Controllo della sicurezza V2: Gestione della postura e della vulnerabilità
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
Il comportamento e la gestione delle vulnerabilità si concentra sui controlli per la valutazione e il miglioramento del comportamento di sicurezza di Azure. Ciò include l'analisi della vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse di Azure.
Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Comportamento e gestione delle vulnerabilità
PV-1: Definire configurazioni sicure per i servizi di Azure
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Definire i guardrail di sicurezza per i team di infrastruttura e DevOps semplificando la configurazione sicura dei servizi di Azure usati.
Avviare la configurazione della sicurezza dei servizi di Azure con le baseline del servizio nel benchmark di sicurezza di Azure e personalizzare in base alle esigenze dell'organizzazione.
Usare Centro sicurezza di Azure per configurare Criteri di Azure per controllare e applicare configurazioni delle risorse di Azure.
È possibile usare Azure Blueprints per automatizzare la distribuzione e la configurazione di servizi e ambienti dell'applicazione, inclusi i modelli di Azure Resource Manager, i controlli controllo degli accessi in base al ruolo di Azure e i criteri, in una singola definizione di progetto.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PV-2: Supportare le configurazioni sicure per i servizi di Azure
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-2 | 5,2 | CM-2, CM-6 |
Usare Centro sicurezza di Azure per monitorare la baseline di configurazione e usare Criteri di Azure [deny] e [deploy if not exist] rule per applicare la configurazione sicura tra le risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PV-3: Stabilire configurazioni sicure per le risorse di calcolo
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Usare Centro sicurezza di Azure e Criteri di Azure per stabilire configurazioni sicure su tutte le risorse di calcolo, tra cui macchine virtuali, contenitori e altri altri, è possibile usare immagini personalizzate del sistema operativo o Automazione di Azure State Configuration per stabilire la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione.
Come monitorare le raccomandazioni Centro sicurezza di Azure
Caricare un disco rigido virtuale e usarlo per creare nuove macchine virtuali Windows in Azure
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PV-4: Supportare configurazioni sicure per le risorse di calcolo
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-4 | 5,2 | CM-2, CM-6 |
Usare Centro sicurezza di Azure e Criteri di Azure per valutare e correggere regolarmente i rischi di configurazione sulle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri. È inoltre possibile usare modelli di Resource Manager di Azure, immagini del sistema operativo personalizzate o Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione. I modelli di macchine virtuali Microsoft in combinazione con Automazione di Azure State Configuration possono aiutare a soddisfare e gestire i requisiti di sicurezza.
Si noti inoltre che Azure Marketplace immagini di macchine virtuali pubblicate da Microsoft sono gestite e gestite da Microsoft.
Centro sicurezza di Azure può anche analizzare le vulnerabilità nelle immagini del contenitore ed eseguire il monitoraggio continuo della configurazione Docker nei contenitori, in base al benchmark Docker CIS. È possibile usare la pagina Centro sicurezza di Azure raccomandazioni per visualizzare i consigli e correggere i problemi.
Come implementare raccomandazioni per la valutazione delle vulnerabilità Centro sicurezza di Azure
Come creare una macchina virtuale di Azure da un modello di Resource Manager
Creare una macchina virtuale di Windows nel portale di Azure
Informazioni su come scaricare il modello per una macchina virtuale
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (altre informazioni):
PV-5: archiviare in modo sicuro le immagini del sistema operativo e del contenitore personalizzate
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Usare il controllo degli accessi in base al ruolo di Azure per garantire che solo gli utenti autorizzati possano accedere alle immagini personalizzate. Usare un Raccolta immagini condivise di Azure per condividere le immagini a diversi utenti, entità servizio o gruppi di Active Directory all'interno dell'organizzazione. Archiviare le immagini dei contenitori in Registro Azure Container e usare il controllo degli accessi in base al ruolo di Azure per garantire che solo gli utenti autorizzati abbiano accesso.
Informazioni sul controllo degli accessi in base al ruolo di Azure
Informazioni sul controllo degli accessi in base al ruolo di Azure per registro contenitori
Come configurare il controllo degli accessi in base al ruolo di Azure
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PV-6: Eseguire valutazioni della vulnerabilità software
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Seguire i consigli di Centro sicurezza di Azure per eseguire valutazioni di vulnerabilità nelle macchine virtuali di Azure, nelle immagini del contenitore e nei server SQL. Centro sicurezza di Azure ha uno scanner di vulnerabilità predefinito per analizzare le macchine virtuali.
Usare una soluzione di terze parti per eseguire valutazioni di vulnerabilità nei dispositivi di rete e nelle applicazioni Web. Quando si eseguono analisi remote, non usare un singolo account amministrativo, perpetuo e perpetuo. È consigliabile implementare la metodologia di provisioning JIT (Just In Time) per l'account di analisi. Le credenziali per l'account di analisi devono essere protette, monitorate e usate solo per l'analisi delle vulnerabilità.
Esportare i risultati dell'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che siano state risolte le vulnerabilità. Quando si usano raccomandazioni di gestione delle vulnerabilità suggerite da Centro sicurezza di Azure, è possibile pivotare nel portale della soluzione di analisi selezionata per visualizzare i dati cronologici di analisi.
Come implementare raccomandazioni per la valutazione delle vulnerabilità Centro sicurezza di Azure
Esportazione dei risultati dell'analisi delle vulnerabilità Centro sicurezza di Azure
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
7\. Correggere le vulnerabilità del software in modo rapido e automatico
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-7 | 3,7 | CA-2, RA-5, SI-2 |
Distribuire rapidamente gli aggiornamenti software per correggere le vulnerabilità software nei sistemi operativi e nelle applicazioni.
Usare un programma comune di assegnazione dei punteggi a rischio (ad esempio Common Vulnerability Scoring System) o le classificazioni di rischio predefinite fornite dallo strumento di analisi di terze parti e personalizzare l'ambiente, tenendo conto delle applicazioni che presentano un rischio di sicurezza elevato e che richiedono un tempo di attività elevato.
Usare Automazione di Azure Gestione aggiornamenti o una soluzione di terze parti per assicurarsi che gli aggiornamenti della sicurezza più recenti siano installati nelle macchine virtuali Windows e Linux. Per le macchine virtuali Windows, assicurarsi che Windows Update sia stato abilitato e impostato automaticamente per l'aggiornamento.
Per software di terze parti, usare una soluzione di gestione delle patch di terze parti o System Center Aggiornamenti Publisher per Configuration Manager.
Come configurare Gestione aggiornamenti per le macchine virtuali in Azure
Gestire gli aggiornamenti e le patch per le macchine virtuali di Azure
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PV-8: Eseguire una simulazione di attacco regolare
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
In base alle esigenze, eseguire test di penetrazione o attività del team rosso nelle risorse di Azure e garantire la correzione di tutti i risultati critici della sicurezza. Attenersi alle regole di partecipazione dei test di penetrazione del cloud Microsoft per assicurarsi che i test di penetrazione non violino i criteri Microsoft. Usare la strategia di Microsoft e le attività di red team e i test di penetrazione di siti live nell'infrastruttura cloud, nei servizi e nelle applicazioni gestiti da Microsoft.
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (altre informazioni):