Kontrol Keamanan V2: Manajemen Postur dan Kerentanan

Catatan

Tolok Ukur Keamanan Azure terbaru tersedia di sini.

Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan Azure. Ini termasuk pemindaian kerentanan, pengujian penetrasi dan remediasi, serta koreksi, pelaporan, dan pelacakan konfigurasi keamanan dalam sumber daya Azure.

Untuk melihat Azure Policy bawaan yang berlaku, lihat Detail inisiatif bawaan Kepatuhan Terhadap Peraturan Azure Security Benchmark: Manajemen Postur dan Kerentanan

PV-1: Membuat konfigurasi yang aman untuk layanan Azure

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-1 5.1 CM-2, CM-6

Tentukan batas keamanan untuk infrastruktur dan tim DevOps dengan memudahkan konfigurasi dengan aman layanan Azure yang mereka gunakan.

Mulai konfigurasi keamanan layanan Azure Anda dengan garis besar layanan di Azure Security Benchmark dan ubah sesuai kebutuhan organisasi Anda.

Gunakan Azure Security Center untuk mengonfigurasikan Azure Policy untuk mengaudit dan menegakkan konfigurasi sumber daya Azure Anda.

Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi, termasuk templat Azure Resource Manager, kontrol Azure RBAC, dan kebijakan, dalam satu definisi cetak biru.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-2 5.2 CM-2, CM-6

Gunakan Azure Security Center untuk memantau dasar konfigurasi Anda dan gunakan aturan Azure Policy [deny] dan [deploy if not exist] untuk memberlakukan konfigurasi aman di seluruh sumber daya komputasi Azure, termasuk VM, kontainer, dan lainnya.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-3 5.1 CM-2, CM-6

Gunakan Azure Security Center dan Azure Policy untuk membuat konfigurasi aman pada semua sumber daya komputasi, termasuk VM, kontainer, dan lainnya. Selain itu, Anda dapat menggunakan gambar sistem operasi kustom atau Azure Automation State Configuration untuk menetapkan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-4: Membuat konfigurasi aman secara berkelanjutan untuk sumber daya komputasi

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-4 5.2 CM-2, CM-6

Gunakan Azure Security Center dan Azure Policy untuk menilai dan mengatasi risiko konfigurasi secara teratur pada sumber daya komputasi Azure Anda, termasuk VM, kontainer, dan lainnya. Selain itu, Anda dapat menggunakan templat Azure Resource Manager, gambar sistem operasi kustom, atau Azure Automation State Configuration untuk mempertahankan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda. Templat VM Microsoft bersama dengan Azure Automation State Configuration dapat membantu dalam memenuhi dan memelihara persyaratan keamanan.

Perhatikan juga bahwa gambar VM Azure Marketplace yang diterbitkan oleh Microsoft dikelola dan dikelola oleh Microsoft.

Azure Security Center juga dapat memindai kerentanan dalam gambar kontainer dan melakukan pemantauan berkelanjutan konfigurasi Docker Anda dalam kontainer, berdasarkan CIS Docker Benchmark. Anda dapat menggunakan halaman rekomendasi Azure Security Center untuk melihat rekomendasi dan mengatasi masalah.

Tanggung Jawab: Bersama

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-5 5.3 CM-2, CM-6

Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memastikan bahwa hanya pengguna berwenang yang dapat mengakses gambar kustom Anda. Gunakan Azure Shared Image Gallery untuk membagikan gambar Anda kepada pengguna, perwakilan layanan, atau grup AD yang berbeda dalam organisasi Anda. Simpan gambar kontainer di Azure Container Registry dan gunakan Azure RBAC untuk memastikan bahwa hanya pengguna berwenang yang memiliki akses.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-6: Melakukan penilaian kerentanan perangkat lunak

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-6 3.1, 3.2, 3.3, 3.6 CA-2, RA-5

Ikuti rekomendasi dari Azure Security Center untuk melakukan penilaian kerentanan pada komputer virtual Azure, gambar kontainer, dan server SQL Anda. Azure Security Center memiliki pemindai kerentanan bawaan untuk pemindaian mesin virtual.

Gunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat jaringan dan aplikasi web. Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif yang digunakan secara terus-menerus. Pertimbangkan untuk menerapkan metodologi provisi JIT (Just In Time) untuk akun pemindaian. Info masuk untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.

Ekspor hasil pemindaian pada interval yang konsisten dan bandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diatasi. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Azure Security Center, Anda dapat melakukan pivot ke portal solusi pemindaian yang dipilih untuk melihat data pemindaian historis.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-7: Mengatasi kerentanan perangkat lunak dengan cepat dan otomatis

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-7 3.7 CA-2, RA-5, SI-2

Terapkan pembaruan perangkat lunak dengan cepat untuk mengatasi kerentanan perangkat lunak dalam sistem operasi dan aplikasi.

Gunakan program penskoran risiko umum (seperti Common Vulnerability Scoring System) atau pemberi rating risiko default yang disediakan oleh alat pemindaian pihak ketiga Anda dan sesuaikan dengan lingkungan Anda, dengan mempertimbangkan aplikasi mana yang menghadirkan risiko keamanan tinggi dan mana yang membutuhkan waktu aktif yang lama.

Gunakan Azure Automation Update Management atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru dipasang pada VM Windows dan Linux Anda. Untuk VM Windows, pastikan Windows Update telah difungsikan dan disetel untuk memperbarui secara otomatis.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem untuk Configuration Manager.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

PV-8: Melakukan simulasi serangan secara rutin

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
PV-8 20 CA-8, CA-2, RA-5

Sebagaimana diperlukan, lakukan pengujian penetrasi atau aktivitas simulasi red team pada sumber daya Azure Anda dan pastikan remediasi semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):