安全性控制:狀態和弱點管理
狀態和弱點管理著重于評估及改善雲端安全性狀態的控制項,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性設定追蹤、報告和更正。
PV-1:定義及建立安全性群組態
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 1.1 |
安全性準則:定義雲端中不同資源類型的安全性設定基準。 或者,使用組態管理工具在資源部署之前或期間自動建立設定基準,讓環境在部署之後預設符合規範。
Azure 指引:使用 Microsoft Cloud Security Benchmark 和服務基準,為每個個別的 Azure 供應專案或服務定義您的設定基準。 請參閱 Azure 參考架構和雲端採用架構登陸區域架構,以瞭解跨 Azure 資源可能需要的重要安全性控制和設定。
使用 Azure 登陸區域 (和藍圖) ,藉由設定服務和應用程式環境的設定來加速工作負載部署,包括 Azure Resource Manager 範本、Azure RBAC 控制項和Azure 原則。
Azure 實作和其他內容:
AWS 指引:使用 Microsoft Cloud Security Benchmark - AWS 的多重雲端指引和其他輸入來定義每個個別 AWS 供應專案或服務的設定基準。 請參閱 AWS Well-Architectured Framework 中的安全性要素和其他要素,以瞭解跨 AWS 資源可能需要的重要安全性控制項和設定。
使用 AWS 登陸區域定義中的 AWS CloudFormation 範本和 AWS 設定規則,將服務和應用程式環境的部署和設定自動化。
AWS 實作和其他內容:
GCP 指引:使用 Microsoft Cloud Security Benchmark – GCP 的多重雲端指引和其他輸入來定義每個個別 GCP 供應專案或服務的設定基準。 請參閱 Google Cloud 部署基礎藍圖和登陸區域設計中的要素。
使用適用于 Google Cloud 的 Terraform 藍圖模組,並使用原生 Google Cloud 部署管理員將服務和應用程式環境的部署和設定自動化。
GCP 實作和其他內容:
- Google Cloud 中的登陸區域設計。 適用于 Google Cloud 的 Terraform 藍圖和模組。 https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- 安全性基礎藍圖
- Google Cloud 部署管理員
客戶安全性專案關係人 (深入瞭解) :
PV-2:稽核並強制執行安全設定
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 2.2 |
安全性準則:當與定義的組態基準有偏差時,持續監視和警示。 藉由拒絕不符合規範的組態或部署組態,根據基準組態強制執行所需的設定。
Azure 指引:使用 Microsoft Defender for Cloud 來設定Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器在資源上偵測到設定偏差時建立警示。
使用Azure 原則 [deny] 和 [如果不存在]規則來強制執行跨 Azure 資源的安全設定。
針對Azure 原則不支援的資源組態稽核和強制執行,您可能需要撰寫自訂腳本或使用協力廠商工具來實作設定稽核和強制執行。
Azure 實作和其他內容:
AWS 指引:使用 AWS 設定規則來稽核 AWS 資源的設定。 您也可以選擇使用與 AWS 設定規則相關聯的 AWS Systems Manager 自動化來解決設定漂移。 使用 Amazon CloudWatch 在資源上偵測到設定偏差時建立警示。
針對 AWS 設定不支援的資源組態稽核和強制執行,您可能需要撰寫自訂腳本或使用協力廠商工具來實作設定稽核和強制執行。
您也可以將 AWS 帳戶上線至雲端Microsoft Defender,以集中監視設定漂移。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Security 命令中心來設定 GCP。 在 Operations Suite 中使用 Google Cloud Monitoring,在偵測到資源設定偏差時建立警示。
若要管理組織,請使用組織原則,以集中且以程式設計方式控制組織的雲端資源。 身為組織原則管理員,您將能夠在整個資源階層中設定條件約束。
針對組織原則不支援的資源設定稽核和強制執行,您可能需要撰寫自訂腳本,或使用協力廠商工具來實作設定稽核和強制執行。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-3:定義和建立計算資源的安全設定
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全性準則:定義計算資源的安全設定基準,例如 VM 和容器。 使用組態管理工具,在計算資源部署之前或期間自動建立設定基準,讓環境在部署之後預設符合規範。 或者,使用預先設定的映射,在計算資源映射範本中建置所需的設定基準。
Azure 指引:針對 Windows 和 Linux) 使用 Azure 建議的作業系統安全性基準 (作為基準,以定義計算資源組態基準。
此外,您可以使用 Azure Image Builder) 或容器映射搭配 Azure Automanage Machine Configuration (自訂 VM 映射 (先前稱為Azure 原則客體設定) 和Azure 自動化 狀態設定來建立所需的安全性設定。
Azure 實作和其他內容:
AWS 指引:使用 EC2 AWS 機器映射 (來自市集上受信任來源的 AMI) 作為基準,以定義 EC2 設定基準。
此外,您可以使用 EC2 Image Builder 來建置具有 Systems Manager 代理程式的自訂 AMI 範本,以建立所需的安全性設定。 注意:AWS 系統管理員代理程式會預先安裝在 AWS 提供的一些 Amazon Machine Images (AMI) 上。
針對在 EC2 實例、AWS Lambda 或容器環境中執行的工作負載應用程式,您可以使用 AWS System Manager AppConfig 來建立所需的設定基準。
AWS 實作和其他內容:
GCP 指引:針對 Windows 和 Linux) 使用 Google Cloud 建議的作業系統安全性基準 (作為基準,以定義計算資源組態基準。
此外,您可以使用 Packer Image Builder 使用自訂 VM 映射,或搭配 Google Cloud Build 容器映射的容器映射來建立所需的設定基準。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-4:稽核和強制執行計算資源的安全設定
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全性準則:當計算資源中定義的設定基準有偏差時,持續監視和警示。 藉由拒絕不符合規範的組態或在計算資源中部署組態,根據基準組態強制執行所需的設定。
Azure 指引:使用 Microsoft Defender 作為雲端和 Azure Automanage Machine Configuration (先前稱為 Azure 原則 客體設定) ,定期評估及補救 Azure 計算資源上的設定偏差,包括 VM、容器和其他。 此外,您可以使用 Azure Resource Manager 範本、自訂作業系統映射或Azure 自動化 狀態設定來維護作業系統的安全性設定。 Microsoft VM 範本與Azure 自動化 狀態設定可協助滿足和維護安全性需求。 使用 Azure 自動化 中的變更追蹤和清查來追蹤裝載于 Azure、內部部署和其他雲端環境中的虛擬機器變更,以協助您找出散發套件管理員所管理軟體的操作和環境問題。 在虛擬機器上安裝客體證明代理程式,以監視機密虛擬機器上的開機完整性。
注意:Microsoft 所發行Azure Marketplace VM 映射是由 Microsoft 管理和維護。
Azure 實作和其他內容:
- 如何針對雲端弱點評估建議實作Microsoft Defender
- 如何從 ARM 範本建立 Azure 虛擬機器
- Azure Automation State Configuration 概觀
- 在Azure 入口網站中建立 Windows 虛擬機器
- 適用於雲端的 Microsoft Defender 中的容器安全性
- 變更追蹤和清查概觀
- 機密 VM 的客體證明
AWS 指引:使用 AWS System Manager 的狀態管理員功能定期評估和補救 EC2 實例上的設定偏差。 此外,您可以使用 CloudFormation 範本、自訂作業系統映射來維護作業系統的安全性設定。 AMI 範本與系統管理員搭配運作,可協助滿足和維護安全性需求。
您也可以透過Azure 自動化 狀態設定集中監視和管理作業系統設定漂移,並使用下列方法將適用的資源上線至 Azure 安全性控管:
- 將您的 AWS 帳戶上線至 Microsoft Defender for Cloud
- 使用適用于伺服器的 Azure Arc 將 EC2 實例連線到雲端Microsoft Defender
針對在 EC2 實例、AWS Lambda 或容器環境中執行的工作負載應用程式,您可以使用 AWS System Manager AppConfig 來稽核並強制執行所需的設定基準。
注意:AMAZON Web Services 在 AWS Marketplace 中發佈的 AMIS 是由 Amazon Web Services 管理和維護。
AWS 實作和其他內容:
GCP 指引:使用 VM 管理員和 Google Cloud Security 命令中心定期評估和補救計算引擎實例、容器和無伺服器合約的設定偏差。 此外,您可以使用 Deployment Manager VM 範本、自訂作業系統映射來維護作業系統的安全性設定。 部署管理員 VM 範本範本與 VM 管理員搭配運作,可協助符合和維護安全性需求。
您也可以透過Azure 自動化 狀態設定集中監視和管理作業系統設定漂移,並使用下列方法將適用的資源上線至 Azure 安全性控管:
- 將 GCP 專案上線至 Microsoft Defender for Cloud
- 使用適用于伺服器的 Azure Arc 將 GCP VM 實例連線到雲端Microsoft Defender
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-5:執行弱點評估
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3、RA-5 | 6.1, 6.2, 6.6 |
安全性準則:在固定排程或隨選的所有層級執行雲端資源的弱點評估。 追蹤並比較掃描結果,以確認已修復弱點。 評估應該包含所有類型的弱點,例如 Azure 服務、網路、Web、作業系統、設定錯誤等等。
請注意與弱點掃描器所使用的特殊許可權存取相關聯的潛在風險。 遵循特殊許可權存取安全性最佳做法來保護用於掃描的任何系統管理帳戶。
Azure 指引:遵循雲端Microsoft Defender的建議,在您的 Azure 虛擬機器、容器映射和 SQL 伺服器上執行弱點評估。 Microsoft Defender for Cloud 具有適用于虛擬機器的內建弱點掃描器。 使用協力廠商解決方案在網路裝置和應用程式上執行弱點評估 (,例如 web 應用程式)
以一致的間隔匯出掃描結果,並比較結果與先前的掃描,以確認已修復弱點。 使用雲端Microsoft Defender所建議的弱點管理建議時,您可以樞紐至所選掃描解決方案的入口網站,以檢視歷程掃描資料。
執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮實作 JIT (Just In Time) 掃描帳戶的布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
注意:Microsoft Defender服務 (包括適用于伺服器的 Defender、容器、App Service、資料庫和 DNS) 內嵌特定弱點評估功能。 應監視和檢閱 Azure Defender 服務所產生的警示,以及雲端弱點掃描工具Microsoft Defender的結果。
注意:請確定您在 Microsoft Defender for Cloud 中設定電子郵件通知。
Azure 實作和其他內容:
AWS 指引:使用 Amazon Inspector 掃描 Amazon EC2 實例和位於 Amazon Elastic Container Registry 中的容器映射, (Amazon ECR) 中是否有軟體弱點和非預期的網路暴露。 使用協力廠商解決方案在網路裝置和應用程式上執行弱點評估 (,例如 web 應用程式)
請參閱控制 ES-1「使用端點偵測和回應 (EDR) 」,將您的 AWS 帳戶上線至雲端Microsoft Defender,並在 EC2 實例中 Microsoft Defender部署伺服器 ( (適用於端點的 Microsoft Defender整合式) 。 伺服器Microsoft Defender提供 VM 的原生威脅與弱點管理功能。 弱點掃描結果將會合並在雲端儀表板Microsoft Defender中。
追蹤弱點結果的狀態,以確保它們在視為誤判時已正確補救或隱藏。
執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮實作掃描帳戶的暫時布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
AWS 實作和其他內容:
GCP 指引:遵循雲端或/和 Google Cloud Security 命令中心Microsoft Defender的建議,在您的計算引擎實例上執行弱點評估。 資訊安全命令中心在網路裝置和應用程式上具有內建弱點評估 (,例如 Web 安全性掃描器)
以一致的間隔匯出掃描結果,並比較結果與先前的掃描,以確認已修復弱點。 使用資訊安全命令中心建議的弱點管理建議時,您可以樞紐至選取的掃描解決方案入口網站,以檢視歷程掃描資料。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-6:快速且自動補救弱點
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3、RA-5、SI-2:瑕疵補救 | 6.1, 6.2, 6.5, 11.2 |
安全性準則:快速且自動部署修補程式和更新,以補救雲端資源中的弱點。 使用適當的風險型方法來排定弱點補救的優先順序。 例如,較高價值資產中的較嚴重弱點應該以較高的優先順序處理。
Azure 指引:使用Azure 自動化更新管理或協力廠商解決方案,以確保 Windows 和 Linux VM 上已安裝最新的安全性更新。 針對 Windows VM,請確定已啟用Windows Update,並設定為自動更新。
針對協力廠商軟體,請使用協力廠商修補程式管理解決方案或 Microsoft System Center 更新 Publisher 進行Configuration Manager。
Azure 實作和其他內容:
AWS 指引:使用 AWS 系統管理員 - 修補程式管理員,以確保最新的安全性更新已安裝在您的作業系統和應用程式上。 修補程式管理員支援修補程式基準,可讓您定義系統已核准和拒絕的修補程式清單。
您也可以使用Azure 自動化更新管理,集中管理 AWS EC2 Windows 和 Linux 實例的修補程式和更新。
針對協力廠商軟體,請使用協力廠商修補程式管理解決方案或 Microsoft System Center 更新 Publisher 進行Configuration Manager。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud VM Manager OS 修補程式管理或協力廠商解決方案,以確保 Windows 和 Linux VM 上安裝最新的安全性更新。 針對 Windows VM,請確定已啟用Windows Update,並設定為自動更新。
針對協力廠商軟體,請使用協力廠商修補程式管理解決方案或 Microsoft System Center 更新 Publisher 進行設定管理。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PV-7:進行一般紅色小組作業
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8、RA-5 | 6.6, 11.2, 11.3 |
安全性準則:模擬真實世界的攻擊,以提供更完整的組織弱點檢視。 紅色小組作業和滲透測試可補充傳統弱點掃描方法來探索風險。
遵循業界最佳做法來設計、準備並執行這類測試,以確保不會造成環境損毀或中斷。 這應該一律包括討論相關專案關係人和資源擁有者的測試範圍和限制。
Azure 指引:視需要在您的 Azure 資源上執行滲透測試或紅色小組活動,並確保補救所有重要的安全性結果。
請遵循 Microsoft 雲端滲透測試參與規則,以確保您的滲透測試不會違反 Microsoft 原則。 針對 Microsoft 管理的雲端基礎結構、服務和應用程式,使用 Microsoft 對於紅隊和即時網站滲透測試的策略和執行方法。
Azure 實作和其他內容:
AWS 指引:視需要在您的 AWS 資源上執行滲透測試或紅色小組活動,並確保補救所有重要的安全性結果。
遵循 AWS 客戶支援原則進行滲透測試,以確保您的滲透測試不違反 AWS 原則。
AWS 實作和其他內容:
GCP 指引:視需要在您的 GCP 資源上執行滲透測試或紅色小組活動,並確保補救所有重要的安全性結果。
遵循 GCP 客戶支援原則進行滲透測試,以確保您的滲透測試不違反 GCP 原則。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :