安全控制 V2:安全态势和漏洞管理

注释

此处提供了最 up-to日期的 Azure 安全基准。

状况和漏洞管理侧重于用于评估和改进 Azure 安全状况的控制措施。 这包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。

若要查看适用的内置 Azure 策略,请参阅 Azure 安全基准法规合规性内置倡议的详细信息:态势和漏洞管理

PV-1:为 Azure 服务建立安全配置

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-1 5.1 CM-2、CM-6

通过轻松配置其使用的 Azure 服务,为基础结构和 DevOps 团队定义安全防护措施。

使用 Azure 安全基准中的服务基线启动 Azure 服务的安全配置,并根据需要为组织自定义。

使用 Azure 安全中心配置 Azure Policy 以审核和强制实施 Azure 资源的配置。

可以使用 Azure 蓝图在单个蓝图定义中自动部署和配置服务和应用程序环境,包括 Azure 资源管理器模板、Azure RBAC 控件和策略。

责任:客户

客户安全利益干系人了解详细信息):

PV-2:维持 Azure 服务的安全配置

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-2 系列 5.2 CM-2、CM-6

使用 Azure 安全中心监视您的配置基线,并使用 Azure Policy 中的 [拒绝] 和 [部署(如果不存在)] 规则在整个 Azure 计算资源(包括虚拟机、容器及其他资源)中强制实施安全配置。

责任:客户

客户安全利益干系人了解详细信息):

PV-3:为计算资源建立安全配置

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-3 系列 5.1 CM-2、CM-6

使用 Azure 安全中心和 Azure Policy 在所有计算资源(包括 VM、容器和其他资源)上建立安全配置,此外,可以使用自定义作系统映像或 Azure Automation State Configuration 来建立组织所需的作系统的安全配置。

责任:客户

客户安全利益干系人了解详细信息):

PV-4:为计算资源维护安全配置

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-4 系列 5.2 CM-2、CM-6

使用 Azure 安全中心和 Azure Policy 定期评估和修正 Azure 计算资源(包括 VM、容器等)的配置风险。 此外,可以使用 Azure 资源管理器模板、自定义作系统映像或 Azure Automation State Configuration 来维护组织所需的作系统的安全配置。 Microsoft VM 模板与 Azure Automation State Configuration 结合使用可以帮助满足和维护安全要求。

另请注意,由Microsoft发布的 Azure 市场 VM 映像由Microsoft进行管理和维护。

Azure 安全中心还可以扫描容器映像中的漏洞,并根据 CIS Docker 基准在容器中持续监视 Docker 配置。 可以使用 Azure 安全中心的建议页面来查看建议和修正问题。

责任:共享

客户安全利益干系人了解详细信息):

PV-5:安全存储自定义操作系统和容器映像

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-5 5.3 CM-2、CM-6

请使用 Azure 基于角色的访问控制 (Azure RBAC) 来确保只有授权用户才能访问自定义映像。 使用 Azure 共享映像库将映像共享给组织中的不同用户、服务主体或 AD 组。 将容器映像存储在 Azure 容器注册表中,并使用 Azure RBAC 来确保只有经过授权的用户才有权访问。

责任:客户

客户安全利益干系人了解详细信息):

PV-6:执行软件漏洞评估

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-6 3.1, 3.2, 3.3, 3.6 CA-2、RA-5

请遵循 Azure 安全中心的建议,在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估。 Azure 安全中心具有用于扫描虚拟机的内置漏洞扫描程序。

使用第三方解决方案在网络设备和 Web 应用程序上执行漏洞评估。 执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描账户实施 JIT(实时)配置方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。

以一致间隔导出扫描结果,并将结果与以前的扫描进行比较,以验证是否已修复漏洞。 使用 Azure 安全中心建议的漏洞管理建议时,可以透视到所选扫描解决方案的门户以查看历史扫描数据。

责任:客户

客户安全利益干系人了解详细信息):

PV-7:快速自动修正软件漏洞

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-7 系列 3.7 CA-2、RA-5、SI-2

快速部署软件更新以修正作系统和应用程序中的软件漏洞。

使用常见的风险评分计划(如通用漏洞评分系统)或第三方扫描工具提供的默认风险评级,并根据环境定制,考虑到哪些应用程序存在较高的安全风险,哪些应用程序需要高运行时间。

使用 Azure 自动化更新管理或第三方解决方案来确保 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows VM,请确保已启用 Windows 更新并设置为自动更新。

对于第三方软件,请使用第三方补丁管理解决方案或针对配置管理器的系统中心更新发布者。

责任:客户

客户安全利益干系人了解详细信息):

PV-8:执行定期攻击模拟

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-8 系列 20 CA-8、CA-2、RA-5

根据需要,对 Azure 资源执行渗透测试或红团队活动,并确保修正所有关键安全发现。 遵循Microsoft云渗透测试参与规则,确保渗透测试不违反Microsoft策略。 针对Microsoft托管的云基础结构、服务和应用程序,使用Microsoft的红队策略和执行实时站点渗透测试。

责任:共享

客户安全利益干系人了解详细信息):