安全性控制 v3:狀態和弱點管理
狀態和弱點管理著重于評估及改善 Azure 安全性狀態的控制項,包括弱點掃描、滲透測試和補救,以及 Azure 資源中的安全性組態追蹤、報告和更正。
PV-1:定義並建立安全設定
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 1.1 |
安全性準則: 定義雲端中不同資源類型的安全性群組態基準。 或者,使用組態管理工具在資源部署之前或期間自動建立設定基準,以便環境在部署之後預設符合規範。
Azure 指引: 使用 Azure 安全性基準和服務基準,為每個個別的 Azure 供應專案或服務定義您的設定基準。 請參閱 Azure 參考架構和雲端採用架構登陸區域架構,以瞭解跨 Azure 資源可能需要的重要安全性控制和設定。
使用 Azure 藍圖,在單一藍圖定義中自動部署和設定服務和應用程式環境,包括 Azure Resource Manager範本、Azure RBAC 控制項和原則。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-2:稽核並強制執行安全設定
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 2.2 |
安全性準則: 當已定義的組態基準有偏差時,持續監視和警示。 藉由拒絕不符合規範的組態或部署組態,根據基準組態強制執行所需的組態。
Azure 指引:使用適用於雲端的 Microsoft Defender設定Azure 原則來稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器在資源上偵測到設定偏差時建立警示。
使用Azure 原則 [deny] 和 [如果不存在]規則來強制執行跨 Azure 資源的安全設定。
對於Azure 原則不支援的資源組態稽核和強制執行,您可能需要撰寫自己的腳本或使用協力廠商工具來實作設定稽核和強制執行。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-3:定義並建立計算資源的安全設定
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全性準則: 定義計算資源的安全性群組態基準,例如 VM 和容器。 使用組態管理工具,在計算資源部署之前或期間自動建立設定基準,讓環境在部署之後預設符合規範。 或者,使用預先設定的映射,將所需的設定基準建置到計算資源映射範本中。
Azure 指引:針對 Windows 和 Linux) 使用 Azure 建議的作業系統基準 (作為基準,以定義您的計算資源組態基準。
此外,您可以使用自訂 VM 映射或容器映射搭配Azure 原則客體設定,並Azure 自動化 狀態設定來建立所需的安全性設定。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-4:稽核並強制執行計算資源的安全設定
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全性準則: 當計算資源中定義的設定基準有偏差時,持續監視和警示。 藉由拒絕不符合規範的組態,或在計算資源中部署組態,根據基準組態強制執行所需的組態。
Azure 指引:使用適用於雲端的 Microsoft Defender和Azure 原則客體設定代理程式,定期評估及補救 Azure 計算資源上的設定偏差,包括 VM、容器和其他。 此外,您可以使用 Azure Resource Manager範本、自訂作業系統映射或Azure 自動化 狀態設定來維護作業系統的安全性設定。 Microsoft VM 範本與Azure 自動化 狀態設定可協助符合和維護安全性需求。
注意:Microsoft 所發行的 VM 映射Azure Marketplace是由 Microsoft 管理和維護。
實作和其他內容:
- 如何實作適用於雲端的 Microsoft Defender弱點評估建議
- 如何從 ARM 範本建立 Azure 虛擬機器
- Azure Automation State Configuration 概觀
- 在 Azure 入口網站中建立 Windows 虛擬機器
- 適用於雲端的 Microsoft Defender 中的容器安全性
客戶安全性專案關係人 (深入瞭解) :
PV-5:執行弱點評估
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3、RA-5 | 6.1, 6.2, 6.6 |
安全性準則: 在固定排程或隨選的所有層級上,為您的雲端資源執行弱點評估。 追蹤並比較掃描結果,以確認已修復弱點。 評估應包含所有類型的弱點,例如 Azure 服務、網路、Web、作業系統、設定錯誤等等。
請注意與弱點掃描器所使用的特殊許可權存取相關聯的潛在風險。 遵循特殊許可權存取安全性最佳做法來保護用於掃描的任何系統管理帳戶。
Azure 指引:請遵循適用於雲端的 Microsoft Defender的建議,在您的 Azure 虛擬機器、容器映射和SQL伺服器上執行弱點評估。 適用於雲端的 Microsoft Defender具有用於虛擬機器掃描的內建弱點掃描器。 使用協力廠商解決方案在網路裝置和應用程式上執行弱點評估 (,例如 web 應用程式)
以一致的間隔匯出掃描結果,並比較結果與先前的掃描,以確認已修復弱點。 使用適用於雲端的 Microsoft Defender所建議的弱點管理建議時,您可以樞紐至選取的掃描解決方案入口網站,以檢視歷程掃描資料。
執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮實作 JIT (Just In Time) 掃描帳戶的布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
注意:Azure Defender 服務 (包括適用于伺服器的 Defender、容器登錄、App Service、SQL和 DNS) 內嵌特定弱點評估功能。 應監視和檢閱從 Azure Defender 服務產生的警示,以及來自適用於雲端的 Microsoft Defender弱點掃描工具的結果。
注意:請確定您在適用於雲端的 Microsoft Defender中的設定電子郵件通知。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-6:快速且自動補救弱點
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3、RA-5、SI-2:瑕疵補救 | 6.1, 6.2, 6.5, 11.2 |
安全性準則: 快速且自動部署修補程式和更新,以補救雲端資源中的弱點。 使用適當的風險型方法來排定弱點補救的優先順序。 例如,較高價值資產中的較嚴重弱點應以較高的優先順序來處理。
Azure 指引:使用Azure 自動化更新管理或協力廠商解決方案,以確保最新的安全性更新已安裝在您的 Windows 和 Linux VM 上。 針對Windows VM,請確定Windows Update已啟用並設定為自動更新。
若為協力廠商軟體,請使用協力廠商修補程式管理解決方案或System Center更新Publisher進行Configuration Manager。
優先使用常見風險評分計畫部署哪些更新, (例如常見弱點評分系統) 或協力廠商掃描工具所提供的預設風險評等,並根據您的環境量身訂做。 您也應該考慮哪些應用程式有高安全性風險,以及哪些應用程式需要高執行時間。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-7:進行一般紅隊作業
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8、RA-5 | 6.6, 11.2, 11.3 |
安全性準則: 模擬真實世界的攻擊,以提供更完整的組織弱點檢視。 Red team 作業和滲透測試可補充傳統弱點掃描方法來探索風險。
遵循業界最佳作法來設計、準備及執行這類測試,以確保不會對您的環境造成損害或中斷。 這應該一律包括與相關專案關係人和資源擁有者討論測試範圍和資源限制。
Azure 指引: 視需要,在您的 Azure 資源上執行滲透測試或紅色小組活動,並確保補救所有重要的安全性結果。
請遵循 Microsoft 雲端滲透測試參與規則,以確保您的滲透測試不會違反 Microsoft 原則。 針對 Microsoft 管理的雲端基礎結構、服務和應用程式,使用 Microsoft 對於紅隊和即時網站滲透測試的策略和執行方法。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :