Dela via


Säkerhetskontroll v3: Hantering av hållning och sårbarhet

Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra Azures säkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i Azure-resurser.

PV-1: Definiera och upprätta säkra konfigurationer

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Säkerhetsprincip: Definiera de säkra konfigurationsbaslinjerna för olika resurstyper i molnet. Du kan också använda konfigurationshanteringsverktyg för att upprätta konfigurationsbaslinjen automatiskt före eller under resursdistributionen så att miljön kan vara kompatibel som standard efter distributionen.

Azure-vägledning: Använd Azure Security Benchmark och tjänstbaslinjen för att definiera konfigurationsbaslinjen för varje azure-erbjudande eller tjänst. Se Azure-referensarkitekturen och Cloud Adoption Framework-arkitekturen för landningszoner för att förstå de kritiska säkerhetskontroller och konfigurationer som kan behövas i Azure-resurser.

Använd Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer, inklusive Azure Resource Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-2: Granska och framtvinga säkra konfigurationer

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Säkerhetsprincip: Övervaka och varna kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den icke-kompatibla konfigurationen eller distribuera en konfiguration.

Azure-vägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna.

Använd Azure Policy [neka] och [distribuera om det inte finns] regel för att framtvinga säker konfiguration mellan Azure-resurser.

För granskning och tillämpning av resurskonfiguration som inte stöds av Azure Policy kan du behöva skriva egna skript eller använda verktyg från tredje part för att implementera konfigurationsgranskningen och efterlevnaden.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
4.1 CM-2, CM-6 2,2

Säkerhetsprincip: Definiera de säkra konfigurationsbaslinjerna för dina beräkningsresurser, till exempel virtuella datorer och containrar. Använd konfigurationshanteringsverktyg för att upprätta konfigurationsbaslinjen automatiskt före eller under distributionen av beräkningsresursen så att miljön kan vara kompatibel som standard efter distributionen. Du kan också använda en förkonfigurerad avbildning för att skapa den önskade konfigurationsbaslinjen i mallen för beräkningsresursens avbildning.

Azure-vägledning: Använd Azures rekommenderade operativsystembaslinje (för både Windows och Linux) som ett riktmärke för att definiera baslinjen för beräkningsresurskonfigurationen.

Dessutom kan du använda anpassad VM-avbildning eller containeravbildning med Azure Policy-gästkonfiguration och Azure Automation State Configuration för att upprätta önskad säkerhetskonfiguration.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-4: Granska och framtvinga säkra konfigurationer för beräkningsresurser

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
4.1 CM-2, CM-6 2,2

Säkerhetsprincip: Övervaka och avisera kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen i dina beräkningsresurser. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den icke-kompatibla konfigurationen eller distribuera en konfiguration i beräkningsresurser.

Azure-vägledning: Använd Gästkonfigurationsagenten för Microsoft Defender för molnet och Azure Policy för att regelbundet utvärdera och åtgärda konfigurationsavvikelser för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätthålla operativsystemets säkerhetskonfiguration. Microsoft VM-mallar tillsammans med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Obs! Azure Marketplace VM-avbildningar som publicerats av Microsoft hanteras och underhålls av Microsoft.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-5: Utföra sårbarhetsbedömningar

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Säkerhetsprincip: Utför sårbarhetsbedömning för dina molnresurser på alla nivåer i ett fast schema eller på begäran. Spåra och jämför genomsökningsresultaten för att kontrollera att säkerhetsriskerna har åtgärdats. Utvärderingen bör omfatta alla typer av sårbarheter, till exempel sårbarheter i Azure-tjänster, nätverk, webb, operativsystem, felkonfigurationer och så vidare.

Tänk på de potentiella risker som är kopplade till den privilegierade åtkomst som används av sårbarhetsskannrarna. Följ bästa praxis för privilegierad åtkomstsäkerhet för att skydda alla administrativa konton som används för genomsökningen.

Azure-vägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL-servrar. Microsoft Defender för molnet har en inbyggd sårbarhetsskanner för genomsökning av virtuella datorer. Använd en tredjepartslösning för att utföra sårbarhetsbedömningar på nätverksenheter och program (t.ex. webbprogram)

Exportera genomsökningsresultat med konsekventa intervall och jämför resultatet med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för sårbarhetshantering som föreslås av Microsoft Defender för molnet kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.

När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera JIT-etableringsmetod (just-in-time) för genomsökningskontot. Autentiseringsuppgifter för skanningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

Obs! Azure Defender-tjänster (inklusive Defender för server, containerregister, App Service, SQL och DNS) bäddar in vissa funktioner för sårbarhetsbedömning. Aviseringarna som genereras från Azure Defender-tjänster bör övervakas och granskas tillsammans med resultatet från sårbarhetsgenomsökningsverktyget i Microsoft Defender för molnet.

Obs! Se till att du konfigurerar e-postaviseringar i Microsoft Defender för molnet.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: FELREPARATION 6.1, 6.2, 6.5, 11.2

Säkerhetsprincip: Distribuera snabbt och automatiskt korrigeringar och uppdateringar för att åtgärda säkerhetsrisker i dina molnresurser. Använd lämplig riskbaserad metod för att prioritera reparationen av säkerhetsriskerna. Till exempel bör allvarligare sårbarheter i en tillgång med högre värde hanteras som en högre prioritet.

Azure-vägledning: Använd Azure Automation Update Management eller en lösning från tredje part för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och är inställt på att uppdateras automatiskt.

För programvara från tredje part använder du en lösning för uppdateringshantering från tredje part eller System Center Updates Publisher för Configuration Manager.

Prioritera vilka uppdateringar som ska distribueras först med hjälp av ett vanligt riskbedömningsprogram (till exempel Common Vulnerability Scoring System) eller standardriskklassificeringarna som tillhandahålls av ditt genomsökningsverktyg från tredje part och skräddarsy efter din miljö. Du bör också överväga vilka program som utgör en hög säkerhetsrisk och vilka som kräver hög drifttid.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PV-7: Genomför regelbundna röda teamoperationer

CIS Controls v8 ID(er) NIST SP 800-53 r4 ID(er) PCI-DSS ID:er v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Säkerhetsprincip: Simulera verkliga attacker för att ge en mer fullständig vy över organisationens sårbarhet. Red Team-åtgärder och intrångstestning kompletterar den traditionella metoden för sårbarhetsgenomsökning för att identifiera risker.

Följ branschens metodtips för att utforma, förbereda och utföra den här typen av testning för att säkerställa att den inte orsakar skador eller störningar i din miljö. Detta bör alltid omfatta diskussioner om testomfång och begränsningar med relevanta intressenter och resursägare.

Azure-vägledning: Utför vid behov intrångstestning eller red team-aktiviteter på dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att intrångstesterna inte bryter mot Microsofts principer. Använd Microsofts strategi och utförande av red team-operationer och penetrationstestning av aktiva webbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och applikationer.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):