Управление безопасностью версии 3. Состояние и управление уязвимостями
Управление состоянием безопасности и уязвимостями охватывает аспекты управления, касающиеся оценки и улучшения состояния безопасности в Azure, в том числе сканирование уязвимостей, тестирование и исправление уязвимостей, а также отслеживание конфигурации безопасности для ресурсов Azure, отчеты по ним и рекомендации по исправлению.
PV-1: определение и установка безопасных конфигураций
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Принцип безопасности. Определите безопасную конфигурационную базу для различных типов ресурса в облаке. Можно использовать инструменты управления конфигурацией для автоматического задания ее базовых параметров до или во время развертывания ресурса, чтобы после его завершения среда соответствовала требованиям по умолчанию.
Руководство по Azure. Изучите тестирование безопасности Azure и базовые параметры службы, чтобы определить параметры своей конфигурации для каждого предложения или службы Azure. Ознакомьтесь с эталонной архитектурой Azure и архитектурой целевой зоны Cloud Adoption Framework, чтобы узнать о важнейших элементах управления безопасностью и конфигурациях, которые могут потребоваться в ресурсах Azure.
Используйте Azure Blueprints, чтобы автоматически развернуть и настроить среды служб и приложений, включая шаблоны Azure Resource Manager, элементы управления RBAC Azure и политики, в одном определении схемы.
Реализация и дополнительный контекст:
- Иллюстрация реализации границ в целевой зоне масштаба предприятия
- Работа с политиками безопасности в Microsoft Defender для облака
- Руководство по Создание политик и управление ими для обеспечения соответствия требованиям
- Azure Blueprints
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-2: проведение аудита и реализация конфигураций безопасности
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Принцип безопасности. Обеспечьте непрерывный мониторинг и отправку оповещений при обнаружении отклонений от заданной конфигурационной базы. Реализуйте желаемую конфигурацию согласно конфигурационной базе, отклонив конфигурации, не соответствующие ей, или развернув новую.
Руководство по Azure. Используйте Microsoft Defender для облака, чтобы настроить Политику Azure для проведения аудита и применения конфигураций ваших ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах.
Используйте правила Политики Azure [запретить] и [развернуть, если не существует], чтобы реализовать безопасную конфигурацию в ресурсах Azure.
Чтобы провести аудит конфигурации ресурсов и реализацию, которые не поддерживаются Политикой Azure, может понадобиться создание собственных скриптов или использование инструментов сторонних производителей.
Реализация и дополнительный контекст:
- Сведения о действии Политики Azure
- Создание политик и управление ими для обеспечения соответствия
- Получение данных о соответствии для ресурсов Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Принцип безопасности. Определите безопасную конфигурационную базу для своих вычислительных ресурсов, таких как виртуальные машины и контейнеры. Воспользуйтесь инструментами управления конфигурацией для автоматического задания ее базовых параметров до или во время развертывания вычислительного ресурса, чтобы после его завершения среда соответствовала требованиям по умолчанию. Кроме того, можно использовать предварительно настроенный образ, чтобы создать желаемую конфигурационную базу в шаблоне образа вычислительного ресурса.
Руководство по Azure. Используйте рекомендуемые Azure базовые параметры операционной системы (как для Windows, так и для Linux) в качестве эталона для определения конфигурационной базы ваших вычислительных ресурсов.
Кроме того, можно использовать пользовательский образ виртуальной машины или образ контейнера с гостевой конфигурацией Политики Azure и State Configuration службы автоматизации Azure, чтобы реализовать желаемую конфигурацию безопасности.
Реализация и дополнительный контекст:
- Конфигурационная база безопасности операционной системы Linux
- Конфигурационная база безопасности операционной системы Windows
- Рекомендации по конфигурациям безопасности для вычислительных ресурсов
- Обзор службы State Configuration службы автоматизации Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-4: проведение аудита и реализация безопасных конфигураций вычислительных ресурсов
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Принцип безопасности. Обеспечьте непрерывный мониторинг и отправку оповещений при обнаружении отклонений от заданной конфигурационной базы в ваших вычислительных ресурсах. Реализуйте желаемую конфигурацию согласно конфигурационной базе, отклонив конфигурации, не соответствующие ей, или развернув новую в вычислительных ресурсах.
Руководство по Azure. Используйте Microsoft Defender для облака и агент гостевой конфигурации Политики Azure для периодической оценки и исправления отклонений конфигурации в своих вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и прочее. Кроме того, вы можете использовать шаблоны Azure Resource Manager, пользовательские образы операционной системы или State Configuration службы автоматизации Azure для поддержания конфигурации безопасности операционной системы. Шаблоны виртуальных машин Майкрософт в сочетании со State Configuration службы автоматизации Azure могут помочь в обеспечении и поддержании требований безопасности.
Примечание. Образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и обслуживаются ей же.
Реализация и дополнительный контекст:
- Применение рекомендаций Microsoft Defender для облака по оценке уязвимостей
- Создание виртуальной машины Azure из шаблона ARM
- Обзор службы "Настройка состояния службы автоматизации Azure"
- Создание виртуальной машины Windows на портале Azure
- Обеспечение безопасности контейнеров в службе "Microsoft Defender для облака"
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-5: выполнение оценок уязвимостей
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Принцип безопасности. Выполняйте оценку уязвимостей для своих облачных ресурсов на всех уровнях по установленному графику или по требованию. Отслеживайте и сравнивайте результаты проверки, чтобы проверить исправление уязвимостей. Оценка должна охватывать все типы уязвимостей, такие как уязвимости в службах Azure, сети, Интернете, операционной системе, неправильных конфигурациях и т. д.
Учитывайте потенциальные риски, связанные с привилегированным доступом сканеров уязвимостей. Следуйте рекомендациям безопасности привилегированного доступа, чтобы защитить учетные записи администраторов, которые используются для проверок.
Руководство по Azure. Следуйте рекомендациям Microsoft Defender для облака для выполнения оценок уязвимостей на своих виртуальных машинах Azure, в образах контейнеров и на серверах SQL. В Microsoft Defender для облака есть встроенный сканер уязвимостей для проверки виртуальных машин. Используйте решение сторонних производителей, чтобы провести оценку уязвимостей в сетевых устройствах и приложениях (например, в веб-приложениях).
Экспорт результатов сканирования через одинаковые интервалы и сравнение с результатами предыдущих сканирований для проверки устранения уязвимостей. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, можно вывести сводную информацию на портал выбранного решения проверки, чтобы просмотреть журнал данных проверки.
При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.
Примечание. Службы Azure Defender (включая Defender для сервера, реестр контейнеров, Службу приложений, SQL и DNS) внедряют определенные возможности оценки уязвимостей. Оповещения, которые создают службы Azure Defender, должны отслеживаться и проверяться вместе с результатами средства проверки уязвимостей Microsoft Defender для облака.
Примечание. Убедитесь, что у вас настроены уведомления по электронной почте в Microsoft Defender для облака.
Реализация и дополнительный контекст:
- Применение рекомендаций Microsoft Defender для облака по оценке уязвимостей
- Интегрированный сканер уязвимостей для виртуальных машин
- Оценка уязвимостей SQL
- Экспорт результатов проверки уязвимостей Microsoft Defender для облака
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-6: быстрое и автоматическое исправление уязвимостей
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: исправление ошибок | 6.1, 6.2, 6.5, 11.2 |
Принцип безопасности. Выполняйте быстрое автоматическое развертывание исправлений и обновлений для устранения уязвимостей в облачных ресурсах. Используйте подходящий подход на основе оценки риска, чтобы расставить приоритеты в исправлении уязвимостей. Например, уязвимости высокого уровня серьезности в более ценном ресурсе должны устраняться в приоритетном порядке.
Руководство по Azure. Воспользуйтесь Управлением обновлениями службы автоматизации Azure или решением сторонних производителей, чтобы убедиться, что на ваших виртуальных машинах Windows и Linux установлены последние обновления системы безопасности. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.
Для программного обеспечения сторонних производителей воспользуйтесь решением управления исправлениями или средством System Center Updates Publisher для Configuration Manager.
Определите порядок развертывания обновлений с помощью общей программы оценки риска (например, Common Vulnerability Scoring System) или оценки риска по умолчанию, предоставленной средством проверки сторонних производителей и настроенной согласно вашей среде. Также следует определить, какие приложения представляют высокий риск для безопасности и какие требуют повышенного времени работы.
Реализация и дополнительный контекст:
- Настройка Управления обновлениями для виртуальных машин в Azure
- Управление обновлениями и исправлениями для виртуальных машин Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-7: проведение регулярных проверок уязвимостей извне
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Принцип безопасности. Моделируйте реальные атаки, чтобы получить более полное представление об уязвимостях вашей организации. Операции проверки извне и тесты на проникновение дополняют традиционный подход к проверке уязвимостей для выявления рисков.
Следуйте рекомендациям отрасли по проектированию, подготовке и выполнению таких проверок, чтобы они не привели к повреждениям или нарушениям среды. К подобным рекомендациям относятся обсуждение масштаба и ограничений проверок с соответствующими заинтересованными лицами и владельцами ресурсов.
Руководство по Azure. При необходимости проводите тесты на проникновение или проверки извне для ресурсов Azure и убедитесь, что все найденные критические проблемы безопасности исправлены.
Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.
Реализация и дополнительный контекст:
- Тестирование на проникновение в Azure
- Правила взаимодействия при выполнении тестирования на проникновение
- Привлечение "красных команд для тестирования "Microsoft Cloud
- Техническое руководство по проверке и оценке информационной безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):