Controlo de Segurança V2: Gestão de Postura e Vulnerabilidade
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A Gestão de Postura e Vulnerabilidade centra-se nos controlos para avaliar e melhorar a postura de segurança do Azure. Isto inclui a digitalização de vulnerabilidades, testes de penetração e reparação, bem como rastreio de configuração de segurança, reporte e correção nos recursos Azure.
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa de conformidade regulamentar de referência de segurança Azure: Postura e Gestão de Vulnerabilidades
PV-1: Estabelecer configurações seguras para os serviços do Azure
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-1 | 5.1 | CM-2, CM-6 |
Defina os seguranças para infraestruturas e equipas de DevOps, facilitando a configuração segura dos serviços Azure que utilizam.
Inicie a sua configuração de segurança dos serviços Azure com as linhas de base de serviço no Azure Security Benchmark e personalize conforme necessário para a sua organização.
Utilize Centro de Segurança do Azure para configurar Azure Policy para auditar e impor configurações dos seus recursos Azure.
Você pode usar Azure Blueprints para automatizar a implementação e configuração de serviços e ambientes de aplicação, incluindo modelos de Resource Manager Azure, controlos e políticas Azure RBAC, e políticas, numa única definição de planta.
Ilustração da implementação de guarda-costas na zona de desembarque em escala empresarial
Trabalhar com políticas de segurança em Centro de Segurança do Azure
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PV-2: Suportar configurações seguras para os serviços do Azure
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-2 | 5,2 | CM-2, CM-6 |
Utilize Centro de Segurança do Azure para monitorizar a sua linha de base de configuração e use Azure Policy [negar] e [implementar se não existir] regra para impor uma configuração segura através dos recursos de computação Azure, incluindo VMs, contentores, entre outros.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PV-3: Estabelecer configurações seguras para recursos computacional
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-3 | 5.1 | CM-2, CM-6 |
Utilize Centro de Segurança do Azure e Azure Policy para estabelecer configurações seguras em todos os recursos de computação, incluindo VMs, contentores e outros Adicionalmente, pode utilizar imagens ou Automatização do Azure State Configuration do sistema operativo personalizados. para estabelecer a configuração de segurança do sistema operativo exigido pela sua organização.
Como monitorizar as recomendações Centro de Segurança do Azure
Faça upload de um VHD e use-o para criar novos VMs windows em Azure
Criar um Linux VM a partir de um disco personalizado com o Azure CLI
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PV-4: Manter configurações seguras para recursos computacional
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-4 | 5,2 | CM-2, CM-6 |
Utilize Centro de Segurança do Azure e Azure Policy para avaliar e remediar regularmente os riscos de configuração nos seus recursos de computação Azure, incluindo VMs, contentores e outros. Além disso, pode utilizar modelos de Resource Manager Azure, imagens personalizadas do sistema operativo ou Automatização do Azure State Configuration para manter a configuração de segurança do sistema operativo exigido pela sua organização. Os modelos de VM da Microsoft em conjunto com Automatização do Azure State Configuration podem ajudar a cumprir e manter os requisitos de segurança.
Além disso, note que Azure Marketplace imagens VM publicadas pela Microsoft são geridas e mantidas pela Microsoft.
Centro de Segurança do Azure também pode digitalizar vulnerabilidades em imagens de contentores e realizar uma monitorização contínua da sua configuração Docker em contentores, com base no CIS Docker Benchmark. Pode utilizar a página de recomendações Centro de Segurança do Azure para ver recomendações e remediar problemas.
Como implementar recomendações de avaliação de vulnerabilidade Centro de Segurança do Azure
Como criar uma máquina virtual Azure a partir de um modelo ARM
Script de exemplo para carregar um VHD para o Azure e criar uma nova VM
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):
PV-5: Armazenar de forma segura sistema operativo personalizado e imagens de contentores
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-5 | 5.3 | CM-2, CM-6 |
Utilize o controlo de acesso baseado em funções (Azure RBAC) para garantir que apenas os utilizadores autorizados possam aceder às suas imagens personalizadas. Utilize um Shared Image Gallery Azure para partilhar as suas imagens com diferentes utilizadores, principais de serviços ou grupos de AD dentro da sua organização. Guarde as imagens do contentor em Azure Container Registry e utilize o Azure RBAC para garantir que apenas os utilizadores autorizados tenham acesso.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PV-6: Realizar avaliações de vulnerabilidade de software
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Siga as recomendações da Centro de Segurança do Azure para a realização de avaliações de vulnerabilidade nas suas máquinas virtuais Azure, imagens de contentores e servidores SQL. Centro de Segurança do Azure tem um scanner de vulnerabilidade incorporado para digitalizar máquinas virtuais.
Utilize uma solução de terceiros para realizar avaliações de vulnerabilidade em dispositivos de rede e aplicações web. Ao realizar exames remotos, não utilize uma única conta administrativa perpétua. Considere implementar metodologia de provisionamento de JIT (Just In Time) para a conta de digitalização. As credenciais para a conta de digitalização devem ser protegidas, monitorizadas e utilizadas apenas para a verificação de vulnerabilidades.
A análise da exportação resulta em intervalos consistentes e compara os resultados com os exames anteriores para verificar se as vulnerabilidades foram remediadas. Ao utilizar recomendações de gestão de vulnerabilidades sugeridas por Centro de Segurança do Azure, pode entrar no portal da solução de digitalização selecionada para visualizar dados históricos de digitalização.
Como implementar recomendações de avaliação de vulnerabilidade Centro de Segurança do Azure
Exportação de resultados de digitalização da vulnerabilidade da Centro de Segurança do Azure
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PV-7: Remedeie as vulnerabilidades do software de forma rápida e automática
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Implemente rapidamente atualizações de software para remediar vulnerabilidades de software em sistemas operativos e aplicações.
Utilize um programa comum de pontuação de risco (como o Common Vulnerability Scoring System) ou as classificações de risco padrão fornecidas pela ferramenta de digitalização de terceiros e alfaiate ao seu ambiente, tendo em conta quais as aplicações que apresentam um alto risco de segurança e que requerem um elevado tempo de vida.
Utilize Automatização do Azure Gestão de Atualização ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas nos seus VMs Windows e Linux. Para os VMs do Windows, certifique-se de Windows Update foi ativado e programado para atualizar automaticamente.
Para software de terceiros, utilize uma solução de gestão de patch de terceiros ou um System Center Atualizações Publisher para Configuration Manager.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PV-8: Realizar simulações de ataques regulares
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
PV-8 | 20 | CA-8, CA-2, RA-5 |
Conforme necessário, realize testes de penetração ou atividades da equipa vermelha nos seus recursos Azure e garanta a reparação de todas as conclusões críticas de segurança. Para ter a certeza de que os seus testes de penetração não infringem as políticas da Microsoft, siga as Regras de Interação para Testes de Penetração da Microsoft Cloud. Utilize a estratégia e a execução de "Equipas de Ataque" e os testes de penetração no local em direto da Microsoft na infraestrutura, nos serviços e nas aplicações cloud geridas pela Microsoft.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):