuration,Microsoft 虚拟机模板可能有助于满足和维护安全要求。

另请注意,由 Microsoft 发布的 Azure 市场虚拟机映像由 Microsoft 管理和维护。

7.5:安全存储 Azure 资源的配置

Azure ID CIS ID 责任方
7.5 5.3 客户

使用 Azure DevOps 安全地存储和管理代码,如自定义 Azure 策略、Azure 资源管理器模板和 Desired State Configuration 脚本。 若要访问在 Azure DevOps 中管理的资源,可以向特定用户、内置安全组或 Azure Active Directory (Azure AD)(如果与 Azure DevOps 集成)中定义的组或 Active Directory(如果与 TFS 集成)授予或拒绝授予权限。

7.6:安全存储自定义操作系统映像

Azure ID CIS ID 责任方
7.6 5.3 客户

如果使用自定义映像,请使用 Azure 基于角色的访问控制 (Azure RBAC) 来确保只有授权用户才能访问映像。 使用共享映像库,可以将映像共享给组织内的不同用户、服务主体或 AD 组。 对于容器映像,请将其存储在 Azure 容器注册表中,并利用 Azure RBAC 确保只有授权用户才能访问这些映像。

7.7:部署 Azure 资源的配置管理工具

Azure ID CIS ID 责任方
7.7 5.4 客户

使用 Azure Policy 为 Azure 资源定义和实施标准安全配置。 使用 Azure Policy 别名创建自定义策略,审核或强制实施 Azure 资源的网络配置。 还可以使用与特定资源相关的内置策略定义。 此外,你也可以使用 Azure 自动化来部署配置更改。

7.8:部署操作系统的配置管理工具

Azure ID CIS ID 责任方
7.8 5.4 客户

Azure Automation State Configuration 是一个配置管理服务,适用于任何云或本地数据中心内的 Desired State Configuration (DSC) 节点。 可以轻松登记计算机、为其分配声明性配置并查看显示每台计算机是否符合指定的所需状态的报告。

7.9:为 Azure 资源实施自动配置监视

Azure ID CIS ID 责任方
7.9 5.5 客户

使用 Azure 安全中心对 Azure 资源执行基线扫描。 此外,使用 Azure Policy 警告和审核 Azure 资源配置。

7.10:为操作系统实施自动配置监视

Azure ID CIS ID 责任方
7.10 5.5 客户

使用 Azure 安全中心对 OS 和容器的 Docker 设置执行基线扫描。

7.11:安全管理 Azure 机密

Azure ID CIS ID 责任方
7.11 13.1 客户

将托管服务标识与 Azure Key Vault 结合使用,可以简化和保护云应用程序的机密管理。

7.12:安全自动管理标识

Azure ID CIS ID 责任方
7.12 4.1 客户

使用托管标识在 Azure AD 中为 Azure 服务提供自动托管标识。 使用托管标识可以向支持 Azure AD 身份验证的任何服务(包括 Key Vault)证明身份,无需在代码中放入任何凭据。

7.13:消除意外的凭据透露

Azure ID CIS ID 责任方
7.13 18.1, 18.7 客户

实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

后续步骤