安全性控制 V2:狀態和弱點管理
注意
這裡 提供最新的Azure 安全性基準測試。
狀態和弱點管理著重于評估及改善 Azure 安全性狀態的控制項。 這包括弱點掃描、滲透測試和補救,以及 Azure 資源中的安全性組態追蹤、報告和更正。
若要查看適用的內建Azure 原則,請參閱Azure 安全性基準法規合規性內建方案的詳細資料:狀態和弱點管理
PV-1:建立 Azure 服務的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-1 | 5.1 | CM-2、CM-6 |
定義基礎結構和 DevOps 小組的安全性防護措施,方法是輕鬆地安全地設定他們所使用的 Azure 服務。
使用 Azure 安全性基準中的服務基準啟動 Azure 服務的安全性設定,並視需要為您的組織自訂。
使用Azure 資訊安全中心來設定Azure 原則稽核及強制執行 Azure 資源的設定。
您可以使用 Azure 藍圖,在單一藍圖定義中自動部署和設定服務和應用程式環境,包括 Azure Resource Manager範本、Azure RBAC 控制項和原則。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PV-2:維持 Azure 服務的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-2 | 5.2 | CM-2、CM-6 |
使用Azure 資訊安全中心來監視您的設定基準,並使用Azure 原則 [拒絕] 和 [如果不存在]規則來強制執行跨 Azure 計算資源的安全設定,包括 VM、容器和其他專案。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PV-3:建立計算資源的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-3 | 5.1 | CM-2、CM-6 |
使用Azure 資訊安全中心和Azure 原則在所有計算資源上建立安全性群組態,包括 VM、容器和其他資源,此外,您可以使用自訂作業系統映射或Azure 自動化 狀態設定來建立組織所需的作業系統安全性設定。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PV-4:維持計算資源的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-4 | 5.2 | CM-2、CM-6 |
使用Azure 資訊安全中心和Azure 原則定期評估及補救 Azure 計算資源上的設定風險,包括 VM、容器和其他資源。 此外,您可以使用 Azure Resource Manager範本、自訂作業系統映射或Azure 自動化 狀態設定來維護組織所需的作業系統安全性設定。 Microsoft VM 範本與Azure 自動化 狀態設定可協助符合和維護安全性需求。
此外,請注意,Azure Marketplace由 Microsoft 發佈的 VM 映射是由 Microsoft 管理和維護。
Azure 資訊安全中心也可以掃描容器映射中的弱點,並根據 CIS Docker 基準,在容器中執行 Docker 組態的持續監視。 您可以使用 [Azure 資訊安全中心建議] 頁面來檢視建議和補救問題。
責任:共用
客戶安全性專案關係人 (深入瞭解) :
PV-5:安全地儲存自訂作業系統和容器映射
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-5 | 5.3 | CM-2、CM-6 |
使用 Azure 角色型存取控制 (Azure RBAC) ,以確保只有授權的使用者可以存取您的自訂映射。 使用 Azure 共用映射庫,將映射共用至組織內的不同使用者、服務主體或 AD 群組。 將容器映射儲存在 Azure Container Registry,並使用 Azure RBAC 來確保只有授權的使用者才能存取。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PV-6:執行軟體弱點評估
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2、RA-5 |
請遵循Azure 資訊安全中心的建議,以在 Azure 虛擬機器、容器映射和 SQL 伺服器上執行弱點評估。 Azure 資訊安全中心具有內建弱點掃描器來掃描虛擬機器。
使用協力廠商解決方案,在網路裝置和 Web 應用程式上執行弱點評估。 進行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮實作 JIT (Just In Time) 掃描帳戶的布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
以一致的間隔匯出掃描結果,並比較結果與先前的掃描,以確認已修復弱點。 使用Azure 資訊安全中心所建議的弱點管理建議時,您可以樞紐至選取的掃描解決方案入口網站,以檢視歷程掃描資料。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PV-7:快速自動補救軟體弱點
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-7 | 3.7 | CA-2、RA-5、SI-2 |
快速部署軟體更新,以補救作業系統和應用程式中的軟體弱點。
使用常見的風險評分計畫 (例如常見弱點評分系統) 或協力廠商掃描工具所提供的預設風險評等,並針對您的環境量身打造,並考慮哪些應用程式具有高安全性風險,以及哪些應用程式需要高執行時間。
使用Azure 自動化更新管理或協力廠商解決方案,以確保 Windows 和 Linux VM 上安裝最新的安全性更新。 針對 Windows VM,請確定已啟用Windows Update,並設定為自動更新。
針對協力廠商軟體,請使用協力廠商修補程式管理解決方案或 System Center 更新 Publisher 進行Configuration Manager。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PV-8:執行一般攻擊模擬
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PV-8 | 20 | CA-8、CA-2、RA-5 |
視需要,在您的 Azure 資源上執行滲透測試或紅色小組活動,並確保補救所有重要的安全性結果。 請遵循 Microsoft 雲端滲透測試參與規則,以確保您的滲透測試不會違反 Microsoft 原則。 針對 Microsoft 管理的雲端基礎結構、服務和應用程式,使用 Microsoft 對於紅隊和即時網站滲透測試的策略和執行方法。
責任:共用
客戶安全性專案關係人 (深入瞭解) :