Controllo di sicurezza v3: Comportamento e gestione delle vulnerabilità
La gestione del comportamento e della vulnerabilità è incentrata sui controlli per valutare e migliorare il comportamento di sicurezza di Azure, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse di Azure.
PV-1: definire e stabilire configurazioni sicure
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1,1 |
Principio di sicurezza: Definire le linee di base di configurazione sicure per diversi tipi di risorse nel cloud. In alternativa, usare gli strumenti di gestione della configurazione per stabilire automaticamente la linea di base di configurazione prima o durante la distribuzione delle risorse in modo che l'ambiente possa essere conforme per impostazione predefinita dopo la distribuzione.
Linee guida di Azure: Usare Azure Security Benchmark e la baseline del servizio per definire la baseline di configurazione per ogni rispettiva offerta o servizio di Azure. Fare riferimento all'architettura di riferimento di Azure e Cloud Adoption Framework'architettura della zona di destinazione per comprendere i controlli e le configurazioni di sicurezza critici che potrebbero essere necessari nelle risorse di Azure.
Usare Azure Blueprints per automatizzare la distribuzione e la configurazione di servizi e ambienti applicazione, inclusi i modelli di Azure Resource Manager, i controlli controllo degli accessi in base al ruolo di Azure e i criteri, in una singola definizione di progetto.
Implementazione e contesto aggiuntivo:
- Illustrazione dell'implementazione di Guardrails in Enterprise Zona di destinazione della scalabilità
- Uso dei criteri di sicurezza in Microsoft Defender for Cloud
- Esercitazione: Creare e gestire i criteri per applicare la conformità
- Azure Blueprint
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione della postura
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza e DevOps delle applicazioni
PV-2: Controllare e applicare configurazioni sicure
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Principio di sicurezza: Monitorare e avvisare continuamente quando si verifica una deviazione dalla linea di base di configurazione definita. Applicare la configurazione desiderata in base alla configurazione di base negando la configurazione non conforme o distribuendo una configurazione.
Linee guida di Azure: Usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione di configurazione nelle risorse.
Usare Criteri di Azure regola [nega] e [distribuisci se non esiste] per applicare la configurazione sicura tra le risorse di Azure.
Per il controllo della configurazione delle risorse e l'imposizione non supportati da Criteri di Azure, potrebbe essere necessario scrivere script personalizzati o usare strumenti di terze parti per implementare il controllo e l'imposizione della configurazione.
Implementazione e contesto aggiuntivo:
- Informazioni sugli effetti di Criteri di Azure
- Creare e gestire i criteri per applicare la conformità
- Ottenere i dati di conformità delle risorse di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione della postura
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza e DevOps delle applicazioni
PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Principio di sicurezza: Definire le linee di base di configurazione sicure per le risorse di calcolo, ad esempio macchine virtuali e contenitori. Usare gli strumenti di gestione della configurazione per stabilire automaticamente la linea di base di configurazione prima o durante la distribuzione delle risorse di calcolo in modo che l'ambiente possa essere conforme per impostazione predefinita dopo la distribuzione. In alternativa, usare un'immagine preconfigurato per compilare la linea di base di configurazione desiderata nel modello di immagine della risorsa di calcolo.
Linee guida di Azure: Usare la baseline del sistema operativo consigliata di Azure (sia per Windows che per Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.
È anche possibile usare un'immagine di macchina virtuale o un'immagine del contenitore personalizzata con Criteri di Azure configurazione guest e Automazione di Azure State Configuration per stabilire la configurazione di sicurezza desiderata.
Implementazione e contesto aggiuntivo:
- Baseline di configurazione della sicurezza del sistema operativo Linux
- baseline di configurazione della sicurezza del sistema operativo Windows
- Raccomandazione sulla configurazione della sicurezza per le risorse di calcolo
- Panoramica di Automazione di Azure State Configuration
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione della postura
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza e DevOps delle applicazioni
PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Principio di sicurezza: Monitorare e avvisare continuamente quando si verifica una deviazione dalla linea di base di configurazione definita nelle risorse di calcolo. Applicare la configurazione desiderata in base alla configurazione di base negando la configurazione non conforme o distribuendo una configurazione nelle risorse di calcolo.
Linee guida di Azure: Usare Microsoft Defender for Cloud e Criteri di Azure agente di configurazione guest per valutare e correggere regolarmente le deviazioni di configurazione nelle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri. È anche possibile usare modelli di Azure Resource Manager, immagini personalizzate del sistema operativo o Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo. I modelli di macchine virtuali Microsoft in combinazione con Automazione di Azure State Configuration possono essere utili per soddisfare e gestire i requisiti di sicurezza.
Nota: Azure Marketplace immagini di macchine virtuali pubblicate da Microsoft vengono gestite e gestite da Microsoft.
Implementazione e contesto aggiuntivo:
- Come implementare le raccomandazioni per la valutazione delle vulnerabilità di Microsoft Defender for Cloud
- Come creare una macchina virtuale di Azure da un modello di Resource Manager
- Panoramica di State Configuration di Automazione di Azure
- Creare una macchina virtuale di Windows nel portale di Azure
- Sicurezza dei contenitori in Microsoft Defender for Cloud
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione della postura
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza e DevOps delle applicazioni
PV-5: Eseguire valutazioni delle vulnerabilità
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Principio di sicurezza: Eseguire la valutazione delle vulnerabilità per le risorse cloud a tutti i livelli in una pianificazione fissa o su richiesta. Tenere traccia e confrontare i risultati dell'analisi per verificare che le vulnerabilità siano corrette. La valutazione deve includere tutti i tipi di vulnerabilità, ad esempio vulnerabilità nei servizi di Azure, nella rete, nel Web, nei sistemi operativi, nelle configurazioni errate e così via.
Tenere presente i potenziali rischi associati all'accesso con privilegi usati dagli scanner di vulnerabilità. Seguire la procedura consigliata per proteggere gli account amministrativi usati per l'analisi.
Linee guida di Azure: Seguire i consigli di Microsoft Defender per Cloud per eseguire valutazioni di vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei server di SQL. Microsoft Defender for Cloud ha uno scanner di vulnerabilità predefinito per l'analisi delle macchine virtuali. Usare una soluzione di terze parti per eseguire valutazioni di vulnerabilità su dispositivi e applicazioni di rete (ad esempio, applicazioni Web)
Esportare i risultati dell'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che siano state risolte le vulnerabilità. Quando si usano gestione delle vulnerabilità raccomandazioni suggerite da Microsoft Defender for Cloud, è possibile pivotare nel portale della soluzione di analisi selezionata per visualizzare i dati cronologici di analisi.
Quando si eseguono analisi remote, non usare un singolo account amministrativo, perpetuo e perpetuo. È consigliabile implementare la metodologia di provisioning JIT (Just In Time) per l'account di analisi. Le credenziali per l'account di analisi devono essere protette, monitorate e usate solo per l'analisi delle vulnerabilità.
Nota: i servizi di Azure Defender (inclusi Defender per server, registro contenitori, servizio app, SQL e DNS) incorporare determinate funzionalità di valutazione delle vulnerabilità. Gli avvisi generati dai servizi di Azure Defender devono essere monitorati e esaminati insieme al risultato dello strumento di analisi delle vulnerabilità di Microsoft Defender for Cloud.
Nota: assicurarsi che le notifiche di posta elettronica di installazione in Microsoft Defender for Cloud.
Implementazione e contesto aggiuntivo:
- Come implementare raccomandazioni per la valutazione delle vulnerabilità di Microsoft Defender for Cloud
- Scanner di vulnerabilità integrato per le macchine virtuali
- SQL valutazione della vulnerabilità
- Esportazione dei risultati dell'analisi delle vulnerabilità di Microsoft Defender for Cloud
Stakeholder della sicurezza dei clienti (altre informazioni):
- Gestione della postura
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
PV-6: correggere rapidamente e automaticamente le vulnerabilità
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: CORREZIONE DEI DIFETTI | 6.1, 6.2, 6.5, 11.2 |
Principio di sicurezza: Distribuire rapidamente e automaticamente patch e aggiornamenti per correggere le vulnerabilità nelle risorse cloud. Usare l'approccio basato sui rischi appropriato per assegnare priorità alla correzione delle vulnerabilità. Ad esempio, le vulnerabilità più gravi in un asset con valore superiore devono essere risolte come priorità più elevata.
Linee guida di Azure: Usare Automazione di Azure Gestione aggiornamenti o una soluzione di terze parti per assicurarsi che gli aggiornamenti di sicurezza più recenti siano installati nelle macchine virtuali Windows e Linux. Per Windows macchine virtuali, assicurarsi che Windows Update sia stato abilitato e impostato automaticamente per l'aggiornamento.
Per il software di terze parti, usare una soluzione di gestione delle patch di terze parti o System Center aggiornamenti Publisher per Configuration Manager.
Priorità degli aggiornamenti da distribuire prima usando un programma di assegnazione dei punteggi di rischio comune (ad esempio Common Vulnerability Scoring System) o le classificazioni di rischio predefinite fornite dallo strumento di analisi di terze parti e personalizzate per l'ambiente. È anche consigliabile considerare quali applicazioni presentano un rischio elevato di sicurezza e quali richiedono un tempo di attività elevato.
Implementazione e contesto aggiuntivo:
- Come configurare Gestione aggiornamenti per le macchine virtuali in Azure
- Gestire gli aggiornamenti e le patch per le macchine virtuali di Azure
Stakeholder della sicurezza dei clienti (altre informazioni):
- Gestione della postura
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
PV-7: Eseguire operazioni regolari del team rosso
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Principio di sicurezza: Simulare attacchi reali per offrire una visualizzazione più completa della vulnerabilità dell'organizzazione. Le operazioni del team rosso e i test di penetrazione integrano l'approccio tradizionale di analisi delle vulnerabilità per individuare i rischi.
Seguire le procedure consigliate del settore per progettare, preparare ed eseguire questo tipo di test per assicurarsi che non causerà danni o interruzioni all'ambiente. Ciò deve includere sempre la discussione dell'ambito di test e dei vincoli con gli stakeholder e i proprietari delle risorse pertinenti.
Linee guida di Azure: In base alle esigenze, eseguire test di penetrazione o attività del team rosso nelle risorse di Azure e garantire la correzione di tutti i risultati critici della sicurezza.
Attenersi alle regole di partecipazione dei test di penetrazione del cloud Microsoft per assicurarsi che i test di penetrazione non violino i criteri Microsoft. Usare la strategia di Microsoft e le attività di red team e i test di penetrazione di siti live nell'infrastruttura cloud, nei servizi e nelle applicazioni gestiti da Microsoft.
Implementazione e contesto aggiuntivo:
- Test di penetrazione in Azure
- Regole di partecipazione dei test di penetrazione
- Attività di red team per il cloud Microsoft
- Guida tecnica ai test e alla valutazione della sicurezza delle informazioni
Stakeholder della sicurezza dei clienti (altre informazioni):