Biztonságvezérlés v2: Állapot- és biztonságirés-kezelés
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A Testure and Vulnerability Management az Azure biztonsági helyzetének felmérésére és javítására összpontosít. Ez magában foglalja a biztonsági rések vizsgálatát, a behatolási tesztelést és a szervizelést, valamint a biztonsági konfiguráció nyomon követését, a jelentéskészítést és a javítást az Azure-erőforrásokban.
A vonatkozó beépített Azure Policy az Azure Biztonsági teljesítményteszt jogszabályi megfelelőség beépített kezdeményezésének részleteiben találhatja meg: Testure and Vulnerability Management
PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz
Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
---|---|---|
PV-1 | 5,1 | CM-2, CM-6 |
Biztonsági védőkorlátokat határozhat meg az infrastruktúra és a DevOps-csapatok számára az általuk használt Azure-szolgáltatások biztonságos konfigurálásával.
Indítsa el az Azure-szolgáltatások biztonsági konfigurációját az Azure Security Benchmark szolgáltatáskonfigurációival, és szükség szerint szabja testre a szervezet számára.
A Azure Security Center használatával konfigurálhat Azure Policy az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez.
Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását, beleértve az Azure Resource Manager-sablonokat, az Azure RBAC-vezérlőket és -szabályzatokat egyetlen tervdefinícióban.
A védőkorlátok nagyvállalati szintű kezdőzónában történő megvalósításának ábrája
Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítése céljából
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz
Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
---|---|---|
PV-2 | 5,2 | CM-2, CM-6 |
A Azure Security Center használatával monitorozhatja a konfigurációs alapkonfigurációt, és Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] szabállyal kényszerítheti ki a biztonságos konfigurációt az Azure számítási erőforrásaiban, beleértve a virtuális gépeket, a tárolókat és más erőforrásokat is.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PV-3: Számítási erőforrások biztonságos konfigurációinak létrehozása
Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
---|---|---|
PV-3 | 5,1 | CM-2, CM-6 |
A Azure Security Center és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, tárolókat és más erőforrásokat. Emellett egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration a szervezet által igényelt operációs rendszer biztonsági konfigurációjának létrehozásához.
VHD feltöltése és használata új Windows rendszerű virtuális gépek létrehozásához az Azure-ban
Linux rendszerű virtuális gép létrehozása egyéni lemezről az Azure CLI használatával
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PV-4: A számítási erőforrások biztonságos konfigurációinak fenntartása
Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
---|---|---|
PV-4 | 5,2 | CM-2, CM-6 |
A Azure Security Center és a Azure Policy használatával rendszeresen felmérheti és kijavíthatja az Azure-beli számítási erőforrások konfigurációs kockázatait, beleértve a virtuális gépeket, a tárolókat és másokat. Emellett Azure Resource Manager-sablonokat, egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration is használhat a szervezet által igényelt operációs rendszer biztonsági konfigurációjának fenntartásához. A Microsoft virtuálisgép-sablonjai a Azure Automation State Configuration együtt segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.
Azt is vegye figyelembe, hogy Azure Marketplace Microsoft által közzétett virtuálisgép-rendszerképeket a Microsoft kezeli és tartja karban.
Azure Security Center a tárolólemezképek biztonsági réseit is megvizsgálhatja, és a CIS Docker Benchmark alapján folyamatos monitorozást végezhet a Tárolókban lévő Docker-konfigurációról. A Azure Security Center javaslatok lapján megtekintheti a javaslatokat, és elháríthatja a problémákat.
Azure Security Center sebezhetőségi felmérésre vonatkozó javaslatok megvalósítása
Példaszkript egy VHD Azure-ba történő feltöltéséhez és új virtuális gép létrehozásához
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):
PV-5: Egyéni operációsrendszer-lemezképek és tárolólemezképek biztonságos tárolása
Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
---|---|---|
PV-5 | 5.3 | CM-2, CM-6 |
Az Azure szerepköralapú hozzáférés-vezérlésének (Azure RBAC) használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez. Az Azure Shared Image Gallery használatával megoszthatja a rendszerképeket a szervezet különböző felhasználóival, szolgáltatásnevekkel vagy AD-csoportokkal. Tárolórendszerképeket tárolhat Azure Container Registry, és az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók rendelkezzenek hozzáféréssel.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PV-6: Szoftveres biztonsági rések felmérése
Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
---|---|---|
PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Kövesse az Azure Security Center ajánlásait az Azure-beli virtuális gépeken, tárolórendszerképeken és SQL-kiszolgálókon végzett sebezhetőségi felmérésekhez. Azure Security Center beépített biztonságirés-ellenőrzővel rendelkezik a virtuális gépek vizsgálatához.
Külső megoldással biztonságirés-felméréseket végezhet hálózati eszközökön és webalkalmazásokon. Távoli vizsgálatok során ne használjon egyetlen, állandó rendszergazdai fiókot. Fontolja meg a JIT (Just In Time) kiépítési módszertanának implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak biztonsági rések vizsgálatára kell használni.
Konzisztens időközönként exportálja a vizsgálati eredményeket, és összehasonlítja az eredményeket a korábbi vizsgálatokkal annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e. A Azure Security Center által javasolt biztonságirés-kezelési javaslatok használatakor a kiválasztott vizsgálati megoldás portálján forgatva megtekintheti az előzményvizsgálati adatokat.
Azure Security Center biztonságirés-felmérési javaslatok megvalósítása
Biztonsági rések vizsgálatának eredményeinek exportálása Azure Security Center
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PV-7: Szoftveres biztonsági rések gyors és automatikus javítása
Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
---|---|---|
PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Szoftverfrissítések gyors üzembe helyezése az operációs rendszerek és alkalmazások szoftveres biztonsági réseinek elhárítása érdekében.
Használjon egy közös kockázatpontozási programot (például a common vulnerability scoring system) vagy a külső vizsgálati eszköz által biztosított alapértelmezett kockázati minősítéseket, és szabja testre a környezetet, figyelembe véve, hogy mely alkalmazások jelentenek magas biztonsági kockázatot, és melyek igényelnek magas üzemidőt.
A Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows- és Linux rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.
Harmadik féltől származó szoftverekhez használjon külső javításkezelési megoldást vagy a System Center Frissítések Publishert Configuration Manager.
Az Update Management konfigurálása az Azure-beli virtuális gépekhez
Az Azure-beli virtuális gépek frissítéseinek és javításainak kezelése
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PV-8: Rendszeres támadásszimulációk végrehajtása
Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
---|---|---|
PV-8 | 20 | CA-8, CA-2, RA-5 |
Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):