Security Control V2: Hantering av hållning och sårbarhet
Anteckning
Den senaste Azure Security Benchmark finns här.
Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra Azures säkerhetsstatus. Detta omfattar sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i Azure-resurser.
Mer information om det inbyggda Azure Policy finns i Information om det inbyggda initiativet Azure Security Benchmark Regulatory Compliance: Posture and Vulnerability Management
PV-1: Upprätta säkra konfigurationer för Azure-tjänster
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Definiera säkerhetsräcken för infrastruktur- och DevOps-team genom att göra det enkelt att konfigurera de Azure-tjänster som de använder på ett säkert sätt.
Starta din säkerhetskonfiguration av Azure-tjänster med tjänstbaslinjerna i Azure Security Benchmark och anpassa efter behov för din organisation.
Använd Azure Security Center för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser.
Du kan använda Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer, inklusive Azure Resource Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
PV-2: Underhåll säkra konfigurationer för Azure-tjänster
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Använd Azure Security Center för att övervaka konfigurationsbaslinjen och använd regeln Azure Policy [neka] och [distribuera om den inte finns] för att framtvinga säker konfiguration över Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
PV-3: Upprätta säkra konfigurationer för beräkningsresurser
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Använd Azure Security Center och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer, containrar och andra. Dessutom kan du använda anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätta säkerhetskonfigurationen för det operativsystem som krävs av din organisation.
Ladda upp en virtuell hårddisk och använd den för att skapa nya virtuella Windows-datorer i Azure
Skapa en virtuell Linux-dator från en anpassad disk med Azure CLI
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
PV-4: Upprätthålla säkra konfigurationer för beräkningsresurser
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Använd Azure Security Center och Azure Policy för att regelbundet utvärdera och åtgärda konfigurationsrisker för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätthålla säkerhetskonfigurationen för det operativsystem som krävs av din organisation. Microsoft VM-mallar tillsammans med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.
Observera också att Azure Marketplace VM-avbildningar som publiceras av Microsoft hanteras och underhålls av Microsoft.
Azure Security Center kan också söka igenom säkerhetsrisker i containeravbildningar och utföra kontinuerlig övervakning av Docker-konfigurationen i containrar, baserat på CIS Docker Benchmark. Du kan använda sidan Azure Security Center rekommendationer för att visa rekommendationer och åtgärda problem.
Så här implementerar du rekommendationer för Azure Security Center sårbarhetsbedömning
Exempelskript för att överföra en virtuell hårddisk till Azure och skapa en ny virtuell dator
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):
PV-5: Lagra anpassade operativsystem och containeravbildningar på ett säkert sätt
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar. Använd en Azure-Shared Image Gallery för att dela dina bilder med olika användare, tjänsthuvudnamn eller AD-grupper i din organisation. Lagra containeravbildningar i Azure Container Registry och använd Azure RBAC för att säkerställa att endast behöriga användare har åtkomst.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
PV-6: Utföra sårbarhetsbedömningar för programvara
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Följ rekommendationerna från Azure Security Center för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL-servrar. Azure Security Center har en inbyggd sårbarhetsskanner för genomsökning av virtuella datorer.
Använd en lösning från tredje part för att utföra sårbarhetsbedömningar på nätverksenheter och webbprogram. När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera JIT-etableringsmetod (just-in-time) för genomsökningskontot. Autentiseringsuppgifterna för genomsökningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.
Exportera genomsökningsresultat med konsekventa intervall och jämför resultaten med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för sårbarhetshantering som föreslås av Azure Security Center kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.
Så här implementerar du rekommendationer för Azure Security Center sårbarhetsbedömning
Exportera Azure Security Center resultat av sårbarhetsgenomsökning
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Distribuera programuppdateringar snabbt för att åtgärda sårbarheter i programvara i operativsystem och program.
Använd ett vanligt riskbedömningsprogram (till exempel Common Vulnerability Scoring System) eller standardriskklassificeringarna som tillhandahålls av ditt genomsökningsverktyg från tredje part och skräddarsy det efter din miljö, med hänsyn till vilka program som utgör en hög säkerhetsrisk och vilka som kräver hög drifttid.
Använd Azure Automation Uppdateringshantering eller en lösning från tredje part för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och är inställt på att uppdateras automatiskt.
För programvara från tredje part använder du en lösning för korrigeringshantering från tredje part eller System Center Uppdateringar Publisher för Configuration Manager.
Så här konfigurerar du uppdateringshantering för virtuella datorer i Azure
Hantera uppdateringar och korrigeringar för dina virtuella Azure-datorer
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
PV-8: Utför regelbundna angreppssimuleringar
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):