Güvenlik Denetimi: Duruş ve güvenlik açığı yönetimi
Duruş ve Güvenlik Açığı Yönetimi, güvenlik açığı taraması, sızma testi ve düzeltmenin yanı sıra bulut kaynaklarında güvenlik yapılandırması izleme, raporlama ve düzeltme gibi bulut güvenliği duruşunu değerlendirme ve iyileştirme denetimlerine odaklanır.
PV-1: Güvenli yapılandırmaları tanımlama ve oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Güvenlik ilkesi: Buluttaki farklı kaynak türleri için güvenlik yapılandırma temellerini tanımlayın. Alternatif olarak, ortamın dağıtımdan sonra varsayılan olarak uyumlu olabilmesi için yapılandırma temelini kaynak dağıtımından önce veya kaynak dağıtımı sırasında otomatik olarak oluşturmak için yapılandırma yönetimi araçlarını kullanın.
Azure kılavuzu: İlgili Her azure teklifi veya hizmeti için yapılandırma temelinizi tanımlamak için Microsoft Bulut Güvenliği Karşılaştırması'nı ve hizmet temelini kullanın. Azure kaynaklarında gerekebilecek kritik güvenlik denetimlerini ve yapılandırmalarını anlamak için Azure başvuru mimarisine ve Bulut Benimseme Çerçevesi giriş bölgesi mimarisine bakın.
Azure Resource Manager şablonları, Azure RBAC denetimleri ve Azure İlkesi dahil olmak üzere hizmetlerin ve uygulama ortamlarının yapılandırmasını ayarlayarak iş yükü dağıtımını hızlandırmak için Azure giriş bölgesini (ve Şemaları) kullanın.
Azure uygulaması ve ek bağlamı:
- Kurumsal Ölçekli Giriş Bölgesi'nde Guardrails uygulamasının çizimi
- Bulut için Microsoft Defender'da güvenlik ilkeleriyle çalışma
- Öğretici: Uyumluluğu zorunlu tutmak için ilkeleri oluşturma ve yönetme
- Azure Blueprints
AWS kılavuzu: Aws'ye ve diğer girişlere yönelik çok bulutlu Microsoft Bulut Güvenliği Karşılaştırması kılavuzunu kullanarak ilgili AWS teklifleri veya hizmetleri için yapılandırma temelinizi tanımlayın. AWS kaynakları arasında gerekebilecek kritik güvenlik denetimlerini ve yapılandırmalarını anlamak için AWS Well-Architectured Framework'teki güvenlik yapılarına ve diğer yapı taşlarına bakın.
Hizmet ve uygulama ortamlarının dağıtımını ve yapılandırmasını otomatikleştirmek için AWS giriş bölgesi tanımında AWS CloudFormation şablonlarını ve AWS Yapılandırma kurallarını kullanın.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Her ilgili GCP teklifi veya hizmeti için yapılandırma temelinizi tanımlamak için Microsoft Bulut Güvenliği Karşılaştırması – GCP ve diğer girişler için çoklu bulut kılavuzu kullanın. Google Cloud dağıtımlarının temel şemalarındaki sütunlara ve giriş bölgesi tasarımına bakın.
Google Cloud için Terraform şema modüllerini kullanın ve yerel Google Cloud Deployment Manager'ı kullanarak hizmetlerin ve uygulama ortamlarının dağıtımını ve yapılandırmasını otomatikleştirin.
GCP uygulaması ve ek bağlam:
- Google Cloud'da giriş bölgesi tasarımı. Google Cloud için Terraform şemaları ve modülleri. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- Güvenlik temelleri şeması
- Google Cloud Deployment Manager
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PV-2: Güvenli yapılandırmaları denetleme ve zorlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Güvenlik ilkesi: Tanımlanan yapılandırma temelinden sapma olduğunda sürekli olarak izleyin ve uyarır. Uyumlu olmayan yapılandırmayı reddederek veya bir yapılandırma dağıtarak istenen yapılandırmayı temel yapılandırmaya göre zorunlu kılın.
Azure kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın.
Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] kurallarını kullanın.
Azure İlkesi tarafından desteklenmeyen kaynak yapılandırma denetimi ve zorlaması için özel betikler yazmanız veya yapılandırma denetimini ve zorlamasını uygulamak için üçüncü taraf araçları kullanmanız gerekebilir.
Azure uygulaması ve ek bağlamı:
- Azure İlkesi etkilerini anlama
- Uyumluluğu zorunlu tutmak için ilkeleri oluşturma ve yönetme
- Azure kaynaklarının uyumluluk verilerini alma
AWS kılavuzu: AWS kaynaklarınızın yapılandırmalarını denetlemek için AWS Yapılandırma kurallarını kullanın. Ayrıca AWS Config kuralıyla ilişkili AWS Systems Manager Otomasyonu'nu kullanarak yapılandırma kaymasını çözmeyi seçebilirsiniz. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Amazon CloudWatch kullanın.
AWS Config tarafından desteklenmeyen kaynak yapılandırması denetimi ve zorlaması için özel betikler yazmanız veya yapılandırma denetimini ve zorlamayı uygulamak için üçüncü taraf araçları kullanmanız gerekebilir.
Ayrıca AWS hesabınızı Bulut için Microsoft Defender'e ekleyerek yapılandırma kaymalarınızı merkezi olarak izleyebilirsiniz.
AWS uygulaması ve ek bağlam:
- AWS Yapılandırma Kurallarına Göre Uyumsuz AWS Kaynaklarını Düzeltme
- Yığınlarda ve kaynaklarda yönetilmeyen yapılandırma değişikliklerini algılama
- AWS Yapılandırma Uyumluluk Paketi
GCP kılavuzu: GCP'yi yapılandırmak için Google Cloud Security Komut Merkezi'ni kullanın. Kaynaklarda yapılandırma sapması algılandığında uyarılar oluşturmak için Operations Suite'te Google Bulut İzleme'yi kullanın.
Kuruluşlarınızı yönetmek için Kuruluşunuzun bulut kaynaklarını merkezileştirmek ve program aracılığıyla denetlemek için Kuruluş İlkesi'ni kullanın. Kuruluş ilkesi yöneticisi olarak tüm kaynak hiyerarşinizde kısıtlamaları yapılandırabileceksiniz.
Kuruluş İlkesi tarafından desteklenmeyen kaynak yapılandırma denetimi ve zorlaması için özel betikler yazmanız veya yapılandırma denetimini ve zorlamayı uygulamak için üçüncü taraf araçları kullanmanız gerekebilir.
GCP uygulaması ve ek bağlam:
- Kuruluş İlkesi Hizmeti'ne giriş.
- Uyumluluk kaynak merkezi.
- Google Cloud'un operasyon paketi (eski adıyla Stackdriver)
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PV-3: İşlem kaynakları için güvenli yapılandırmalar tanımlama ve oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Güvenlik ilkesi: VM'ler ve kapsayıcılar gibi işlem kaynaklarınız için güvenli yapılandırma temellerini tanımlayın. Yapılandırma temelini işlem kaynağı dağıtımından önce veya sırasında otomatik olarak oluşturmak için yapılandırma yönetimi araçlarını kullanın, böylece ortam dağıtımdan sonra varsayılan olarak uyumlu olabilir. Alternatif olarak, işlem kaynağı görüntüsü şablonunda istenen yapılandırma temelini oluşturmak için önceden yapılandırılmış bir görüntü kullanın.
Azure kılavuzu: İşlem kaynağı yapılandırma temelinizi tanımlamak için karşılaştırma olarak Azure tarafından önerilen işletim sistemi güvenlik temellerini (hem Windows hem de Linux için) kullanın.
Ayrıca, Azure Otomatik Yönetim Makine Yapılandırması (eski adıyla Azure İlkesi Konuk Yapılandırması) ile özel bir VM görüntüsü (Azure Image Builder kullanarak) veya kapsayıcı görüntüsü kullanabilir ve istenen güvenlik yapılandırmasını oluşturmak için Azure Otomasyonu State Configuration.
Azure uygulaması ve ek bağlamı:
- Linux işletim sistemi güvenlik yapılandırma temeli
- Windows işletim sistemi güvenlik yapılandırma temeli
- İşlem kaynakları için güvenlik yapılandırması önerisi
- Azure Otomasyonu State Configuration Genel Bakış
AWS kılavuzu: EC2 yapılandırma temelinizi tanımlamak için bir karşılaştırma olarak market üzerindeki güvenilir kaynaklardan EC2 AWS Makine Görüntüleri'ni (AMI) kullanın.
Ek olarak, istenen güvenlik yapılandırmasını oluşturmak üzere bir Systems Manager aracısı ile özel AMI şablonu oluşturmak için EC2 Görüntü Oluşturucusu'nu kullanabilirsiniz. Not: AWS Systems Manager Aracısı, AWS tarafından sağlanan bazı Amazon Machine Images'a (AMI) önceden yüklenmiştir.
EC2 örnekleriniz, AWS Lambda veya kapsayıcılar ortamınızda çalışan iş yükü uygulamaları için, istenen yapılandırma temelini oluşturmak için AWS System Manager AppConfig'i kullanabilirsiniz.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: İşlem kaynağı yapılandırma temelinizi tanımlamak için karşılaştırma olarak Google Cloud tarafından önerilen işletim sistemi güvenlik temellerini (hem Windows hem de Linux için) kullanın.
Ayrıca, Packer Görüntü Oluşturucusu'nu kullanarak özel bir VM görüntüsü veya istenen yapılandırma temelini oluşturmak için Google Cloud Build kapsayıcı görüntüsüyle kapsayıcı görüntüsü kullanabilirsiniz.
GCP uygulaması ve ek bağlam:
- Google Compute Engine Görüntüleri.
- Görüntü yönetimi için en iyi yöntemler
- Kapsayıcı görüntüleri oluşturun.
- Packer kullanarak VM görüntüleri oluşturma
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PV-4: İşlem kaynakları için güvenli yapılandırmaları denetleme ve zorlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Güvenlik ilkesi: İşlem kaynaklarınızda tanımlı yapılandırma temelinden sapma olduğunda sürekli olarak izleyin ve uyarır. Uyumlu olmayan yapılandırmayı reddederek veya işlem kaynaklarına bir yapılandırma dağıtarak istenen yapılandırmayı temel yapılandırmaya göre zorunlu kılın.
Azure kılavuzu: VM'ler, kapsayıcılar ve diğerleri dahil olmak üzere Azure işlem kaynaklarınızdaki yapılandırma sapmalarını düzenli olarak değerlendirmek ve düzeltmek için Bulut ve Azure Otomatik Yönetim Makine Yapılandırması (eski adıyla Azure İlkesi Konuk Yapılandırması) için Microsoft Defender kullanın. Ayrıca, işletim sisteminin güvenlik yapılandırmasını korumak için Azure Resource Manager şablonlarını, özel işletim sistemi görüntülerini veya Azure Otomasyonu State Configuration kullanabilirsiniz. Azure Otomasyonu State Configuration ile birlikte Microsoft VM şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir. Dağıtım Paketi Yöneticisi tarafından yönetilen yazılımlarla ilgili işletimsel ve çevresel sorunları saptamanıza yardımcı olmak üzere Azure'da, şirket içinde ve diğer bulut ortamlarında barındırılan sanal makinelerdeki değişiklikleri izlemek için Azure Otomasyonu'daki Değişiklik İzleme ve Envanter kullanın. Gizli sanal makinelerde önyükleme bütünlüğünü izlemek için sanal makinelere Konuk Kanıtlama aracısını yükleyin.
Not: Azure Market Microsoft tarafından yayımlanan VM görüntüleri Microsoft tarafından yönetilir ve korunur.
Azure uygulaması ve ek bağlam:
- Bulut güvenlik açığı değerlendirme önerileri için Microsoft Defender uygulama
- ARM şablonundan Azure sanal makinesi oluşturma
- Azure Otomasyonu State Configuration genel bakış
- Azure portal bir Windows sanal makinesi oluşturma
- Bulut için Microsoft Defender'da kapsayıcı güvenliği
- Değişiklik İzleme ve Envanter genel bakış
- Gizli VM'ler için konuk kanıtlama
AWS kılavuzu: EC2 örneklerinizdeki yapılandırma sapmalarını düzenli olarak değerlendirmek ve düzeltmek için AWS System Manager'ın State Manager özelliğini kullanın. Ayrıca, işletim sisteminin güvenlik yapılandırmasını korumak için CloudFormation şablonlarını, özel işletim sistemi görüntülerini kullanabilirsiniz. Systems Manager ile birlikte AMI şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir.
Ayrıca aşağıdaki yöntemleri kullanarak işletim sistemi yapılandırma kaymalarını merkezi olarak izleyebilir ve Azure Otomasyonu State Configuration yönetebilir ve geçerli kaynakları Azure güvenlik idaresine ekleyebilirsiniz:
- AWS hesabınızı Bulut için Microsoft Defender ekleme
- EC2 örneklerinizi Bulut için Microsoft Defender bağlamak üzere sunucular için Azure Arc'ı kullanma
EC2 örneklerinizde, AWS Lambda veya kapsayıcı ortamınızda çalışan iş yükü uygulamaları için, istenen yapılandırma temelini denetlemek ve uygulamak için AWS System Manager AppConfig'i kullanabilirsiniz.
Not: AWS Market'te Amazon Web Services tarafından yayımlanan AMI'ler Amazon Web Services tarafından yönetilir ve korunur.
AWS uygulaması ve ek bağlamı:
- AWS System Manager State Manager
- AWS hesaplarınızı Bulut için Microsoft Defender bağlama
- Azure Otomasyonu State Configuration özelliğini etkinleştirme
GCP kılavuzu: İşlem Motoru örneklerinizin, Kapsayıcılarınızın ve Sunucusuz sözleşmelerinizin yapılandırma sapması değerlerini düzenli olarak değerlendirmek ve düzeltmek için VM Manager ve Google Cloud Security Komut Merkezi'ni kullanın. Ayrıca, işletim sisteminin güvenlik yapılandırmasını korumak için Deployment Manager VM şablonlarını, özel işletim sistemi görüntülerini kullanabilirsiniz. Vm Manager ile birlikte Deployment Manager VM şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir.
Ayrıca aşağıdaki yöntemleri kullanarak işletim sistemi yapılandırma kaymalarını merkezi olarak izleyebilir ve Azure Otomasyonu State Configuration yönetebilir ve geçerli kaynakları Azure güvenlik idaresine ekleyebilirsiniz:
- GCP projenizi Bulut için Microsoft Defender ekleme
- GCP VM örneklerinizi Bulut için Microsoft Defender bağlamak üzere sunucular için Azure Arc'ı kullanma
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Güvenlik ilkesi: Sabit bir zamanlama veya isteğe bağlı olarak tüm katmanlarda bulut kaynaklarınız için güvenlik açığı değerlendirmesi gerçekleştirin. Güvenlik açıklarının giderildiğinden emin olmak için tarama sonuçlarını izleyin ve karşılaştırın. Değerlendirme, Azure hizmetleri, ağ, web, işletim sistemleri, yanlış yapılandırmalar vb. gibi tüm güvenlik açıklarını içermelidir.
Güvenlik açığı tarayıcıları tarafından kullanılan ayrıcalıklı erişimle ilişkili olası risklere dikkat edin. Tarama için kullanılan tüm yönetim hesaplarının güvenliğini sağlamak için ayrıcalıklı erişim güvenliği en iyi uygulamasını izleyin.
Azure kılavuzu: Azure sanal makinelerinizde, kapsayıcı görüntülerinizde ve SQL sunucularınızda güvenlik açığı değerlendirmeleri gerçekleştirmek için Bulut için Microsoft Defender önerileri izleyin. Bulut için Microsoft Defender sanal makineler için yerleşik bir güvenlik açığı tarayıcısı vardır. Ağ cihazlarında ve uygulamalarında (ör. web uygulamaları) güvenlik açığı değerlendirmeleri gerçekleştirmek için üçüncü taraf bir çözüm kullanın
Tarama sonuçlarını tutarlı aralıklarla dışarı aktarın ve güvenlik açıklarının düzeltildiğini doğrulamak için sonuçları önceki taramalarla karşılaştırın. Bulut için Microsoft Defender tarafından önerilen güvenlik açığı yönetimi önerilerini kullanırken, geçmiş tarama verilerini görüntülemek için seçilen tarama çözümünün portalında özetleyebilirsiniz.
Uzaktan taramalar yaparken tek, kalıcı bir yönetim hesabı kullanmayın. Tarama hesabı için JIT (Tam Zamanında) sağlama metodolojisi uygulamayı göz önünde bulundurun. Tarama hesabının kimlik bilgileri korunmalıdır, izlenmelidir ve yalnızca güvenlik açığı taraması için kullanılmalıdır.
Not: Microsoft Defender hizmetleri (sunucular, kapsayıcılar, App Service, Veritabanı ve DNS için Defender dahil) belirli güvenlik açığı değerlendirme özelliklerini ekler. Azure Defender hizmetlerinden oluşturulan uyarılar, Bulut için Microsoft Defender güvenlik açığı tarama aracının sonucuyla birlikte izlenmeli ve gözden geçirilmelidir.
Not: Bulut için Microsoft Defender'da e-posta bildirimleri oluşturduğunuzdan emin olun.
Azure uygulaması ve ek bağlam:
- Bulut güvenlik açığı değerlendirme önerileri için Microsoft Defender uygulama
- Sanal makineler için tümleşik güvenlik açığı tarayıcısı
- SQL güvenlik açığı değerlendirmesi
- Bulut için Microsoft Defender güvenlik açığı tarama sonuçlarını dışarı aktarma
AWS kılavuzu: Amazon Elastic Container Registry'de (Amazon ECR) bulunan Amazon EC2 örneklerinizi ve kapsayıcı görüntülerinizi yazılım güvenlik açıklarına ve istenmeyen ağ maruziyetine karşı taramak için Amazon Inspector'ı kullanın. Ağ cihazlarında ve uygulamalarında (ör. web uygulamaları) güvenlik açığı değerlendirmeleri gerçekleştirmek için üçüncü taraf bir çözüm kullanın
AWS hesabınızı Bulut için Microsoft Defender eklemek ve EC2 örneklerinizde sunucular için Microsoft Defender (Uç Nokta için Microsoft Defender tümleşik) dağıtmak için "Uç Nokta Algılama ve Yanıt (EDR)" kullanma" denetim ES-1'e bakın. Sunucular için Microsoft Defender, VM'leriniz için yerel bir Tehdit ve Güvenlik Açığı Yönetimi özelliği sağlar. Güvenlik açığı tarama sonucu Bulut için Microsoft Defender panosunda birleştirilir.
Hatalı pozitif olarak kabul edildiklerinde düzgün bir şekilde düzeltildiğinden veya gizlendiklerinden emin olmak için güvenlik açığı bulgularının durumunu izleyin.
Uzaktan taramalar yaparken tek, kalıcı bir yönetim hesabı kullanmayın. Tarama hesabı için geçici bir sağlama metodolojisi uygulamayı göz önünde bulundurun. Tarama hesabının kimlik bilgileri korunmalıdır, izlenmelidir ve yalnızca güvenlik açığı taraması için kullanılmalıdır.
AWS uygulaması ve ek bağlamı:
- Amazon Inspector
- Uç Nokta için Microsoft Defender'ın tehdit ve güvenlik açığı yönetiminin zayıf yönlerini araştırma
GCP kılavuzu: İşlem Altyapısı örneklerinizde güvenlik açığı değerlendirmeleri gerçekleştirmek için Bulut veya/ve Google Cloud Security Komut Merkezi için Microsoft Defender önerilerine uyun. Güvenlik Komut Merkezi' nin ağ cihazları ve uygulamalarında yerleşik güvenlik açığı değerlendirmeleri vardır (örneğin, Web Güvenlik Tarayıcısı)
Tarama sonuçlarını tutarlı aralıklarla dışarı aktarın ve güvenlik açıklarının düzeltildiğini doğrulamak için sonuçları önceki taramalarla karşılaştırın. Güvenlik Komut Merkezi tarafından önerilen güvenlik açığı yönetimi önerilerini kullanırken, geçmiş tarama verilerini görüntülemek için seçilen tarama çözümünün portalına özetleyebilirsiniz.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PV-6: Güvenlik açıklarını hızlı ve otomatik olarak düzeltme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: KUSUR DÜZELTME | 6.1, 6.2, 6.5, 11.2 |
Güvenlik ilkesi: Bulut kaynaklarınızdaki güvenlik açıklarını düzeltmek için düzeltme eklerini ve güncelleştirmeleri hızla ve otomatik olarak dağıtın. Güvenlik açıklarının düzeltilmesine öncelik vermek için uygun risk tabanlı yaklaşımı kullanın. Örneğin, daha yüksek değerli bir varlıktaki daha ciddi güvenlik açıkları daha yüksek öncelikli olarak ele alınmalıdır.
Azure kılavuzu: En son güvenlik güncelleştirmelerinin Windows ve Linux VM'lerinize yüklendiğinden emin olmak için Güncelleştirme Yönetimi'ni veya üçüncü taraf bir çözümü Azure Otomasyonu kullanın. Windows VM'leri için Windows Update etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.
Üçüncü taraf yazılımlarda, üçüncü taraf düzeltme eki yönetim çözümünü veya Configuration Manager için Microsoft System Center Güncelleştirmeler Publisher'ı kullanın.
Azure uygulaması ve ek bağlamı:
- Azure'da sanal makineler için Güncelleştirme Yönetimi'nin yapılandırılması
- Azure VM'leriniz için güncelleştirmeleri ve düzeltme eklerini yönetme
AWS kılavuzu: en son güvenlik güncelleştirmelerinin işletim sistemlerinize ve uygulamalarınıza yüklendiğinden emin olmak için AWS Systems Manager - Patch Manager'ı kullanın. Patch Manager, sistemleriniz için onaylanan ve reddedilen düzeltme eklerinin listesini tanımlamanıza olanak sağlamak için düzeltme eki taban çizgilerini destekler.
AWS EC2 Windows ve Linux örneklerinizin düzeltme eklerini ve güncelleştirmelerini merkezi olarak yönetmek için Azure Otomasyonu Güncelleştirme Yönetimi'ni de kullanabilirsiniz.
Üçüncü taraf yazılımlarda, üçüncü taraf düzeltme eki yönetim çözümünü veya Configuration Manager için Microsoft System Center Güncelleştirmeler Publisher'ı kullanın.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: En son güvenlik güncelleştirmelerinin Windows ve Linux VM'lerinize yüklendiğinden emin olmak için Google Cloud VM Manager işletim sistemi yama yönetimini veya üçüncü taraf bir çözümü kullanın. Windows VM'leri için Windows Update etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.
Üçüncü taraf yazılımlarda, yapılandırma yönetimi için bir üçüncü taraf düzeltme eki yönetim çözümü veya Microsoft System Center Güncelleştirmeler Publisher kullanın.
GCP uygulaması ve ek bağlam:
- VM Yöneticisi.
- İşletim sistemi düzeltme eki yönetimi
- Google Kubernetes Engine (GKE). Güvenlik düzeltme eki uygulama
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PV-7: Düzenli olarak kırmızı takım operasyonları gerçekleştirin
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Güvenlik ilkesi: Kuruluşunuzun güvenlik açığının daha eksiksiz bir görünümünü sağlamak için gerçek dünya saldırılarının benzetimini yapın. Kırmızı takım operasyonları ve sızma testi, riskleri keşfetmek için geleneksel güvenlik açığı tarama yaklaşımını tamamlar.
Ortamınıza zarar vermediğinden veya kesintiye neden olmadığından emin olmak için bu tür testler tasarlamak, hazırlamak ve yürütmek için sektörün en iyi uygulamalarını izleyin. Bu her zaman ilgili proje katılımcıları ve kaynak sahipleri ile test kapsamını ve kısıtlamaları tartışmayı içermelidir.
Azure kılavuzu: Gerektiğinde, Azure kaynaklarınızda sızma testi veya kırmızı ekip etkinlikleri gerçekleştirin ve tüm kritik güvenlik bulgularının düzeltilmesini sağlayın.
Sızma testlerinizin Microsoft ilkelerini ihlal etmediğinden emin olmak için Microsoft Bulut Sızma Testi Etkileşim Kuralları'na uygun hareket edin. Microsoft tarafından yönetilen bulut altyapısına, hizmetlere ve uygulamalara yönelik kırmızı takım ve canlı site sızma testi gerçekleştirmek için Microsoft'un stratejisini ve yürütme sürecini kullanın.
Azure uygulaması ve ek bağlamı:
- Azure'da sızma testi yapma
- Sızma Testi Etkileşim Kuralları
- Microsoft Bulut ile Kırmızı Takım Oluşturma
- Bilgi Güvenliği Testi ve Değerlendirmesi için Teknik Kılavuz
AWS kılavuzu: Gerektiğinde AWS kaynaklarınızda sızma testi veya kırmızı ekip etkinlikleri gerçekleştirin ve tüm kritik güvenlik bulgularının düzeltilmesini sağlayın.
Sızma testlerinizin AWS ilkelerini ihlal etmediğinden emin olmak için Sızma Testi için AWS Müşteri Desteği İlkesi'ni izleyin.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Gerektiğinde GCP kaynağınızda sızma testi veya kırmızı ekip etkinlikleri gerçekleştirin ve tüm kritik güvenlik bulgularının düzeltilmesini sağlayın.
Sızma testlerinizin GCP ilkelerini ihlal etmediğinden emin olmak için Sızma Testi için GCP Müşteri Desteği İlkesi'ni izleyin.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):