Sdílet prostřednictvím


Řízení zabezpečení v3: Stav a správa ohrožení zabezpečení

Stav a správa ohrožení zabezpečení se zaměřuje na kontroly pro posouzení a zlepšení stavu zabezpečení Azure, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy, a také sledování konfigurace zabezpečení, vytváření sestav a oprav v prostředcích Azure.

PV-1: Definování a vytvoření zabezpečených konfigurací

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Princip zabezpečení: Definujte standardní hodnoty zabezpečené konfigurace pro různé typy prostředků v cloudu. Případně můžete použít nástroje pro správu konfigurace k automatickému vytvoření standardních hodnot konfigurace před nasazením nebo během nasazení prostředků, aby prostředí po nasazení bylo ve výchozím nastavení kompatibilní.

Pokyny k Azure: Pomocí srovnávacího testu zabezpečení Azure a standardních hodnot služeb můžete definovat standardní hodnoty konfigurace pro každou příslušnou nabídku nebo službu Azure. Projděte si referenční architekturu Azure a architekturu cílové zóny Cloud Adoption Framework a seznamte se s důležitými bezpečnostními ovládacími prvky a konfiguracemi, které můžou vyžadovat napříč prostředky Azure.

Azure Blueprints slouží k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manager, ovládacích prvků Azure RBAC a zásad v jedné definici podrobného plánu.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

PV-2: Auditování a vynucení zabezpečených konfigurací

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Princip zabezpečení: Nepřetržitě monitorovat a upozorňovat, pokud je odchylka od definovaného směrného plánu konfigurace. Vynucujte požadovanou konfiguraci podle standardní konfigurace zamítnutím konfigurace nevyhovující předpisům nebo nasazením konfigurace.

Pokyny k Azure: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy pro auditování a vynucování konfigurací prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace.

Pomocí pravidla Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč prostředky Azure.

Pro audit a vynucení konfigurace prostředků, které Azure Policy nepodporuje, možná budete muset napsat vlastní skripty nebo použít nástroje třetích stran k implementaci auditu a vynucení konfigurace.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

PV-3: Definování a vytvoření zabezpečených konfigurací výpočetních prostředků

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.1 CM-2, CM-6 2,2

Princip zabezpečení: Definujte standardní hodnoty zabezpečené konfigurace pro výpočetní prostředky, jako jsou virtuální počítače a kontejnery. Pomocí nástrojů pro správu konfigurace můžete nastavit směrný plán konfigurace automaticky před nasazením výpočetního prostředku nebo během nasazení výpočetních prostředků, aby prostředí po nasazení bylo ve výchozím nastavení kompatibilní. Alternativně použijte předem nakonfigurovanou image k sestavení požadovaného standardního plánu konfigurace do šablony image výpočetních prostředků.

Pokyny k Azure: K definování standardních hodnot konfigurace výpočetních prostředků použijte doporučený směrný plán operačního systému Azure (pro Windows i Linux).

Kromě toho můžete použít vlastní image virtuálního počítače nebo image kontejneru s konfigurací hosta Azure Policy a Azure Automation State Configuration vytvořit požadovanou konfiguraci zabezpečení.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

PV-4: Auditování a vynucení zabezpečených konfigurací pro výpočetní prostředky

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.1 CM-2, CM-6 2,2

Princip zabezpečení: Nepřetržitě monitorovat a upozorňovat na odchylku od definovaného směrného plánu konfigurace ve výpočetních prostředcích. Vynucujte požadovanou konfiguraci podle standardní konfigurace tím, že zakážete konfiguraci vyhovující předpisům nebo nasadíte konfiguraci ve výpočetních prostředcích.

Pokyny k Azure: Pomocí Microsoft Defender for Cloud a Azure Policy agenta konfigurace hosta můžete pravidelně vyhodnocovat a opravovat odchylky konfigurace výpočetních prostředků Azure, včetně virtuálních počítačů, kontejnerů a dalších. Kromě toho můžete pomocí šablon Azure Resource Manager, vlastních imagí operačního systému nebo Azure Automation State Configuration udržovat konfiguraci zabezpečení operačního systému. Šablony virtuálních počítačů Microsoftu ve spojení s Azure Automation State Configuration můžou pomoct s plněním a udržováním požadavků na zabezpečení.

Poznámka: Azure Marketplace image virtuálních počítačů publikované společností Microsoft jsou spravovány a spravovány Microsoftem.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

PV-5: Provedení posouzení ohrožení zabezpečení

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Princip zabezpečení: Proveďte posouzení ohrožení zabezpečení pro cloudové prostředky na všech úrovních v pevném plánu nebo na vyžádání. Sledujte a porovnejte výsledky kontroly a ověřte, že jsou ohrožení zabezpečení opravována. Posouzení by mělo zahrnovat všechny typy ohrožení zabezpečení, jako jsou ohrožení zabezpečení ve službách Azure, síť, web, operační systémy, chybné konfigurace atd.

Mějte na paměti potenciální rizika spojená s privilegovaným přístupem používaným skenery ohrožení zabezpečení. Postupujte podle osvědčených postupů zabezpečení privilegovaného přístupu a zabezpečte všechny účty pro správu používané ke kontrole.

Doprovodné materiály k Azure: Postupujte podle doporučení z Microsoft Defender for Cloud k provádění posouzení ohrožení zabezpečení na virtuálních počítačích Azure, imagích kontejnerů a SQL serverech. Microsoft Defender for Cloud má integrovanou kontrolu ohrožení zabezpečení pro kontrolu virtuálních počítačů. Použití řešení třetí strany k provádění posouzení ohrožení zabezpečení na síťových zařízeních a aplikacích (např. webových aplikacích)

Výsledky kontroly exportujte v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení. Při použití správa ohrožení zabezpečení doporučení navrhovaných Microsoft Defender for Cloud můžete přejít na portál vybraného řešení kontroly a zobrazit historická data kontroly.

Při provádění vzdálených kontrol nepoužívejte jediný trvalý účet správce. Zvažte implementaci metodiky zřizování JIT (Just In Time) pro účet kontroly. Přihlašovací údaje pro účet kontroly by měly být chráněné, monitorované a používány pouze pro kontrolu ohrožení zabezpečení.

Poznámka: Služby Azure Defenderu (včetně defenderu pro server, registr kontejnerů, App Service, SQL a DNS) vkládají určité možnosti posouzení ohrožení zabezpečení. Výstrahy vygenerované ze služeb Azure Defender by se měly monitorovat a kontrolovat společně s výsledkem nástroje pro kontrolu ohrožení zabezpečení Microsoft Defender for Cloud.

Poznámka: Ujistěte se, že máte nastavená e-mailová oznámení v Microsoft Defender for Cloud.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

PV-6: Rychlá a automatická náprava ohrožení zabezpečení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: NÁPRAVA CHYB 6.1, 6.2, 6.5, 11.2

Princip zabezpečení: Rychle a automaticky nasadíte opravy a aktualizace, které opraví ohrožení zabezpečení vašich cloudových prostředků. Při určování priorit nápravy ohrožení zabezpečení použijte vhodný přístup založený na riziku. Například větší ohrožení zabezpečení v prostředku s vyšší hodnotou by se mělo řešit jako vyšší priorita.

Doprovodné materiály k Azure: Pomocí Azure Automation Update Management nebo řešení jiného výrobce zajistěte, aby se na virtuálních počítačích s Windows a Linuxem nainstalovaly nejnovější aktualizace zabezpečení. U Windows virtuálních počítačů se ujistěte, že služba Windows Update byla povolená a nastavená na automatickou aktualizaci.

Pro software třetích stran použijte řešení pro správu oprav třetích stran nebo System Center aktualizace Publisher pro Configuration Manager.

Určete prioritu, které aktualizace se mají nasadit jako první, pomocí běžného programu vyhodnocování rizik (jako je common Vulnerability Scoring System) nebo výchozího hodnocení rizik poskytovaného nástrojem pro kontrolu třetí strany a přizpůsobit vašemu prostředí. Měli byste také zvážit, které aplikace představují vysoké bezpečnostní riziko a které aplikace vyžadují vysokou dobu provozu.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

PV-7: Provádění pravidelných červených operací týmu

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Princip zabezpečení: Simulujte skutečné útoky, abyste zajistili ucelenější přehled o ohrožení zabezpečení vaší organizace. Červené týmové operace a penetrační testování doplňují tradiční přístup kontroly ohrožení zabezpečení ke zjišťování rizik.

Při návrhu, přípravě a provedení tohoto typu testování postupujte podle osvědčených postupů v odvětví, abyste zajistili, že vaše prostředí nezpůsobí poškození nebo přerušení. To by vždy mělo zahrnovat diskuzi o rozsahu testování a omezení s příslušnými zúčastněnými stranami a vlastníky prostředků.

Doprovodné materiály k Azure: Podle potřeby proveďte penetrační testování nebo červené týmové aktivity na vašich prostředcích Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):