Управление безопасностью: управление состоянием и уязвимостями

  • Статья

Управление состоянием и уязвимостями фокусируется на элементах управления для оценки и улучшения состояния безопасности в облаке, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, создание отчетов и исправление в облачных ресурсах.

PV-1: определение и установка безопасных конфигураций

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Принцип безопасности. Определите базовые конфигурации безопасности для различных типов ресурсов в облаке. Можно использовать инструменты управления конфигурацией для автоматического задания ее базовых параметров до или во время развертывания ресурса, чтобы после его завершения среда соответствовала требованиям по умолчанию.

Руководство по Azure. Используйте Microsoft Cloud Security Benchmark и базовые показатели службы, чтобы определить базовые показатели конфигурации для каждого соответствующего предложения или службы Azure. Ознакомьтесь со справочной архитектурой Azure и архитектурой Cloud Adoption Framework целевой зоны, чтобы понять критически важные элементы управления безопасностью и конфигурации, которые могут потребоваться в ресурсах Azure.

Используйте целевую зону Azure (и Схемы), чтобы ускорить развертывание рабочей нагрузки, настроив конфигурацию служб и сред приложений, включая шаблоны azure Resource Manager, элементы управления Azure RBAC и Политика Azure.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте Microsoft Cloud Security Benchmark — руководство по работе с несколькими облаками для AWS и другие входные данные, чтобы определить базовые показатели конфигурации для каждого соответствующего предложения или службы AWS. Сведения о критических элементах управления безопасностью и конфигурациях, которые могут потребоваться в ресурсах AWS, см. в статье Основные аспекты безопасности и другие аспекты в AWS Well-Architectured Framework.

Используйте шаблоны AWS CloudFormation и правила конфигурации AWS в определении целевой зоны AWS, чтобы автоматизировать развертывание и настройку служб и сред приложений.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте microsoft Cloud Security Benchmark — руководство по использованию нескольких облаков для GCP и другие входные данные, чтобы определить базовые показатели конфигурации для каждого соответствующего предложения или службы GCP. Ознакомьтесь с основными аспектами базовых схем развертывания Google Cloud и проектированием целевых зон.

Используйте модули схем Terraform для Google Cloud и собственный диспетчер развертывания Google Cloud для автоматизации развертывания и настройки служб и сред приложений.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

PV-2: проведение аудита и реализация конфигураций безопасности

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Принцип безопасности. Непрерывно отслеживайте и оповещайте об отклонении от заданного базового плана конфигурации. Примените требуемую конфигурацию в соответствии с базовой конфигурацией, запретив несоответствующую конфигурацию или развернув конфигурацию.

Руководство по Azure. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах.

Используйте правила Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.

Для аудита и применения конфигурации ресурсов, не поддерживаемых Политика Azure, может потребоваться написать пользовательские скрипты или использовать сторонние средства для реализации аудита и принудительного применения конфигурации.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте правила конфигурации AWS для аудита конфигураций ресурсов AWS. Кроме того, вы можете решить проблему смещения конфигурации с помощью службы автоматизации AWS Systems Manager, связанной с правилом конфигурации AWS. Используйте Amazon CloudWatch для создания оповещений при обнаружении отклонения конфигурации в ресурсах.

Для аудита и принудительного применения конфигурации ресурсов, не поддерживаемых AWS Config, может потребоваться написать пользовательские скрипты или использовать сторонние средства для реализации аудита и принудительного применения конфигурации.

Вы также можете централизованно отслеживать смещение конфигурации путем подключения учетной записи AWS к Microsoft Defender для облака.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте Google Cloud Security Command Center для настройки GCP. Используйте Google Cloud Monitoring в Operations Suite для создания оповещений при обнаружении отклонений конфигурации в ресурсах.

Для управления организациями используйте политику организации для централизации облачных ресурсов организации и программного контроля над ними. Администратор политики организации сможет настраивать ограничения во всей иерархии ресурсов.

Для аудита и принудительного применения конфигурации ресурсов, не поддерживаемых политикой организации, может потребоваться написать пользовательские скрипты или использовать сторонние средства для реализации аудита и принудительного применения конфигурации.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

PV-3: определение и задание безопасных конфигураций вычислительных ресурсов

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Принцип безопасности. Определите базовые показатели безопасной конфигурации для вычислительных ресурсов, таких как виртуальные машины и контейнеры. Воспользуйтесь инструментами управления конфигурацией для автоматического задания ее базовых параметров до или во время развертывания вычислительного ресурса, чтобы после его завершения среда соответствовала требованиям по умолчанию. Кроме того, можно использовать предварительно настроенный образ, чтобы создать желаемую конфигурационную базу в шаблоне образа вычислительного ресурса.

Руководство по Azure. Используйте рекомендуемые в Azure базовые показатели безопасности операционной системы (как для Windows, так и для Linux) в качестве теста производительности для определения базовых показателей конфигурации вычислительных ресурсов.

Кроме того, можно использовать пользовательский образ виртуальной машины (с помощью Конструктора образов Azure) или образ контейнера с конфигурацией машин автоматического управления Azure (прежнее название — Политика Azure гостевая конфигурация) и служба автоматизации Azure State Configuration для установки требуемой конфигурации безопасности.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте образы компьютеров AWS EC2 (AMI) из надежных источников в Marketplace в качестве теста производительности для определения базовых показателей конфигурации EC2.

Кроме того, конструктор образов EC2 можно использовать для создания пользовательского шаблона AMI с помощью агента System Manager для установки требуемой конфигурации безопасности. Примечание. Агент AWS Systems Manager предварительно установлен в некоторых образах Amazon Machine (AMIs), предоставляемых AWS.

Для приложений рабочей нагрузки, выполняющихся в экземплярах EC2, среде AWS Lambda или контейнерах, вы можете использовать AWS System Manager AppConfig для определения требуемой базовой конфигурации.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте рекомендуемые Google Cloud базовые показатели безопасности операционной системы (для Windows и Linux) в качестве теста производительности для определения базовых показателей конфигурации вычислительных ресурсов.

Кроме того, вы можете использовать пользовательский образ виртуальной машины с помощью построителя образов Packer или образ контейнера с образом контейнера Google Cloud Build для создания требуемой конфигурационной базы.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

PV-4: проведение аудита и реализация безопасных конфигураций вычислительных ресурсов

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Принцип безопасности. Непрерывно отслеживайте и оповещайте об отклонении от заданного базового плана конфигурации в вычислительных ресурсах. Примените требуемую конфигурацию в соответствии с базовой конфигурацией, запретив несоответствующую конфигурацию или развернув конфигурацию в вычислительных ресурсах.

Руководство Azure. Используйте Microsoft Defender для облака и конфигурации машин автоматического управления Azure (прежнее название — Политика Azure гостевая конфигурация) для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и т. д. Кроме того, вы можете использовать шаблоны Azure Resource Manager, пользовательские образы операционной системы или State Configuration службы автоматизации Azure для поддержания конфигурации безопасности операционной системы. Шаблоны виртуальных машин Майкрософт в сочетании со State Configuration службы автоматизации Azure могут помочь в обеспечении и поддержании требований безопасности. Используйте Отслеживание изменений и инвентаризация в служба автоматизации Azure для отслеживания изменений в виртуальных машинах, размещенных в Azure, локальных и других облачных средах, чтобы помочь выявить операционные и экологические проблемы с программным обеспечением, управляемым диспетчером пакетов распространения. Установите агент аттестации гостей на виртуальных машинах, чтобы отслеживать целостность загрузки на конфиденциальных виртуальных машинах.

Примечание. Образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и обслуживаются ей же.

Реализация Azure и дополнительный контекст:

Руководство AWS. Используйте функцию диспетчера состояний AWS System Manager для регулярной оценки и исправления отклонений конфигурации в экземплярах EC2. Кроме того, можно использовать шаблоны CloudFormation, пользовательские образы операционной системы для поддержания конфигурации безопасности операционной системы. Шаблоны AMI в сочетании с System Manager могут помочь в выполнении и поддержании требований безопасности.

Вы также можете централизованно отслеживать смещение конфигурации операционной системы и управлять ими через служба автоматизации Azure State Configuration и подключить соответствующие ресурсы к системе управления безопасностью Azure, используя следующие методы:

  • Подключение учетной записи AWS к Microsoft Defender для облака
  • Подключение экземпляров EC2 к Microsoft Defender для облака с помощью Azure Arc для серверов

Для приложений рабочей нагрузки, работающих в экземплярах EC2, среде AWS Lambda или контейнерах, вы можете использовать AWS System Manager AppConfig для аудита и принудительного применения требуемого базового плана конфигурации.

Примечание. АМИ, опубликованными Amazon Web Services в AWS Marketplace, управляются и поддерживаются Amazon Web Services.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте vm Manager и Google Cloud Security Command Center для регулярной оценки и исправления отклонений конфигурации экземпляров вычислительной подсистемы, контейнеров и бессерверных контрактов. Кроме того, для поддержания конфигурации безопасности операционной системы можно использовать шаблоны виртуальных машин диспетчера развертывания и пользовательские образы операционной системы. Шаблоны шаблонов виртуальных машин диспетчера развертывания в сочетании с vm Manager могут помочь в удовлетворении и поддержании требований к безопасности.

Вы также можете централизованно отслеживать смещение конфигурации операционной системы и управлять ими через служба автоматизации Azure State Configuration и подключить соответствующие ресурсы к системе управления безопасностью Azure, используя следующие методы:

  • Подключение проекта GCP к Microsoft Defender for Cloud
  • Подключение экземпляров виртуальной машины GCP к Microsoft Defender для облака с помощью Azure Arc для серверов

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

PV-5: выполнение оценок уязвимостей

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Принцип безопасности. Выполняйте оценку уязвимостей для облачных ресурсов на всех уровнях по фиксированному расписанию или по запросу. Отслеживайте и сравнивайте результаты проверки, чтобы проверить исправление уязвимостей. Оценка должна включать все типы уязвимостей, такие как уязвимости в службах Azure, сети, интернете, операционных системах, неправильные настройки и т. д.

Учитывайте потенциальные риски, связанные с привилегированным доступом сканеров уязвимостей. Следуйте рекомендациям безопасности привилегированного доступа, чтобы защитить учетные записи администраторов, которые используются для проверок.

Руководство по Azure. Следуйте рекомендациям Microsoft Defender для облака по выполнению оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL Server. Microsoft Defender для облака имеет встроенный сканер уязвимостей для виртуальных машин. Используйте решение сторонних производителей, чтобы провести оценку уязвимостей в сетевых устройствах и приложениях (например, в веб-приложениях).

Экспорт результатов сканирования через одинаковые интервалы и сравнение с результатами предыдущих сканирований для проверки устранения уязвимостей. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, можно вывести сводную информацию на портал выбранного решения проверки, чтобы просмотреть журнал данных проверки.

При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.

Примечание. Microsoft Defender службы (включая Defender для серверов, контейнеров, Служба приложений, базы данных и DNS) внедряют определенные возможности оценки уязвимостей. Оповещения, которые создают службы Azure Defender, должны отслеживаться и проверяться вместе с результатами средства проверки уязвимостей Microsoft Defender для облака.

Примечание. Убедитесь, что вы настроите Уведомления по электронной почте в Microsoft Defender for Cloud.

Реализация Azure и дополнительный контекст:

Руководство aws. Используйте Amazon Inspector для сканирования экземпляров Amazon EC2 и образов контейнеров, находящихся в Amazon Elastic Container Registry (Amazon ECR), на наличие уязвимостей программного обеспечения и непреднамеренных сетевых уязвимостей. Используйте решение сторонних производителей, чтобы провести оценку уязвимостей в сетевых устройствах и приложениях (например, в веб-приложениях).

Сведения о подключении учетной записи AWS к Microsoft Defender для облака и развертывании Microsoft Defender для серверов (с интегрированными Microsoft Defender для конечной точки) в экземплярах EC2 см. в статье Управление ES-1. Microsoft Defender для серверов предоставляет собственные возможности контроль угроз и уязвимостей для виртуальных машин. Результат сканирования уязвимостей будет консолидирован на панели мониторинга Microsoft Defender для облака.

Отслеживайте состояние обнаруженных уязвимостей, чтобы убедиться, что они должным образом исправлены или подавлены, если они считаются ложноположительными.

При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации временной методологии подготовки для учетной записи сканирования. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.

Реализация AWS и дополнительный контекст:

Руководство GCP. Следуйте рекомендациям Microsoft Defender для облака или (и) Google Cloud Security Command Center для выполнения оценки уязвимостей в экземплярах вычислительного ядра. Центр управления безопасностью имеет встроенные оценки уязвимостей на сетевых устройствах и приложениях (например, сканер веб-безопасности).

Экспорт результатов сканирования через одинаковые интервалы и сравнение с результатами предыдущих сканирований для проверки устранения уязвимостей. При использовании рекомендаций по управлению уязвимостями, предлагаемых центром управления безопасностью, можно перейти на портал выбранного решения для сканирования, чтобы просмотреть исторические данные сканирования.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

PV-6: быстрое и автоматическое исправление уязвимостей

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: исправление ошибок 6.1, 6.2, 6.5, 11.2

Принцип безопасности. Быстрое и автоматическое развертывание исправлений и обновлений для устранения уязвимостей в облачных ресурсах. Используйте соответствующий подход на основе рисков, чтобы приоритизировать исправление уязвимостей. Например, уязвимости высокого уровня серьезности в более ценном ресурсе должны устраняться в приоритетном порядке.

Руководство Azure. Используйте управление обновлениями служба автоматизации Azure или стороннее решение, чтобы убедиться, что на виртуальных машинах Windows и Linux установлены самые последние обновления для системы безопасности. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.

Для стороннего программного обеспечения используйте стороннее решение для управления исправлениями или Microsoft System Center Обновления Publisher для Configuration Manager.

Реализация Azure и дополнительный контекст:

Руководство AWS. Используйте AWS Systems Manager — Patch Manager, чтобы убедиться, что в ваших операционных системах и приложениях установлены самые последние обновления для системы безопасности. Диспетчер исправлений поддерживает базовые показатели исправлений, что позволяет определить список утвержденных и отклоненных исправлений для ваших систем.

Вы также можете использовать управление обновлениями служба автоматизации Azure для централизованного управления исправлениями и обновлениями экземпляров WINDOWS и Linux AWS EC2.

Для стороннего программного обеспечения используйте стороннее решение для управления исправлениями или Microsoft System Center Обновления Publisher для Configuration Manager.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте управление исправлениями ОС Диспетчера виртуальных машин Google Cloud или стороннее решение, чтобы обеспечить установку последних обновлений для системы безопасности на виртуальных машинах Windows и Linux. Для виртуальной машины Windows убедитесь, что клиентский компонент Центра обновления Windows включена и настроена на автоматическое обновление.

Для стороннего программного обеспечения используйте стороннее решение для управления исправлениями или Microsoft System Center Обновления Publisher для управления конфигурацией.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

PV-7: проведение регулярных проверок уязвимостей извне

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Принцип безопасности. Имитируйте реальные атаки, чтобы получить более полное представление об уязвимости вашей организации. Операции проверки извне и тесты на проникновение дополняют традиционный подход к проверке уязвимостей для выявления рисков.

Следуйте рекомендациям отрасли по проектированию, подготовке и выполнению таких проверок, чтобы они не привели к повреждениям или нарушениям среды. К подобным рекомендациям относятся обсуждение масштаба и ограничений проверок с соответствующими заинтересованными лицами и владельцами ресурсов.

Руководство Azure. При необходимости проводите тестирование на проникновение или действия красной команды в ресурсах Azure и обеспечьте исправление всех критически важных результатов безопасности.

Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Реализация Azure и дополнительный контекст:

Руководство AWS. При необходимости проводите тестирование на проникновение или действия красной команды в ресурсах AWS и обеспечьте исправление всех критически важных результатов безопасности.

Следуйте политике поддержки клиентов AWS для тестирования на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики AWS.

Реализация AWS и дополнительный контекст:

Руководство GCP. При необходимости проводите тестирование на проникновение или действия красной команды в ресурсе GCP и обеспечьте исправление всех важных результатов безопасности.

Следуйте политике поддержки клиентов GCP для тестирования на проникновение, чтобы убедиться, что ваши тесты на проникновение не нарушают политики GCP.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):