安全控制:状况和漏洞管理
状况和漏洞管理侧重于评估和改进云安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及云资源中的安全配置跟踪、报告和更正。
PV-1:定义并建立安全配置
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.1、4.2 | CM-2、CM-6 | 1.1 |
安全原则:为云中的不同资源类型定义安全配置基线。 或者,使用配置管理工具在资源部署之前或期间自动建立配置基线,以便在部署后默认情况下环境符合要求。
Azure 指南:使用 Microsoft 云安全基准和服务基线为每个相应的 Azure 产品/服务定义配置基线。 请参阅 Azure 参考体系结构和云采用框架登陆区域体系结构,了解跨 Azure 资源可能需要的关键安全控制和配置。
使用 Azure 登陆区域 (和蓝图) 通过设置服务和应用程序环境(包括 Azure 资源管理器模板、Azure RBAC 控件和Azure Policy)的配置来加速工作负载部署。
Azure 实现和其他上下文:
AWS 指南:使用适用于 AWS 的 Microsoft 云安全基准 - 多云指南和其他输入来定义每个 AWS 产品/服务的配置基线。 请参阅 AWS Well-Architectured 框架中的安全支柱和其他支柱,了解跨 AWS 资源可能需要的关键安全控制和配置。
使用 AWS 登陆区域定义中的 AWS CloudFormation 模板和 AWS 配置规则自动部署和配置服务和应用程序环境。
AWS 实现和其他上下文:
GCP 指南:使用 Microsoft 云安全基准 - GCP 的多云指南和其他输入来为每个相应的 GCP 产品/服务定义配置基线。 请参阅 Google Cloud 部署基础蓝图和登陆区域设计中的支柱。
使用适用于 Google Cloud 的 Terraform 蓝图模块,并使用本机 Google Cloud Deployment Manager 自动部署和配置服务和应用程序环境。
GCP 实现和其他上下文:
- Google Cloud 中的登陆区域设计。 Google Cloud 的 Terraform 蓝图和模块。 https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- 安全基础蓝图
- Google Cloud Deployment Manager
客户安全利益干系人 (了解) 的详细信息:
PV-2:审核并强制执行安全配置
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.1、4.2 | CM-2、CM-6 | 2.2 |
安全原则:如果与定义的配置基线存在偏差,则持续监视并发出警报。 通过拒绝不合规的配置或部署配置,根据基线配置强制实施所需的配置。
Azure 指导:使用 Microsoft Defender for Cloud 配置 Azure Policy,以审核和强制实施 Azure 资源的配置。 使用 Azure Monitor 在资源上检测到配置偏差时创建警报。
使用Azure Policy [拒绝] 和 [如果不存在则部署] 规则跨 Azure 资源强制实施安全配置。
对于Azure Policy不支持的资源配置审核和强制实施,可能需要编写自定义脚本或使用第三方工具来实现配置审核和实施。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 配置规则审核 AWS 资源的配置。 还可以选择使用与 AWS Config 规则关联的 AWS Systems Manager 自动化来解决配置偏移。 使用 Amazon CloudWatch 在检测到资源上存在配置偏差时创建警报。
对于 AWS Config 不支持的资源配置审核和强制实施,可能需要编写自定义脚本或使用第三方工具来实现配置审核和实施。
还可以通过将 AWS 帐户加入到 Microsoft Defender for Cloud 来集中监视配置偏移。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud Security Command Center 配置 GCP。 使用 Operations Suite 中的 Google Cloud Monitoring 在资源上检测到配置偏差时创建警报。
若要治理组织,请使用组织策略集中和以编程方式控制组织的云资源。 作为组织策略管理员,你将能够在整个资源层次结构中配置约束。
对于组织策略不支持的资源配置审核和强制实施,可能需要编写自定义脚本,或使用第三方工具来实现配置审核和实施。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
PV-3:定义并建立计算资源的安全配置
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.1 | CM-2、CM-6 | 2.2 |
安全原则:为计算资源(如 VM 和容器)定义安全配置基线。 使用配置管理工具在计算资源部署之前或期间自动建立配置基线,以便在部署后默认情况下环境符合要求。 或者,使用预配置的映像将所需的配置基线构建到计算资源映像模板中。
Azure 指南:使用适用于 Windows 和 Linux) 的 Azure 推荐的操作系统安全基线 (作为基准来定义计算资源配置基线。
此外,可以将自定义 VM 映像 (与 Azure 映像生成器) 或容器映像配合使用, (以前称为 Azure Policy 来宾配置) 和Azure 自动化 State Configuration来建立所需的安全配置。
Azure 实现和其他上下文:
AWS 指南:使用来自市场上受信任源的 EC2 AWS 计算机映像 (AMI) 作为基准来定义 EC2 配置基线。
此外,可以使用 EC2 映像生成器通过 Systems Manager 代理生成自定义 AMI 模板,以建立所需的安全配置。 注意:AWS 系统管理器代理预安装在 AWS 提供的一些 Amazon Machine Images (ACI) 上。
对于在 EC2 实例、AWS Lambda 或容器环境中运行的工作负载应用程序,可以使用 AWS System Manager AppConfig 建立所需的配置基线。
AWS 实现和其他上下文:
GCP 指南:使用适用于 Windows 和 Linux) 的 Google Cloud 推荐的操作系统安全基线 (作为基准来定义计算资源配置基线。
此外,可以使用 Packer 映像生成器的自定义 VM 映像,或将容器映像与 Google Cloud Build 容器映像配合使用来建立所需的配置基线。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
PV-4:审核并强制执行计算资源的安全配置
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.1 | CM-2、CM-6 | 2.2 |
安全原则:如果计算资源中与定义的配置基线存在偏差,则持续监视并发出警报。 通过拒绝不合规的配置或在计算资源中部署配置,根据基线配置强制实施所需的配置。
Azure 指南:使用 Microsoft Defender for Cloud 和 Azure Automanage 计算机配置 (以前称为Azure Policy来宾配置) 定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。 此外,还可以使用 Azure 资源管理器模板、自定义操作系统映像或 Azure Automation State Configuration 来维护操作系统的安全配置。 Microsoft VM 模板与 Azure Automation State Configuration 结合使用有助于满足和维护安全要求。 使用 Azure 自动化 中的更改跟踪和清单跟踪 Azure、本地和其他云环境中托管的虚拟机的更改,以帮助查明分发包管理器管理的软件的操作和环境问题。 在虚拟机上安装来宾证明代理,以监视机密虚拟机上的启动完整性。
注意:由 Microsoft 发布的 Azure 市场 VM 映像由 Microsoft 管理和维护。
Azure 实现和其他上下文:
- 如何实现 Microsoft Defender for Cloud 漏洞评估建议
- 如何从 ARM 模板创建 Azure 虚拟机
- Azure Automation State Configuration 概述
- 在 Azure 门户中创建 Windows 虚拟机
- Microsoft Defender for Cloud 中的容器安全
- 更改跟踪和清单概述
- 机密 VM 的来宾证明
AWS 指导:使用 AWS System Manager 的状态管理器功能定期评估和修正 EC2 实例上的配置偏差。 此外,还可以使用 CloudFormation 模板、自定义操作系统映像来维护操作系统的安全配置。 AMI 模板与 Systems Manager 结合使用有助于满足和维护安全要求。
还可以通过Azure 自动化 State Configuration集中监视和管理操作系统配置偏差,并使用以下方法将适用的资源加入 Azure 安全治理:
- 将 AWS 帐户加入 Microsoft Defender for Cloud
- 使用适用于服务器的 Azure Arc 将 EC2 实例连接到 Microsoft Defender for Cloud
对于在 EC2 实例、AWS Lambda 或容器环境中运行的工作负载应用程序,可以使用 AWS System Manager AppConfig 审核和强制实施所需的配置基线。
注意:AWS 市场中由 Amazon Web Services 发布的 ACI 由 Amazon Web Services 管理和维护。
AWS 实现和其他上下文:
- AWS System Manager 状态管理器
- 将 AWS 帐户连接到 Microsoft Defender for Cloud
- 启用 Azure Automation State Configuration
GCP 指南:使用 VM 管理器和 Google Cloud Security 命令中心定期评估和修正计算引擎实例、容器和无服务器合约的配置偏差。 此外,还可以使用部署管理器 VM 模板和自定义操作系统映像来维护操作系统的安全配置。 部署管理器 VM 模板模板与 VM 管理器结合使用可以帮助满足和维护安全要求。
还可以通过Azure 自动化 State Configuration集中监视和管理操作系统配置偏差,并使用以下方法将适用的资源加入 Azure 安全治理:
- 将 GCP 项目载入 Microsoft Defender for Cloud
- 使用适用于服务器的 Azure Arc 将 GCP VM 实例连接到 Microsoft Defender for Cloud
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
PV-5:执行漏洞评估
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
5.5、7.1、7.5、7.6 | RA-3、RA-5 | 6.1、6.2、6.6 |
安全原则:按固定计划或按需对所有层级的云资源执行漏洞评估。 跟踪和比较扫描结果,以验证是否已修正漏洞。 评估应包括所有类型的漏洞,例如 Azure 服务、网络、Web、操作系统、配置错误等中的漏洞。
请注意与漏洞扫描程序使用的特权访问相关的潜在风险。 遵循特权访问安全最佳做法,以保护用于扫描的任何管理帐户。
Azure 指导:遵循 Microsoft Defender for Cloud 关于在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估的建议。 Microsoft Defender for Cloud 为虚拟机提供内置漏洞扫描程序。 使用第三方解决方案对网络设备和应用程序(如 Web 应用程序)执行漏洞评估
以一致的间隔导出扫描结果,并将结果与以前的扫描进行比较以验证漏洞是否已修复。 使用 Microsoft Defender for Cloud 建议的漏洞管理建议时,可以转到选定扫描解决方案的门户查看历史扫描数据。
执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实现 JIT(实时)预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
注意:Microsoft Defender服务 (包括 Defender for servers、容器、App 服务、数据库和 DNS) 嵌入某些漏洞评估功能。 应监视和查看 Azure Defender 服务生成的警报以及 Microsoft Defender for Cloud 漏洞扫描工具的结果。
注意:请确保在 Microsoft Defender for Cloud 中设置电子邮件通知。
Azure 实现和其他上下文:
- 如何实现 Microsoft Defender for Cloud 漏洞评估建议
- 用于虚拟机的集成漏洞扫描程序
- SQL 漏洞评估
- 导出 Microsoft Defender for Cloud 漏洞扫描结果
AWS 指导:使用 Amazon Inspector 扫描驻留在 Amazon Elastic Container Registry (Amazon ECR) 中的 Amazon EC2 实例和容器映像,以查找软件漏洞和意外网络暴露。 使用第三方解决方案对网络设备和应用程序(如 Web 应用程序)执行漏洞评估
请参阅控制 ES-1“使用终结点检测和响应 (EDR) ”,将 AWS 帐户加入 Microsoft Defender for Cloud,并为 (在 EC2 实例中集成) 的服务器部署 Microsoft Defender for Endpoint Microsoft Defender。 Microsoft Defender for Servers 为 VM 提供本机威胁和漏洞管理功能。 漏洞扫描结果将合并到 Microsoft Defender for Cloud 仪表板中。
跟踪漏洞发现的状态,以确保在被视为误报时正确修正或禁止发现漏洞。
执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实施临时预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
AWS 实现和其他上下文:
GCP 指南:遵循 Microsoft Defender for Cloud 或/和 Google Cloud 安全命令中心的建议,对计算引擎实例执行漏洞评估。 安全命令中心在网络设备和应用程序上提供内置漏洞评估, (例如 Web 安全扫描程序)
以一致的间隔导出扫描结果,并将结果与以前的扫描进行比较以验证漏洞是否已修复。 使用安全命令中心建议的漏洞管理建议时,可以透视到所选扫描解决方案的门户以查看历史扫描数据。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
PV-6:快速自动地修正漏洞
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
7.2、7.3、7.4、7.7 | RA-3、RA-5、SI-2:缺陷修正 | 6.1、6.2、6.5、11.2 |
安全原则:快速自动部署补丁和更新,修正云资源中的漏洞。 使用基于风险的适当方法确定漏洞修正的优先级。 例如,应将较高价值资产中更严重的漏洞作为更高的优先级进行处理。
Azure 指南:使用Azure 自动化更新管理或第三方解决方案来确保在 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows 虚拟机,请确保已启用 Windows 更新并将其设置为自动更新。
对于第三方软件,请使用第三方修补程序管理解决方案或 Microsoft System Center 汇报 Publisher Configuration Manager。
Azure 实现和其他上下文:
AWS 指导:使用 AWS Systems Manager 补丁管理器确保在操作系统和应用程序上安装了最新的安全更新。 补丁管理器支持补丁基线,可用于为系统定义批准和拒绝的补丁列表。
还可以使用 Azure 自动化更新管理来集中管理 AWS EC2 Windows 和 Linux 实例的补丁和更新。
对于第三方软件,请使用第三方修补程序管理解决方案或 Microsoft System Center 汇报 Publisher Configuration Manager。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud VM Manager OS 修补程序管理或第三方解决方案来确保在 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows VM,请确保已启用Windows 更新并将其设置为自动更新。
对于第三方软件,请使用第三方修补程序管理解决方案或 Microsoft System Center 汇报 Publisher 进行配置管理。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
PV-7:定期执行红队操作
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
18.1、18.2、18.3、18.4、18.5 | CA-8、RA-5 | 6.6、11.2、11.3 |
安全原则:模拟真实世界的攻击,以提供组织漏洞的更完整视图。 红队操作和渗透测试补充了传统的漏洞扫描方法,以发现风险。
遵循行业最佳做法来设计、准备和进行此类测试,确保它不会对环境造成损害或破坏。 这应始终包括与相关利益干系人和资源所有者讨论测试范围和约束。
Azure 指导:根据需要对 Azure 资源进行渗透测试和红队活动,确保修正所有关键的安全发现结果。
请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。
Azure 实现和其他上下文:
AWS 指导:根据需要对 AWS 资源进行渗透测试和红队活动,确保修正所有关键的安全发现结果。
遵循渗透测试的 AWS 客户支持策略,确保渗透测试不违反 AWS 策略。
AWS 实现和其他上下文:
GCP 指导:根据需要,对 GCP 资源执行渗透测试或红队活动,并确保修正所有关键安全发现。
遵循渗透测试的 GCP 客户支持策略,确保渗透测试不违反 GCP 策略。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息: