Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Postawa bezpieczeństwa i zarządzanie lukami w zabezpieczeniach koncentruje się na mechanizmach oceny i poprawy zabezpieczeń platformy Azure, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i ich korygowania, a także na śledzeniu, raportowaniu i poprawianiu konfiguracji zabezpieczeń w zasobach platformy Azure.
PV-1: Definiowanie i ustanawianie bezpiecznych konfiguracji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Zasada zabezpieczeń: Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze. Alternatywnie użyj narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed wdrożeniem lub podczas wdrażania zasobów, aby środowisko było domyślnie zgodne po wdrożeniu.
Wskazówki dotyczące platformy Azure: Użyj testu porównawczego zabezpieczeń platformy Azure i punktu odniesienia usługi, aby zdefiniować konfigurację odniesienia dla każdej odpowiedniej oferty lub usługi platformy Azure. Zapoznaj się z architekturą referencyjną platformy Azure i architekturą strefy docelowej Cloud Adoption Framework, aby zrozumieć kluczowe zabezpieczenia i konfiguracje, które mogą być konieczne w zasobach Azure.
Usługa Azure Blueprints służy do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i zasad w jednej definicji strategii.
Implementacja i dodatkowy kontekst:
- Ilustracja przedstawiająca implementację barier zabezpieczających w strefie docelowej w skali przedsiębiorstwa
- Praca z zasadami zabezpieczeń w usłudze Microsoft Defender for Cloud
- Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
- Plany platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- zarządzanie postawą
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-2: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy istnieje odchylenie od zdefiniowanej konfiguracji odniesienia. Wymuś żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdróż konfigurację.
Wskazówki dotyczące platformy Azure: Użyj usługi Microsoft Defender for Cloud, aby skonfigurować usługę Azure Policy w celu przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów.
Użyj zasady Azure Policy [odmowa] oraz [wdrażanie, jeśli nie istnieje], aby wymusić bezpieczną konfigurację zasobów Azure.
W przypadku inspekcji i wymuszania konfiguracji zasobów, które nie są obsługiwane przez usługę Azure Policy, może być konieczne napisanie własnych skryptów lub użycie narzędzi innych firm w celu zaimplementowania inspekcji i wymuszania konfiguracji.
Implementacja i dodatkowy kontekst:
- Omówienie efektów usługi Azure Policy
- Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
- Pobieranie danych zgodności zasobów platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- zarządzanie postawą
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Zdefiniuj bezpieczne punkty odniesienia konfiguracji dla zasobów obliczeniowych, takich jak maszyny wirtualne i kontenery. Użyj narzędzi do zarządzania konfiguracją, aby automatycznie ustanowić konfigurację odniesienia przed wdrożeniem zasobów obliczeniowych lub podczas wdrażania zasobów obliczeniowych, aby środowisko było domyślnie zgodne po wdrożeniu. Alternatywnie użyj wstępnie skonfigurowanego obrazu, aby wbudować żądaną konfigurację bazową do szablonu obrazu zasobu obliczeniowego.
Wskazówki dotyczące platformy Azure: Użyj zalecanego planu bazowego systemu operacyjnego platformy Azure (zarówno dla systemów Windows, jak i Linux) jako testu porównawczego, aby zdefiniować punkt odniesienia konfiguracji zasobów obliczeniowych.
Ponadto możesz użyć niestandardowego obrazu maszyny wirtualnej lub obrazu kontenera z konfiguracją gościa usługi Azure Policy i konfiguracją stanu usługi Azure Automation, aby ustanowić żądaną konfigurację zabezpieczeń.
Implementacja i dodatkowy kontekst:
- Punkt odniesienia konfiguracji zabezpieczeń systemu operacyjnego Linux
- Punkt odniesienia konfiguracji zabezpieczeń systemu operacyjnego Windows
- Zalecenie dotyczące konfiguracji zabezpieczeń dla zasobów obliczeniowych
- Omówienie usługi Azure Automation State Configuration
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- zarządzanie postawą
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-4: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Zasada zabezpieczeń: Stale monitoruj i ostrzegaj, gdy istnieje odchylenie od zdefiniowanej konfiguracji odniesienia w zasobach obliczeniowych. Wymuś żądaną konfigurację zgodnie z konfiguracją punktu odniesienia, odmawiając niezgodnej konfiguracji lub wdrażając konfigurację w zasobach obliczeniowych.
Wskazówki dotyczące platformy Azure: Użyj usługi Microsoft Defender for Cloud i agenta konfiguracji gościa usługi Azure Policy, aby regularnie oceniać i korygować odchylenia konfiguracji zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych. Ponadto można użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub usługi Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Szablony maszyn wirtualnych firmy Microsoft w połączeniu z usługą Azure Automation State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Uwaga: obrazy maszyn wirtualnych z witryny Azure Marketplace opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.
Implementacja i dodatkowy kontekst:
- Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud
- Jak utworzyć maszynę wirtualną platformy Azure z szablonu ARM
- Omówienie usługi Azure Automation State Configuration
- Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal
- Zabezpieczenia kontenerów w usłudze Microsoft Defender for Cloud
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- zarządzanie postawą
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Zasada zabezpieczeń: Przeprowadź ocenę luk w zabezpieczeniach dla zasobów w chmurze we wszystkich warstwach w ustalonym harmonogramie lub na żądanie. Śledź i porównaj wyniki skanowania, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Ocena powinna obejmować wszystkie typy luk w zabezpieczeniach, takie jak luki w usługach Azure, sieci, aplikacjach webowych, systemach operacyjnych, błędnych konfiguracjach itd.
Należy pamiętać o potencjalnych zagrożeniach związanych z uprzywilejowanym dostępem używanym przez skanery luk w zabezpieczeniach. Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń dostępu uprzywilejowanego, aby zabezpieczyć wszystkie konta administracyjne używane do skanowania.
Wskazówki dotyczące platformy Azure: Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL. Usługa Microsoft Defender for Cloud ma wbudowany skaner luk w zabezpieczeniach na potrzeby skanowania maszyn wirtualnych. Korzystanie z rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach (np. aplikacjach internetowych)
Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Korzystając z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Microsoft Defender for Cloud, możesz przestawić się do portalu wybranego rozwiązania do skanowania, aby wyświetlić historyczne dane skanowania.
Podczas przeprowadzania skanowania zdalnego nie należy używać pojedynczego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT (Just In Time) dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.
Uwaga: usługi Azure Defender (w tym usługa Defender dla serwera, rejestr kontenerów, usługa App Service, SQL i DNS) osadzają pewne możliwości oceny luk w zabezpieczeniach. Alerty generowane z usług Azure Defender powinny być monitorowane i przeglądane wraz z wynikiem narzędzia do skanowania luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud.
Uwaga: Upewnij się, że skonfigurowałeś powiadomienia e-mail w Microsoft Defender for Cloud.
Implementacja i dodatkowy kontekst:
- Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud
- Zintegrowany skaner luk w zabezpieczeniach dla maszyn wirtualnych
- Ocena luk w zabezpieczeniach SQL
- Eksportowanie wyników skanowania luk w zabezpieczeniach usługi Microsoft Defender for Cloud
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- zarządzanie postawą
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: KORYGOWANIE WAD | 6.1, 6.2, 6.5, 11.2 |
Zasada zabezpieczeń: Szybkie i automatyczne wdrażanie poprawek i aktualizacji w celu skorygowania luk w zabezpieczeniach zasobów w chmurze. Użyj odpowiedniego podejścia opartego na ryzyku, aby określić priorytety korygowania luk w zabezpieczeniach. Na przykład bardziej poważne luki w zabezpieczeniach w zasobie o wyższej wartości powinny zostać rozwiązane jako wyższy priorytet.
Wskazówki dotyczące platformy Azure: Użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że usługa Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu System Center Updates Publisher for Configuration Manager.
Określ priorytety, które aktualizacje mają być wdrażane jako pierwsze przy użyciu wspólnego programu oceniania ryzyka (takiego jak wspólny system oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka udostępnianych przez narzędzie do skanowania innej firmy i dostosuj je do środowiska. Należy również rozważyć, które aplikacje stanowią wysokie ryzyko bezpieczeństwa i które wymagają wysokiego czasu pracy.
Implementacja i dodatkowy kontekst:
- Jak skonfigurować rozwiązanie Update Management dla maszyn wirtualnych na platformie Azure
- Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- zarządzanie postawą
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
PV-7: Prowadzenie regularnych operacji zespołu czerwonego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Zasada zabezpieczeń: Zasymuluj rzeczywiste ataki, aby zapewnić bardziej pełny wgląd w lukę w zabezpieczeniach organizacji. Operacje zespołu Red Team i testy penetracyjne uzupełniają tradycyjne podejście do analizy słabych punktów w celu wykrywania zagrożeń.
Postępuj zgodnie z najlepszymi rozwiązaniami branżowymi, aby zaprojektować, przygotować i przeprowadzić tego rodzaju testy, aby upewnić się, że nie spowoduje to uszkodzenia ani zakłóceń w środowisku. Powinno to zawsze obejmować dyskusję na temat zakresu testowania i ograniczeń z odpowiednimi uczestnikami projektu i właścicielami zasobów.
Wskazówki dotyczące platformy Azure: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.
Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu i testów penetracyjnych na żywo dla zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze zarządzanej przez firmę Microsoft.
Implementacja i dodatkowy kontekst:
- Testowanie penetracyjne na platformie Azure
- Reguły prowadzenia testów penetracyjnych
- Red Teaming w chmurze firmy Microsoft
- Przewodnik techniczny dotyczący testowania i oceny zabezpieczeń informacji
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):