状况和漏洞管理侧重于用于评估和改进 Azure 安全状况的控制,包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。
PV-1:定义并建立安全配置
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 1.1 |
安全原则: 为云中的不同资源类型定义安全配置基线。 或者,使用配置管理工具在资源部署之前或期间自动建立配置基线,以便环境在部署后默认合规。
Azure 指南: 使用 Azure 安全基准和服务基线为每个各自的 Azure 产品/服务定义配置基线。 请参阅 Azure 参考体系结构和云采用框架登陆区域体系结构,了解跨 Azure 资源可能需要的关键安全控制和配置。
使用 Azure 蓝图在单个蓝图定义中自动部署和配置服务和应用程序环境,包括 Azure 资源管理器模板、Azure RBAC 控件和策略。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-2:审核并强制执行安全配置
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 2.2 |
安全原则: 当存在与定义的配置基线偏差时,持续监视和警报。 通过拒绝不合规的配置或部署配置,根据基线配置强制实施所需的配置。
Azure 指南: 使用 Microsoft Defender for Cloud 配置 Azure Policy 来审核和强制实施 Azure 资源的配置。 在资源上检测到配置偏差时,使用 Azure Monitor 创建警报。
使用 Azure Policy [拒绝] 和 [部署(如果不存在)]规则,跨 Azure 资源强制实施安全配置。
对于 Azure Policy 不支持的资源配置审核和强制实施,可能需要编写自己的脚本或使用第三方工具来实现配置审核和执行。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-3:定义和建立计算资源的安全配置
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全原则: 定义计算资源(例如 VM 和容器)的安全配置基线。 使用配置管理工具在计算资源部署之前或期间自动建立配置基线,以便环境在部署后默认合规。 或者,使用预配置的映像将所需的配置基线构建到计算资源映像模板中。
Azure 指南: 使用 Azure 建议的作系统基线(适用于 Windows 和 Linux)作为基准来定义计算资源配置基线。
此外,还可以将自定义 VM 映像或容器映像与 Azure Policy 来宾配置和 Azure Automation State Configuration 配合使用来建立所需的安全配置。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-4:审核并强制实施计算资源的安全配置
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
安全原则: 当与计算资源中定义的配置基线存在偏差时,持续监视和发出警报。 通过拒绝不合规的配置或在计算资源中部署配置,根据基线配置强制实施所需的配置。
Azure 指南: 使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。 此外,可以使用 Azure 资源管理器模板、自定义作系统映像或 Azure Automation State Configuration 来维护作系统的安全配置。 Microsoft VM 模板与 Azure Automation State Configuration 结合使用可以帮助满足和维护安全要求。
注意:由Microsoft发布的 Azure 市场 VM 映像由Microsoft进行管理和维护。
实现和其他上下文:
- 如何实施 Microsoft Defender for Cloud 漏洞评估建议
- 如何从 ARM 模板创建 Azure 虚拟机
- Azure Automation State Configuration 概述
- 在 Azure 门户中创建 Windows 虚拟机
- Microsoft Defender for Cloud 中的容器安全性
客户安全利益干系人(了解详细信息):
PV-5:执行漏洞评估
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3、RA-5 | 6.1, 6.2, 6.6 |
安全原则: 按固定计划或按需对云资源的所有层执行漏洞评估。 跟踪和比较扫描结果,以验证是否已修复漏洞。 评估应包括所有类型的漏洞,例如 Azure 服务、网络、Web、作系统、配置错误等。
请注意与漏洞扫描程序使用的特权访问相关的潜在风险。 遵循特权访问安全最佳做法来保护用于扫描的任何管理帐户。
Azure 指南: 按照 Microsoft Defender for Cloud 中的建议,在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估。 Microsoft Defender for Cloud 具有用于虚拟机扫描的内置漏洞扫描程序。 使用第三方解决方案在网络设备和应用程序(例如 Web 应用程序)上执行漏洞评估
以一致间隔导出扫描结果,并将结果与以前的扫描进行比较,以验证是否已修复漏洞。 使用 Microsoft Defender for Cloud 建议的漏洞管理建议时,可以透视到所选扫描解决方案的门户以查看历史扫描数据。
执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描账户实施 JIT(实时)配置方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
注意:Azure Defender 服务(包括 Defender for server、容器注册表、应用服务、SQL 和 DNS)嵌入某些漏洞评估功能。 应监视和查看从 Azure Defender 服务生成的警报以及 Microsoft Defender for Cloud 漏洞扫描工具的结果。
注意:确保在 Microsoft Defender for Cloud 中设置电子邮件通知。
实现和其他上下文:
- 如何实施 Microsoft Defender for Cloud 漏洞评估建议
- 虚拟机的集成漏洞扫描程序
- SQL 漏洞评估
- 导出 Microsoft Defender for Cloud 漏洞扫描结果
客户安全利益干系人(了解详细信息):
PV-6:快速自动修正漏洞
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3、RA-5、SI-2:缺陷修正 | 6.1, 6.2, 6.5, 11.2 |
安全原则: 快速自动部署修补程序和更新,以修正云资源中的漏洞。 使用适当的基于风险的方法确定漏洞的修正优先级。 例如,较高价值资产中更严重的漏洞应作为更高的优先级进行处理。
Azure 指南: 使用 Azure 自动化更新管理或第三方解决方案来确保 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows VM,请确保已启用 Windows 更新并设置为自动更新。
对于第三方软件,请使用第三方补丁管理解决方案或针对配置管理器的系统中心更新发布者。
优先使用常见风险评分计划(如通用漏洞评分系统)或第三方扫描工具提供的默认风险评级,并根据环境定制哪些更新部署。 还应考虑哪些应用程序存在较高的安全风险,哪些应用程序需要高运行时间。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PV-7:定期执行红队操作
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8、RA-5 | 6.6, 11.2, 11.3 |
安全原则: 模拟实际攻击,提供组织漏洞的更完整视图。 红队运营和渗透测试补充了传统的漏洞扫描方法来发现风险。
遵循行业最佳实践来设计、准备和实施此类测试,以确保不会对您的环境造成任何破坏或干扰。 这应始终包括与相关利益干系人和资源所有者讨论测试范围和约束。
Azure 指南: 根据需要,对 Azure 资源执行渗透测试或红团队活动,并确保修正所有关键安全发现。
遵循Microsoft云渗透测试参与规则,确保渗透测试不违反Microsoft策略。 针对Microsoft托管的云基础结构、服务和应用程序,使用Microsoft的红队策略和执行实时站点渗透测试。
实现和其他上下文:
客户安全利益干系人(了解详细信息):