狀態和弱點管理著重於評估及改善 Azure 安全性狀態的控件。 這包括弱點掃描、滲透測試和補救,以及 Azure 資源中的安全性組態追蹤、報告和更正。
若要查看適用的內建 Azure 原則,請參閱 Azure 安全性效能評定法規合規性內建方案的詳細數據:狀態和弱點管理
PV-1:建立 Azure 服務的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-1 | 5.1 | CM-2、CM-6 |
為基礎結構和 DevOps 小組定義安全性防護,讓您可以輕鬆地安全地設定其使用的 Azure 服務。
使用 Azure 安全性效能評定中的服務基準啟動 Azure 服務的安全性設定,並視需要為您的組織自定義。
使用 Azure 資訊安全中心來設定 Azure 原則,以稽核及強制執行 Azure 資源的設定。
您可以使用 Azure 藍圖,在單一藍圖定義中自動部署和設定服務和應用程式環境,包括 Azure Resource Manager 範本、Azure RBAC 控件和原則。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PV-2:維持 Azure 服務的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-2 系列 | 5.2 | CM-2、CM-6 |
使用 Azure 安全中心來監控您的設定基準,並使用 Azure 原則 [拒絕] 和 [若不存在則部署] 規則,強制執行跨越 Azure 計算資源的安全設定,包括虛擬機器(VM)、容器及其他資源。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PV-3:建立計算資源的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-3 系列 | 5.1 | CM-2、CM-6 |
使用 Azure 資訊安全中心和 Azure 原則,在所有計算資源上建立安全設定,包括 VM、容器和其他資源,此外,您可以使用自定義作系統映像或 Azure 自動化狀態設定來建立組織所需的作系統安全性設定。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PV-4:維持計算資源的安全設定
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-4 系列 | 5.2 | CM-2、CM-6 |
使用 Azure 資訊安全中心和 Azure 原則,定期評估及補救 Azure 計算資源上的設定風險,包括 VM、容器和其他資源。 此外,您可以使用 Azure Resource Manager 範本、自定義作系統映像或 Azure 自動化狀態設定來維護組織所需的作系統安全性設定。 Microsoft VM 範本與 Azure 自動化狀態設定搭配使用,可協助滿足和維護安全性需求。
此外,請注意,Microsoft所發行的 Azure Marketplace VM 映像是由Microsoft管理和維護。
Azure 資訊安全中心也可以掃描容器映像中的弱點,並根據 CIS Docker 效能評定,在容器中執行 Docker 設定的持續監視。 您可以使用 Azure 資訊安全中心建議頁面來檢視建議和補救問題。
責任:共用
客戶安全性項目關係人 (深入瞭解):
PV-5:安全地儲存自定義作系統和容器映像
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-5 系列 | 5.3 | CM-2、CM-6 |
使用 Azure 角色型存取控制 (Azure RBAC) 來確保只有授權的使用者才能存取您的自定義映像。 使用 Azure 共用映像庫,將映像共用至組織內的不同使用者、服務主體或 AD 群組。 將容器映像儲存在 Azure Container Registry 中,並使用 Azure RBAC 來確保只有授權的使用者才能存取。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PV-6:執行軟體弱點評估
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-6 系列 | 3.1, 3.2, 3.3, 3.6 | CA-2、RA-5 |
請遵循 Azure 資訊安全中心的建議,在 Azure 虛擬機、容器映像和 SQL Server 上執行弱點評估。 Azure 資訊安全中心具有內建的弱點掃描器,可掃描虛擬機。
使用第三方解決方案,在網路裝置和 Web 應用程式上執行弱點評估。 執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮為掃描帳戶實施 JIT (Just In Time)布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
以一致的間隔匯出掃描結果,並將結果與先前的掃描進行比較,以確認已補救弱點。 使用 Azure 資訊安全中心所建議的弱點管理建議時,您可以轉入選定的掃描解決方案平台,以查看掃描的歷史數據。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PV-7:快速且自動補救軟體弱點
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-7 系列 | 3.7 | CA-2、RA-5、SI-2 |
快速部署軟體更新,以補救作系統和應用程式中的軟體弱點。
使用常見的風險評分計劃(例如常見弱點評分系統)或第三方掃描工具所提供的預設風險分級,並根據您的環境量身打造,並考慮到哪些應用程式存在高安全性風險,以及哪些應用程式需要高運行時間。
使用 Azure 自動化更新管理或第三方解決方案,以確保 Windows 和 Linux VM 上已安裝最新的安全性更新。 針對 Windows VM,請確定 Windows Update 已啟用並設定為自動更新。
針對第三方軟體,請使用第三方修補程式管理解決方案或 System Center Updates Publisher for Configuration Manager。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PV-8:進行一般攻擊模擬
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PV-8 系列 | 20 | CA-8、CA-2、RA-5 |
視需要,在您的 Azure 資源上執行滲透測試或紅色小組活動,並確保修復所有重要的安全性結果。 遵循Microsoft雲端滲透測試參與規則,以確保您的滲透測試不會違反Microsoft原則。 使用 Microsoft 的 Red Teaming 策略和實地滲透測試,針對由 Microsoft 管理的雲端基礎設施、服務和應用程式進行執行。
責任:共用
客戶安全性項目關係人 (深入瞭解):