安全性控制:安全設定
注意
這裡 提供最新的Azure 安全性效能評定。
建立、實作及主動管理 (追蹤、報告、更正) Azure 資源的安全性設定,以防止攻擊者利用易受攻擊的服務與設定。
7.1:為所有 Azure 資源建立安全設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.1 | 5.1 | 客戶 |
使用Azure 原則別名來建立自訂原則,以稽核或強制執行 Azure 資源的設定。 您也可以使用內建Azure 原則定義。
此外,Azure Resource Manager能夠匯出 JavaScript 物件標記法 (JSON) 中的範本,這應該經過檢閱以確保設定符合/超過組織的安全性需求。
您也可以使用來自 Azure 資訊安全中心 的建議作為 Azure 資源的安全設定基準。
7.2:建立安全的作業系統設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.2 | 5.1 | 客戶 |
使用Azure 資訊安全中心建議來維護所有計算資源的安全性設定。 此外,您可以使用自訂作業系統映射或Azure 自動化狀態設定來建立組織所需作業系統的安全性設定。
7.3:維護安全的 Azure 資源設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.3 | 5.2 | 客戶 |
使用Azure 原則 [deny] 和 [如果不存在],在 Azure 資源上強制執行安全設定。 此外,您可以使用 Azure Resource Manager範本來維護組織所需的 Azure 資源安全性設定。
7.4:維護安全的作業系統設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.4 | 5.2 | 共用 |
請遵循Azure 資訊安全中心對 Azure 計算資源執行弱點評估的建議。 此外,您可以使用 Azure Resource Manager 範本、自訂作業系統映射或Azure 自動化狀態設定來維護組織所需的作業系統安全性設定。 結合Azure 自動化 Desired State Configuration的 Microsoft 虛擬機器範本可協助滿足和維護安全性需求。
此外,請注意,Microsoft 所發行Azure Marketplace虛擬機器映射是由 Microsoft 管理和維護。
7.5:安全地儲存 Azure 資源的設定
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.5 | 5.3 | 客戶 |
使用 Azure DevOps 安全地儲存和管理程式碼,例如自訂 Azure 原則、Azure Resource Manager範本和Desired State Configuration腳本。 若要存取您在 Azure DevOps 中管理的資源,您可以在與 TFS 整合時,授與或拒絕特定使用者、內建安全性群組或群組的許可權, (Azure AD (Azure AD) 。
7.6:安全地儲存自訂作業系統映像
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.6 | 5.3 | 客戶 |
如果使用自訂映射,請使用 Azure 角色型存取控制 (Azure RBAC) ,以確保只有授權的使用者可以存取映射。 使用共用映像庫,即可在組織內對於不同的使用者、服務主體或 AD 群組共用您的映像。 針對容器映射,將它們儲存在Azure Container Registry中,並利用 Azure RBAC 來確保只有授權的使用者可以存取映射。
7.7:部署 Azure 資源的組態管理工具
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.7 | 5.4 | 客戶 |
使用 Azure 原則 定義及實作 Azure 資源的標準安全性設定。 使用Azure 原則別名來建立自訂原則,以稽核或強制執行 Azure 資源的網路設定。 您也可以使用與特定資源相關的內建原則定義。 此外,您可以使用Azure 自動化來部署組態變更。
7.8:部署作業系統的組態管理工具
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.8 | 5.4 | 客戶 |
Azure 自動化 狀態設定是任何雲端或內部部署資料中心內Desired State Configuration (DSC) 節點的組態管理服務。 您可以輕鬆地上架機器、指派它們宣告式組態和檢視顯示每個電腦的符合性報告 (達您指定的所需狀態)。
7.9:實作 Azure 資源的自動化設定監視
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.9 | 5.5 | 客戶 |
使用Azure 資訊安全中心為您的 Azure 資源執行基準掃描。 此外,請使用Azure 原則來警示和稽核 Azure 資源設定。
7.10:為作業系統實作自動化的設定監視
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.10 | 5.5 | 客戶 |
使用Azure 資訊安全中心針對容器執行 OS 和 Docker 設定的基準掃描。
7.11:安全地管理 Azure 祕密
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.11 | 13.1 | 客戶 |
使用受控服務識別與 Azure 金鑰保存庫,簡化及保護雲端應用程式的秘密管理。
7.12:安全且自動地管理身分識別
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.12 | 4.1 | 客戶 |
使用受控識別在 Azure AD 中提供自動受控識別的 Azure 服務。 受控識別可供對支援 Azure AD 驗證的任何服務進行驗證 (包括 Key Vault),不需要程式碼中的任何認證。
7.13:消除非預期的認證公開
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 7.13 | 18.1, 18.7 | 客戶 |
實作認證掃描器以識別程式碼內的認證。 認證掃描器也有助於將探索到的認證移至更安全的位置,例如 Azure Key Vault。
下一步
- 請參閱下一個安全性控制: 惡意程式碼防禦