Udostępnij przez

Kontrola zabezpieczeń: stan i zarządzanie lukami w zabezpieczeniach

Stan i zarządzanie lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i poprawy stanu zabezpieczeń w chmurze, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i korygowania, a także śledzenia konfiguracji zabezpieczeń, raportowania i poprawiania zasobów w chmurze.

PV-1: Definiowanie i ustanawianie bezpiecznych konfiguracji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Zasada zabezpieczeń: Zdefiniuj punkty odniesienia konfiguracji zabezpieczeń dla różnych typów zasobów w chmurze. Alternatywnie użyj narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed wdrożeniem lub podczas wdrażania zasobów, aby środowisko było domyślnie zgodne po wdrożeniu.

Wskazówki dotyczące platformy Azure: Skorzystaj z testu porównawczego zabezpieczeń i punktu odniesienia usług firmy Microsoft w chmurze, aby zdefiniować konfigurację odniesienia dla każdej odpowiedniej oferty lub usługi platformy Azure. Zapoznaj się z architekturą referencyjną platformy Azure oraz architekturą strefy docelowej w ramach Cloud Adoption Framework, aby zrozumieć kluczowe mechanizmy kontrolne zabezpieczeń i konfiguracje, które mogą być potrzebne dla zasobów platformy Azure.

Użyj strefy docelowej platformy Azure (i strategii), aby przyspieszyć wdrażanie obciążenia przez skonfigurowanie konfiguracji usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i usługi Azure Policy.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Skorzystaj z testu porównawczego zabezpieczeń chmury firmy Microsoft — wskazówki dotyczące wielu chmur dla platformy AWS i innych danych wejściowych, aby zdefiniować punkt odniesienia konfiguracji dla każdej odpowiedniej oferty lub usługi AWS. Zapoznaj się z filarem zabezpieczeń i innymi filarami platformy AWS Well-Architectured Framework, aby zrozumieć krytyczne mechanizmy kontroli zabezpieczeń i konfiguracje, które mogą być potrzebne w zasobach platformy AWS.

Użyj szablonów platformy AWS CloudFormation i reguł konfiguracji platformy AWS w definicji strefy docelowej platformy AWS, aby zautomatyzować wdrażanie i konfigurację usług i środowisk aplikacji.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Skorzystaj z testu porównawczego zabezpieczeń chmury firmy Microsoft — wskazówki dotyczące wielu chmur dla platformy GCP i innych danych wejściowych, aby zdefiniować punkt odniesienia konfiguracji dla każdej odpowiedniej oferty lub usługi GCP. Zapoznaj się z filarami w podstawowych planach wdrożeń Google Cloud i projektowaniem stref startowych.

Użyj modułów strategii Terraform dla usługi Google Cloud i użyj natywnego menedżera wdrażania w chmurze Google, aby zautomatyzować wdrażanie i konfigurację usług i środowisk aplikacji.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

PV-2: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy występuje odchylenie od zdefiniowanej konfiguracji odniesienia. Wymuś żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację.

Wskazówki dotyczące platformy Azure: Konfigurowanie usługi Azure Policy w celu przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure przy użyciu usługi Microsoft Defender for Cloud. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.

Użyj reguł Azure Policy [odrzuć] i [wdrożenie, jeśli nie istnieje], aby zapewnić bezpieczną konfigurację zasobów w platformie Azure.

W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez usługę Azure Policy, może być konieczne napisanie skryptów niestandardowych lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Używanie reguł konfiguracji platformy AWS do przeprowadzania inspekcji konfiguracji zasobów platformy AWS. Możesz rozwiązać problem dryfu konfiguracji przy użyciu usługi AWS Systems Manager Automation, powiązanej z regułą AWS Config. Użyj usługi Amazon CloudWatch, aby utworzyć alerty, gdy wykryto odchylenie konfiguracji dla zasobów.

W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez konfigurację platformy AWS, może być konieczne napisanie skryptów niestandardowych lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.

Możesz również centralnie monitorować dryfowanie konfiguracji, dołączając konto platformy AWS do usługi Microsoft Defender for Cloud.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Konfigurowanie platformy GCP przy użyciu usługi Google Cloud Security Command Center. Użyj usługi Google Cloud Monitoring in Operations Suite, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.

Aby zarządzać organizacjami, użyj zasad organizacyjnych, aby centralizować i programowo kontrolować zasoby w chmurze organizacji. Jako administrator zasad organizacji będzie można skonfigurować ograniczenia w całej hierarchii zasobów.

W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez zasady organizacji, może być konieczne napisanie skryptów niestandardowych lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.1 CM-2, CM-6 2,2

Zasada zabezpieczeń: Zdefiniuj bezpieczne punkty odniesienia konfiguracji dla zasobów obliczeniowych, takich jak maszyny wirtualne i kontenery. Użyj narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed wdrożeniem zasobów obliczeniowych lub podczas wdrażania zasobów obliczeniowych, aby środowisko było domyślnie zgodne po wdrożeniu. Alternatywnie użyj wstępnie skonfigurowanego obrazu, aby wbudować żądaną konfigurację bazową do szablonu obrazu zasobu obliczeniowego.

Wskazówki dotyczące platformy Azure: Użyj zalecanych punktów odniesienia zabezpieczeń systemu operacyjnego platformy Azure (zarówno dla systemów Windows, jak i Linux) jako testu porównawczego, aby zdefiniować punkt odniesienia konfiguracji zasobów obliczeniowych.

Ponadto możesz użyć niestandardowego obrazu maszyny wirtualnej (przy użyciu Azure Image Builder) lub obrazu kontenera z Azure Automanage Machine Configuration (wcześniej nazywanej Azure Policy Guest Configuration) oraz Azure Automation State Configuration, aby ustanowić pożądaną konfigurację zabezpieczeń.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj obrazów maszyn EC2 AWS (AMI) z zaufanych źródeł na marketplace jako punktu odniesienia, aby zdefiniować bazową konfigurację EC2.

Ponadto możesz użyć narzędzia EC2 Image Builder do utworzenia niestandardowego szablonu AMI z agentem Programu Systems Manager w celu ustalenia żądanej konfiguracji zabezpieczeń. Uwaga: Agent AWS Systems Manager jest wstępnie zainstalowany na niektórych obrazach maszyn Amazon (AMIs) dostarczanych przez AWS.

Można użyć narzędzia AWS System Manager AppConfig, aby ustalić bazową konfigurację dla aplikacji o dużym obciążeniu uruchamianych na instancjach EC2, w środowisku AWS Lambda lub w kontenerach.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj zalecanych punktów odniesienia zabezpieczeń systemu operacyjnego Google Cloud (zarówno dla systemów Windows, jak i Linux) jako testu porównawczego w celu zdefiniowania punktu odniesienia konfiguracji zasobów obliczeniowych.

Ponadto możesz użyć niestandardowego obrazu maszyny wirtualnej przy użyciu narzędzia Packer Image Builder lub obrazu kontenera Google Cloud Build, aby ustalić pożądaną podstawową konfigurację.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

PV-4: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
4.1 CM-2, CM-6 2,2

Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy istnieje odchylenie od zdefiniowanej konfiguracji odniesienia w zasobach obliczeniowych. Wymuś żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację w zasobach obliczeniowych.

Wskazówki dotyczące platformy Azure: Używanie usługi Microsoft Defender for Cloud i usługi Azure Automanage Machine Configuration (dawniej nazywanej konfiguracją gościa usługi Azure Policy), aby regularnie oceniać i korygować odchylenia konfiguracji zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub usługi Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony maszyn wirtualnych firmy Microsoft w połączeniu z usługą Azure Automation State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń. Śledzenie zmian i spis w usłudze Azure Automation umożliwiają śledzenie zmian w maszynach wirtualnych hostowanych na platformie Azure, lokalnie i w innych środowiskach w chmurze, aby pomóc w określeniu problemów operacyjnych i środowiskowych związanych z oprogramowaniem zarządzanym przez Menedżera pakietów dystrybucji. Zainstaluj agenta zaświadczania gościa na maszynach wirtualnych, aby monitorować integralność rozruchu na poufnych maszynach wirtualnych.

Uwaga: obrazy maszyn wirtualnych z witryny Azure Marketplace opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj funkcji Menedżera Stanu w AWS Systems Manager do regularnej oceny i korygowania odchyleń konfiguracji na instancjach EC2. Ponadto można użyć szablonów CloudFormation, niestandardowych obrazów systemu operacyjnego, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony AMI w połączeniu z Menedżerem systemów mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.

Można również centralnie monitorować odchylenie konfiguracji systemu operacyjnego i zarządzać nim za pośrednictwem usługi Azure Automation State Configuration oraz włączyć odpowiednie zasoby do zarządzania bezpieczeństwem platformy Azure przy użyciu następujących metod:

  • Dołączanie konta platformy AWS do usługi Microsoft Defender for Cloud
  • Łączenie wystąpień usługi EC2 z usługą Microsoft Defender for Cloud za pomocą usługi Azure Arc dla serwerów

W przypadku aplikacji obciążeń działających w wystąpieniach usługi EC2, środowisku AWS Lambda lub kontenerów można użyć narzędzia AWS System Manager AppConfig do inspekcji i wymuszania żądanej konfiguracji odniesienia.

Uwaga: interfejsy AMI opublikowane przez usługi Amazon Web Services w witrynie AWS Marketplace są zarządzane i obsługiwane przez usługi Amazon Web Services.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Używanie menedżera maszyn wirtualnych i centrum poleceń usługi Google Cloud Security do regularnego oceniania i korygowania odchylenia konfiguracji wystąpień aparatu obliczeniowego, kontenerów i kontraktów bezserwerowych. Ponadto można użyć szablonów maszyn wirtualnych programu Deployment Manager, niestandardowych obrazów systemu operacyjnego, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony szablonów maszyn wirtualnych programu Deployment Manager w połączeniu z menedżerem maszyn wirtualnych mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.

Można również centralnie monitorować odchylenie konfiguracji systemu operacyjnego i zarządzać nim za pośrednictwem usługi Azure Automation State Configuration oraz włączyć odpowiednie zasoby do zarządzania bezpieczeństwem platformy Azure przy użyciu następujących metod:

  • Dołączanie projektu GCP do usługi Microsoft Defender for Cloud
  • Łączenie wystąpień maszyn wirtualnych GCP z usługą Microsoft Defender for Cloud za pomocą usługi Azure Arc dla serwerów

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

PV-5: Przeprowadzanie ocen luk w zabezpieczeniach

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Zasada zabezpieczeń: Przeprowadź ocenę luk w zabezpieczeniach dla zasobów w chmurze we wszystkich warstwach zgodnie z ustalonym harmonogramem lub na żądanie. Śledź i porównaj wyniki skanowania, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Ocena powinna obejmować wszystkie typy luk w zabezpieczeniach, takie jak luki w zabezpieczeniach usług platformy Azure, sieć, sieć, sieć, systemy operacyjne, błędy konfiguracji itd.

Należy pamiętać o potencjalnych zagrożeniach związanych z uprzywilejowanym dostępem używanym przez skanery luk w zabezpieczeniach. Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń dostępu uprzywilejowanego, aby zabezpieczyć wszystkie konta administracyjne używane do skanowania.

Wskazówki dotyczące platformy Azure: postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud, aby wykonywać oceny luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL. Usługa Microsoft Defender for Cloud ma wbudowany skaner luk w zabezpieczeniach dla maszyn wirtualnych. Korzystanie z rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. aplikacjach internetowych)

Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Korzystając z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Microsoft Defender for Cloud, możesz przestawić się do portalu wybranego rozwiązania do skanowania, aby wyświetlić historyczne dane skanowania.

Podczas przeprowadzania skanowania zdalnego nie należy używać pojedynczego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT (Just In Time) dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.

Uwaga: usługi Microsoft Defender (w tym usługa Defender dla serwerów, kontenerów, usługi App Service, bazy danych i systemu DNS) osadzają pewne możliwości oceny luk w zabezpieczeniach. Alerty generowane z usług Azure Defender powinny być monitorowane i przeglądane wraz z wynikiem narzędzia do skanowania luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud.

Uwaga: Upewnij się, że skonfigurowano powiadomienia e-mail w usłudze Microsoft Defender for Cloud.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj narzędzia Amazon Inspector do skanowania wystąpień usługi Amazon EC2 i obrazów kontenerów znajdujących się w usłudze Amazon Elastic Container Registry (Amazon ECR) pod kątem luk w zabezpieczeniach oprogramowania i niezamierzonej ekspozycji sieci. Korzystanie z rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. aplikacjach internetowych)

Zapoznaj się z artykułem ES-1 "Use Endpoint Detection and Response (EDR)", aby dołączyć konto platformy AWS do usługi Microsoft Defender for Cloud i wdrożyć usługę Microsoft Defender dla serwerów (zintegrowaną z usługą Microsoft Defender for Endpoint) w wystąpieniach usługi EC2. Usługa Microsoft Defender dla serwerów zapewnia natywną możliwość zarządzania zagrożeniami i lukami w zabezpieczeniach dla maszyn wirtualnych. Wynik skanowania luk w zabezpieczeniach zostanie skonsolidowany na pulpicie nawigacyjnym usługi Microsoft Defender for Cloud.

Śledź stan wyników luk w zabezpieczeniach, aby upewnić się, że są one prawidłowo korygowane lub pomijane, jeśli są uznawane za fałszywie dodatnie.

Podczas przeprowadzania skanowania zdalnego nie należy używać pojedynczego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie tymczasowej metodologii aprowizacji dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.

Implementacja platformy AWS i dodatkowy kontekst:

pl-PL: Wskazówki dotyczące platformy GCP: postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud lub/i Google Cloud Security Command Center w celu przeprowadzania ocen luk w zabezpieczeniach swoich wystąpień Compute Engine. Usługa Security Command Center ma wbudowane oceny luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. skaner zabezpieczeń sieci Web)

Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Korzystając z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Security Command Center, możesz przestawić się do portalu wybranego rozwiązania do skanowania, aby wyświetlić historyczne dane skanowania.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: KORYGOWANIE WAD 6.1, 6.2, 6.5, 11.2

Zasada zabezpieczeń: Szybkie i automatyczne wdrażanie poprawek i aktualizacji w celu skorygowania luk w zabezpieczeniach zasobów w chmurze. Użyj odpowiedniego podejścia opartego na ryzyku, aby określić priorytety korygowania luk w zabezpieczeniach. Na przykład bardziej poważne luki w zabezpieczeniach w zasobie o wyższej wartości powinny zostać rozwiązane jako wyższy priorytet.

Wskazówki dotyczące platformy Azure: Użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że usługa Windows Update została włączona i ustawiona na automatyczne aktualizowanie.

W przypadku oprogramowania innych firm należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu Microsoft System Center Updates Publisher for Configuration Manager.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj menedżera systemów AWS — Menedżer poprawek, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane w systemach operacyjnych i aplikacjach. Menedżer poprawek obsługuje punkty odniesienia poprawek, aby umożliwić zdefiniowanie listy zatwierdzonych i odrzuconych poprawek dla systemów.

Za pomocą usługi Azure Automation Update Management można również centralnie zarządzać poprawkami i aktualizacjami wystąpień usług AWS EC2 z systemami Windows i Linux.

W przypadku oprogramowania innych firm należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu Microsoft System Center Updates Publisher for Configuration Manager.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj funkcji zarządzania poprawkami systemu operacyjnego Google Cloud VM Manager lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że usługa Windows Update została włączona i ustawiona na automatyczne aktualizowanie.

W przypadku oprogramowania innych firm do zarządzania poprawkami należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu Microsoft System Center Updates Publisher do zarządzania konfiguracją.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

PV-7: Prowadzenie regularnych operacji zespołu czerwonego

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 identyfikatory PCI-DSS w wersji 3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Zasada zabezpieczeń: Symulowanie rzeczywistych ataków w celu zapewnienia bardziej pełnego wglądu w lukę w zabezpieczeniach organizacji. Operacje zespołu Red Team i testy penetracyjne uzupełniają tradycyjne podejście do analizy słabych punktów w celu wykrywania zagrożeń.

Postępuj zgodnie z najlepszymi rozwiązaniami branżowymi, aby zaprojektować, przygotować i przeprowadzić tego rodzaju testy, aby upewnić się, że nie spowoduje to uszkodzenia ani zakłóceń w środowisku. Powinno to zawsze obejmować dyskusję na temat zakresu testowania i ograniczeń z odpowiednimi uczestnikami projektu i właścicielami zasobów.

Wskazówki dotyczące platformy Azure: Zgodnie z potrzebami przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń zabezpieczeń.

Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu i testów penetracyjnych na żywo dla zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze zarządzanej przez firmę Microsoft.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Zgodnie z potrzebami przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy AWS i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z zasadami pomocy technicznej platformy AWS dotyczącymi testowania penetracyjnego, aby upewnić się, że testy penetracyjne nie naruszają zasad platformy AWS.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobie GCP i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z zasadami pomocy technicznej GCP dotyczącymi testowania penetracyjnego, aby upewnić się, że testy penetracyjne nie naruszają zasad GCP.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

  • Last updated on