Biztonságvezérlés v2: Állapot- és biztonságirés-kezelés

  • Cikk

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

A Testure and Vulnerability Management az Azure biztonsági helyzetének felmérésére és javítására összpontosít. Ez magában foglalja a biztonsági rések vizsgálatát, a behatolási tesztelést és a szervizelést, valamint a biztonsági konfiguráció nyomon követését, a jelentéskészítést és a javítást az Azure-erőforrásokban.

A vonatkozó beépített Azure Policy az Azure Biztonsági teljesítményteszt jogszabályi megfelelőség beépített kezdeményezésének részleteiben találhatja meg: Testure and Vulnerability Management

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
PV-1 5,1 CM-2, CM-6

Biztonsági védőkorlátokat határozhat meg az infrastruktúra és a DevOps-csapatok számára az általuk használt Azure-szolgáltatások biztonságos konfigurálásával.

Indítsa el az Azure-szolgáltatások biztonsági konfigurációját az Azure Security Benchmark szolgáltatáskonfigurációival, és szükség szerint szabja testre a szervezet számára.

A Azure Security Center használatával konfigurálhat Azure Policy az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez.

Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását, beleértve az Azure Resource Manager-sablonokat, az Azure RBAC-vezérlőket és -szabályzatokat egyetlen tervdefinícióban.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
PV-2 5,2 CM-2, CM-6

A Azure Security Center használatával monitorozhatja a konfigurációs alapkonfigurációt, és Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] szabállyal kényszerítheti ki a biztonságos konfigurációt az Azure számítási erőforrásaiban, beleértve a virtuális gépeket, a tárolókat és más erőforrásokat is.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

PV-3: Számítási erőforrások biztonságos konfigurációinak létrehozása

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
PV-3 5,1 CM-2, CM-6

A Azure Security Center és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, tárolókat és más erőforrásokat. Emellett egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration a szervezet által igényelt operációs rendszer biztonsági konfigurációjának létrehozásához.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

PV-4: A számítási erőforrások biztonságos konfigurációinak fenntartása

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
PV-4 5,2 CM-2, CM-6

A Azure Security Center és a Azure Policy használatával rendszeresen felmérheti és kijavíthatja az Azure-beli számítási erőforrások konfigurációs kockázatait, beleértve a virtuális gépeket, a tárolókat és másokat. Emellett Azure Resource Manager-sablonokat, egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration is használhat a szervezet által igényelt operációs rendszer biztonsági konfigurációjának fenntartásához. A Microsoft virtuálisgép-sablonjai a Azure Automation State Configuration együtt segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Azt is vegye figyelembe, hogy Azure Marketplace Microsoft által közzétett virtuálisgép-rendszerképeket a Microsoft kezeli és tartja karban.

Azure Security Center a tárolólemezképek biztonsági réseit is megvizsgálhatja, és a CIS Docker Benchmark alapján folyamatos monitorozást végezhet a Tárolókban lévő Docker-konfigurációról. A Azure Security Center javaslatok lapján megtekintheti a javaslatokat, és elháríthatja a problémákat.

Felelősség: Megosztott

Ügyfélbiztonsági érdekelt felek (további információ):

PV-5: Egyéni operációsrendszer-lemezképek és tárolólemezképek biztonságos tárolása

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
PV-5 5.3 CM-2, CM-6

Az Azure szerepköralapú hozzáférés-vezérlésének (Azure RBAC) használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez. Az Azure Shared Image Gallery használatával megoszthatja a rendszerképeket a szervezet különböző felhasználóival, szolgáltatásnevekkel vagy AD-csoportokkal. Tárolórendszerképeket tárolhat Azure Container Registry, és az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók rendelkezzenek hozzáféréssel.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

PV-6: Szoftveres biztonsági rések felmérése

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
PV-6 3.1, 3.2, 3.3, 3.6 CA-2, RA-5

Kövesse az Azure Security Center ajánlásait az Azure-beli virtuális gépeken, tárolórendszerképeken és SQL-kiszolgálókon végzett sebezhetőségi felmérésekhez. Azure Security Center beépített biztonságirés-ellenőrzővel rendelkezik a virtuális gépek vizsgálatához.

Külső megoldással biztonságirés-felméréseket végezhet hálózati eszközökön és webalkalmazásokon. Távoli vizsgálatok során ne használjon egyetlen, állandó rendszergazdai fiókot. Fontolja meg a JIT (Just In Time) kiépítési módszertanának implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak biztonsági rések vizsgálatára kell használni.

Konzisztens időközönként exportálja a vizsgálati eredményeket, és összehasonlítja az eredményeket a korábbi vizsgálatokkal annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e. A Azure Security Center által javasolt biztonságirés-kezelési javaslatok használatakor a kiválasztott vizsgálati megoldás portálján forgatva megtekintheti az előzményvizsgálati adatokat.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
PV-7 3.7 CA-2, RA-5, SI-2

Szoftverfrissítések gyors üzembe helyezése az operációs rendszerek és alkalmazások szoftveres biztonsági réseinek elhárítása érdekében.

Használjon egy közös kockázatpontozási programot (például a common vulnerability scoring system) vagy a külső vizsgálati eszköz által biztosított alapértelmezett kockázati minősítéseket, és szabja testre a környezetet, figyelembe véve, hogy mely alkalmazások jelentenek magas biztonsági kockázatot, és melyek igényelnek magas üzemidőt.

A Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows- és Linux rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.

Harmadik féltől származó szoftverekhez használjon külső javításkezelési megoldást vagy a System Center Frissítések Publishert Configuration Manager.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

PV-8: Rendszeres támadásszimulációk végrehajtása

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
PV-8 20 CA-8, CA-2, RA-5

Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Ügyfélbiztonsági érdekelt felek (további információ):