Sicherheitskontrolle V2: Status- und Sicherheitsrisikoverwaltung
Hinweis
Der aktuelle Vergleichstest für die Azure-Sicherheit ist hier verfügbar.
Bei der Status- und Sicherheitsrisikoverwaltung liegt der Schwerpunkt auf Steuerungen zur Bewertung und Verbesserung des Sicherheitsstatus von Azure. Dies umfasst die Überprüfung auf Sicherheitsrisiken, Penetrationstests und Wartung sowie die Nachverfolgung, Berichterstellung und Korrektur von Sicherheitskonfigurationen in Azure-Ressourcen.
Die entsprechende integrierte Azure Policy finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß Azure-Sicherheitsvergleichstest: Status- und Sicherheitsrisikoverwaltung.
PV-1: Einrichten sicherer Konfigurationen für Azure-Dienste
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Definieren Sie Sicherheitsleitlinien für Infrastruktur- und DevOps-Teams, indem Sie die sichere Konfiguration der verwendeten Azure-Dienste erleichtern.
Beginnen Sie bei der Sicherheitskonfiguration von Azure-Diensten mit den Dienstbaselines in Azure Security Benchmark, und passen Sie sie nach Bedarf für Ihre Organisation an.
Verwenden Sie Azure Security Center, um Azure Policy für die Überwachung und Durchsetzung von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren.
Sie können Azure Blueprints verwenden, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen wie Azure Resource Manager-Vorlagen, Azure RBAC-Steuerelementen und Richtlinien in einer einzigen Blaupausendefinition zu automatisieren.
Abbildung der Leitlinienimplementierung in der Landing Zone auf Unternehmensebene
Arbeiten mit Sicherheitsrichtlinien in Azure Security Center
Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-2: Aufrechterhalten sicherer Konfigurationen für Azure-Dienste
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5,2 | CM-2, CM-6 |
Verwenden Sie Azure Security Center, um die Konfigurationsbaseline zu überwachen, und verwenden Sie die Azure Policy-Regeln [deny] (Verweigern) und [deploy if not exist] (Bereitstellen, falls nicht vorhanden), um eine sichere Konfiguration für Azure-Computeressourcen wie VMs und Container zu erzwingen.
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-3: Einrichten sicherer Konfigurationen für Computeressourcen
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Verwenden Sie Azure Security Center und Azure Policy, um sichere Konfigurationen auf allen Computeressourcen einzurichten, einschließlich VMs, Containern und anderen. Zusätzlich können Sue benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des für Ihre Organisation benötigten Betriebssystems festzulegen.
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-4: Aufrechterhalten sicherer Konfigurationen für Computeressourcen
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5,2 | CM-2, CM-6 |
Verwenden Sie Azure Security Center und Azure Policy, um Konfigurationsrisiken für Ihre Azure-Computeressourcen wie VMs und Container regelmäßig zu bewerten und zu beseitigen. Darüber hinaus können Sie auch Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des für Ihre Organisation benötigten Betriebssystems zu verwalten. Microsoft-VM-Vorlagen in Kombination mit Azure Automation State Configuration können beim Erfüllen und Aufrechterhalten der Sicherheitsanforderungen nützlich sein.
Beachten Sie hierbei auch, dass von Microsoft veröffentlichte Azure Marketplace-VM-Images von Microsoft verwaltet und gepflegt werden.
Azure Security Center kann auch Containerimages auf Sicherheitsrisiken überprüfen und eine kontinuierliche Überwachung ihrer Docker-Konfiguration in Containern auf Grundlage des CIS-Docker-Benchmarks durchführen. Auf der Seite „Empfehlungen“ in Azure Security Center finden Sie Empfehlungen und können Probleme beheben.
Implementieren von Empfehlungen für die Sicherheitsrisikobewertung aus Azure Security Center
Erstellen eines virtuellen Azure-Computers mithilfe einer ARM-Vorlage
Erstellen eines virtuellen Windows-Computers im Azure-Portal
Verantwortlichkeit: Shared
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-5: Sicheres Speichern von benutzerdefinierten Betriebssystem- und Containerimages
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um sicherzustellen, dass nur autorisierte Benutzer auf Ihre benutzerdefinierten Images zugreifen können. Mit einer Azure Shared Image Gallery können Sie Ihre Images für unterschiedliche Benutzer, Dienstprinzipale oder AD-Gruppen in Ihrer Organisation freigeben. Speichern Sie Containerimages in Azure Container Registry, und stellen Sie mithilfe von Azure RBAC sicher, dass nur autorisierte Benutzer über Zugriff verfügen.
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-6: Durchführen von Sicherheitsrisikobewertungen für Software
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Befolgen Sie die Empfehlungen aus dem Azure Security Center zum Durchführen von Sicherheitsrisikobewertungen für Ihre virtuellen Azure-Computer, Containerimages und SQL-Server. Azure Security Center verfügt über einen integrierten Scanner, um VMs auf Sicherheitsrisiken zu überprüfen.
Verwenden Sie für die Durchführung von Sicherheitsrisikobewertungen für Netzwerkgeräte und Webanwendungen eine Drittanbieterlösung. Verwenden Sie bei der Durchführung von Remote-Scans kein einzelnes, unbefristetes Administratorkonto. Ziehen Sie die Implementierung der JIT-Bereitstellungsmethodik (Just-In-Time) für das Scankonto in Erwägung. Anmeldeinformationen für das Scan-Konto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
Exportieren Sie die Scanergebnisse in regelmäßigen Abständen und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob die Sicherheitsrisiken behoben wurden. Wenn Sie die von Azure Security Center vorgeschlagenen Empfehlungen zur Verwaltung von Sicherheitsrisiken verwenden, können Sie in das Portal der ausgewählten Scanlösung wechseln, um die historischen Scandaten anzuzeigen.
Implementieren von Empfehlungen für die Sicherheitsrisikobewertung aus Azure Security Center
Exportieren der Ergebnisse der Azure Security Center-Überprüfung auf Sicherheitsrisiken
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-7: Schnelles und automatisches Beheben von Softwaresicherheitsrisiken
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3,7 | CA-2, RA-5, SI-2 |
Stellen Sie Softwareupdates schnell bereit, um Softwaresicherheitsrisiken in Betriebssystemen und Anwendungen zu beheben.
Verwenden Sie ein gängiges Risikobewertungsprogramm (z. B. Common Vulnerability Scoring System) oder die von Ihrem Scantool eines Drittanbieters bereitgestellten Standardrisikobewertungen, und passen Sie Ihre Umgebung unter Berücksichtigung der Anwendungen an, die ein hohes Sicherheitsrisiko darstellen oder eine lange Uptime erfordern.
Verwenden Sie die Azure Automation-Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass auf Ihren Windows- und Linux-VMs die aktuellen Sicherheitsupdates installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Verwenden Sie für Drittanbietersoftware eine Lösung für die Patchverwaltung von Drittanbietern oder System Center Updates Publisher für Configuration Manager.
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-8: Regelmäßiges Durchführen einer Angriffssimulation
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Führen Sie nach Bedarf Penetrationstests oder Red Team-Aktivitäten für Ihre Azure-Ressourcen durch, und stellen Sie sicher, dass alle kritischen Sicherheitsergebnisse behandelt werden. Befolgen Sie die Einsatzregeln für Penetrationstests für die Microsoft Cloud, um sicherzustellen, dass die Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Nutzen Sie die Microsoft-Strategie und Durchführung von Red Team- und Livewebsite-Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, Dienste und Anwendungen.
Verantwortlichkeit: Shared
Sicherheitsverantwortliche beim Kunden (weitere Informationen):