Sicherheitskontrolle: Status- und Sicherheitsrisikomanagement
Das Status- und Sicherheitsrisikomanagement konzentriert sich auf Kontrollmechanismen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Überprüfung auf Sicherheitsrisiken, Penetrationstests und Wartung sowie Nachverfolgung, Berichterstellung und Korrektur der Sicherheitskonfiguration von Cloudressourcen.
PV-1: Definieren und Einrichten sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Sicherheitsprinzip: Definieren Sie die Baselines der Sicherheitskonfiguration für verschiedene Ressourcentypen in der Cloud. Alternativ können Sie Konfigurationsverwaltungstools verwenden, um die Konfigurationsbaseline automatisch vor oder während der Ressourcenbereitstellung einzurichten, sodass die Umgebung nach der Bereitstellung standardmäßig konform ist.
Azure-Leitfaden: Verwenden Sie den Microsoft Cloud Security Benchmark und die Dienstbaseline, um Ihre Konfigurationsbaseline für jedes jeweilige Azure-Angebot oder -Dienst zu definieren. Informationen zu den kritischen Sicherheitskontrollen und Konfigurationen, die möglicherweise für Azure-Ressourcen erforderlich sind, finden Sie unter Azure-Referenzarchitektur und Cloud Adoption Framework Zielzonenarchitektur.
Verwenden Sie die Azure-Zielzone (und Blaupausen), um die Workloadbereitstellung zu beschleunigen, indem Sie die Konfiguration von Diensten und Anwendungsumgebungen einrichten, einschließlich Azure Resource Manager-Vorlagen, Azure RBAC-Steuerelementen und Azure Policy.
Azure-Implementierung und zusätzlicher Kontext:
- Abbildung der Implementierung von Schutzmaßnahmen in der Landing Zone auf Unternehmensebene
- Arbeiten mit Sicherheitsrichtlinien in Microsoft Defender für Cloud
- Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
- Azure Blueprint
AWS-Leitfaden: Verwenden Sie den Microsoft Cloud Security Benchmark – Multi-Cloud-Leitfaden für AWS und andere Eingaben, um Ihre Konfigurationsbaseline für jedes jeweilige AWS-Angebot oder -Dienst zu definieren. Informationen zu den kritischen Sicherheitskontrollen und Konfigurationen, die möglicherweise für AWS-Ressourcen erforderlich sind, finden Sie unter Sicherheitspfeiler und andere Säulen im AWS Well-Architectured Framework.
Verwenden Sie AWS CloudFormation-Vorlagen und AWS-Konfigurationsregeln in der AWS-Zielzonendefinition, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen zu automatisieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie den Microsoft Cloud Security Benchmark – Multi-Cloud-Leitfaden für GCP und andere Eingaben, um Ihre Konfigurationsbaseline für jedes jeweilige GCP-Angebot oder -Dienst zu definieren. Weitere Informationen finden Sie unter Grundlagenblaupausen für Google Cloud-Bereitstellungen und entwurf von Zielzonen.
Verwenden Sie Terraform-Blaupausenmodule für Google Cloud und den nativen Google Cloud Deployment Manager, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen zu automatisieren.
GCP-Implementierung und zusätzlicher Kontext:
- Zielzonendesign in Google Cloud. Terraform-Blaupausen und -Module für Google Cloud. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- Blaupause für Sicherheitsgrundlagen
- Google Cloud Deployment Manager
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-2: Überwachen und Erzwingen sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Führen Sie eine kontinuierliche Überwachung durch, und erhalten Sie Warnungen, wenn eine Abweichung von der definierten Konfigurationsbaseline vorliegt. Erzwingen Sie die gewünschte Konfiguration gemäß der Baselinekonfiguration, indem Sie die nicht konforme Konfiguration ablehnen oder eine Konfiguration bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender for Cloud, um Azure Policy für die Überwachung und Durchsetzung von Konfigurationen für Ihre Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird.
Verwenden Sie regeln Azure Policy [Deny] und [deploy if not exist], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Für die Überwachung und Erzwingung von Ressourcenkonfigurationen, die von Azure Policy nicht unterstützt werden, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
Azure-Implementierung und zusätzlicher Kontext:
- Grundlegendes zu Azure Policy-Auswirkungen
- Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
- Abrufen von Compliancedaten von Azure-Ressourcen
AWS-Leitfaden: Verwenden Sie AWS-Konfigurationsregeln, um Konfigurationen Ihrer AWS-Ressourcen zu überwachen. Außerdem können Sie die Konfigurationsabweichung durch Zuordnung von AWS Systems Manager Automation zur AWS Config-Regel beheben. Verwenden Sie Amazon CloudWatch, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird.
Für die Überwachung und Erzwingung der Ressourcenkonfiguration, die von AWS Config nicht unterstützt wird, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
Sie können Ihre Konfigurationsabweichung auch zentral überwachen, indem Sie Ihr AWS-Konto durch Onboarding in Microsoft Defender for Cloud integrieren.
AWS-Implementierung und zusätzlicher Kontext:
- Beheben nicht konformer AWS-Ressourcen durch AWS-Konfigurationsregeln
- Erkennen nicht verwalteter Konfigurationsänderungen an Stapeln und Ressourcen
- AWS Config Conformance Pack
GCP-Leitfaden: Verwenden Sie Google Cloud Security Command Center, um GCP zu konfigurieren. Verwenden Sie Google Cloud Monitoring in Operations Suite, um Warnungen zu erstellen, wenn konfigurationsabweichungen für die Ressourcen erkannt werden.
Um Ihre Organisation zu steuern, verwenden Sie Organisationsrichtlinien, um die Cloudressourcen Ihrer organization zu zentralisieren und programmgesteuert zu steuern. Als organization Richtlinienadministrator können Sie Einschränkungen für Ihre gesamte Ressourcenhierarchie konfigurieren.
Für die Überwachung und Erzwingung von Ressourcenkonfigurationen, die von der Organisationsrichtlinie nicht unterstützt werden, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
GCP-Implementierung und zusätzlicher Kontext:
- Einführung in den Organisationsrichtliniendienst.
- Compliance-Ressourcencenter.
- Operations Suite von Google Cloud (ehemals Stackdriver)
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Definieren Sie die sicheren Konfigurationsbaselines für Ihre Computeressourcen, z. B. VMs und Container. Verwenden Sie Konfigurationsverwaltungstools, um die Konfigurationsbaseline automatisch vor oder während der Bereitstellung der Computeressourcen einzurichten, sodass die Umgebung nach der Bereitstellung standardmäßig konform ist. Alternativ können Sie ein vorkonfiguriertes Image verwenden, um die gewünschte Konfigurationsbaseline in die Imagevorlage der Computeressource zu integrieren.
Azure-Leitfaden: Verwenden Sie die empfohlenen Sicherheitsbaselines des Azure-Betriebssystems (sowohl für Windows als auch für Linux) als Benchmark, um Ihre Baseline für die Computeressourcenkonfiguration zu definieren.
Darüber hinaus können Sie ein benutzerdefiniertes VM-Image (mit Azure Image Builder) oder ein Containerimage mit Azure Automanage Machine Configuration (früher als Azure Policy Gastkonfiguration bezeichnet) und Azure Automation State Configuration verwenden, um die gewünschte Sicherheitskonfiguration einzurichten.
Azure-Implementierung und zusätzlicher Kontext:
- Baseline für Sicherheitskonfiguration von Linux-Betriebssystemen
- Baseline für Sicherheitskonfiguration von Windows-Betriebssystemen
- Empfehlung einer Sicherheitskonfiguration für Computeressourcen
- Übersicht über Azure Automation State Configuration
AWS-Leitfaden: Verwenden Sie EC2 AWS Machine Images (AMI) aus vertrauenswürdigen Quellen im Marketplace als Benchmark, um Ihre EC2-Konfigurationsbaseline zu definieren.
Darüber hinaus können Sie EC2 Image Builder verwenden, um eine benutzerdefinierte AMI-Vorlage mit einem Systems Manager-Agent zu erstellen, um die gewünschte Sicherheitskonfiguration einzurichten. Hinweis: Der AWS Systems Manager-Agent ist auf einigen Amazon Machine Images (AMIs) vorinstalliert, die von AWS bereitgestellt werden.
Für Workloadanwendungen, die innerhalb Ihrer Umgebung mit EC2-Instanzen, AWS Lambda oder Containern ausgeführt werden, können Sie die gewünschte Konfigurationsbaseline über AWS System Manager AppConfig einrichten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die von Google Cloud empfohlenen Betriebssystemsicherheitsbaselines (sowohl für Windows als auch für Linux) als Benchmark, um Ihre Baseline für die Computeressourcenkonfiguration zu definieren.
Darüber hinaus können Sie ein benutzerdefiniertes VM-Image mit Packer Image Builder oder ein Containerimage mit Google Cloud Build-Containerimage verwenden, um die gewünschte Konfigurationsbaseline festzulegen.
GCP-Implementierung und zusätzlicher Kontext:
- Google Compute Engine Images.
- Bewährte Methoden für die Imageverwaltung
- Erstellen von Containerimages.
- Erstellen von VM-Images mit Packer
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Führen Sie eine kontinuierliche Überwachung durch, und erhalten Sie Warnungen, wenn bei Ihren Computeressourcen eine Abweichung von der definierten Konfigurationsbaseline vorliegt. Erzwingen Sie die gewünschte Konfiguration gemäß der Baselinekonfiguration, indem Sie die nicht konforme Konfiguration verweigern oder eine Konfiguration in Computeressourcen bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Automanage Machine Configuration (früher als Azure Policy Gastkonfiguration bezeichnet), um Konfigurationsabweichungen auf Ihren Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie auch Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Microsoft-VM-Vorlagen in Kombination mit Azure Automation State Configuration können beim Erfüllen und Aufrechterhalten der Sicherheitsanforderungen nützlich sein. Verwenden Sie Änderungsnachverfolgung und Bestand in Azure Automation, um Änderungen an virtuellen Computern, die in Azure, lokal und anderen Cloudumgebungen gehostet werden, nachzuverfolgen, damit Sie Betriebs- und Umgebungsprobleme mit der vom Verteilungspaket-Manager verwalteten Software ermitteln können. Installieren Sie den Gastnachweis-Agent auf virtuellen Computern, um die Startintegrität auf vertraulichen virtuellen Computern zu überwachen.
Hinweis: Von Microsoft veröffentlichte Azure Marketplace-VM-Images werden von Microsoft verwaltet und gepflegt.
Azure-Implementierung und zusätzlicher Kontext:
- Implementieren von Microsoft Defender für Cloud-Empfehlungen zur Sicherheitsrisikobewertung
- Erstellen eines virtuellen Azure-Computers mithilfe einer ARM-Vorlage
- Übersicht über die Azure Automation-Zustandskonfiguration
- Erstellen eines virtuellen Windows-Computers im Azure-Portal
- Containersicherheit in Microsoft Defender für Cloud
- Übersicht über Änderungsnachverfolgung und Bestand
- Gastnachweis für vertrauliche VMs
AWS-Leitfaden: Verwenden Sie das State Manager-Feature von AWS System Manager, um Konfigurationsabweichungen für Ihre EC2-Instanzen regelmäßig zu bewerten und zu korrigieren. Darüber hinaus können Sie auch CloudFormation-Vorlagen oder benutzerdefinierte Betriebssystemimages verwenden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. In Verbindung mit Systems Manager können AMI-Vorlagen Sie dabei unterstützen, die Sicherheitsanforderungen dauerhaft zu erfüllen.
Sie können die Abweichung der Betriebssystemkonfiguration auch zentral überwachen und verwalten, indem Sie Azure Automation State Configuration und die entsprechenden Ressourcen mithilfe der folgenden Methoden in die Azure-Sicherheitsgovernance integrieren:
- Integrieren Ihres AWS-Kontos in Microsoft Defender for Cloud
- Verwenden von Azure Arc für Server zum Verbinden Ihrer EC2-Instanzen mit Microsoft Defender für Cloud
Für Workloadanwendungen, die innerhalb Ihrer Umgebung mit EC2-Instanzen, AWS Lambda oder Containern ausgeführt werden, können Sie die gewünschte Konfigurationsbaseline über AWS System Manager AppConfig überwachen und durchsetzen.
Hinweis: Von Amazon Web Services im AWS Marketplace veröffentlichte AMIs werden von Amazon Web Services verwaltet und verwaltet.
AWS-Implementierung und zusätzlicher Kontext:
- AWS System Manager State Manager
- Verbinden von AWS-Konten mit Microsoft Defender für Cloud
- Aktivieren von Azure Automation State Configuration
GCP-Leitfaden: Verwenden Sie VM Manager und Google Cloud Security Command Center, um konfigurationsabweichungen Ihrer Compute Engine-Instanzen, Container und serverlosen Verträge regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie bereitstellungs-Manager-VM-Vorlagen und benutzerdefinierte Betriebssystemimages verwenden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Vorlagen für VM-Vorlagen für den Bereitstellungs-Manager in Verbindung mit VM Manager können bei der Erfüllung und Wartung von Sicherheitsanforderungen helfen.
Sie können die Abweichung der Betriebssystemkonfiguration auch zentral überwachen und verwalten, indem Sie Azure Automation State Configuration und die entsprechenden Ressourcen mithilfe der folgenden Methoden in die Azure-Sicherheitsgovernance integrieren:
- Integrieren Ihres GCP-Projekts in Microsoft Defender for Cloud
- Verwenden von Azure Arc für Server zum Verbinden Ihrer GCP-VM-Instanzen mit Microsoft Defender für Cloud
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über Google Cloud Command Center.
- Google Cloud VM Manager
- Google Cloud Deployment Manager:
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-5: Durchführen von Sicherheitsrisikobewertungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Sicherheitsprinzip: Führen Sie die Sicherheitsrisikobewertung für Ihre Cloudressourcen auf allen Ebenen nach einem festen Zeitplan oder nach Bedarf durch. Verfolgen und vergleichen Sie die Überprüfungsergebnisse, um zu prüfen, ob die Sicherheitsrisiken behoben wurden. Die Bewertung sollte alle Arten von Sicherheitsrisiken umfassen, z. B. Sicherheitsrisiken in Azure-Diensten, im Netzwerk, im Web oder in Betriebssystemen oder Fehlkonfigurationen.
Beachten Sie die potenziellen Risiken im Zusammenhang mit dem privilegierten Zugriff, der von den Überprüfungen auf Sicherheitsrisiken verwendet wird. Befolgen Sie die bewährte Methode für die Sicherheit mit privilegiertem Zugriff, um alle für die Überprüfung verwendeten Administratorkonten zu schützen.
Azure-Leitfaden: Befolgen Sie die Empfehlungen aus Microsoft Defender for Cloud zum Durchführen von Sicherheitsrisikobewertungen für Ihre Azure-VMs, Containerimages und SQL-Server. Microsoft Defender for Cloud verfügt über eine integrierte Sicherheitsrisikoüberprüfung für VMs. Verwenden Sie für die Durchführung von Sicherheitsrisikobewertungen für Netzwerkgeräte und Anwendungen (z. B Webanwendungen) eine Drittanbieterlösung.
Exportieren Sie die Scanergebnisse in regelmäßigen Abständen und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob die Sicherheitsrisiken behoben wurden. Wenn Sie die von Microsoft Defender für Cloud vorgeschlagenen Empfehlungen zur Verwaltung von Sicherheitsrisiken verwenden, können Sie in das Portal der ausgewählten Scanlösung wechseln, um die historischen Scandaten anzuzeigen.
Verwenden Sie bei der Durchführung von Remote-Scans kein einzelnes, unbefristetes Administratorkonto. Ziehen Sie die Implementierung der JIT-Bereitstellungsmethodik (Just-In-Time) für das Scankonto in Erwägung. Anmeldeinformationen für das Scan-Konto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
Hinweis: Microsoft Defender Dienste (einschließlich Defender für Server, Container, App Service, Datenbank und DNS) betten bestimmte Funktionen zur Sicherheitsrisikobewertung ein. Die von Azure Defender-Diensten generierten Warnungen sollten zusammen mit dem Ergebnis des Tools zur Überprüfung auf Sicherheitsrisiken in Microsoft Defender für Cloud überwacht und überprüft werden.
Hinweis: Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen in Microsoft Defender für Cloud einrichten.
Azure-Implementierung und zusätzlicher Kontext:
- Implementieren von Microsoft Defender für Cloud-Empfehlungen zur Sicherheitsrisikobewertung
- Integrierter Scanner für Sicherheitsrisiken für VMs
- SQL-Sicherheitsrisikobewertung
- Exportieren von Ergebnissen der Überprüfung auf Sicherheitsrisiken in Microsoft Defender für Cloud
AWS-Leitfaden: Verwenden Sie Amazon Inspector, um Ihre Amazon EC2-Instanzen und Containerimages in Amazon Elastic Container Registry (Amazon ECR) auf Softwarerisiken und unbeabsichtigte Netzwerkoffenlegung zu überprüfen. Verwenden Sie für die Durchführung von Sicherheitsrisikobewertungen für Netzwerkgeräte und Anwendungen (z. B Webanwendungen) eine Drittanbieterlösung.
Informationen zum Onboarding Ihres AWS-Kontos in Microsoft Defender for Cloud und zum Bereitstellen Microsoft Defender für Server (mit integriertem Microsoft Defender for Endpoint) in Ihren EC2-Instanzen finden Sie unter Control ES-1( Use Endpoint Detection and Response, EDR). Microsoft Defender for Servers bietet eine native Funktion zum Bedrohungs- und Sicherheitsrisikomanagement für Ihre VMs. Das Ergebnis der Überprüfung auf Sicherheitsrisiken wird im Microsoft Defender für Cloud Dashboard konsolidiert.
Verfolgen Sie die status von Sicherheitsrisikoergebnissen, um sicherzustellen, dass sie ordnungsgemäß behoben oder unterdrückt werden, wenn sie als falsch positiv eingestuft werden.
Verwenden Sie bei der Durchführung von Remote-Scans kein einzelnes, unbefristetes Administratorkonto. Erwägen Sie die Implementierung einer temporären Bereitstellungsmethodik für das Scankonto. Anmeldeinformationen für das Scan-Konto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
AWS-Implementierung und zusätzlicher Kontext:
- Amazon Inspector
- Untersuchen von Schwachstellen mit dem Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt
GCP-Leitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud oder/und Google Cloud Security Command Center, um Sicherheitsrisikobewertungen für Ihre Compute Engine-Instanzen durchzuführen. Security Command Center verfügt über integrierte Sicherheitsrisikobewertungen auf Netzwerkgeräten und -anwendungen (z. B. Web Security Scanner).
Exportieren Sie die Scanergebnisse in regelmäßigen Abständen und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob die Sicherheitsrisiken behoben wurden. Wenn Sie empfehlungen für die Verwaltung von Sicherheitsrisiken verwenden, die vom Security Command Center vorgeschlagen werden, können Sie in das Portal der ausgewählten Scanlösung wechseln, um verlaufsverlaufsbezogene Scandaten anzuzeigen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: FEHLERBEHEBUNG | 6.1, 6.2, 6.5, 11.2 |
Sicherheitsprinzip: Stellen Sie schnell und automatisch Patches und Updates bereit, um Sicherheitsrisiken in Ihren Cloudressourcen zu beheben. Verwenden Sie den entsprechenden risikobasierten Ansatz, um die Behebung von Sicherheitsrisiken zu priorisieren. So sollten beispielsweise schwerwiegendere Sicherheitsrisiken in einer Ressource mit höherem Wert mit höherer Priorität behandelt werden.
Azure-Leitfaden: Verwenden Sie Azure Automation Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Verwenden Sie für Drittanbietersoftware eine Patchverwaltungslösung eines Drittanbieters oder Microsoft System Center Updates Publisher für Configuration Manager.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren der Updateverwaltung für virtuelle Computer in Azure
- Verwalten von Updates und Patches für Ihre Azure-VMs
AWS-Leitfaden: Verwenden Sie AWS Systems Manager – Patch Manager, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Betriebssystemen und Anwendungen installiert werden. Patch Manager unterstützt Patchbaselines, mit denen Sie eine Liste genehmigter und abgelehnter Patches für Ihre Systeme definieren können.
Sie können auch die Azure Automation-Updateverwaltung verwenden, um die Patches und Updates Ihrer Windows- und Linux-Instanzen von AWS EC2 zentral zu verwalten.
Verwenden Sie für Drittanbietersoftware eine Patchverwaltungslösung eines Drittanbieters oder Microsoft System Center Updates Publisher für Configuration Manager.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die Google Cloud VM Manager-Betriebssystempatchverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie für Windows-VMs sicher, dass Windows Update aktiviert und auf automatische Aktualisierung festgelegt wurde.
Verwenden Sie für Drittanbietersoftware eine Patchverwaltungslösung eines Drittanbieters oder Microsoft System Center Updates Publisher für die Konfigurationsverwaltung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
PV-7: Regelmäßige Red Team-Vorgänge durchführen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Sicherheitsprinzip: Simulieren Sie reale Angriffe, um eine umfassendere Übersicht über das Sicherheitsrisiko Ihrer Organisation zu erhalten. Red Team-Vorgänge und Penetrationstests ergänzen den herkömmlichen Ansatz zur Überprüfung auf Sicherheitsrisiken, um Risiken zu erkennen.
Befolgen Sie die bewährten Methoden der Branche, um diese Art von Tests zu entwerfen, vorzubereiten und durchzuführen, um sicherzustellen, dass sie keine Schäden oder Störungen in Ihrer Umgebung verursachen. Dies sollte immer die Erörterung des Testumfangs und der Einschränkungen mit relevanten Stakeholdern und Ressourcenbesitzern umfassen.
Azure-Leitfaden: Führen Sie nach Bedarf Penetrationstests oder Red Team-Aktivitäten für Ihre Azure-Ressourcen durch, und stellen Sie sicher, dass alle kritischen Sicherheitsergebnisse behandelt werden.
Befolgen Sie die Einsatzregeln für Penetrationstests für die Microsoft Cloud, um sicherzustellen, dass die Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Nutzen Sie die Microsoft-Strategie und Durchführung von Red Team- und Livewebsite-Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, Dienste und Anwendungen.
Azure-Implementierung und zusätzlicher Kontext:
- Penetrationstests in Azure
- Penetrationstests – Rules of Engagement
- Microsoft Cloud Red Teaming
- Technischer Leitfaden zu Informationssicherheitstests und -bewertungen
AWS-Leitfaden: Führen Sie nach Bedarf Penetrationstests oder Red Team-Aktivitäten für Ihre AWS-Ressourcen durch, und stellen Sie sicher, dass alle kritischen Sicherheitsergebnisse behandelt werden.
Befolgen Sie die AWS-Kundensupportrichtlinie für Penetrationstests, um sicherzustellen, dass Ihre Penetrationstests nicht gegen AWS-Richtlinien verstoßen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Führen Sie bei Bedarf Penetrationstests oder rote Teamaktivitäten für Ihre GCP-Ressource durch, und stellen Sie sicher, dass alle kritischen Sicherheitsergebnisse behoben werden.
Befolgen Sie die GCP-Kundensupportrichtlinie für Penetrationstests, um sicherzustellen, dass Ihre Penetrationstests nicht gegen GCP-Richtlinien verstoßen.
GCP-Implementierung und zusätzlicher Kontext:
- Häufig gestellte Fragen zur Cloudsicherheit: Penetrationstests.
- Stress-/Auslastungs-/Penetrationstestanforderungen
Kundensicherheitsbeteiligte (weitere Informationen):