Dela via


Säkerhetskontroll: Hantering av hållning och sårbarhet

Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra molnsäkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i molnresurser.

PV-1: Definiera och upprätta säkra konfigurationer

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Säkerhetsprincip: Definiera säkerhetskonfigurationsbaslinjerna för olika resurstyper i molnet. Du kan också använda konfigurationshanteringsverktyg för att upprätta konfigurationsbaslinjen automatiskt före eller under resursdistributionen så att miljön kan vara kompatibel som standard efter distributionen.


Azure-vägledning: Använd Microsoft Cloud Security Benchmark och tjänstbaslinjen för att definiera din konfigurationsbaslinje för varje respektive Azure-erbjudande eller tjänst. Se Azure-referensarkitekturen och Cloud Adoption Framework landningszonarkitekturen för att förstå de kritiska säkerhetskontroller och konfigurationer som kan behövas för Azure-resurser.

Använd Azures landningszon (och skisser) för att påskynda arbetsbelastningsdistributionen genom att konfigurera konfiguration av tjänster och programmiljöer, inklusive Azure Resource Manager-mallar, Azure RBAC-kontroller och Azure Policy.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Använd Microsoft Cloud Security Benchmark – vägledning för flera moln för AWS och andra indata för att definiera din konfigurationsbaslinje för varje respektive AWS-erbjudande eller tjänst. Se säkerhetspelare och andra pelare i AWS Well-Architectured Framework för att förstå de kritiska säkerhetskontroller och konfigurationer som kan behövas för AWS-resurser.

Använd AWS CloudFormation-mallar och AWS-konfigurationsregler i definitionen för AWS-landningszonen för att automatisera distributionen och konfigurationen av tjänster och programmiljöer.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Använd Microsoft Cloud Security Benchmark – vägledning för flera moln för GCP och andra indata för att definiera din konfigurationsbaslinje för varje respektive GCP-erbjudande eller tjänst. Se grundpelare i Google Cloud-distributioner– grundskisser och design av landningszoner.

Använd Terraform-skissmoduler för Google Cloud och använd den interna Distributionshanteraren för Google Cloud för att automatisera distributionen och konfigurationen av tjänster och programmiljöer.

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):

PV-2: Granska och framtvinga säkra konfigurationer

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Säkerhetsprincip: Övervaka och avisera kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den icke-kompatibla konfigurationen eller distribuera en konfiguration.


Azure-vägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och tillämpa konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna.

Använd Azure Policy [neka] och [distribuera om det inte finns] regler för att framtvinga säker konfiguration mellan Azure-resurser.

För granskning och framtvingande av resurskonfigurationer som inte stöds av Azure Policy kan du behöva skriva anpassade skript eller använda verktyg från tredje part för att implementera konfigurationsgranskningen och efterlevnaden.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Använd AWS-konfigurationsregler för att granska konfigurationer av dina AWS-resurser. Och du kan välja att lösa konfigurationsavvikelsen med hjälp av AWS Systems Manager Automation som är associerad med AWS-konfigurationsregeln. Använd Amazon CloudWatch för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna.

För granskning och framtvingande av resurskonfigurationer som inte stöds av AWS-konfigurationen kan du behöva skriva anpassade skript eller använda verktyg från tredje part för att implementera konfigurationsgranskningen och efterlevnaden.

Du kan också övervaka konfigurationen centralt genom att registrera ditt AWS-konto för att Microsoft Defender för molnet.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Använd Google Cloud Security Command Center för att konfigurera GCP. Använd Google Cloud Monitoring i Operations Suite för att skapa aviseringar när det finns konfigurationsavvikelser på resurserna.

För att styra dina organisationer använder du Organisationsprincip för att centralisera och programmatiskt styra organisationens molnresurser. Som administratör för organisationens princip kan du konfigurera begränsningar i hela resurshierarkin.

För granskning och framtvingande av resurskonfigurationer som inte stöds av organisationsprincipen kan du behöva skriva anpassade skript eller använda verktyg från tredje part för att implementera konfigurationsgranskningen och efterlevnaden.

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):

PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
4.1 CM-2, CM-6 2.2

Säkerhetsprincip: Definiera säkra konfigurationsbaslinjer för dina beräkningsresurser, till exempel virtuella datorer och containrar. Använd konfigurationshanteringsverktyg för att upprätta konfigurationsbaslinjen automatiskt före eller under distributionen av beräkningsresursen så att miljön kan vara kompatibel som standard efter distributionen. Du kan också använda en förkonfigurerad avbildning för att skapa den önskade konfigurationsbaslinjen i mallen för beräkningsresursens avbildning.


Azure-vägledning: Använd rekommenderade säkerhetsbaslinjer för operativsystemet i Azure (för både Windows och Linux) som riktmärke för att definiera baslinjen för beräkningsresurskonfiguration.

Dessutom kan du använda en anpassad VM-avbildning (med Azure Image Builder) eller containeravbildning med Azure Automanage Machine Configuration (kallades tidigare Azure Policy gästkonfiguration) och Azure Automation State Configuration för att upprätta önskad säkerhetskonfiguration.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Använd EC2 AWS Machine Images (AMI) från betrodda källor på Marketplace som riktmärke för att definiera din EC2-konfigurationsbaslinje.

Dessutom kan du använda EC2 Image Builder för att skapa en anpassad AMI-mall med en Systems Manager-agent för att upprätta önskad säkerhetskonfiguration. Obs! AWS Systems Manager-agenten är förinstallerad på vissa Amazon Machine Images (AMIs) som tillhandahålls av AWS.

För arbetsbelastningsprogram som körs i din EC2-instans, AWS Lambda eller containermiljö kan du använda AWS System Manager AppConfig för att upprätta önskad konfigurationsbaslinje.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Använd Google Cloud rekommenderade säkerhetsbaslinjer för operativsystem (för både Windows och Linux) som riktmärke för att definiera baslinjen för beräkningsresurskonfiguration.

Dessutom kan du använda en anpassad VM-avbildning med Packer Image Builder eller containeravbildning med Google Cloud Build-containeravbildning för att upprätta önskad konfigurationsbaslinje.

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):

PV-4: Granska och framtvinga säkra konfigurationer för beräkningsresurser

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
4.1 CM-2, CM-6 2.2

Säkerhetsprincip: Övervaka och avisera kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen i dina beräkningsresurser. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den icke-kompatibla konfigurationen eller distribuera en konfiguration i beräkningsresurser.


Azure-vägledning: Använd Microsoft Defender för moln- och Azure Automanage Machine Configuration (kallades tidigare Azure Policy gästkonfiguration) för att regelbundet utvärdera och åtgärda konfigurationsavvikelser för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätthålla operativsystemets säkerhetskonfiguration. Microsoft VM-mallar tillsammans med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav. Använd Ändringsspårning och inventering i Azure Automation för att spåra ändringar i virtuella datorer i Azure, lokalt och andra molnmiljöer som hjälper dig att identifiera drift- och miljöproblem med programvara som hanteras av Distribution Package Manager. Installera gästattesteringsagenten på virtuella datorer för att övervaka startintegriteten på konfidentiella virtuella datorer.

Obs! Azure Marketplace VM-avbildningar som publiceras av Microsoft hanteras och underhålls av Microsoft.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Använd AWS System Managers State Manager-funktion för att regelbundet utvärdera och åtgärda konfigurationsavvikelser på dina EC2-instanser. Dessutom kan du använda CloudFormation-mallar, anpassade operativsystemavbildningar för att upprätthålla operativsystemets säkerhetskonfiguration. AMI-mallar tillsammans med Systems Manager kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Du kan också centralt övervaka och hantera operativsystemets konfiguration genom Azure Automation State Configuration och registrera tillämpliga resurser för Azures säkerhetsstyrning med hjälp av följande metoder:

  • Registrera ditt AWS-konto i Microsoft Defender för molnet
  • Använda Azure Arc för servrar för att ansluta dina EC2-instanser till Microsoft Defender för molnet

För arbetsbelastningsprogram som körs i din EC2-instans, AWS Lambda eller containermiljö kan du använda AWS System Manager AppConfig för att granska och tillämpa önskad konfigurationsbaslinje.

Obs! AMI:er som publiceras av Amazon Web Services på AWS Marketplace hanteras och underhålls av Amazon Web Services.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Använd VM Manager och Google Cloud Security Command Center för att regelbundet utvärdera och åtgärda konfigurationsavvikelsen för dina beräkningsmotorinstanser, containrar och serverlösa kontrakt. Dessutom kan du använda VM-mallar för Distributionshanteraren, anpassade operativsystemavbildningar för att upprätthålla operativsystemets säkerhetskonfiguration. Mallar för vm-mallar i Distributionshanteraren tillsammans med VM Manager kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Du kan också centralt övervaka och hantera operativsystemets konfiguration genom Azure Automation State Configuration och registrera tillämpliga resurser för Azures säkerhetsstyrning med hjälp av följande metoder:

  • Registrera ditt GCP-projekt i Microsoft Defender för molnet
  • Använda Azure Arc för servrar för att ansluta dina GCP VM-instanser till Microsoft Defender för molnet

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):

PV-5: Utföra sårbarhetsbedömningar

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Säkerhetsprincip: Utför sårbarhetsbedömning för dina molnresurser på alla nivåer i ett fast schema eller på begäran. Spåra och jämför genomsökningsresultaten för att kontrollera att säkerhetsriskerna har åtgärdats. Utvärderingen bör innehålla alla typer av säkerhetsrisker, till exempel sårbarheter i Azure-tjänster, nätverk, webb, operativsystem, felkonfigurationer och så vidare.

Var medveten om de potentiella risker som är kopplade till den privilegierade åtkomst som används av sårbarhetsskannrarna. Följ bästa praxis för privilegierad åtkomstsäkerhet för att skydda alla administrativa konton som används för genomsökningen.


Azure-vägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL-servrar. Microsoft Defender för molnet har en inbyggd sårbarhetsskanner för virtuella datorer. Använd en tredjepartslösning för att utföra sårbarhetsbedömningar på nätverksenheter och program (t.ex. webbprogram)

Exportera genomsökningsresultat med konsekventa intervall och jämför resultaten med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för sårbarhetshantering som föreslås av Microsoft Defender för molnet kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.

När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera JIT-etableringsmetod (just-in-time) för genomsökningskontot. Autentiseringsuppgifter för genomsökningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

Obs! Microsoft Defender tjänster (inklusive Defender för servrar, containrar, App Service, databas och DNS) bäddar in vissa sårbarhetsbedömningsfunktioner. Aviseringarna som genereras från Azure Defender-tjänster bör övervakas och granskas tillsammans med resultatet från Microsoft Defender för sårbarhetsgenomsökningsverktyget i molnet.

Obs! Se till att du konfigurerar e-postaviseringar i Microsoft Defender för molnet.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Använd Amazon Inspector för att genomsöka dina Amazon EC2-instanser och containeravbildningar som finns i Amazon Elastic Container Registry (Amazon ECR) efter sårbarheter i programvara och oavsiktlig nätverksexponering. Använd en tredjepartslösning för att utföra sårbarhetsbedömningar på nätverksenheter och program (t.ex. webbprogram)

Se kontrollen ES-1, "Use Endpoint Detection and Response (EDR)", för att registrera ditt AWS-konto i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) i dina EC2-instanser. Microsoft Defender för servrar har en inbyggd Hantering av hot och säkerhetsrisker för dina virtuella datorer. Resultatet av sårbarhetsgenomsökningen konsolideras i instrumentpanelen Microsoft Defender för molnet.

Spåra statusen för sårbarhetsresultat för att säkerställa att de åtgärdas eller ignoreras korrekt om de anses vara falska positiva.

När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera en tillfällig etableringsmetod för genomsökningskontot. Autentiseringsuppgifter för genomsökningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Följ rekommendationerna från Microsoft Defender för molnet eller/och Google Cloud Security Command Center för att utföra sårbarhetsbedömningar på dina Compute Engine-instanser. Security Command Center har inbyggda sårbarhetsbedömningar på nätverksenheter och program (t.ex. webbsäkerhetsskanner)

Exportera genomsökningsresultat med konsekventa intervall och jämför resultaten med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för sårbarhetshantering som föreslås av Security Command Center kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.

GCP-implementering och ytterligare kontext:


Intressenter för kundsäkerhet (Läs mer):

PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: REPARATION AV FEL 6.1, 6.2, 6.5, 11.2

Säkerhetsprincip: Distribuera snabbt och automatiskt korrigeringar och uppdateringar för att åtgärda säkerhetsrisker i dina molnresurser. Använd lämplig riskbaserad metod för att prioritera reparationen av säkerhetsrisker. Till exempel bör allvarligare sårbarheter i en tillgång med högre värde åtgärdas som en högre prioritet.


Azure-vägledning: Använd Azure Automation Uppdateringshantering eller en lösning från tredje part för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och är inställt på att uppdateras automatiskt.

För programvara från tredje part använder du en korrigeringshanteringslösning från tredje part eller Microsoft System Center Uppdateringar Publisher för Configuration Manager.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Använd AWS Systems Manager – Patch Manager för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina operativsystem och program. Patch Manager stöder korrigeringsbaslinjer så att du kan definiera en lista över godkända och avvisade korrigeringar för dina system.

Du kan också använda Azure Automation Uppdateringshantering för att centralt hantera korrigeringar och uppdateringar av dina AWS EC2 Windows- och Linux-instanser.

För programvara från tredje part använder du en korrigeringshanteringslösning från tredje part eller Microsoft System Center Uppdateringar Publisher för Configuration Manager.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Använd Korrigeringshantering av operativsystemet i Google Cloud VM Manager eller en lösning från tredje part för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och ställts in på att uppdateras automatiskt.

För programvara från tredje part använder du en lösning för korrigeringshantering från tredje part eller Microsoft System Center Uppdateringar Publisher för konfigurationshantering.

GCP-implementering och ytterligare kontext:


Intressenter för kundsäkerhet (Läs mer):

PV-7: Utföra regelbundna röda teamåtgärder

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Säkerhetsprincip: Simulera verkliga attacker för att ge en mer fullständig bild av organisationens sårbarhet. Red Team-åtgärder och intrångstester kompletterar den traditionella sårbarhetsgenomsökningsmetoden för att identifiera risker.

Följ branschens bästa praxis för att utforma, förbereda och genomföra den här typen av testning för att säkerställa att den inte orsakar skada eller störningar i din miljö. Detta bör alltid omfatta att diskutera testningsomfång och begränsningar med relevanta intressenter och resursägare.


Azure-vägledning: Utför intrångstestning eller red team-aktiviteter på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas.

Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Utför vid behov intrångstester eller röda teamaktiviteter på dina AWS-resurser och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ AWS kundsupportpolicy för intrångstestning för att säkerställa att intrångstesterna inte bryter mot AWS-principerna.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Utför vid behov intrångstester eller röda teamaktiviteter på din GCP-resurs och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ GCP-kundsupportpolicyn för intrångstestning för att säkerställa att intrångstesterna inte bryter mot GCP-principer.

GCP-implementering och ytterligare kontext:


Intressenter för kundsäkerhet (Läs mer):