安全控制 V2:态势和漏洞管理
注意
此处提供了最新的 Azure 安全基准。
态势和漏洞管理侧重于对评估和改进 Azure 安全状况的控制。 这包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。
若要查看适用的内置 Azure 策略,请参阅 Azure 安全基准法规符合性内置计划的详细信息:状况和漏洞管理
PV-1:为所有 Azure 服务建立安全配置
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-1 | 5.1 | CM-2、CM-6 |
为基础结构和 DevOps 团队定义安全护栏,使其可以轻松且安全地配置其使用的 Azure 服务。
在 Azure 安全基准检验中,通过服务基线开始 Azure 服务的安全配置,并根据组织的需要对其进行自定义。
使用 Azure 安全中心配置 Azure Policy,以审核和强制实施 Azure 资源的配置。
你可以使用 Azure 蓝图,在单个蓝图定义中自动部署和配置服务和应用程序环境,包括 Azure 资源管理器模板、Azure RBAC 控制措施和策略。
责任:客户
客户安全利益干系人(了解详细信息):
PV-2:为所有 Azure 服务维护安全配置
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-2 | 5.2 | CM-2、CM-6 |
使用 Azure 安全中心监视配置基线,使用 Azure Policy 的 [拒绝] 和 [如果不存在便部署] 规则跨 Azure 计算资源(包括 VM、容器和其他资源)强制实施安全配置。
责任:客户
客户安全利益干系人(了解详细信息):
PV-3:为计算资源建立安全配置
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-3 | 5.1 | CM-2、CM-6 |
使用 Azure 安全中心和 Azure Policy 在所有计算资源(包括 VM、容器和其他资源)上建立安全配置。此外,可以使用自定义操作系统映像或 Azure Automation State Configuration 来建立组织所需的操作系统的安全配置。
责任:客户
客户安全利益干系人(了解详细信息):
PV-4:为计算资源维护安全配置
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-4 | 5.2 | CM-2、CM-6 |
使用 Azure 安全中心和 Azure Policy 定期评估和修正 Azure 计算资源(包括 VM、容器和其他资源)上的配置风险。 此外,还可以使用 Azure 资源管理器模板、自定义操作系统映像或 Azure Automation State Configuration 来维护组织所需的操作系统的安全配置。 Microsoft VM 模板与 Azure Automation State Configuration 结合使用有助于满足和维护安全要求。
另请注意,由 Microsoft 发布的 Azure 市场 VM 映像由 Microsoft 管理和维护。
Azure 安全中心还可在容器映像中扫描漏洞,并基于 CIS Docker 基准对容器中的 Docker 配置执行连续监视。 可以使用 Azure 安全中心的建议页面来查看建议和修正问题。
责任:共享
客户安全利益干系人(了解详细信息):
PV-5:安全存储自定义操作系统和容器映像
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-5 | 5.3 | CM-2、CM-6 |
请使用 Azure 基于角色的访问控制 (Azure RBAC) 来确保只有授权用户才能访问自定义映像。 使用 Azure 共享映像库,将映像共享给组织内的不同用户、服务主体或 AD 组。 将容器映像存储在 Azure 容器注册表中,并使用 Azure RBAC 来确保只有经过授权的用户才能进行访问。
责任:客户
客户安全利益干系人(了解详细信息):
PV-6:执行软件漏洞评估
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-6 | 3.1、3.2、3.3、3.6 | CA-2、RA-5 |
遵循 Azure 安全中心关于在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估的建议。 Azure 安全中心具有内置漏洞扫描程序,用于扫描虚拟机。
使用第三方解决方案对网络设备和 Web 应用程序执行漏洞评估。 执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实现 JIT(实时)预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
以一致的间隔导出扫描结果,并将结果与以前的扫描进行比较以验证漏洞是否已修复。 使用 Azure 安全中心建议的漏洞管理建议时,可以转到选定扫描解决方案的门户查看历史扫描数据。
责任:客户
客户安全利益干系人(了解详细信息):
PV-7:快速自动修正软件漏洞
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-7 | 3.7 | CA-2、RA-5、SI-2 |
快速部署软件更新,以修正操作系统和应用程序中的软件漏洞。
使用常见的风险评分程序(例如通用漏洞评分系统)或第三方扫描工具提供的默认风险评级,并根据你的环境进行定制,同时考虑哪些应用程序存在高安全风险,哪些应用程序需要高运行时间。
请使用 Azure 自动化更新管理或第三方解决方案确保在 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows 虚拟机,请确保已启用 Windows 更新并将其设置为自动更新。
对于第三方软件,请使用第三方修补程序管理解决方案或 System Center Updates Publisher for Configuration Manager。
责任:客户
客户安全利益干系人(了解详细信息):
PV-8:执行定期攻击模拟
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-8 | 20 | CA-8、CA-2、RA-5 |
根据需要,对 Azure 资源执行渗透测试或红队活动,确保修正所有发现的关键安全问题。 请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。
责任:共享
客户安全利益干系人(了解详细信息):