Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Verwaltung von Haltungen und Sicherheitsrisiken konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Sicherheitsrisikoüberprüfungen, Penetrationstests und Korrekturen sowie zur Nachverfolgung von Sicherheitskonfigurationen, Berichterstellung und Korrektur in Cloudressourcen.
PV-1: Definieren und Einrichten sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Sicherheitsprinzip: Definieren Sie die Sicherheitskonfigurationsbaselines für verschiedene Ressourcentypen in der Cloud. Alternativ können Sie konfigurationsverwaltungstools verwenden, um die Konfigurationsbasislinie automatisch vor oder während der Ressourcenbereitstellung einzurichten, damit die Umgebung nach der Bereitstellung standardmäßig kompatibel sein kann.
Azure-Leitfaden: Verwenden Sie den Microsoft Cloud Security Benchmark und den Dienstbasisplan, um Ihre Konfigurationsbasiswerte für jedes jeweilige Azure-Angebot oder -Dienst zu definieren. Lesen Sie die Azure-Referenzarchitektur und die Cloud Adoption Framework-Zielzonenarchitektur, um die kritischen Sicherheitskontrollen und Konfigurationen zu verstehen, die möglicherweise in Azure-Ressourcen erforderlich sind.
Verwenden Sie Azure-Zielzone (und Blueprints), um die Workloadbereitstellung zu beschleunigen, indem Sie die Konfiguration von Diensten und Anwendungsumgebungen einrichten, einschließlich Azure Resource Manager-Vorlagen, Azure RBAC-Steuerelemente und Azure-Richtlinie.
Azure-Implementierung und zusätzlicher Kontext:
- Abbildung der Guardrails-Implementierung in der Enterprise-Scale-Landungszone
- Arbeiten mit Sicherheitsrichtlinien in Microsoft Defender für Cloud
- Lernprogramm: Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance
- Azure-Blaupausen
AWS-Leitfaden: Verwenden Sie den Microsoft Cloud Security Benchmark – Multi-Cloud-Leitfaden für AWS und andere Eingaben, um Ihre Konfigurationsbasis für jedes jeweilige AWS-Angebot oder -Dienst zu definieren. Lesen Sie die Sicherheitssäule und andere Säulen im AWS Well-Architectured Framework, um die kritischen Sicherheitskontrollen und -konfigurationen zu verstehen, die möglicherweise über AWS-Ressourcen hinweg benötigt werden.
Verwenden Sie AWS CloudFormation-Vorlagen und AWS Config-Regeln in der DEFINITION der AWS-Zielzone, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen zu automatisieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie den Microsoft Cloud Security Benchmark – Multi-Cloud-Leitfaden für GCP und andere Eingaben, um Ihre Konfigurationsbasiswerte für jedes jeweilige GCP-Angebot oder -Dienst zu definieren. In den Säulen der Google Cloud-Bereitstellungen finden Sie Grundlegende-Blueprints und das Design der Zielzone.
Verwenden Sie Terraform-Blueprints-Module für Google Cloud und verwenden Sie nativen Google Cloud Deployment Manager, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen zu automatisieren.
GCP-Implementierung und zusätzlicher Kontext:
- Design der Zielzone in Google Cloud. Terraform-Blueprints und Module für Google Cloud. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- Sicherheitsgrundlagen-Konzept
- Google Cloud Deployment Manager
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-2: Überwachen und Erzwingen sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Kontinuierlich überwachen und warnen, wenn eine Abweichung von der definierten Konfigurationsbasislinie besteht. Erzwingen Sie die gewünschte Konfiguration gemäß der Basisplankonfiguration, indem Sie die nicht kompatible Konfiguration verweigern oder eine Konfiguration bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde.
Verwenden Sie Azure Policy [deny] und [deploy if not exist]-Regeln, um eine sichere Konfiguration über Azure-Ressourcen hinweg zu erzwingen.
Für die Ressourcenkonfigurationsüberwachung und -erzwingung, die von Der Azure-Richtlinie nicht unterstützt wird, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
Azure-Implementierung und zusätzlicher Kontext:
- Grundlegendes zu Azure-Richtlinieneffekten
- Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance
- Abrufen von Compliancedaten von Azure-Ressourcen
AWS-Leitfaden: Verwenden Sie AWS Config-Regeln, um Konfigurationen Ihrer AWS-Ressourcen zu überwachen. Und Sie können die Konfigurationsabweichung mithilfe der AWS Systems Manager Automation auflösen, die der AWS Config-Regel zugeordnet ist. Verwenden Sie Amazon CloudWatch, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird.
Für die Ressourcenkonfigurationsüberwachung und -erzwingung, die von AWS Config nicht unterstützt wird, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
Sie können auch die Drift Ihrer Konfiguration zentral überwachen, indem Sie Ihr AWS-Konto bei Microsoft Defender for Cloud anmelden.
AWS-Implementierung und zusätzlicher Kontext:
- Korrigieren nicht kompatibler AWS-Ressourcen durch AWS Config Rules
- Erkennen von nicht verwalteten Konfigurationsänderungen an Stapeln und Ressourcen
- AWS Config-Konformitätspaket
GCP-Leitfaden: Verwenden des Google Cloud Security Command Centers zum Konfigurieren von GCP. Verwenden Sie Google Cloud Monitoring in Operations Suite, um Warnungen zu erstellen, wenn die Konfigurationsabweichung für die Ressourcen erkannt wird.
Verwenden Sie für die Verwaltung Ihrer Organisationen die Organisationsrichtlinie, um die Cloudressourcen Ihrer Organisation zu zentralisieren und programmgesteuert zu steuern. Als Organisationsrichtlinienadministrator können Sie Einschränkungen in der gesamten Ressourcenhierarchie konfigurieren.
Für die Ressourcenkonfigurationsüberwachung und -erzwingung, die von der Organisationsrichtlinie nicht unterstützt wird, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
GCP-Implementierung und zusätzlicher Kontext:
- Einführung in den Organisationsrichtliniendienst.
- Compliance-Ressourcenzentrum.
- Google Cloud Operations Suite (ehemals Stackdriver)
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Definieren Sie die Basispläne für sichere Konfigurationen für Ihre Computeressourcen, z. B. virtuelle Computer und Container. Verwenden Sie Konfigurationsverwaltungstools, um die Konfigurationsbasislinie automatisch vor oder während der Computeressourcenbereitstellung einzurichten, damit die Umgebung nach der Bereitstellung standardmäßig kompatibel sein kann. Verwenden Sie alternativ ein vorkonfiguriertes Image, um die gewünschte Konfigurationsbasislinie in die Vorlage für die Rechnerressourcen-Images zu integrieren.
Azure-Leitfaden: Verwenden Sie die von Azure empfohlenen Betriebssystemsicherheitsgrundsätze (sowohl für Windows als auch Linux) als Benchmark, um Ihre Basisplan für die Berechnungsressourcenkonfiguration zu definieren.
Darüber hinaus können Sie ein benutzerdefiniertes VM-Image (mit Azure Image Builder) oder containerimages mit azure Automanage Machine Configuration (früher Azure Policy Guest Configuration) und Azure Automation State Configuration verwenden, um die gewünschte Sicherheitskonfiguration einzurichten.
Azure-Implementierung und zusätzlicher Kontext:
- Basisplan für die Linux-Betriebssystemsicherheit
- Windows OS-Sicherheitskonfiguration – Basisplan
- Empfehlung für die Sicherheitskonfiguration für Computeressourcen
- Übersicht über die Azure Automation State Configuration
AWS-Leitfaden: Verwenden Sie EC2 AWS Machine Images (AMI) aus vertrauenswürdigen Quellen auf dem Marketplace als Benchmark, um Ihre EC2-Konfigurationsbasislinie zu definieren.
Darüber hinaus können Sie den EC2 Image Builder verwenden, um benutzerdefinierte AMI-Vorlage mit einem Systems Manager-Agent zu erstellen, um die gewünschte Sicherheitskonfiguration einzurichten. Hinweis: Der AWS Systems Manager-Agent ist auf einigen Amazon Machine Images (AMIs) vorinstalliert, die von AWS bereitgestellt werden.
Für Workload-Anwendungen, die in Ihrer EC2-Instanz, AWS Lambda- oder Containerumgebung ausgeführt werden, können Sie AWS System Manager AppConfig verwenden, um die gewünschte Konfigurationsbasislinie einzurichten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die von Google Cloud empfohlenen Betriebssystemsicherheitsgrundsätze (sowohl für Windows als auch Linux) als Benchmark, um Ihre Baseline für die Berechnungsressourcenkonfiguration zu definieren.
Darüber hinaus können Sie ein benutzerdefiniertes VM-Image mit Packer Image Builder oder Containerimage mit Google Cloud Build-Containerimage verwenden, um die gewünschte Konfigurationsbasislinie einzurichten.
GCP-Implementierung und zusätzlicher Kontext:
- Google Compute Engine-Bilder.
- Bewährte Methoden für die Bildverwaltung
- Erstellen Sie Containerimages.
- Erstellen von VM-Images mit Packer
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Kontinuierlich überwachen und warnen, wenn eine Abweichung von der definierten Konfigurationsbasislinie in Ihren Computeressourcen vorhanden ist. Erzwingen Sie die gewünschte Konfiguration entsprechend der Basiskonfiguration, indem Sie die nicht kompatible Konfiguration verweigern oder eine Konfiguration in Computeressourcen bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Automanage Machine Configuration (früher Azure Policy Guest Configuration), um Konfigurationsabweichungen für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Microsoft-VM-Vorlagen in Verbindung mit der Azure Automation State-Konfiguration können bei der Erfüllung und Wartung von Sicherheitsanforderungen helfen. Verwenden Sie die Änderungsnachverfolgung und den Bestand in Azure Automation, um Änderungen an virtuellen Computern zu verfolgen, die in Azure, lokal und anderen Cloudumgebungen gehostet werden, um Betriebliche und Umgebungsprobleme mit software zu ermitteln, die vom Distribution Package Manager verwaltet werden. Installieren Sie den Gastnachweis-Agent auf virtuellen Computern, um die Startintegrität auf vertraulichen virtuellen Computern zu überwachen.
Hinweis: Azure Marketplace-VM-Images, die von Microsoft veröffentlicht werden, werden von Microsoft verwaltet und gepflegt.
Azure-Implementierung und zusätzlicher Kontext:
- Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken in Microsoft Defender für Cloud
- Erstellen eines virtuellen Azure-Computers aus einer ARM-Vorlage
- Azure Automation State Configuration (Übersicht)
- Erstellen eines virtuellen Windows-Computers im Azure-Portal
- Containersicherheit in Microsoft Defender für Cloud
- übersicht über Änderungsnachverfolgung und -inventar
- Gastnachweis für vertrauliche virtuelle Computer
AWS-Leitfaden: Verwenden Sie das State Manager-Feature von AWS System Manager, um Konfigurationsabweichungen für Ihre EC2-Instanzen regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie CloudFormation-Vorlagen, benutzerdefinierte Betriebssystemimages verwenden, um die Sicherheitskonfiguration des Betriebssystems aufrechtzuerhalten. AMI-Vorlagen in Verbindung mit Systems Manager können dabei helfen, Sicherheitsanforderungen zu erfüllen und aufrechtzuerhalten.
Sie können die Betriebssystemkonfiguration auch zentral überwachen und verwalten, indem Sie die Azure Automation State Configuration durchlaufen und die entsprechenden Ressourcen mithilfe der folgenden Methoden in Azure Security Governance integrieren:
- Onboarding Ihres AWS-Kontos in Microsoft Defender for Cloud
- Verwenden von Azure Arc für Server zum Verbinden Ihrer EC2-Instanzen mit Microsoft Defender für Cloud
Für Workloadanwendungen, die in Ihrer EC2-Instanz, AWS Lambda- oder Containerumgebung ausgeführt werden, können Sie AWS System Manager AppConfig verwenden, um die gewünschte Konfigurationsbasislinie zu überwachen und zu erzwingen.
Hinweis: von Amazon Web Services im AWS Marketplace veröffentlichte AMIs werden von Amazon Web Services verwaltet und gepflegt.
AWS-Implementierung und zusätzlicher Kontext:
- AWS System Manager State Manager
- Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud
- Aktivieren von Azure Automation State Configuration
GCP-Leitfaden: Verwenden Sie VM Manager und Google Cloud Security Command Center, um die Konfigurationsabweichung Ihrer Compute Engine-Instanzen, -Container und -Serverless-Verträge regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie VM-Vorlagen des Deployment Manager, benutzerdefinierte Betriebssystemimages verwenden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. VM-Vorlagen des Bereitstellungs-Managers in Verbindung mit VM Manager können bei der Erfüllung und Wartung von Sicherheitsanforderungen helfen.
Sie können die Betriebssystemkonfiguration auch zentral überwachen und verwalten, indem Sie die Azure Automation State Configuration durchlaufen und die entsprechenden Ressourcen mithilfe der folgenden Methoden in Azure Security Governance integrieren:
- Onboarding Ihres GCP-Projekts in Microsoft Defender for Cloud
- Verwenden von Azure Arc für Server zum Verbinden Ihrer GCP-VM-Instanzen mit Microsoft Defender für Cloud
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über das Google Cloud Command Center.
- Google Cloud VM Manager
- Google Cloud Deployment Manager:
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-5: Durchführen von Sicherheitsrisikobewertungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Sicherheitsprinzip: Durchführen einer Sicherheitsrisikobewertung für Ihre Cloudressourcen auf allen Ebenen in einem festen Zeitplan oder bei Bedarf. Verfolgen und vergleichen Sie die Scanergebnisse, um zu überprüfen, ob die Sicherheitsrisiken behoben werden. Die Bewertung sollte alle Arten von Sicherheitsrisiken umfassen, z. B. Sicherheitsrisiken in Azure-Diensten, Netzwerk, Web, Betriebssysteme, Fehlkonfigurationen usw.
Beachten Sie die potenziellen Risiken im Zusammenhang mit dem privilegierten Zugriff, der von den Sicherheitsrisikoscannern verwendet wird. Befolgen Sie die bewährte Methode für die Sicherheit des privilegierten Zugriffs, um alle administrativen Konten zu schützen, die für die Überprüfung verwendet werden.
Azure-Leitfaden: Befolgen Sie Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern. Microsoft Defender für Cloud verfügt über einen integrierten Sicherheitsrisikoscanner für virtuelle Computer. Verwenden einer Drittanbieterlösung zum Durchführen von Sicherheitsrisikobewertungen auf Netzwerkgeräten und Anwendungen (z. B. Webanwendungen)
Exportieren Sie Scanergebnisse in konsistenten Intervallen, und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob Sicherheitsrisiken behoben wurden. Wenn Sie Empfehlungen zur Sicherheitsrisikoverwaltung verwenden, die von Microsoft Defender für Cloud vorgeschlagen werden, können Sie sich in das Portal der ausgewählten Scanlösung pivotieren, um verlaufsbasierte Scandaten anzuzeigen.
Verwenden Sie beim Durchführen von Remotescans kein einzelnes, unbefristetes Administratorkonto. Erwägen Sie die Implementierung der JIT-Bereitstellungsmethode (Just In Time) für das Scankonto. Anmeldeinformationen für das Scankonto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
Hinweis: Microsoft Defender-Dienste (einschließlich Defender für Server, Container, App Service, Datenbank und DNS) betten bestimmte Sicherheitsrisikobewertungsfunktionen ein. Die von Azure Defender-Diensten generierten Warnungen sollten zusammen mit dem Ergebnis des Microsoft Defender for Cloud-Überprüfungstools überwacht und überprüft werden.
Hinweis: Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen in Microsoft Defender für Cloud einrichten.
Azure-Implementierung und zusätzlicher Kontext:
- Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken in Microsoft Defender für Cloud
- Integrierter Sicherheitsrisikoscanner für virtuelle Computer
- SQL-Sicherheitsrisikobewertung
- Exportieren von Microsoft Defender für Cloud-Überprüfungsergebnissen
AWS-Leitfaden: Verwenden Sie Amazon Inspector, um Ihre Amazon EC2-Instanzen und Containerimages zu scannen, die sich in Amazon Elastic Container Registry (Amazon ECR) befinden, um Softwarerisiken und unbeabsichtigte Netzwerkrisiken zu ermitteln. Verwenden einer Drittanbieterlösung zum Durchführen von Sicherheitsrisikobewertungen auf Netzwerkgeräten und Anwendungen (z. B. Webanwendungen)
Informationen zum Steuern von ES-1 finden Sie unter "Verwenden der Endpunkterkennung und -reaktion (EDR)", um Ihr AWS-Konto in Microsoft Defender für Cloud zu integrieren und Microsoft Defender für Server (mit microsoft Defender für Endpunkt integriert) in Ihren EC2-Instanzen bereitzustellen. Microsoft Defender für Server bietet eine systemeigene Bedrohungs- und Sicherheitsrisikoverwaltungsfunktion für Ihre VMs. Das Ergebnis der Sicherheitsrisikoüberprüfung wird im Microsoft Defender für Cloud-Dashboard konsolidiert.
Verfolgen Sie den Status von Sicherheitsrisikenergebnissen, um sicherzustellen, dass sie ordnungsgemäß behoben oder unterdrückt werden, wenn sie als falsch positiv eingestuft werden.
Verwenden Sie beim Durchführen von Remotescans kein einzelnes, unbefristetes Administratorkonto. Erwägen Sie die Implementierung einer temporären Bereitstellungsmethode für das Scankonto. Anmeldeinformationen für das Scankonto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
AWS-Implementierung und zusätzlicher Kontext:
- Amazon Inspector
- Untersuchen von Schwachstellen mit der Bedrohungs- und Sicherheitsrisikoverwaltung von Microsoft Defender für Endpunkt
GCP-Anleitung: Folgen Sie den Empfehlungen von Microsoft Defender für Cloud und/oder vom Google Cloud Security Command Center zum Durchführen von Schwachstellenbewertungen auf Ihren Compute Engine-Instanzen. Security Command Center verfügt über integrierte Sicherheitsrisikenbewertungen auf Netzwerkgeräten und Anwendungen (z. B. Web Security Scanner)
Exportieren Sie Scanergebnisse in konsistenten Intervallen, und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob Sicherheitsrisiken behoben wurden. Wenn Sie empfehlungen für die Verwaltung von Sicherheitsrisiken verwenden, die vom Security Command Center vorgeschlagen werden, können Sie im Portal der ausgewählten Scanlösung pivotieren, um verlaufsbezogene Scandaten anzuzeigen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: FEHLERBEHEBUNG | 6.1, 6.2, 6.5, 11.2 |
Sicherheitsprinzip: Schnelle und automatische Bereitstellung von Patches und Updates zur Behebung von Sicherheitsrisiken in Ihren Cloudressourcen. Verwenden Sie den geeigneten risikobasierten Ansatz, um die Behebung von Sicherheitsrisiken zu priorisieren. Beispielsweise sollten schwerwiegendere Sicherheitsrisiken in einer Ressource mit höherem Wert als höhere Priorität behandelt werden.
Azure-Leitfaden: Verwenden Sie Azure Automation Update Management oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie für Windows-VMs sicher, dass Windows Update aktiviert und automatisch aktualisiert wird.
Verwenden Sie für Drittanbietersoftware eine Drittanbieter-Patchverwaltungslösung oder Microsoft System Center Updates Publisher für Configuration Manager.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren der Updateverwaltung für virtuelle Computer in Azure
- Verwalten von Updates und Patches für Ihre Azure-VMs
AWS-Leitfaden: Verwenden Sie AWS Systems Manager – Patch Manager, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Betriebssystemen und Anwendungen installiert sind. Patch-Manager unterstützt Patchbaselines, damit Sie eine Liste genehmigter und abgelehnter Patches für Ihre Systeme definieren können.
Sie können azure Automation Update Management auch verwenden, um die Patches und Updates Ihrer AWS EC2 Windows- und Linux-Instanzen zentral zu verwalten.
Verwenden Sie für Drittanbietersoftware eine Drittanbieter-Patchverwaltungslösung oder Microsoft System Center Updates Publisher für Configuration Manager.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die Patchverwaltung des Betriebssystems von Google Cloud VM Manager oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf den Windows- und Linux-VMs installiert werden. Stellen Sie sicher, dass Windows Update für Windows-VM aktiviert und automatisch aktualisiert wird.
Verwenden Sie für Drittanbietersoftware eine Drittanbieter-Patchverwaltungslösung oder Microsoft System Center Updates Publisher für die Konfigurationsverwaltung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-7: Regelmäßig Red Team-Operationen durchführen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Sicherheitsprinzip: Simulieren Sie reale Angriffe, um eine umfassendere Ansicht der Sicherheitsanfälligkeit Ihrer Organisation zu bieten. Red-Team-Aktivitäten und Penetrationstests ergänzen den traditionellen Ansatz des Schwachstellen-Scannens, um Risiken zu entdecken.
Befolgen Sie bewährte Methoden der Branche, um diese Art von Tests zu entwerfen, vorzubereiten und durchzuführen, um sicherzustellen, dass sie keine Schäden oder Unterbrechungen für Ihre Umgebung verursacht. Dies sollte immer die Diskussion über Testbereiche und Einschränkungen mit relevanten Projektbeteiligten und Ressourcenbesitzern umfassen.
Azure-Leitfaden: Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten in Ihren Azure-Ressourcen durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher.
Befolgen Sie die Microsoft Cloud Penetration Testing Rules of Engagement, um sicherzustellen, dass Ihre Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Verwenden Sie die Strategie und Ausführung von Red Teaming und Live Site Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, -Dienste und -Anwendungen.
Azure-Implementierung und zusätzlicher Kontext:
- Penetrationstests in Azure
- Einsatzregeln für Penetrationstests
- Microsoft Cloud Red Teaming
- Technischer Leitfaden zu Tests und Bewertungen der Informationssicherheit
AWS-Leitfaden: Führen Sie bei Bedarf Penetrationstests oder rote Teamaktivitäten für Ihre AWS-Ressourcen durch und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher.
Befolgen Sie die AWS-Kundensupportrichtlinie für Penetrationstests, um sicherzustellen, dass Ihre Penetrationstests nicht gegen AWS-Richtlinien verstoßen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten für Ihre GCP-Ressource durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher.
Befolgen Sie die GCP-Kundensupportrichtlinie für Penetrationstests, um sicherzustellen, dass Ihre Penetrationstests nicht gegen GCP-Richtlinien verstoßen.
GCP-Implementierung und zusätzlicher Kontext:
- Häufig gestellte Fragen zu Cloud Security Penetrationstests.
- Stress-/Belastungs-/Penetrationstestanforderungen
Kundensicherheitsbeteiligte (Weitere Informationen):