安全控制:漏洞管理
漏洞管理建议侧重于解决与不断获取、评估和处理新信息相关的问题,以便识别和修正漏洞,并尽量减少攻击者的机会窗口。
5.1:运行自动漏洞扫描工具
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 5.1 | 3.1、3.2、3.3 | 客户 |
遵循 Azure 安全中心关于在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估的建议。
使用第三方解决方案对网络设备和 Web 应用程序执行漏洞评估。 执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实现 JIT 预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
5.2:部署自动操作系统修补管理解决方案
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 5.2 | 3.4 | 客户 |
使用 Azure“更新管理”确保在 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows 虚拟机,请确保已启用 Windows 更新并将其设置为自动更新。
5.3:为第三方软件部署自动修补程序管理解决方案
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 5.3 | 3.5 | 客户 |
使用第三方修补程序管理解决方案。 已在其环境中使用 System Center Configuration Manager 的客户可以使用 System Center Updates Publisher,以允许他们将自定义更新发布到 Windows Server 更新服务中。 这样,更新管理员便可使用第三方软件来修补使用 System Center Configuration Manager 作为更新存储库的计算机。
5.4:比较连续进行的漏洞扫描
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 5.4 | 3.6 | 客户 |
以一致的间隔导出扫描结果,并比较结果以验证漏洞是否已修复。 使用 Azure 安全中心建议的漏洞管理建议时,可以转到选定解决方案的门户查看历史扫描数据。
5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 5.5 | 3.7 | 客户 |
使用通用风险评分程序(例如通用漏洞评分系统)或第三方扫描工具提供的默认风险评级。
后续步骤
- 请参阅下一个安全控制:清单和资产管理