Biztonsági ellenőrzés: Testtartás- és sebezhetőség-kezelés

A Testure and Vulnerability Management a felhőbeli biztonsági helyzet felmérésére és javítására szolgáló vezérlőkre összpontosít, beleértve a sebezhetőségek vizsgálatát, a behatolástesztelést és a szervizelést, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást a felhőerőforrásokban.

PV-1: Biztonságos konfigurációk meghatározása és létrehozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Biztonsági elv: A felhőben található különböző erőforrástípusok biztonsági konfigurációs alapkonfigurációinak meghatározása. Másik lehetőségként használja a konfigurációkezelő eszközöket a konfigurációs alapkonfiguráció automatikus létrehozásához az erőforrás üzembe helyezése előtt vagy alatt, hogy a környezet alapértelmezés szerint megfeleljen az üzembe helyezés után.


Azure-útmutató: A Microsoft Cloud Security Benchmark és a szolgáltatás alapkonfigurációja segítségével határozza meg a konfigurációs alapkonfigurációt az egyes Azure-ajánlatokhoz vagy -szolgáltatásokhoz. Tekintse meg az Azure referenciaarchitektúráját és felhőadaptálási keretrendszer kezdőzóna architektúráját az Azure-erőforrások között esetlegesen szükséges kritikus biztonsági vezérlők és konfigurációk megismeréséhez.

Az Azure-beli célzóna (és terv) használatával felgyorsíthatja a számítási feladatok üzembe helyezését a szolgáltatások és alkalmazáskörnyezetek konfigurációjának beállításával, beleértve az Azure-Resource Manager-sablonokat, az Azure RBAC-vezérlőket és a Azure Policy.

Azure-implementáció és további környezet:


AWS-útmutató: Használja a Microsoft Cloud Security Benchmark – többfelhős útmutatót az AWS-hez és más bemenetekhez az egyes AWS-ajánlatok vagy -szolgáltatások konfigurációs alapkonfigurációjának meghatározásához. Tekintse meg az AWS-Well-Architectured-keretrendszer biztonsági pillérét és egyéb pilléreit az AWS-erőforrások kritikus fontosságú biztonsági vezérlőinek és konfigurációinak megismeréséhez.

Az AWS CloudFormation sablonok és AWS-konfigurációs szabályok használata az AWS kezdőzóna-definíciójában a szolgáltatások és alkalmazáskörnyezetek üzembe helyezésének és konfigurálásának automatizálásához.

AWS-implementáció és további környezet:


GCP-útmutató: Használja a Microsoft Cloud Security Benchmark – többfelhős útmutatót a GCP-hez és más bemenetekhez az egyes GCP-ajánlatokhoz vagy -szolgáltatásokhoz tartozó konfigurációs alapkonfiguráció meghatározásához. Tekintse meg a Google Cloud üzembe helyezési alapterveinek pilléreit és a kezdőzóna kialakítását.

Használja a Terraform tervmoduljait a Google Cloudhoz, és használja a natív Google Cloud Deployment Managert a szolgáltatások és alkalmazáskörnyezetek üzembe helyezésének és konfigurálásának automatizálásához.

GCP implementálása és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):

PV-2: Biztonságos konfigurációk naplózása és kényszerítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Biztonsági elv: Folyamatosan figyeli és riasztást küld, ha eltér a megadott konfigurációs alapkonfigurációtól. A nem megfelelő konfiguráció megtagadásával vagy egy konfiguráció üzembe helyezésével kényszerítse ki a kívánt konfigurációt az alapkonfigurációnak megfelelően.


Azure-útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon.

Használjon Azure Policy [deny] és [deploy if not exist] szabályokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.

A Azure Policy által nem támogatott erőforrás-konfigurációs naplózás és kényszerítés esetében előfordulhat, hogy egyéni szkripteket kell írnia, vagy külső eszközök használatával kell implementálnia a konfigurációnaplózást és -kényszerítést.

Azure-implementáció és további környezet:


AWS-útmutató: Az AWS konfigurációs szabályaival naplózhatja az AWS-erőforrások konfigurációit. A konfigurációs eltérést az AWS Config szabályhoz társított AWS Systems Manager Automation használatával is feloldhatja. Az Amazon CloudWatch használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon.

Az AWS-konfiguráció által nem támogatott erőforráskonfiguráció-naplózás és -kényszerítés esetében előfordulhat, hogy egyéni szkripteket kell írnia, vagy külső eszközök használatával kell implementálnia a konfigurációnaplózást és -kényszerítést.

A konfigurációt központilag is figyelheti, ha előkészíti az AWS-fiókját a felhőhöz Microsoft Defender.

AWS-implementáció és további környezet:


GCP-útmutató: A GCP konfigurálásához használja a Google Cloud Security Command Centert. A Google Cloud Monitoring in Operations Suite használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon.

A szervezetek szabályozásához a Szervezeti szabályzat használatával központosíthatja és programozott módon szabályozhatja a szervezet felhőerőforrásait. A szervezeti házirend rendszergazdájaként konfigurálhat korlátozásokat a teljes erőforrás-hierarchiában.

Ha a szervezeti szabályzat nem támogatja az erőforrás-konfiguráció naplózását és kényszerítését, előfordulhat, hogy egyéni szkripteket kell írnia, vagy külső eszközök használatával kell implementálnia a konfigurációnaplózást és -végrehajtást.

GCP implementálása és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):

PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
4.1 CM-2, CM-6 2,2

Biztonsági elv: Határozza meg a számítási erőforrások, például virtuális gépek és tárolók biztonságos konfigurációs alapkonfigurációit. A konfigurációkezelési eszközökkel automatikusan létrehozhatja a konfigurációs alapkonfigurációt a számítási erőforrás üzembe helyezése előtt vagy alatt, hogy a környezet alapértelmezés szerint megfeleljen az üzembe helyezés után. Másik lehetőségként használjon előre konfigurált lemezképet a kívánt konfigurációs alapkonfiguráció létrehozásához a számítási erőforrás lemezképsablonjába.


Azure-útmutató: A számítási erőforrás-konfiguráció alapkonfigurációjának meghatározásához használja az Azure által ajánlott operációsrendszer-biztonsági alapkonfigurációkat (Windows és Linux rendszeren egyaránt).

Emellett használhat egyéni virtuálisgép-rendszerképet (az Azure Image Builder használatával) vagy tárolórendszerképet az Azure Automanage Machine Configuration (korábbi nevén Azure Policy vendégkonfiguráció) és Azure Automation State Configuration segítségével a kívánt biztonsági konfiguráció létrehozásához.

Azure-implementáció és további környezet:


AWS-útmutató: Az EC2 AWS Machine Images (AMI) használata megbízható piactéri forrásokból benchmarkként az EC2-konfiguráció alapkonfigurációjának meghatározásához.

Emellett az EC2 Image Builder használatával egyéni AMI-sablont hozhat létre egy Systems Manager-ügynökkel a kívánt biztonsági konfiguráció létrehozásához. Megjegyzés: Az AWS Systems Manager-ügynök elő van telepítve az AWS által biztosított egyes Amazon Machine Images (AMI-k) esetében.

Az EC2-példányokon, AWS Lambdán vagy tárolókörnyezeten belül futó számítási feladatokhoz az AWS System Manager AppConfig használatával hozhatja létre a kívánt konfigurációs alapkonfigurációt.

AWS-implementáció és további környezet:


GCP-útmutató: A Számítási erőforrások konfigurációs alapkonfigurációjának meghatározásához használja a Google Cloud által javasolt operációsrendszer-biztonsági alapkonfigurációkat (Windows és Linux rendszeren egyaránt).

Emellett használhat egy egyéni virtuálisgép-rendszerképet a Packer Image Builder használatával, vagy tárolórendszerképet a Google Cloud Build tárolórendszerképével a kívánt alapkonfiguráció létrehozásához.

GCP-implementáció és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):

PV-4: A számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.1 CM-2, CM-6 2,2

Biztonsági elv: Folyamatosan figyelheti és riasztást jelenítheti meg, ha a számítási erőforrásokban eltér a megadott konfigurációs alapkonfigurációtól. Kényszerítse ki a kívánt konfigurációt az alapkonfigurációnak megfelelően, ha megtagadja a nem megfelelő konfigurációt, vagy üzembe helyez egy konfigurációt a számítási erőforrásokban.


Azure-útmutató: A Microsoft Defender a felhőhöz és az Azure Automanage Machine Configurationhez (korábbi nevén Azure Policy vendégkonfigurációhoz) használható a konfigurációs eltérések rendszeres felméréséhez és szervizeléséhez az Azure számítási erőforrásain, beleértve a virtuális gépeket, tárolókat és másokat. Emellett Azure Resource Manager-sablonokat, egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration is használhat az operációs rendszer biztonsági konfigurációjának fenntartásához. A Microsoft virtuálisgép-sablonjai a Azure Automation State Configuration együtt segíthetnek a biztonsági követelmények teljesítésében és fenntartásában. A változáskövetés és leltározás Azure Automation használatával nyomon követheti az Azure-ban, a helyszínen és más felhőkörnyezetekben üzemeltetett virtuális gépek változásait, így könnyebben megállapíthatja a terjesztésicsomag-kezelő által felügyelt szoftverekkel kapcsolatos működési és környezeti problémákat. Telepítse a vendégigazolási ügynököt a virtuális gépekre a rendszerindítás integritásának figyeléséhez a bizalmas virtuális gépeken.

Megjegyzés: Azure Marketplace Microsoft által közzétett virtuálisgép-rendszerképeket a Microsoft kezeli és tartja karban.

Azure-implementáció és további környezet:


Útmutató az AWS-hez: Az AWS System Manager State Manager funkciójával rendszeresen felmérheti és kijavíthatja a konfigurációs eltéréseket az EC2-példányokon. Emellett CloudFormation-sablonokat, egyéni operációsrendszer-lemezképeket is használhat az operációs rendszer biztonsági konfigurációjának fenntartásához. A Systems Managerrel együtt használható AMI-sablonok segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Központilag figyelheti és kezelheti az operációs rendszer konfigurációs eltérését a Azure Automation State Configuration keresztül, és előkészítheti a vonatkozó erőforrásokat az Azure biztonsági szabályozásához az alábbi módszerekkel:

  • AWS-fiók előkészítése a felhőhöz készült Microsoft Defender
  • Ec2-példányok csatlakoztatása a Microsoft Defender for Cloudhoz az Azure Arc for Servers használatával

Az EC2-példányokon, AWS Lambdán vagy tárolókörnyezeten belül futó számítási feladatokhoz az AWS System Manager AppConfig használatával naplózhatja és kikényszerítheti a kívánt alapkonfigurációt.

Megjegyzés: Az Amazon Web Services által az AWS Marketplace-en közzétett AMI-ket az Amazon Web Services kezeli és tartja karban.

AWS-implementáció és további környezet:


GCP-útmutató: A VM Manager és a Google Cloud Security Command Center használatával rendszeresen felmérheti és kijavíthatja a számítási motor példányainak, tárolóinak és kiszolgáló nélküli szerződéseinek konfigurációs eltérését. Emellett használhatja a Deployment Manager virtuálisgép-sablonokat és az egyéni operációsrendszer-lemezképeket az operációs rendszer biztonsági konfigurációjának fenntartásához. A Deployment Manager virtuálisgép-sablonsablonjai a VM Managerrel együtt segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Központilag figyelheti és kezelheti az operációs rendszer konfigurációs eltérését a Azure Automation State Configuration keresztül, és előkészítheti a vonatkozó erőforrásokat az Azure biztonsági szabályozásához az alábbi módszerekkel:

  • GCP-projekt előkészítése a felhőhöz készült Microsoft Defender
  • A GCP virtuálisgép-példányok csatlakoztatása a Microsoft Defender for Cloudhoz az Azure Arc for Servers használatával

GCP-implementáció és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):

PV-5: Sebezhetőségi felmérések végrehajtása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Biztonsági elv: A felhőbeli erőforrások biztonsági réseinek felmérése rögzített ütemezésben vagy igény szerint minden szinten elvégezhető. A biztonsági rések elhárításának ellenőrzéséhez kövesse nyomon és hasonlítsa össze a vizsgálati eredményeket. Az értékelésnek tartalmaznia kell minden típusú biztonsági rést, például az Azure-szolgáltatások, a hálózat, a web, az operációs rendszerek, a helytelen konfigurációk stb. biztonsági réseit.

Vegye figyelembe a biztonságirés-ellenőrzők által használt kiemelt hozzáféréssel kapcsolatos lehetséges kockázatokat. A vizsgálathoz használt rendszergazdai fiókok biztonságossá tételéhez kövesse az ajánlott hozzáférési biztonsági eljárásokat.


Azure-útmutató: Kövesse a felhőhöz készült Microsoft Defender ajánlásait az Azure-beli virtuális gépeken, tárolólemezképeken és SQL-kiszolgálókon végzett sebezhetőségi felmérések végrehajtásához. Microsoft Defender for Cloud beépített biztonságirés-ellenőrzővel rendelkezik a virtuális gépekhez. Külső megoldás használata biztonsági rések felméréséhez hálózati eszközökön és alkalmazásokon (például webalkalmazásokon)

Exportálja a vizsgálati eredményeket konzisztens időközönként, és hasonlítsa össze az eredményeket a korábbi vizsgálatokkal, és ellenőrizze, hogy a biztonsági rések javítva lettek-e. Ha Microsoft Defender által javasolt biztonságirés-kezelési javaslatokat használ a Felhőhöz, a kiválasztott vizsgálati megoldás portáljára váltva megtekintheti az előzményvizsgálati adatokat.

Távoli vizsgálatok során ne használjon egyetlen, állandó, rendszergazdai fiókot. Fontolja meg a JIT (Just In Time) kiépítési módszertan implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak a biztonsági rések vizsgálatához kell használni.

Megjegyzés: Microsoft Defender szolgáltatások (beleértve a kiszolgálókhoz, tárolókhoz, App Service, adatbázishoz és DNS-hez készült Defendert) beágyaznak bizonyos sebezhetőségi felmérési képességeket. Az Azure Defender-szolgáltatásokból létrehozott riasztásokat a felhőbeli biztonságirés-ellenőrző eszköz Microsoft Defender eredményeivel együtt kell figyelni és áttekinteni.

Megjegyzés: Győződjön meg arról, hogy beállítja az e-mail-értesítéseket a felhőhöz készült Microsoft Defender.

Azure-implementáció és további környezet:


AWS-útmutató: Az Amazon Inspector használatával vizsgálja meg az Amazon Elastic Container Registryben (Amazon ECR) található Amazon EC2-példányokat és tárolólemezképeket a szoftveres biztonsági rések és a nem kívánt hálózati kitettségek keresése érdekében. Külső megoldás használata biztonsági rések felméréséhez hálózati eszközökön és alkalmazásokon (például webalkalmazásokon)

Az ES-1 "Use Endpoint Detection and Response (EDR)" (Végpontészlelés és -válasz (EDR) használata) vezérlőjével előkészítheti AWS-fiókját a felhőbeli Microsoft Defender, és üzembe helyezheti az EC2-példányokban (Végponthoz készült Microsoft Defender integrált) kiszolgálókhoz készült Microsoft Defender. Microsoft Defender a kiszolgálók natív Veszélyforrás- és biztonságirés-kezelés képességet biztosít a virtuális gépek számára. A biztonságirés-vizsgálat eredménye a felhőhöz készült Microsoft Defender irányítópulton lesz összesítve.

Nyomon követheti a biztonságirés-megállapítások állapotát, és meggyőződhet arról, hogy azok megfelelően vannak orvosolva vagy mellőzve, ha téves pozitívnak minősülnek.

Távoli vizsgálatok során ne használjon egyetlen, állandó, rendszergazdai fiókot. Fontolja meg egy ideiglenes kiépítési módszer implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak a biztonsági rések vizsgálatához kell használni.

AWS-implementáció és további környezet:


GCP-útmutató: Kövesse a Microsoft Defender felhőre vagy/és a Google Cloud Security Command Centerre vonatkozó javaslatait a számítási motor példányainak biztonsági réseinek felméréséhez. A Security Command Center beépített biztonsági réseket értékel a hálózati eszközökön és alkalmazásokban (pl. Web Security Scanner)

Exportálja a vizsgálati eredményeket konzisztens időközönként, és hasonlítsa össze az eredményeket a korábbi vizsgálatokkal, és ellenőrizze, hogy a biztonsági rések javítva lettek-e. A Security Command Center által javasolt biztonsági rések kezelésére vonatkozó javaslatok használatakor a kiválasztott vizsgálati megoldás portálján a korábbi vizsgálati adatok megtekintéséhez válthat.

GCP-implementáció és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):

PV-6: A biztonsági rések gyors és automatikus elhárítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: HIBA ELHÁRÍTÁSA 6.1, 6.2, 6.5, 11.2

Biztonsági alapelv: Gyorsan és automatikusan üzembe helyezhet javításokat és frissítéseket a felhőerőforrások biztonsági réseinek elhárítása érdekében. A biztonsági rések elhárításának rangsorolásához használja a megfelelő kockázatalapú megközelítést. Egy magasabb értékű objektum súlyosabb biztonsági réseit például magasabb prioritásúként kell kezelni.


Azure-útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával biztosíthatja, hogy a legújabb biztonsági frissítések telepítve legyenek a Windows és Linux rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.

Harmadik féltől származó szoftverek esetén használjon külső javításkezelési megoldást, vagy a Microsoft System Center Frissítések Publishert Configuration Manager.

Azure-implementáció és további környezet:


AWS-útmutató: Az AWS Systems Manager – Patch Manager használatával biztosíthatja, hogy a legújabb biztonsági frissítések telepítve legyenek az operációs rendszerekre és alkalmazásokra. A Patch Manager támogatja a javítási alapkonfigurációkat, hogy ön meghatározhassa a rendszerek jóváhagyott és elutasított javításainak listáját.

A Azure Automation Update Management használatával központilag kezelheti az AWS EC2 Windows- és Linux-példányainak javításait és frissítéseit.

Harmadik féltől származó szoftverek esetén használjon külső javításkezelési megoldást, vagy a Microsoft System Center Frissítések Publishert Configuration Manager.

AWS-implementáció és további környezet:


GCP-útmutató: A Google Cloud VM Manager operációsrendszer-javításkezelésével vagy egy külső megoldással biztosíthatja, hogy a legújabb biztonsági frissítések telepítve legyenek a Windows és Linux rendszerű virtuális gépeken. A Windows rendszerű virtuális gépek esetében győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.

Harmadik féltől származó szoftverek esetén használjon külső javításkezelési megoldást vagy a Microsoft System Center Frissítések Publishert a konfigurációkezeléshez.

GCP-implementáció és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):

PV-7: Rendszeres vörös csapatműveletek végrehajtása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Biztonsági elv: Valós támadások szimulálása, hogy teljesebb képet nyújtson a szervezet biztonsági réséről. A vörös csapatműveletek és behatolástesztek kiegészítik a biztonságirés-vizsgálat hagyományos megközelítését a kockázatok felderítéséhez.

Kövesse az iparági ajánlott eljárásokat az ilyen jellegű tesztelés megtervezéséhez, előkészítéséhez és elvégzéséhez, hogy az ne okozzon kárt vagy fennakadást a környezetében. Ennek mindig tartalmaznia kell a tesztelés hatókörének és korlátainak megvitatását az érintett érdekelt felekkel és erőforrás-tulajdonosokkal.


Azure-útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységet az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Azure-implementáció és további környezet:


AWS-útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az AWS-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

Kövesse az AWS behatolástesztelési ügyféltámogatási szabályzatát annak ellenőrzéséhez, hogy a behatolási tesztek nem sértik-e az AWS-szabályzatokat.

AWS-implementáció és további környezet:


GCP-útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket a GCP-erőforráson, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

A behatolásteszteléshez kövesse a GCP ügyféltámogatási szabályzatát, hogy a behatolási tesztek ne sértse meg a GCP-szabályzatokat.

GCP-implementáció és további környezet:


Ügyfélbiztonsági érdekelt felek (További információ):