Řízení zabezpečení V2: Stav a správa ohrožení zabezpečení
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Stav a správa ohrožení zabezpečení se zaměřuje na kontroly pro posouzení a zlepšení stavu zabezpečení Azure. To zahrnuje kontrolu ohrožení zabezpečení, testování průniku a nápravu a také sledování konfigurace zabezpečení, vytváření sestav a opravy v prostředcích Azure.
Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Stav a správa ohrožení zabezpečení
PV-1: Zřízení zabezpečených konfigurací pro služby Azure
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Definujte bezpečnostní mantinely pro týmy infrastruktury a DevOps, abyste mohli snadno nakonfigurovat služby Azure, které používají.
Spusťte konfiguraci zabezpečení služeb Azure podle standardních hodnot služeb v srovnávacím testu zabezpečení Azure a podle potřeby upravte ho pro vaši organizaci.
Pomocí Azure Security Center nakonfigurujte Azure Policy pro auditování a vynucování konfigurací prostředků Azure.
Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manager, ovládacích prvků Azure RBAC a zásad v jedné definici podrobného plánu.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
PV-2: Udržování zabezpečených konfigurací pro služby Azure
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
K monitorování standardních hodnot konfigurace použijte Azure Security Center a pomocí pravidla Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Použití Azure Security Center a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších, můžete také použít vlastní image operačního systému nebo Azure Automation State Configuration k vytvoření konfigurace zabezpečení operačního systému vyžadovaného vaší organizací.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Pomocí Azure Security Center a Azure Policy můžete pravidelně vyhodnocovat a opravovat rizika konfigurace výpočetních prostředků Azure, včetně virtuálních počítačů, kontejnerů a dalších. Kromě toho můžete pomocí šablon Azure Resource Manager, vlastních imagí operačního systému nebo Azure Automation State Configuration udržovat konfiguraci zabezpečení operačního systému vyžadovaného vaší organizací. Šablony virtuálních počítačů Microsoftu ve spojení s Azure Automation State Configuration vám můžou pomoct s plněním a udržováním požadavků na zabezpečení.
Všimněte si také, že Azure Marketplace image virtuálních počítačů publikované Microsoftem spravuje a spravuje Microsoft.
Azure Security Center také může kontrolovat ohrožení zabezpečení v imagích kontejnerů a provádět průběžné monitorování konfigurace Dockeru v kontejnerech na základě srovnávacího testu CIS Dockeru. Stránku doporučení Azure Security Center můžete použít k zobrazení doporučení a nápravě problémů.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):
PV-5: Bezpečné ukládání vlastních imagí operačního systému a kontejnerů
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Pomocí řízení přístupu na základě role v Azure (Azure RBAC) zajistěte, aby k vašim vlastním imagím měli přístup jenom autorizovaní uživatelé. Pomocí azure Shared Image Gallery můžete sdílet image s různými uživateli, instančními objekty nebo skupinami AD ve vaší organizaci. Ukládání imagí kontejnerů v Azure Container Registry a použití Azure RBAC k zajištění přístupu pouze autorizovaným uživatelům.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
PV-6: Provedení posouzení ohrožení zabezpečení softwaru
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Při provádění posouzení ohrožení zabezpečení na virtuálních počítačích Azure, imagích kontejnerů a sql serverech postupujte podle doporučení z Azure Security Center. Azure Security Center má integrovaný skener ohrožení zabezpečení ke kontrole virtuálních počítačů.
K provádění posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích použijte řešení třetích stran. Při provádění vzdálených kontrol nepoužívejte jeden, trvalý účet pro správu. Zvažte implementaci metodologie zřizování JIT (Just In Time) pro účet kontroly. Přihlašovací údaje pro účet kontroly by měly být chráněné, monitorované a používány pouze pro kontrolu ohrožení zabezpečení.
Exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení. Při použití doporučení pro správu ohrožení zabezpečení navrhovaných Azure Security Center můžete přejít na portál vybraného řešení kontroly a zobrazit historická data kontroly.
Implementace doporučení posouzení ohrožení zabezpečení Azure Security Center
Integrovaný skener ohrožení zabezpečení pro virtuální počítače
Export výsledků kontroly ohrožení zabezpečení Azure Security Center
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Rychle nasaďte aktualizace softwaru pro nápravu ohrožení zabezpečení softwaru v operačních systémech a aplikacích.
Použijte společný program pro vyhodnocování rizik (například Běžný systém vyhodnocování ohrožení zabezpečení) nebo výchozí hodnocení rizik poskytovaná nástrojem pro kontrolu třetích stran a na míru vašemu prostředí, a to s ohledem na to, které aplikace představují vysoké bezpečnostní riziko a které aplikace vyžadují vysokou dobu provozu.
Pomocí Azure Automation Update Management nebo řešení třetích stran se ujistěte, že jsou na virtuálních počítačích s Windows a Linuxem nainstalované nejnovější aktualizace zabezpečení. U virtuálních počítačů s Windows se ujistěte, že služba Windows Update byla povolená a nastavená na automatickou aktualizaci.
Pro software třetích stran použijte řešení pro správu oprav třetích stran nebo system Center Aktualizace Publisher pro Configuration Manager.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
PV-8: Provádění pravidelné simulace útoku
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Podle potřeby proveďte penetrační testování nebo červené týmové aktivity na vašich prostředcích Azure a zajistěte nápravu všech kritických zjištění zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):