Kontrola zabezpieczeń w wersji 3: stan i zarządzanie lukami w zabezpieczeniach
Zarządzanie stanami i lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i ulepszania stanu zabezpieczeń platformy Azure, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i korygowania, a także śledzenia konfiguracji zabezpieczeń, raportowania i korekty w zasobach platformy Azure.
PV-1: Definiowanie i ustanawianie bezpiecznych konfiguracji
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
4.1, 4.2 | CM-2, CM-6 | 1.1 |
Zasada zabezpieczeń: Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze. Możesz też użyć narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed wdrożeniem lub podczas wdrażania zasobów, aby środowisko było domyślnie zgodne po wdrożeniu.
Wskazówki dotyczące platformy Azure: Użyj testu porównawczego zabezpieczeń platformy Azure i punktu odniesienia usługi, aby zdefiniować konfigurację odniesienia dla każdej odpowiedniej oferty lub usługi platformy Azure. Zapoznaj się z architekturą referencyjną platformy Azure i architekturą strefy docelowej Cloud Adoption Framework, aby zrozumieć krytyczne mechanizmy kontroli zabezpieczeń i konfiguracje, które mogą być potrzebne w zasobach platformy Azure.
Usługa Azure Blueprints służy do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i zasad, w jednej definicji strategii.
Implementacja i dodatkowy kontekst:
- Ilustracja przedstawiająca implementację barier ochronnych w strefie docelowej skalowania Enterprise
- Praca z zasadami zabezpieczeń w Microsoft Defender dla Chmury
- Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
- Azure Blueprints
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i DevOps
PV-2: Inspekcja i wymuszanie bezpiecznych konfiguracji
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
4.1, 4.2 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy występuje odchylenie od zdefiniowanej konfiguracji odniesienia. Wymuś żądaną konfigurację zgodnie z konfiguracją odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację.
Wskazówki dotyczące platformy Azure: Użyj Microsoft Defender dla Chmury, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.
Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację w zasobach platformy Azure.
W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez Azure Policy, może być konieczne napisanie własnych skryptów lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.
Implementacja i dodatkowy kontekst:
- Omówienie efektów Azure Policy
- Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
- Pobieranie danych dotyczących zgodności zasobów platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i DevOps
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
4.1 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla zasobów obliczeniowych, takich jak maszyny wirtualne i kontenery. Użyj narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed lub podczas wdrażania zasobów obliczeniowych, aby środowisko było domyślnie zgodne po wdrożeniu. Alternatywnie użyj wstępnie skonfigurowanego obrazu, aby utworzyć żądaną konfigurację odniesienia w szablonie obrazu zasobu obliczeniowego.
Wskazówki dotyczące platformy Azure: Użyj zalecanego punktu odniesienia systemu operacyjnego platformy Azure (zarówno dla Windows, jak i Systemu Linux) jako testu porównawczego, aby zdefiniować punkt odniesienia konfiguracji zasobów obliczeniowych.
Ponadto można użyć niestandardowego obrazu maszyny wirtualnej lub obrazu kontenera z konfiguracją gościa Azure Policy i Azure Automation State Configuration, aby ustanowić żądaną konfigurację zabezpieczeń.
Implementacja i dodatkowy kontekst:
- Punkt odniesienia konfiguracji zabezpieczeń systemu operacyjnego Linux
- Punkt odniesienia konfiguracji zabezpieczeń systemu operacyjnego Windows
- Zalecenie dotyczące konfiguracji zabezpieczeń dla zasobów obliczeniowych
- Omówienie Azure Automation State Configuration
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i DevOps
PV-4: Inspekcja i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
4.1 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy istnieje odchylenie od zdefiniowanej konfiguracji odniesienia w zasobach obliczeniowych. Wymuś żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację w zasobach obliczeniowych.
Wskazówki dotyczące platformy Azure: Użyj Microsoft Defender dla Chmury i Azure Policy agenta konfiguracji gościa, aby regularnie oceniać i korygować odchylenia konfiguracji zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub Azure Automation State Configuration w celu zachowania konfiguracji zabezpieczeń systemu operacyjnego. Szablony maszyn wirtualnych firmy Microsoft w połączeniu z Azure Automation State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Uwaga: Azure Marketplace obrazy maszyn wirtualnych opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.
Implementacja i dodatkowy kontekst:
- Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Microsoft Defender dla Chmury
- Jak utworzyć maszynę wirtualną platformy Azure na podstawie szablonu usługi ARM
- omówienie Azure Automation State Configuration
- Tworzenie maszyny wirtualnej Windows w Azure Portal
- Zabezpieczenia kontenerów w usłudze Microsoft Defender for Cloud
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i DevOps
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Zasada zabezpieczeń: Przeprowadź ocenę luk w zabezpieczeniach dla zasobów w chmurze we wszystkich warstwach zgodnie z ustalonym harmonogramem lub na żądanie. Śledź i porównaj wyniki skanowania, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Ocena powinna obejmować wszystkie typy luk w zabezpieczeniach, takie jak luki w zabezpieczeniach usług platformy Azure, sieci, sieci, sieci, systemów operacyjnych, błędy konfiguracji itd.
Należy pamiętać o potencjalnych zagrożeniach związanych z uprzywilejowanym dostępem używanym przez skanery luk w zabezpieczeniach. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń dostępu uprzywilejowanego, aby zabezpieczyć wszystkie konta administracyjne używane do skanowania.
Wskazówki dotyczące platformy Azure: Postępuj zgodnie z zaleceniami Microsoft Defender dla Chmury dotyczącymi przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL. Microsoft Defender dla Chmury ma wbudowany skaner luk w zabezpieczeniach na potrzeby skanowania maszyn wirtualnych. Korzystanie z rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. aplikacji internetowych)
Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. W przypadku korzystania z zarządzanie lukami w zabezpieczeniach zaleceń sugerowanych przez Microsoft Defender dla Chmury możesz przestawić się do portalu wybranego rozwiązania do skanowania, aby wyświetlić dane historyczne skanowania.
Podczas przeprowadzania skanowania zdalnego nie należy używać jednego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT (Just In Time) dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.
Uwaga: usługi Azure Defender (w tym usługa Defender dla serwera, rejestr kontenerów, App Service, SQL i DNS) osadzają pewne możliwości oceny luk w zabezpieczeniach. Alerty wygenerowane na podstawie usług Azure Defender powinny być monitorowane i przeglądane wraz z wynikiem Microsoft Defender dla Chmury narzędzia do skanowania luk w zabezpieczeniach.
Uwaga: upewnij się, że w Microsoft Defender dla Chmury skonfigurować powiadomienia e-mail.
Implementacja i dodatkowy kontekst:
- Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Microsoft Defender dla Chmury
- Zintegrowany skaner luk w zabezpieczeniach dla maszyn wirtualnych
- ocena luk w zabezpieczeniach SQL
- Eksportowanie wyników skanowania luk w zabezpieczeniach Microsoft Defender dla Chmury
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i DevOps
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: KORYGOWANIE WAD | 6.1, 6.2, 6.5, 11.2 |
Zasada zabezpieczeń: Szybkie i automatyczne wdrażanie poprawek i aktualizacji w celu skorygowania luk w zabezpieczeniach zasobów w chmurze. Użyj odpowiedniego podejścia opartego na ryzyku, aby określić priorytety korygowania luk w zabezpieczeniach. Na przykład bardziej poważne luki w zabezpieczeniach w zasobie o wyższej wartości należy rozwiązać jako wyższy priorytet.
Wskazówki dotyczące platformy Azure: Użyj usługi Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych Windows i Linux. W przypadku maszyn wirtualnych Windows upewnij się, że Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub System Center aktualizacje Publisher na potrzeby Configuration Manager.
Określanie priorytetów aktualizacji do wdrożenia przy użyciu wspólnego programu oceniania ryzyka (takiego jak system oceny typowych luk w zabezpieczeniach) lub domyślnych ocen ryzyka dostarczonych przez narzędzie do skanowania innej firmy i dostosowanie go do środowiska. Należy również rozważyć, które aplikacje stanowią wysokie ryzyko bezpieczeństwa i które wymagają wysokiego czasu pracy.
Implementacja i dodatkowy kontekst:
- Jak skonfigurować rozwiązanie Update Management dla maszyn wirtualnych na platformie Azure
- Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i DevOps
PV-7: Przeprowadzanie regularnych operacji czerwonego zespołu
Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
---|---|---|
18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Zasada zabezpieczeń: Symulowanie rzeczywistych ataków w celu zapewnienia bardziej pełnego widoku luki w zabezpieczeniach organizacji. Operacje red team i testy penetracyjne uzupełniają tradycyjne podejście do skanowania luk w zabezpieczeniach w celu wykrycia ryzyka.
Postępuj zgodnie z najlepszymi rozwiązaniami branżowymi, aby zaprojektować, przygotować i przeprowadzić tego rodzaju testy, aby upewnić się, że nie spowoduje to uszkodzenia ani zakłóceń w środowisku. Powinno to zawsze obejmować omawianie zakresu testowania i ograniczeń z odpowiednimi uczestnikami projektu i właścicielami zasobów.
Wskazówki dotyczące platformy Azure: W razie potrzeby przeprowadź testy penetracyjne lub czerwone działania zespołu na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.
Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.
Implementacja i dodatkowy kontekst:
- Testy penetracyjne na platformie Azure
- Reguły testów penetracyjnych zaangażowania
- Testy typu „red team” w chmurze firmy Microsoft
- Przewodnik techniczny dotyczący testowania i oceny zabezpieczeń informacji
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):