Condividi tramite

Controllo della sicurezza: gestione del comportamento e della vulnerabilità

  • Articolo

La gestione del comportamento e della vulnerabilità è incentrata sui controlli per valutare e migliorare il comportamento di sicurezza del cloud, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse cloud.

PV-1: definire e stabilire configurazioni sicure

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Principio di sicurezza: definire le baseline di configurazione della sicurezza per diversi tipi di risorse nel cloud. In alternativa, usare gli strumenti di gestione della configurazione per stabilire automaticamente la linea di base di configurazione prima o durante la distribuzione delle risorse in modo che l'ambiente possa essere conforme per impostazione predefinita dopo la distribuzione.

Linee guida di Azure: usare microsoft Cloud Security Benchmark e la baseline del servizio per definire la baseline di configurazione per ogni rispettiva offerta o servizio di Azure. Fare riferimento all'architettura di riferimento di Azure e Cloud Adoption Framework'architettura della zona di destinazione per comprendere i controlli e le configurazioni di sicurezza critici che potrebbero essere necessari nelle risorse di Azure.

Usare la zona di destinazione di Azure (e Blueprint) per accelerare la distribuzione del carico di lavoro configurando la configurazione dei servizi e degli ambienti applicazione, inclusi i modelli di Azure Resource Manager, i controlli controllo degli accessi in base al ruolo di Azure e Criteri di Azure.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare le linee guida di Microsoft Cloud Security Benchmark - multi-cloud per AWS e altri input per definire la baseline di configurazione per ogni rispettiva offerta o servizio AWS. Fare riferimento al pilastro della sicurezza e ad altri pilastri di AWS Well-Architectured Framework per comprendere i controlli e le configurazioni di sicurezza critici che potrebbero essere necessari nelle risorse AWS.

Usare i modelli di AWS CloudFormation e le regole di configurazione AWS nella definizione della zona di destinazione AWS per automatizzare la distribuzione e la configurazione di servizi e ambienti dell'applicazione.

Implementazione di AWS e contesto aggiuntivo:

Linee guida per GCP: usare Microsoft Cloud Security Benchmark : linee guida multi-cloud per GCP e altri input per definire la baseline di configurazione per ogni offerta o servizio GCP corrispondente. Fare riferimento ai concetti fondamentali delle distribuzioni di Google Cloud e alla progettazione della zona di destinazione.

Usare i moduli dei progetti Terraform per Google Cloud e usare Google Cloud Deployment Manager nativo per automatizzare la distribuzione e la configurazione di servizi e ambienti applicazione.

Implementazione GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

PV-2: Controllare e applicare configurazioni sicure

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Principio di sicurezza: monitorare e avvisare continuamente quando si verifica una deviazione dalla linea di base di configurazione definita. Applicare la configurazione desiderata in base alla configurazione di base negando la configurazione non conforme o distribuendo una configurazione.

Indicazioni su Azure: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione di configurazione nelle risorse.

Usare le regole Criteri di Azure [deny] e [deploy if not exist] per applicare la configurazione sicura tra le risorse di Azure.

Per il controllo della configurazione delle risorse e l'imposizione non supportati da Criteri di Azure, potrebbe essere necessario scrivere script personalizzati o usare strumenti di terze parti per implementare il controllo e l'imposizione della configurazione.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare le regole di configurazione di AWS per controllare le configurazioni delle risorse AWS. È anche possibile scegliere di risolvere la deriva della configurazione usando AWS Systems Manager Automation associato alla regola di configurazione DI AWS. Usare Amazon CloudWatch per creare avvisi quando viene rilevata una deviazione della configurazione nelle risorse.

Per il controllo della configurazione delle risorse e l'imposizione non supportati da AWS Config, potrebbe essere necessario scrivere script personalizzati o usare strumenti di terze parti per implementare il controllo e l'imposizione della configurazione.

È anche possibile monitorare centralmente la deviazione della configurazione eseguendo l'onboarding dell'account AWS in Microsoft Defender for Cloud.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: usare il Centro comandi di Google Cloud Security per configurare GCP. Usare Google Cloud Monitoring in Operations Suite per creare avvisi quando viene rilevata una deviazione della configurazione nelle risorse.

Per gestire le organizzazioni, usare Criteri organizzativi per centralizzare e controllare a livello di codice le risorse cloud dell'organizzazione. L'amministratore dei criteri dell'organizzazione sarà in grado di configurare i vincoli nell'intera gerarchia di risorse.

Per il controllo della configurazione delle risorse e l'imposizione non supportati dai criteri dell'organizzazione, potrebbe essere necessario scrivere script personalizzati o usare strumenti di terze parti per implementare il controllo e l'imposizione della configurazione.

Implementazione GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Principio di sicurezza: definire le linee di base di configurazione sicure per le risorse di calcolo, ad esempio macchine virtuali e contenitori. Usare gli strumenti di gestione della configurazione per stabilire automaticamente la linea di base di configurazione prima o durante la distribuzione delle risorse di calcolo in modo che l'ambiente possa essere conforme per impostazione predefinita dopo la distribuzione. In alternativa, usare un'immagine preconfigurato per compilare la linea di base di configurazione desiderata nel modello di immagine della risorsa di calcolo.

Linee guida di Azure: usare le baseline di sicurezza del sistema operativo consigliate di Azure (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.

È anche possibile usare un'immagine di macchina virtuale personalizzata (usando Image Builder di Azure) o un'immagine del contenitore con Configurazione computer di gestione automatica di Azure (in precedenza denominata Criteri di Azure Configurazione guest) e Automazione di Azure State Configuration per stabilire la configurazione di sicurezza desiderata.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni aws: usare EC2 AWS Machine Images (AMI) da origini attendibili nel marketplace come benchmark per definire la baseline di configurazione EC2.

Inoltre, è possibile usare EC2 Image Builder per creare un modello AMI personalizzato con un agente di Systems Manager per stabilire la configurazione di sicurezza desiderata. Nota: l'agente DI AWS Systems Manager è preinstallato in alcune immagini di Amazon Machine (AMI) fornite da AWS.

Per le applicazioni del carico di lavoro in esecuzione nell'ambiente EC2, AWS Lambda o contenitori, è possibile usare AWS System Manager AppConfig per stabilire la baseline di configurazione desiderata.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: usare le baseline di sicurezza del sistema operativo consigliate da Google Cloud (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.

È anche possibile usare un'immagine di macchina virtuale personalizzata usando Packer Image Builder o l'immagine del contenitore con l'immagine del contenitore di Google Cloud Build per stabilire la linea di base di configurazione desiderata.

Implementazione GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Principio di sicurezza: monitorare e avvisare continuamente quando si verifica una deviazione dalla linea di base di configurazione definita nelle risorse di calcolo. Applicare la configurazione desiderata in base alla configurazione di base negando la configurazione non conforme o distribuendo una configurazione nelle risorse di calcolo.

Linee guida di Azure: usare Microsoft Defender per La configurazione del computer di gestione automatica di Azure e cloud (in precedenza denominata configurazione guest Criteri di Azure) per valutare e correggere regolarmente le deviazioni di configurazione nelle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri. È anche possibile usare modelli di Azure Resource Manager, immagini personalizzate del sistema operativo o Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo. I modelli di macchine virtuali Microsoft in combinazione con Automazione di Azure State Configuration possono essere utili per soddisfare e gestire i requisiti di sicurezza. Usare Rilevamento modifiche e inventario in Automazione di Azure per tenere traccia delle modifiche nelle macchine virtuali ospitate in Azure, in locale e in altri ambienti cloud per individuare i problemi operativi e ambientali con il software gestito da Distribution Package Manager. Installare l'agente di attestazione guest nelle macchine virtuali per monitorare l'integrità di avvio nelle macchine virtuali riservate.

Nota: Azure Marketplace immagini di macchine virtuali pubblicate da Microsoft vengono gestite e gestite da Microsoft.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare la funzionalità State Manager di AWS System Manager per valutare e correggere regolarmente le deviazioni di configurazione nelle istanze EC2. Inoltre, è possibile usare modelli CloudFormation, immagini personalizzate del sistema operativo per mantenere la configurazione di sicurezza del sistema operativo. I modelli AMI in combinazione con Systems Manager possono essere utili per soddisfare e mantenere i requisiti di sicurezza.

È anche possibile monitorare e gestire centralmente la deriva della configurazione del sistema operativo tramite Automazione di Azure State Configuration ed eseguire l'onboarding delle risorse applicabili alla governance della sicurezza di Azure usando i metodi seguenti:

  • Eseguire l'onboarding dell'account AWS in Microsoft Defender for Cloud
  • Usare Azure Arc per i server per connettere le istanze EC2 a Microsoft Defender for Cloud

Per le applicazioni del carico di lavoro in esecuzione all'interno delle istanze EC2, dell'ambiente AWS Lambda o dei contenitori, è possibile usare AWS System Manager AppConfig per controllare e applicare la baseline di configurazione desiderata.

Nota: le API pubblicate da Amazon Web Services in AWS Marketplace vengono gestite e gestite da Amazon Web Services.

Implementazione di AWS e contesto aggiuntivo:

Linee guida per GCP: usare Vm Manager e Google Cloud Security Command Center per valutare e correggere regolarmente la deviazione della configurazione delle istanze, dei contenitori e dei contratti serverless del motore di calcolo. È anche possibile usare modelli di macchina virtuale di Deployment Manager, immagini personalizzate del sistema operativo per mantenere la configurazione di sicurezza del sistema operativo. I modelli di vm di Deployment Manager insieme a Gestione macchine virtuali possono essere utili per soddisfare e gestire i requisiti di sicurezza.

È anche possibile monitorare e gestire centralmente la deriva della configurazione del sistema operativo tramite Automazione di Azure State Configuration ed eseguire l'onboarding delle risorse applicabili alla governance della sicurezza di Azure usando i metodi seguenti:

  • Eseguire l'onboarding del progetto GCP in Microsoft Defender for Cloud
  • Usare Azure Arc per i server per connettere le istanze di vm GCP a Microsoft Defender for Cloud

Implementazione GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

PV-5: Eseguire valutazioni delle vulnerabilità

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Principio di sicurezza: eseguire la valutazione delle vulnerabilità per le risorse cloud a tutti i livelli in una pianificazione fissa o su richiesta. Tenere traccia e confrontare i risultati dell'analisi per verificare che le vulnerabilità siano corrette. La valutazione deve includere tutti i tipi di vulnerabilità, ad esempio vulnerabilità nei servizi di Azure, nella rete, nel Web, nei sistemi operativi, nelle configurazioni errate e così via.

Tenere presente i potenziali rischi associati all'accesso con privilegi usati dagli scanner di vulnerabilità. Seguire la procedura consigliata per la sicurezza degli accessi con privilegi per proteggere gli account amministrativi usati per l'analisi.

Indicazioni su Azure: seguire le raccomandazioni di Microsoft Defender for Cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei server SQL. Microsoft Defender for Cloud include uno scanner di vulnerabilità predefinito per le macchine virtuali. Usare una soluzione di terze parti per eseguire valutazioni delle vulnerabilità su dispositivi e applicazioni di rete (ad esempio, applicazioni Web)

Esportare i risultati dell'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che le vulnerabilità siano state corrette. Quando si usano raccomandazioni per la gestione delle vulnerabilità suggerite da Microsoft Defender for Cloud, è possibile passare al portale della soluzione di analisi selezionata per visualizzare i dati di analisi cronologici.

Quando si eseguono analisi remote, non usare un singolo account amministrativo perpetuo e perpetuo. Prendere in considerazione l'implementazione della metodologia di provisioning JIT (Just In Time) per l'account di analisi. Le credenziali per l'account di analisi devono essere protette, monitorate e usate solo per l'analisi delle vulnerabilità.

Nota: Microsoft Defender servizi (inclusi Defender per server, contenitori, servizio app, database e DNS) incorporano determinate funzionalità di valutazione della vulnerabilità. Gli avvisi generati dai servizi di Azure Defender devono essere monitorati e esaminati insieme al risultato di Microsoft Defender per lo strumento di analisi delle vulnerabilità cloud.

Nota: assicurarsi di configurare le notifiche tramite posta elettronica in Microsoft Defender for Cloud.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare Amazon Inspector per analizzare le istanze di Amazon EC2 e le immagini dei contenitori che risiedono in Amazon Elastic Container Registry (Amazon ECR) per individuare vulnerabilità software ed esposizione alla rete indesiderata. Usare una soluzione di terze parti per eseguire valutazioni delle vulnerabilità su dispositivi e applicazioni di rete (ad esempio, applicazioni Web)

Fare riferimento a ES-1, "Use Endpoint Detection and Response (EDR)" (Usare rilevamento e risposta degli endpoint) per eseguire l'onboarding dell'account AWS in Microsoft Defender for Cloud e distribuire Microsoft Defender per i server (con Microsoft Defender per endpoint integrato) nelle istanze EC2. Microsoft Defender per i server offre una funzionalità di gestione di minacce e vulnerabilità nativa per le macchine virtuali. Il risultato dell'analisi delle vulnerabilità verrà consolidato nel dashboard di Microsoft Defender for Cloud.

Tenere traccia dello stato dei risultati della vulnerabilità per assicurarsi che vengano corretti correttamente o eliminati se sono considerati falsi positivi.

Quando si eseguono analisi remote, non usare un singolo account amministrativo perpetuo e perpetuo. Valutare la possibilità di implementare una metodologia di provisioning temporanea per l'account di analisi. Le credenziali per l'account di analisi devono essere protette, monitorate e usate solo per l'analisi delle vulnerabilità.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: seguire le raccomandazioni di Microsoft Defender per Cloud o/e Google Cloud Security Command Center per eseguire valutazioni delle vulnerabilità nelle istanze del motore di calcolo. Il Centro comandi di sicurezza ha valutazioni di vulnerabilità predefinite nei dispositivi e nelle applicazioni di rete (ad esempio, Web Security Scanner)

Esportare i risultati dell'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che siano state risolte le vulnerabilità. Quando si usano le raccomandazioni di gestione delle vulnerabilità suggerite dal Centro comandi di sicurezza, è possibile eseguire ilpivot nel portale della soluzione di analisi selezionata per visualizzare i dati cronologici di analisi.

Implementazione di GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

PV-6: correggere rapidamente e automaticamente le vulnerabilità

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORREZIONE DEI DIFETTI 6.1, 6.2, 6.5, 11.2

Principio di sicurezza: distribuire rapidamente patch e aggiornamenti per correggere le vulnerabilità nelle risorse cloud. Usare l'approccio basato sul rischio appropriato per assegnare priorità alla correzione delle vulnerabilità. Ad esempio, le vulnerabilità più gravi in un asset con valore superiore devono essere risolte come priorità più elevata.

Linee guida di Azure: usare Automazione di Azure Gestione aggiornamenti o una soluzione di terze parti per garantire che gli aggiornamenti di sicurezza più recenti siano installati nelle macchine virtuali Windows e Linux. Per le macchine virtuali Windows, assicurarsi che Windows Update sia stato abilitato e impostato automaticamente per l'aggiornamento.

Per software di terze parti, usare una soluzione di gestione delle patch di terze parti o Microsoft System Center Aggiornamenti Publisher per Configuration Manager.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare AWS Systems Manager - Patch Manager per garantire che gli aggiornamenti della sicurezza più recenti siano installati nei sistemi operativi e nelle applicazioni. Patch Manager supporta le baseline delle patch per consentire di definire un elenco di patch approvate e rifiutate per i sistemi.

È anche possibile usare Automazione di Azure Gestione aggiornamenti per gestire centralmente le patch e gli aggiornamenti delle istanze di AWS EC2 Windows e Linux.

Per software di terze parti, usare una soluzione di gestione delle patch di terze parti o Microsoft System Center Aggiornamenti Publisher per Configuration Manager.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni su GCP: usare la gestione delle patch del sistema operativo Google Cloud VM Manager o una soluzione di terze parti per assicurarsi che gli aggiornamenti di sicurezza più recenti siano installati nella macchina virtuale Windows e Linux. Per la macchina virtuale Windows, assicurarsi che Windows Update sia stato abilitato e impostato automaticamente per l'aggiornamento.

Per software di terze parti, usare una soluzione di gestione delle patch di terze parti o Microsoft System Center Aggiornamenti Publisher per la gestione della configurazione.

Implementazione di GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

PV-7: Eseguire operazioni regolari del team rosso

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Principio di sicurezza: simulare attacchi reali per offrire una visualizzazione più completa della vulnerabilità dell'organizzazione. Le operazioni del team rosso e i test di penetrazione integrano l'approccio tradizionale di analisi delle vulnerabilità per individuare i rischi.

Seguire le procedure consigliate del settore per progettare, preparare ed eseguire questo tipo di test per assicurarsi che non causerà danni o interruzioni all'ambiente. Ciò deve includere sempre la discussione dell'ambito di test e dei vincoli con gli stakeholder e i proprietari delle risorse pertinenti.

Linee guida di Azure: in base alle esigenze, eseguire test di penetrazione o attività del team rosso nelle risorse di Azure e garantire la correzione di tutti i risultati critici della sicurezza.

Attenersi alle regole di partecipazione dei test di penetrazione del cloud Microsoft per assicurarsi che i test di penetrazione non violino i criteri Microsoft. Usare la strategia di Microsoft e le attività di red team e i test di penetrazione di siti live nell'infrastruttura cloud, nei servizi e nelle applicazioni gestiti da Microsoft.

Implementazione di Azure e contesto aggiuntivo:

Linee guida AWS: in base alle esigenze, eseguire test di penetrazione o attività del team rosso sulle risorse AWS e garantire la correzione di tutti i risultati critici della sicurezza.

Seguire i criteri di supporto clienti AWS per i test di penetrazione per assicurarsi che i test di penetrazione non siano in violazione dei criteri AWS.

Implementazione di AWS e contesto aggiuntivo:

Linee guida GCP: in base alle esigenze, eseguire test di penetrazione o attività del team rosso nella risorsa GCP e garantire la correzione di tutti i risultati critici della sicurezza.

Seguire i criteri di supporto clienti GCP per i test di penetrazione per assicurarsi che i test di penetrazione non siano in violazione dei criteri GCP.

Implementazione di GCP e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):