Sicherheitskontrolle v3: Haltung und Sicherheitsrisikomanagement
Status- und Sicherheitsrisikoverwaltung konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Sicherheitsstatus von Azure, einschließlich Überprüfung auf Sicherheitsrisiken, Penetrationstests und Wartung sowie Nachverfolgung, Berichterstellung und Korrektur der Sicherheitskonfiguration von Azure-Ressourcen.
PV-1: Definieren und Einrichten sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Sicherheitsprinzip: Definieren Sie die sicherheitsbasierten Konfigurationsbaselines für verschiedene Ressourcentypen in der Cloud. Alternativ können Sie Konfigurationsverwaltungstools verwenden, um die Konfigurationsbaseline automatisch vor oder während der Ressourcenbereitstellung einzurichten, sodass die Umgebung nach der Bereitstellung standardmäßig konform ist.
Azure-Leitfaden: Verwenden Sie die Baseline für den Azure-Sicherheitsbenchmark und -dienst, um Ihre Konfigurationsbaseline für jedes entsprechende Azure-Angebot oder jeden jeweiligen Azure-Dienst zu definieren. Lesen Sie die Azure-Referenzarchitektur und die Architektur der Zielzone des Cloud Adoption Frameworks, um die kritischen Sicherheitskontrollen und -konfigurationen zu verstehen, die für Azure-Ressourcen erforderlich sein können.
Verwenden Sie Azure Blueprints, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen wie Azure Resource Manager-Vorlagen, Azure RBAC-Steuerelementen und Richtlinien in einer einzigen Blaupausendefinition zu automatisieren.
Implementierung und zusätzlicher Kontext:
- Abbildung der Implementierung von Schutzmaßnahmen in der Landing Zone auf Unternehmensebene
- Arbeiten mit Sicherheitsrichtlinien in Microsoft Defender für Cloud
- Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
- Azure Blueprint
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-2: Überwachen und Erzwingen sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Kontinuierliche Überwachung und Warnung, wenn eine Abweichung von der definierten Konfigurationsbaseline vorliegt. Erzwingen Sie die gewünschte Konfiguration gemäß der Baselinekonfiguration, indem Sie die nicht konforme Konfiguration verweigern oder eine Konfiguration bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy für die Überwachung und Durchsetzung von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird.
Verwenden Sie die Azure Policy-Regel [deny] und [deploy if not exist], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Für die Überwachung und Durchsetzung von Ressourcenkonfigurationen, die nicht von Azure Policy unterstützt werden, müssen Sie möglicherweise eigene Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
Implementierung und zusätzlicher Kontext:
- Grundlegendes zu Azure Policy-Auswirkungen
- Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
- Abrufen von Compliancedaten von Azure-Ressourcen
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Definieren Sie die sicheren Konfigurationsbaselines für Ihre Computeressourcen, z. B. virtuelle Computer (VMs) und Container. Verwenden Sie Konfigurationsverwaltungstools, um die Konfigurationsbaseline automatisch vor oder während der Bereitstellung der Computeressourcen einzurichten, sodass die Umgebung nach der Bereitstellung standardmäßig konform ist. Alternativ können Sie ein vorkonfiguriertes Image verwenden, um die gewünschte Konfigurationsbaseline in die Imagevorlage der Computeressource zu integrieren.
Azure-Leitfaden: Verwenden Sie die von Azure empfohlene Betriebssystembaseline (sowohl für Windows als auch für Linux) als Benchmark, um Ihre Konfigurationsbaseline für Computeressourcen zu definieren.
Darüber hinaus können Sie ein benutzerdefiniertes VM-Image oder Containerimage mit Azure Policy-Gastkonfiguration und Azure Automation State Configuration verwenden, um die gewünschte Sicherheitskonfiguration einzurichten.
Implementierung und zusätzlicher Kontext:
- Baseline für Sicherheitskonfiguration von Linux-Betriebssystemen
- Baseline für Sicherheitskonfiguration von Windows-Betriebssystemen
- Empfehlung einer Sicherheitskonfiguration für Computeressourcen
- Übersicht über Azure Automation State Configuration
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Kontinuierliche Überwachung und Warnung, wenn eine Abweichung von der definierten Konfigurationsbaseline in Ihren Computeressourcen vorliegt. Erzwingen Sie die gewünschte Konfiguration gemäß der Baselinekonfiguration, indem Sie die nicht konforme Konfiguration verweigern oder eine Konfiguration in Computeressourcen bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für Cloud und den Gastkonfigurations-Agent von Azure Policy, um Konfigurationsabweichungen für Ihre Azure-Computeressourcen wie VMs, Container und Sonstiges regelmäßig zu bewerten und zu beseitigen. Darüber hinaus können Sie auch Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Microsoft-VM-Vorlagen in Kombination mit Azure Automation State Configuration können beim Erfüllen und Aufrechterhalten der Sicherheitsanforderungen nützlich sein.
Hinweis: Von Microsoft veröffentlichte Azure Marketplace-VM-Images werden von Microsoft verwaltet und gepflegt.
Implementierung und zusätzlicher Kontext:
- Implementieren von Microsoft Defender für Cloud-Empfehlungen zur Sicherheitsrisikobewertung
- Erstellen eines virtuellen Azure-Computers mithilfe einer ARM-Vorlage
- Übersicht über die Azure Automation-Zustandskonfiguration
- Erstellen eines virtuellen Windows-Computers im Azure-Portal
- Containersicherheit in Microsoft Defender für Cloud
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-5: Durchführen von Sicherheitsrisikobewertungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Sicherheitsprinzip: Führen Sie die Sicherheitsrisikobewertung für Ihre Cloudressourcen auf allen Ebenen nach einem festen Zeitplan oder bedarfsgesteuert durch. Verfolgen und vergleichen Sie die Überprüfungsergebnisse, um zu prüfen, ob die Sicherheitsrisiken behoben wurden. Die Bewertung sollte alle Arten von Sicherheitsrisiken umfassen, z. B. Sicherheitsrisiken in Azure-Diensten, im Netzwerk, Web, in Betriebssystemen, Fehlkonfigurationen usw.
Beachten Sie die potenziellen Risiken im Zusammenhang mit dem privilegierten Zugriff, der von den Überprüfungen auf Sicherheitsrisiken verwendet wird. Befolgen Sie die bewährte Methode für die Sicherheit mit privilegiertem Zugriff, um alle für die Überprüfung verwendeten Administratorkonten zu schützen.
Azure-Leitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen für Ihre Azure-VMs, Containerimages und SQL-Server. Microsoft Defender für Cloud verfügt über einen integrierten Sicherheitsrisikoscanner für die Überprüfung virtueller Computer. Verwenden Sie für die Durchführung von Sicherheitsrisikobewertungen für Netzwerkgeräte und Anwendungen (z. B Webanwendungen) eine Drittanbieterlösung.
Exportieren Sie die Scanergebnisse in regelmäßigen Abständen und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob die Sicherheitsrisiken behoben wurden. Wenn Sie die von Microsoft Defender für Cloud vorgeschlagenen Empfehlungen zur Verwaltung von Sicherheitsrisiken verwenden, können Sie in das Portal der ausgewählten Scanlösung wechseln, um die historischen Scandaten anzuzeigen.
Verwenden Sie bei der Durchführung von Remote-Scans kein einzelnes, unbefristetes Administratorkonto. Ziehen Sie die Implementierung der JIT-Bereitstellungsmethodik (Just-In-Time) für das Scankonto in Erwägung. Anmeldeinformationen für das Scan-Konto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
Hinweis: Azure Defender-Dienste (einschließlich Defender für Server, Containerregistrierung, App Service, SQL und DNS) betten bestimmte Funktionen zur Sicherheitsrisikobewertung ein. Die von Azure Defender-Diensten generierten Warnungen sollten zusammen mit dem Ergebnis des Tools zur Überprüfung auf Sicherheitsrisiken in Microsoft Defender für Cloud überwacht und überprüft werden.
Hinweis: Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen in Microsoft Defender für Cloud einrichten.
Implementierung und zusätzlicher Kontext:
- Implementieren von Microsoft Defender für Cloud-Empfehlungen zur Sicherheitsrisikobewertung
- Integrierter Scanner für Sicherheitsrisiken für VMs
- SQL-Sicherheitsrisikobewertung
- Exportieren von Ergebnissen der Überprüfung auf Sicherheitsrisiken in Microsoft Defender für Cloud
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: FEHLERBEHEBUNG | 6.1, 6.2, 6.5, 11.2 |
Sicherheitsprinzip: Stellen Sie schnell und automatisch Patches und Updates bereit, um Sicherheitsrisiken in Ihren Cloudressourcen zu beheben. Verwenden Sie den entsprechenden risikobasierten Ansatz, um die Behebung der Sicherheitsrisiken zu priorisieren. So sollten beispielsweise schwerwiegendere Sicherheitsrisiken in einer Ressource mit höherem Wert mit höherer Priorität behandelt werden.
Azure-Leitfaden: Verwenden Sie die Azure Automation-Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass auf Ihren Windows- und Linux-VMs die aktuellen Sicherheitsupdates installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Verwenden Sie für Drittanbietersoftware eine Lösung für die Patchverwaltung von Drittanbietern oder System Center Updates Publisher für Configuration Manager.
Priorisieren Sie, welche Updates zuerst mithilfe eines allgemeinen Risikobewertungsprogramms (z. B. Common Vulnerability Scoring System) oder der standardmäßigen Risikobewertungen bereitgestellt werden, die von Ihrem Überprüfungstool eines Drittanbieters bereitgestellt werden, und passen Sie sie an Ihre Umgebung an. Sie sollten auch berücksichtigen, welche Anwendungen ein hohes Sicherheitsrisiko darstellen und welche eine hohe Uptime erfordern.
Implementierung und zusätzlicher Kontext:
- Konfigurieren der Updateverwaltung für virtuelle Computer in Azure
- Verwalten von Updates und Patches für Ihre Azure-VMs
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
PV-7: Regelmäßige Red Team-Vorgänge durchführen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Sicherheitsprinzip: Simulieren Sie reale Angriffe, um eine umfassendere Übersicht über das Sicherheitsrisiko Ihrer Organisation zu erhalten. Red Team-Vorgänge und Penetrationstests ergänzen den herkömmlichen Ansatz zur Überprüfung auf Sicherheitsrisiken, um Risiken zu erkennen.
Befolgen Sie die bewährten Methoden der Branche, um diese Art von Tests zu entwerfen, vorzubereiten und durchzuführen, um sicherzustellen, dass sie keine Schäden oder Störungen in Ihrer Umgebung verursachen. Dies sollte immer die Erörterung des Testumfangs und der Einschränkungen mit relevanten Stakeholdern und Ressourcenbesitzern umfassen.
Azure-Leitfaden: Führen Sie nach Bedarf Penetrationstests oder Red Team-Aktivitäten für Ihre Azure-Ressourcen durch, und stellen Sie sicher, dass alle kritischen Sicherheitsergebnisse behandelt werden.
Befolgen Sie die Einsatzregeln für Penetrationstests für die Microsoft Cloud, um sicherzustellen, dass die Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Nutzen Sie die Microsoft-Strategie und Durchführung von Red Team- und Livewebsite-Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, Dienste und Anwendungen.
Implementierung und zusätzlicher Kontext:
- Penetrationstests in Azure
- Penetrationstests – Rules of Engagement
- Microsoft Cloud Red Teaming
- Technischer Leitfaden zu Informationssicherheitstests und -bewertungen
Sicherheitsverantwortliche beim Kunden (Weitere Informationen):