Controllo di sicurezza: Gestione delle vulnerabilità
Le raccomandazioni per la gestione delle vulnerabilità sono incentrate sulla risoluzione dei problemi correlati all'acquisizione, alla valutazione e all'azione continua di nuove informazioni per identificare e correggere le vulnerabilità, nonché per ridurre al minimo la finestra di opportunità per gli utenti malintenzionati.
5.1: eseguire strumenti di analisi della vulnerabilità automatizzati
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 5,1 | 3.1, 3.2, 3.3 | Customer |
Seguire le raccomandazioni Centro sicurezza di Azure sull'esecuzione di valutazioni delle vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei SQL server.
Usare una soluzione di terze parti per eseguire valutazioni delle vulnerabilità nei dispositivi di rete e nelle applicazioni Web. Durante l'esecuzione di analisi remote, non usare un singolo account amministrativo perpetuo. Prendere in considerazione l'implementazione della metodologia di provisioning JIT per l'account di analisi. Le credenziali per l'account di analisi devono essere protette, monitorate e usate solo per l'analisi delle vulnerabilità.
5.2: distribuire una soluzione di gestione delle patch automatizzata per il sistema operativo
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 5,2 | 3.4 | Customer |
Usare azure "Gestione aggiornamenti" per assicurarsi che gli aggiornamenti della sicurezza più recenti siano installati nelle macchine virtuali Windows e Linux. Per Windows macchine virtuali, assicurarsi che Windows Update siano state abilitate e impostate per l'aggiornamento automatico.
Come configurare le Gestione aggiornamenti per le macchine virtuali in Azure
Informazioni su criteri di sicurezza di Azure monitorati dal Centro sicurezza
5.3: Distribuire una soluzione automatizzata di gestione delle patch per i titoli software di terze parti
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 5.3 | 3,5 | Customer |
Usare una soluzione di gestione delle patch di terze parti. I clienti che già sfruttano System Center Configuration Manager nel proprio ambiente possono sfruttare System Center Updates Publisher, consentendo loro di pubblicare aggiornamenti personalizzati in Windows Server Update Service. Ciò consente a Update Manager di applicare patch ai computer che usano System Center Configuration Manager come repository degli aggiornamenti con software di terze parti.
5.4: confrontare le analisi di vulnerabilità back-to-back
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 5.4 | 3,6 | Customer |
Esportare i risultati dell'analisi a intervalli coerenti e confrontarli per verificare che le vulnerabilità siano state corretti. Quando si gestione delle vulnerabilità consigli suggeriti da Centro sicurezza di Azure, è possibile eseguire pivot nel portale della soluzione selezionata per visualizzare i dati cronologici di analisi.
5.5: usare un processo di classificazione dei rischi per classificare in ordine di priorità la correzione delle vulnerabilità individuate
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 5.5 | 3,7 | Customer |
Usare un programma comune per l'assegnazione dei punteggi di rischio (ad esempio, Common Vulnerability Scoring System) o le classificazioni di rischio predefinite fornite dallo strumento di analisi di terze parti.
Passaggi successivi
- Vedere il successivo Controllo di sicurezza: Gestione di inventario e asset