安全控制 v3:状况和漏洞管理
状况和漏洞管理侧重于评估和改进 Azure 安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。
PV-1:定义并建立安全配置
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 1.1 |
安全原则:为云中的不同资源类型定义安全配置基线。 或者,使用配置管理工具在资源部署之前或期间自动建立配置基线,以便在部署后默认情况下环境符合要求。
Azure 指导:使用 Azure 安全基准和服务基线为每个相应的 Azure 产品或服务定义配置基线。 请参阅 Azure 参考体系结构和云采用框架登陆区域体系结构,了解可能需要跨 Azure 资源的关键安全控制和配置。
使用 Azure 蓝图,在单个蓝图定义中自动部署和配置服务和应用程序环境,包括 Azure 资源管理器模板、Azure RBAC 控制措施和策略。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-2:审核并强制执行安全配置
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 2.2 |
安全原则:如果定义的配置基线存在偏差,则持续监视和发出警报。 通过拒绝不合规的配置或部署配置,根据基线配置强制实施所需的配置。
Azure 指导:使用 Microsoft Defender for Cloud 配置 Azure Policy,以审核和强制实施 Azure 资源的配置。 使用 Azure Monitor 在资源上检测到配置偏差时创建警报。
使用 Azure Policy [拒绝] 和 [不存在时部署] 规则在 Azure 资源中强制实施安全配置。
对于 Azure Policy 不支持的资源配置审核和强制实施操作,可能需要编写自己的脚本或使用第三方工具来实现配置审核和强制实施。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-3:定义并建立计算资源的安全配置
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全原则:为计算资源(如 VM 和容器)定义安全配置基线。 使用配置管理工具在计算资源部署之前或期间自动建立配置基线,以便在部署后默认情况下环境符合要求。 或者,使用预配置的映像将所需的配置基线构建到计算资源映像模板中。
Azure 指导:使用 Azure 建议的操作系统基线(同时适用于 Windows 和 Linux)作为基准来定义计算资源配置基线。
此外,还可以将自定义 VM 映像或容器映像与 Azure Policy 来宾配置和 Azure Automation State Configuration 结合使用,以建立所需的安全配置。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-4:审核并强制执行计算资源的安全配置
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全原则:如果计算资源中定义的配置基线存在偏差,则持续监视和发出警报。 通过拒绝不合规的配置或在计算资源中部署配置,根据基线配置强制实施所需的配置。
Azure 指导:使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。 此外,还可以使用 Azure 资源管理器模板、自定义操作系统映像或 Azure Automation State Configuration 来维护操作系统的安全配置。 Microsoft VM 模板与 Azure Automation State Configuration 结合使用有助于满足和维护安全要求。
注意:由 Microsoft 发布的 Azure 市场 VM 映像由 Microsoft 管理和维护。
实现和其他上下文:
- 如何实现 Microsoft Defender for Cloud 漏洞评估建议
- 如何从 ARM 模板创建 Azure 虚拟机
- Azure Automation State Configuration 概述
- 在 Azure 门户中创建 Windows 虚拟机
- Microsoft Defender for Cloud 中的容器安全
客户安全利益干系人(了解详细信息):
PV-5:执行漏洞评估
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.5、7.1、7.5、7.6 | RA-3、RA-5 | 6.1、6.2、6.6 |
安全原则:按固定计划或按需对所有层的云资源执行漏洞评估。 跟踪和比较扫描结果,以验证是否已修正漏洞。 评估应包括所有类型的漏洞,例如 Azure 服务、网络、Web、操作系统、配置错误等中的漏洞。
请注意与漏洞扫描程序使用的特权访问相关的潜在风险。 遵循特权访问安全最佳做法,以保护用于扫描的任何管理帐户。
Azure 指导:遵循 Microsoft Defender for Cloud 关于在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估的建议。 Microsoft Defender for Cloud 为虚拟机扫描提供内置漏洞扫描程序。 使用第三方解决方案对网络设备和应用程序(如 Web 应用程序)执行漏洞评估
以一致的间隔导出扫描结果,并将结果与以前的扫描进行比较以验证漏洞是否已修复。 使用 Microsoft Defender for Cloud 建议的漏洞管理建议时,可以转到选定扫描解决方案的门户查看历史扫描数据。
执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实现 JIT(实时)预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
注意:Azure Defender 服务(包括用于服务器、容器注册表、应用服务、SQL 和 DNS 的 Defender)嵌入了某些漏洞评估功能。 应监视和查看 Azure Defender 服务生成的警报以及 Microsoft Defender for Cloud 漏洞扫描工具的结果。
注意:请确保在 Microsoft Defender for Cloud 中设置电子邮件通知。
实现和其他上下文:
- 如何实现 Microsoft Defender for Cloud 漏洞评估建议
- 用于虚拟机的集成漏洞扫描程序
- SQL 漏洞评估
- 导出 Microsoft Defender for Cloud 漏洞扫描结果
客户安全利益干系人(了解详细信息):
PV-6:快速自动地修正漏洞
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 7.2、7.3、7.4、7.7 | RA-3、RA-5、SI-2:缺陷修正 | 6.1、6.2、6.5、11.2 |
安全原则:快速自动部署补丁和更新,修复云资源中的漏洞。 使用适当的基于风险的方法确定漏洞修复的优先级。 例如,应将较高价值资产中更严重的漏洞作为更高的优先级进行处理。
Azure 指导:请使用 Azure 自动化更新管理或第三方解决方案确保在 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows 虚拟机,请确保已启用 Windows 更新并将其设置为自动更新。
对于第三方软件,请使用第三方修补程序管理解决方案或 System Center Updates Publisher for Configuration Manager。
使用通用风险评分程序(如通用漏洞评分系统)或第三方扫描工具提供的默认风险评级,确定要首先部署哪些更新的优先级,并根据环境进行定制。 还应考虑哪些应用程序存在高安全风险,哪些应用程序需要较长的正常运行时间。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-7:定期执行红队操作
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 18.1、18.2、18.3、18.4、18.5 | CA-8、RA-5 | 6.6、11.2、11.3 |
安全原则:模拟真实世界的攻击,以提供组织漏洞的更完整视图。 红队操作和渗透测试补充了传统的漏洞扫描方法,以发现风险。
遵循行业最佳做法来设计、准备和进行此类测试,确保它不会对环境造成损害或破坏。 这应始终包括与相关利益干系人和资源所有者讨论测试范围和约束。
Azure 指导:根据需要,对 Azure 资源进行渗透测试和红队活动,确保修正所有关键的安全发现结果。
请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。
实现和其他上下文:
客户安全利益干系人(了解详细信息):