Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej up-to— data testu porównawczego zabezpieczeń platformy Azure jest dostępna tutaj.
Stan i zarządzanie lukami w zabezpieczeniach koncentruje się na kontrolach dotyczących oceny i poprawy stanu zabezpieczeń platformy Azure. Obejmuje to skanowanie luk w zabezpieczeniach, testowanie penetracyjne i korygowanie, a także śledzenie, raportowanie i korektę konfiguracji zabezpieczeń w zasobach platformy Azure.
Aby wyświetlić odpowiednie wbudowane zasady usługi Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: stan i zarządzanie lukami w zabezpieczeniach
PV-1: Ustanawianie bezpiecznych konfiguracji dla usług platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-1 (Elektrownia PV-1) | 5,1 | CM-2, CM-6 |
Zdefiniuj zabezpieczenia dla zespołów infrastruktury i usługi DevOps, ułatwiając bezpieczne konfigurowanie używanych usług platformy Azure.
Rozpocznij konfigurację zabezpieczeń usług platformy Azure przy użyciu punktów odniesienia usługi w teściu porównawczym zabezpieczeń platformy Azure i dostosuj je zgodnie z potrzebami dla organizacji.
Użyj usługi Azure Security Center, aby skonfigurować usługę Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure.
Usługi Azure Blueprints można używać do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i zasad w jednej definicji strategii.
Praca z zasadami zabezpieczeń w usłudze Azure Security Center
Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-2: Utrzymywanie bezpiecznych konfiguracji dla usług platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-2 (Elektrownia PV-2) | 5.2 | CM-2, CM-6 |
Użyj usługi Azure Security Center, aby monitorować bazową konfigurację i używać reguł usługi Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację dla zasobów obliczeniowych Azure, w tym maszyn wirtualnych, kontenerów i innych.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-3 (Elektrownia PV-3) | 5,1 | CM-2, CM-6 |
Użyj usług Azure Security Center i Azure Policy, aby ustanowić bezpieczne konfiguracje dla wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć niestandardowych obrazów systemu operacyjnego lub usługi Azure Automation State Configuration w celu ustanowienia konfiguracji zabezpieczeń systemu operacyjnego wymaganego przez organizację.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-4 (Elektrownia PV-4) | 5.2 | CM-2, CM-6 |
Użyj usług Azure Security Center i Azure Policy, aby regularnie oceniać i korygować zagrożenia związane z konfiguracją zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub usługi Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację. Szablony maszyn wirtualnych firmy Microsoft w połączeniu z usługą Azure Automation State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Należy również pamiętać, że obrazy maszyn wirtualnych witryny Azure Marketplace opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.
Usługa Azure Security Center może również skanować luki w zabezpieczeniach obrazów kontenerów i prowadzić ciągłe monitorowanie konfiguracji Docker w kontenerach na podstawie CIS Docker Benchmark. Możesz użyć strony rekomendacji usługi Azure Security Center, aby wyświetlić zalecenia i rozwiązać problemy.
Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach usługi Azure Security Center
Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal
Informacje na temat pobierania szablonu dla maszyny wirtualnej
Odpowiedzialność: wspólna
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-5: Bezpieczne przechowywanie niestandardowych systemów operacyjnych i obrazów kontenerów
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby upewnić się, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do obrazów niestandardowych. Użyj galerii obrazów udostępnionych platformy Azure, aby udostępniać obrazy różnym użytkownikom, jednostkom usługi lub grupom usługi AD w organizacji. Przechowuj obrazy kontenerów w usłudze Azure Container Registry i używaj Azure RBAC (kontrola dostępu oparta na rolach), aby zapewnić, że tylko autoryzowani użytkownicy mają dostęp.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Postępuj zgodnie z zaleceniami usługi Azure Security Center w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL. Usługa Azure Security Center ma wbudowany skaner luk w zabezpieczeniach do skanowania maszyn wirtualnych.
Użyj rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach internetowych. Podczas przeprowadzania skanowania zdalnego nie należy używać pojedynczego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT (Just In Time) dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.
Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Korzystając z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Azure Security Center, możesz przestawić się do portalu wybranego rozwiązania do skanowania, aby wyświetlić historyczne dane skanowania.
Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach usługi Azure Security Center
Zintegrowany skaner luk w zabezpieczeniach dla maszyn wirtualnych
Eksportowanie wyników skanowania luk w zabezpieczeniach usługi Azure Security Center
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-7: Szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Elektrownia PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Szybkie wdrażanie aktualizacji oprogramowania w celu skorygowania luk w zabezpieczeniach oprogramowania w systemach operacyjnych i aplikacjach.
Użyj wspólnego programu oceniania ryzyka (takiego jak typowy system oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka udostępnianych przez narzędzie do skanowania innej firmy i dostosuj je do środowiska, biorąc pod uwagę, które aplikacje stanowią wysokie ryzyko bezpieczeństwa i które wymagają wysokiego czasu pracy.
Użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że usługa Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu System Center Updates Publisher for Configuration Manager.
Jak skonfigurować rozwiązanie Update Management dla maszyn wirtualnych na platformie Azure
Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych platformy Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PV-8: Przeprowadzanie regularnej symulacji ataku
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PV-8 (Elektrownia PV-8) | 20 | CA-8, CA-2, RA-5 |
W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu i testów penetracyjnych na żywo dla zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze zarządzanej przez firmę Microsoft.
Odpowiedzialność: wspólna
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):