共用方式為

安全性控制:狀態和弱點管理

狀態和弱點管理著重於評估及改善雲端安全性狀態的控件,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性組態追蹤、報告和修正。

PV-1:定義和建立安全設定

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
4.1、4.2 CM-2、CM-6 1.1

安全原則:為雲中的不同資源類型定義安全配置基線。 或者,使用組態管理工具在資源部署之前或期間自動建立設定基準,讓環境在部署之後依預設符合規範。

Azure 指南:使用 Microsoft 雲安全基準和服務基線為每個相應的 Azure 產品/服務定義配置基線。 請參閱 Azure 參考體系結構 和雲採用框架登陸區域體系結構 ,瞭解 Azure 資源中可能需要的關鍵安全控制和配置。

使用 Azure 登陸區域 (和藍圖) 通過設置服務和應用程式環境的配置(包括 Azure 資源管理器範本、Azure RBAC 控制件和 Azure Policy)來加速工作負載部署。

Azure 實作和其他背景:

AWS 指南:使用 Microsoft 雲安全基準 - 適用於 AWS 的多雲指南和其他輸入來定義每個相應 AWS 產品或服務的配置基線。 請參閱 AWS Well-Architectured Framework 中的安全支柱和其他支柱,瞭解跨 AWS 資源可能需要的關鍵安全控制和配置。

在 AWS landing zone 定義中使用 AWS CloudFormation 範本和 AWS Config 規則來自動部署和配置服務和應用程式環境。

AWS 實作和其他內容

GCP 指南:使用 Microsoft 雲安全基準 - GCP 的多雲指南和其他輸入來定義每個相應 GCP 產品或服務的配置基線。 請參閱 Google Cloud 部署基礎藍圖和landing zone design中的支柱。

使用適用於Google Cloud的 Terraform 藍圖模組,並使用原生 Google Cloud Deployment Manager 自動部署和配置服務和應用程式環境。

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

PV-2:稽核和強制執行安全性設定

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
4.1、4.2 CM-2、CM-6 2.2

安全原則:持續監視並在偏離定義的配置基線時發出警報。 通過拒絕不合規的配置或部署配置,根據基準配置強制實施所需的配置。

Azure 指南:使用 Microsoft Defender for Cloud 配置 Azure Policy 以審核和強制實施 Azure 資源的配置。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。

使用 Azure Policy [拒絕] 和 [不存在時部署 ] 規則跨 Azure 資源強制實施安全配置。

針對 Azure 原則不支援的資源設定稽核和強制執行,您可能需要撰寫自定義腳本或使用第三方工具來實作組態稽核和強制執行。

Azure 實作和其他背景:

AWS 指南:使用 AWS Config 規則審核 AWS 資源的配置。 您可以選擇使用與 AWS Config 規則關聯的 AWS Systems Manager Automation 來解決配置偏差。 使用 Amazon CloudWatch 在資源上檢測到配置偏差時創建警報。

對於 AWS Config 不支援的資源配置審計和實施,您可能需要編寫自定義腳本或使用第三方工具來實施配置審計和實施。

您還可以通過將 AWS 帳戶註冊到 Microsoft Defender for Cloud 來集中監控配置偏差。

AWS 實作和其他內容

GCP 指南:使用 Google Cloud Security Command Center 配置 GCP。 在 Operations Suite 中使用 Google Cloud Monitoring 在資源上檢測到配置偏差時創建警報。

要管理您的組織,請使用 Organizational Policy 來集中和以程式設計方式控制您組織的雲資源。 作為組織策略管理員,您將能夠在整個資源層次結構中配置約束。

對於組織策略不支援的資源配置審計和實施,您可能需要編寫自定義腳本,或使用第三方工具來實現配置審計和實施。

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

PV-3:定義和建立計算資源的安全設定

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
4.1 CM-2、CM-6 2.2

安全原則:為計算資源(如 VM 和容器)定義安全配置基線。 使用組態管理工具,在計算資源部署之前或期間自動建立設定基準,讓環境在部署之後預設符合規範。 或者,使用預先設定的映像,在計算資源映像範本中建置所需的設定基準。

Azure 指南:使用 Azure 建議的作系統安全基線(適用於 Windows 和 Linux)作為基準來定義計算資源配置基線。

此外,您還可以將自定義 VM 映射(使用 Azure 映射產生器)或容器映像與 Azure Automanage 計算機配置(以前稱為 Azure Policy 來賓配置)和 Azure 自動化 State 配置結合使用,以建立所需的安全配置。

Azure 實作和其他背景:

AWS 指南:使用來自市場上可信來源的 EC2 AWS 系統映射 (AMI) 作為基準來定義 EC2 配置基線。

此外,您還可以使用 EC2 Image Builder 透過 Systems Manager 代理構建自定義 AMI 範本,以建立所需的安全配置。 注意:AWS Systems Manager 代理預安裝在 AWS 提供的某些 Amazon 系統映射 (AMI) 上。

對於在 EC2 實例、AWS Lambda 或容器環境中運行的工作負載應用程式,您可以使用 AWS System Manager AppConfig 來建立所需的配置基準。

AWS 實作和其他內容

GCP 指南:使用 Google Cloud 建議的作系統安全基線(適用於 Windows 和 Linux)作為基準來定義計算資源配置基線。

此外,您還可以通過Packer Image Builder使用自定義 VM 映射,或將容器映射與Google Cloud Build 容器映像結合使用,以建立所需的配置基準。

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

PV-4:稽核並強制執行計算資源的安全設定

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
4.1 CM-2、CM-6 2.2

安全原則:持續監視計算資源中與定義的配置基線存在偏差時發出警報。 拒絕不符合規範的組態,或在計算資源中部署組態,以根據基準組態強制執行所需的組態。

Azure 指南:使用 Microsoft Defender for Cloud 和 Azure Automanage 計算機配置(以前稱為 Azure Policy 來賓配置)定期評估和修正 Azure 計算資源(包括 VM、容器等)上的配置偏差。 此外,您可以使用 Azure Resource Manager 範本、自定義作系統映像或 Azure 自動化狀態設定來維護作系統的安全性設定。 Microsoft VM 範本與 Azure 自動化狀態設定搭配使用,可協助滿足和維護安全性需求。 使用 Azure Automation 中的變更追蹤和清點功能,來追蹤裝載於 Azure、內部部署及其他雲端環境中的虛擬機器變更,協助您識別由發行套件管理員所管理之軟體的操作和環境問題。 在虛擬機上安裝客體證明代理程式,以監視機密虛擬機上的開機完整性。

注意:Microsoft所發行的 Azure Marketplace VM 映像是由Microsoft管理和維護。

Azure 實作和其他背景:

AWS 指南:使用 AWS System Manager 的 State Manager 功能定期評估和修復 EC2 實例上的配置偏差。 此外,您可以使用 CloudFormation 範本、自定義作系統映像來維護作系統的安全性設定。 AMI 範本與系統管理員搭配使用,可協助滿足和維護安全性需求。

還可以通過 Azure 自動化 State Configuration 集中監視和管理作系統配置偏移,並使用以下方法將適用的資源載入 Azure 安全治理:

  • 將您的 AWS 帳戶整合至 Microsoft Defender for Cloud
  • 使用適用於伺服器的 Azure Arc 將 EC2 執行個體連線到適用於雲端的 Microsoft Defender

針對在 EC2 實例、AWS Lambda 或容器環境中執行的工作負載應用程式,您可以使用 AWS System Manager AppConfig 來稽核並強制執行所需的設定基準。

注意:Amazon Web Services 在 AWS Marketplace 中發佈的 AMI 由 Amazon Web Services 管理和維護。

AWS 實作和其他內容

GCP 指南:使用 VM Manager 和 Google Cloud Security Command Center 定期評估和修復 Compute Engine 實例、容器和無伺服器協定的配置偏差。 此外,您可以使用部署管理員 VM 範本、自訂作系統映像來維護作系統的安全性設定。 Deployment Manager VM 範本範本與 VM Manager 結合使用,可以説明滿足和維護安全要求。

還可以通過 Azure 自動化 State Configuration 集中監視和管理作系統配置偏移,並使用以下方法將適用的資源載入 Azure 安全治理:

  • 將 GCP 項目上線至適用於雲端的 Microsoft Defender
  • 使用適用於伺服器的 Azure Arc 將 GCP VM 實例連線到適用於雲端的 Microsoft Defender

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

PV-5:執行弱點評估

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3、RA-5 6.1, 6.2, 6.6

安全原則:按固定計劃或按需對所有層級的雲資源執行漏洞評估。 追蹤並比較掃描結果,以確認已補救弱點。 評估應包含所有類型的弱點,例如 Azure 服務、網路、Web、作系統、設定錯誤等等。

請注意與弱點掃描器所使用的特殊許可權存取相關聯的潛在風險。 請遵循特殊許可權存取安全性最佳做法來保護用於掃描的任何系統管理帳戶。

Azure 指南:遵循 Microsoft Defender for Cloud 的建議,對 Azure 虛擬機、容器映像和 SQL Server 執行漏洞評估。 Microsoft適用於雲端的 Defender 具有適用於虛擬機的內建弱點掃描器。 使用第三方解決方案在網路裝置和應用程式上執行弱點評估(例如 Web 應用程式)

以一致的間隔匯出掃描結果,並將結果與先前的掃描進行比較,以確認已補救弱點。 使用 Microsoft Defender 適用於雲端建議的弱點管理建議時,您可以進入選取的掃描解決方案入口網站,以檢視歷史掃描數據。

執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮為掃描帳戶實施 JIT (Just In Time)布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。

注意:Microsoft Defender 服務(包括適用於伺服器、容器、應用服務、資料庫和 DNS)嵌入了某些漏洞評估功能。 應該將從 Azure Defender 服務產生的警示,與 Microsoft Defender for Cloud 弱點掃描工具的結果一起監視和檢閱。

注意:確保在 Microsoft Defender for Cloud 中設置電子郵件通知。

Azure 實作和其他背景:

AWS 指南:使用 Amazon Inspector 掃描駐留在 Amazon Elastic Container Registry (Amazon ECR) 中的 Amazon EC2 實例和容器映射,以查找軟體漏洞和意外的網路洩露。 使用第三方解決方案在網路裝置和應用程式上執行弱點評估(例如 Web 應用程式)

請參閱控制 ES-1「使用端點偵測和回應(EDR)」,將您的 AWS 帳戶上線至適用於雲端的 Microsoft Defender,並在 EC2 實例中部署適用於伺服器的 Microsoft Defender(已整合適用於端點的 Microsoft Defender)。 Microsoft適用於伺服器的 Defender 為您的 VM 提供原生威脅和弱點管理功能。 弱點掃描結果將會整合至Microsoft Defender for Cloud儀錶板。

跟蹤漏洞發現的狀態,以確保在它們被視為誤報時得到正確修復或抑制。

執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮為掃描帳戶實作暫時配置方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。

AWS 實作和其他內容

GCP 指南:遵循 Microsoft Defender for Cloud 或/和 Google Cloud Security Command Center 的建議,對 Compute Engine 實例執行漏洞評估。 安全性命令中心在網路裝置和應用程式上具有內建弱點評估(例如 Web 安全性掃描器)

以一致的間隔匯出掃描結果,並將結果與先前的掃描進行比較,以確認已補救弱點。 使用資訊安全命令中心建議的弱點管理建議時,您可以切換至您選擇的掃描解決方案平台,以檢視過去的掃描數據。

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

PV-6:快速且自動補救弱點

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3、RA-5、SI-2:瑕疵補救 6.1, 6.2, 6.5, 11.2

安全原則:快速自動部署補丁和更新,以修復雲資源中的漏洞。 使用適當的風險型方法來排定弱點補救的優先順序。 例如,較高價值資產中較嚴重的弱點應以較高的優先順序加以解決。

Azure 指南:使用 Azure 自動化更新管理或第三方解決方案確保在 Windows 和 Linux VM 上安裝最新的安全更新。 針對 Windows VM,請確定 Windows Update 已啟用並設定為自動更新。

針對第三方軟體,請使用第三方修補程式管理解決方案或 Microsoft System Center Updates Publisher for Configuration Manager。

Azure 實作和其他背景:

AWS 指南:使用 AWS Systems Manager - Patch Manager 確保在作系統和應用程式上安裝最新的安全更新。 修補程式管理員支援修補程式基準,讓您定義系統已核准和拒絕的修補程序清單。

您也可以使用 Azure 自動化更新管理,集中管理 AWS EC2 Windows 和 Linux 實例的修補程式和更新。

針對第三方軟體,請使用第三方修補程式管理解決方案或 Microsoft System Center Updates Publisher for Configuration Manager。

AWS 實作和其他內容

GCP 指南:使用 Google Cloud VM Manager OS 修補程式管理或第三方解決方案,確保在 Windows 和 Linux VM 上安裝最新的安全更新。 對於 Windows VM,請確保已啟用 Windows Update 並將其設置為自動更新。

針對第三方軟體,請使用第三方修補程式管理解決方案或Microsoft System Center Updates Publisher 進行組態管理。

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

PV-7:進行一般紅隊作業

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼 PCI-DSS 標識碼(s) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8、RA-5 6.6, 11.2, 11.3

安全原則:模擬真實世界的攻擊,以更全面地了解組織的漏洞。 紅色小組作業和滲透測試可補充傳統弱點掃描方法來探索風險。

遵循業界最佳做法來設計、準備及進行這類測試,以確保它不會對您的環境造成損害或中斷。 這應該一律包括與相關項目關係人和資源擁有者討論測試範圍和條件約束。

Azure 指南:根據需要,對 Azure 資源進行滲透測試或紅隊活動,並確保修正所有關鍵安全發現。

遵循Microsoft雲端滲透測試參與規則,以確保您的滲透測試不會違反Microsoft原則。 使用 Microsoft 的 Red Teaming 策略和實地滲透測試,針對由 Microsoft 管理的雲端基礎設施、服務和應用程式進行執行。

Azure 實作和其他背景:

AWS 指南:根據需要,對您的 AWS 資源進行滲透測試或紅隊活動,並確保修復所有關鍵安全檢測結果。

請遵循 AWS 客戶支援滲透測試政策,以確保您的滲透測試不違反 AWS 政策。

AWS 實作和其他內容

GCP 指南:根據需要,對 GCP 資源進行滲透測試或紅隊活動,並確保修復所有關鍵安全檢測結果。

請遵循 GCP 客戶支援政策進行滲透測試,以確保您的滲透測試不違反 GCP 政策。

GCP 實作和額外背景資訊

客戶安全利害關係人 (瞭解更多

  • Last updated on