狀態和弱點管理著重於評估及改善 Azure 安全性狀態的控件,包括弱點掃描、滲透測試和補救,以及 Azure 資源中的安全性組態追蹤、報告和更正。
PV-1:定義和建立安全設定
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 1.1 |
安全性準則: 定義雲端中不同資源類型的安全組態基準。 或者,使用組態管理工具在資源部署之前或期間自動建立設定基準,讓環境在部署之後依預設符合規範。
Azure 指引: 使用 Azure 安全性效能評定和服務基準,為每個個別的 Azure 供應專案或服務定義您的設定基準。 請參閱 Azure 參考架構和雲端採用架構登陸區域架構,以瞭解跨 Azure 資源可能需要的重要安全性控制和設定。
使用 Azure 藍圖,在單一藍圖定義中自動部署和設定服務和應用程式環境,包括 Azure Resource Manager 範本、Azure RBAC 控件和原則。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
PV-2:稽核和強制執行安全性設定
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 2.2 |
安全性準則: 當已定義的組態基準有偏差時,持續監視和警示。 藉由拒絕不符合規範的組態或部署組態,根據基準組態強制執行所需的組態。
Azure 指引: 使用適用於雲端的 Microsoft Defender 來設定 Azure 原則,以稽核並強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。
使用 Azure 原則中的 [拒絕] 和 [不存在時部署] 規則,以在 Azure 資源間強制實施安全性設定。
針對 Azure 原則不支援的資源設定稽核和強制執行,您可能需要撰寫自己的腳本,或使用第三方工具來實作組態稽核和強制執行。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
PV-3:定義和建立計算資源的安全設定
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全性準則: 定義計算資源的安全組態基準,例如 VM 和容器。 使用組態管理工具,在計算資源部署之前或期間自動建立設定基準,讓環境在部署之後預設符合規範。 或者,使用預先設定的映像,在計算資源映像範本中建置所需的設定基準。
Azure 指引: 使用 Azure 建議的作系統基準 (適用於 Windows 和 Linux)作為基準,以定義計算資源設定基準。
此外,您可以使用自定義 VM 映像或容器映像搭配 Azure 原則客體設定和 Azure 自動化狀態設定來建立所需的安全性設定。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
PV-4:稽核並強制執行計算資源的安全設定
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全性準則: 當計算資源中定義的組態基準有偏差時,持續監視和警示。 拒絕不符合規範的組態,或在計算資源中部署組態,以根據基準組態強制執行所需的組態。
Azure 指引: 使用 Microsoft 適用於雲端的 Defender 和 Azure 原則客體設定代理程式,定期評估及補救 Azure 計算資源上的設定偏差,包括 VM、容器和其他資源。 此外,您可以使用 Azure Resource Manager 範本、自定義作系統映像或 Azure 自動化狀態設定來維護作系統的安全性設定。 Microsoft VM 範本與 Azure 自動化狀態設定搭配使用,可協助滿足和維護安全性需求。
注意:Microsoft所發行的 Azure Marketplace VM 映像是由Microsoft管理和維護。
實作和其他內容:
- 如何實作 Microsoft Defender for Cloud 的弱點評估建議
- 如何從 ARM 範本建立 Azure 虛擬機
- Azure 自動化 狀態設定 概觀
- 在 Azure 入口網站中建立 Windows 虛擬機
- 適用於雲端的 Microsoft Defender 中的容器安全性
客戶安全利害關係人(深入瞭解):
PV-5:執行弱點評估
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3、RA-5 | 6.1, 6.2, 6.6 |
安全性準則: 在固定排程或隨選的所有層級執行雲端資源的弱點評估。 追蹤並比較掃描結果,以確認已補救弱點。 評估應包含所有類型的弱點,例如 Azure 服務、網路、Web、作系統、設定錯誤等等。
請注意與弱點掃描器所使用的特殊許可權存取相關聯的潛在風險。 請遵循特殊許可權存取安全性最佳做法來保護用於掃描的任何系統管理帳戶。
Azure 指引: 請遵循適用於雲端的 Microsoft Defender 的建議,以在 Azure 虛擬機、容器映射和 SQL Server 上執行弱點評估。 Microsoft Defender for Cloud 具有內建的虛擬機弱點掃描器。 使用第三方解決方案在網路裝置和應用程式上執行弱點評估(例如 Web 應用程式)
以一致的間隔匯出掃描結果,並將結果與先前的掃描進行比較,以確認已補救弱點。 使用 Microsoft Defender 適用於雲端建議的弱點管理建議時,您可以進入選取的掃描解決方案入口網站,以檢視歷史掃描數據。
執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮為掃描帳戶實施 JIT (Just In Time)布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
注意:Azure Defender 服務(包括適用於伺服器的 Defender、容器登錄、App Service、SQL 和 DNS)內嵌特定弱點評估功能。 應該將從 Azure Defender 服務產生的警示,與 Microsoft Defender for Cloud 弱點掃描工具的結果一起監視和檢閱。
注意:請確定您在適用於雲端的Defender Microsoft 中設定電子郵件通知。
實作和其他內容:
- 如何實作 Microsoft Defender for Cloud 的弱點評估建議
- 虛擬機的整合式弱點掃描器
- SQL 弱點評估
- 匯出 Microsoft Defender for Cloud 弱點掃描結果
客戶安全利害關係人(深入瞭解):
PV-6:快速且自動補救弱點
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3、RA-5、SI-2:瑕疵補救 | 6.1, 6.2, 6.5, 11.2 |
安全性準則: 快速且自動部署修補程式和更新,以補救雲端資源中的弱點。 使用適當的風險型方法來排定弱點補救的優先順序。 例如,較高價值資產中較嚴重的弱點應以較高的優先順序加以解決。
Azure 指引: 使用 Azure 自動化更新管理或第三方解決方案,以確保 Windows 和 Linux VM 上已安裝最新的安全性更新。 針對 Windows VM,請確定 Windows Update 已啟用並設定為自動更新。
針對第三方軟體,請使用第三方修補程式管理解決方案或 System Center Updates Publisher for Configuration Manager。
優先使用常見風險評分計劃部署哪些更新(例如常見弱點評分系統)或第三方掃描工具所提供的預設風險分級,並根據您的環境量身打造。 您也應該考慮哪些應用程式具有較高的安全性風險,以及哪些應用程式需要高運行時間。
實作和其他內容:
客戶安全利害關係人(深入瞭解):
PV-7:進行一般紅隊作業
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8、RA-5 | 6.6, 11.2, 11.3 |
安全性準則: 模擬真實世界的攻擊,以提供更完整的組織弱點檢視。 紅色小組作業和滲透測試可補充傳統弱點掃描方法來探索風險。
遵循業界最佳做法來設計、準備及進行這類測試,以確保它不會對您的環境造成損害或中斷。 這應該一律包括與相關項目關係人和資源擁有者討論測試範圍和條件約束。
Azure 指引: 視需要,在您的 Azure 資源上執行滲透測試或紅色小組活動,並確保修復所有重要的安全性結果。
遵循Microsoft雲端滲透測試參與規則,以確保您的滲透測試不會違反Microsoft原則。 使用 Microsoft 的 Red Teaming 策略和實地滲透測試,針對由 Microsoft 管理的雲端基礎設施、服務和應用程式進行執行。
實作和其他內容:
客戶安全利害關係人(深入瞭解):