Управление безопасностью: управление состоянием и уязвимостью

Функция "Управление уязвимостями" ориентирована на средства управления для оценки и улучшения состояния облачной безопасности, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, отчеты и исправление в облачных ресурсах.

PV-1: определение и установка безопасных конфигураций

Принцип безопасности. Определение базовых показателей конфигурации безопасности для различных типов ресурсов в облаке. Кроме того, используйте средства управления конфигурацией для автоматического установления базовой конфигурации до или во время развертывания ресурсов, чтобы среда была совместима по умолчанию после развертывания.

Руководство по Azure: Используйте эталон безопасности облака Microsoft и базовый стандарт услуг, чтобы определить базовые параметры конфигурации для каждого соответствующего предложения или службы Azure. Ознакомьтесь с эталонной архитектурой Azure и архитектурой целевой зоны Cloud Adoption Framework, чтобы понять критически важные элементы управления безопасностью и конфигурации, которые могут потребоваться в ресурсах Azure.

Используйте целевую зону Azure (и схемы), чтобы ускорить развертывание рабочей нагрузки, настроив конфигурацию служб и сред приложений, включая шаблоны Azure Resource Manager, элементы управления Azure RBAC и политику Azure.

Реализация Azure и дополнительный контекст:

• Иллюстрация реализации Guardrails в целевой зоне масштабирования предприятия
• Работа с политиками безопасности в Microsoft Defender для облака
• Руководство по Создание политик и управление ими для обеспечения соответствия требованиям
• Схемы Azure

Руководство по AWS. Используйте microsoft Cloud Security Benchmark — руководство по использованию нескольких облаков для AWS и других входных данных, чтобы определить базовые показатели конфигурации для каждого соответствующего предложения или службы AWS. Ознакомьтесь с основными компонентами безопасности и другими компонентами платформы AWS Well-Architectured Framework, чтобы понять критически важные элементы управления безопасностью и конфигурации, которые могут потребоваться в ресурсах AWS.

Используйте шаблоны AWS CloudFormation и правила конфигурации AWS в определении целевой зоны AWS для автоматизации развертывания и настройки служб и сред приложений.

Реализация AWS и дополнительный контекст:

• Контрольная башня AWS
• Правила конфигурации AWS
• Зона высадки AWS

Руководство по GCP: Используйте Microsoft Cloud Security Benchmark — руководство по нескольким облакам для GCP и другой информации, чтобы определить базовую конфигурацию для каждого соответствующего предложения или сервиса GCP. Ознакомьтесь с основными компонентами в схемах развертываниях Google Cloud и макете целевой зоны.

Используйте модули схемы Terraform для Google Cloud и используйте собственный диспетчер развертывания Google Cloud, чтобы автоматизировать развертывание и настройку служб и сред приложений.

Реализация GCP и дополнительный контекст:

• Проектирование зоны посадки в Google Cloud. Схемы Terraform и модули для Google Cloud. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
• Схема основы безопасности
• Менеджер по развертыванию Google Cloud

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps

PV-2: проведение аудита и реализация конфигураций безопасности

Принцип безопасности: непрерывный мониторинг и оповещение при отклонении от определенной базовой конфигурации. Применение требуемой конфигурации в соответствии с базовой конфигурацией путем запрета несоответствующей конфигурации или развертывания конфигурации.

Руководство по Azure. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов.

Используйте правила политики Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.

Для аудита конфигурации ресурсов и принудительного применения, не поддерживаемых политикой Azure, может потребоваться написать пользовательские скрипты или использовать сторонние средства для реализации аудита конфигурации и принудительного применения.

Реализация Azure и дополнительный контекст:

• Общие сведения о эффектах политики Azure
• Создание политик и управление ими для обеспечения соответствия требованиям
• Получите данные о соответствии ресурсов Azure

Руководство по AWS. Использование правил конфигурации AWS для аудита конфигураций ресурсов AWS. Вы можете устранить смещение конфигурации с помощью службы автоматизации AWS Systems Manager, связанной с правилом конфигурации AWS. Используйте Amazon CloudWatch для создания оповещений при обнаружении отклонения конфигурации ресурсов.

Для аудита конфигурации ресурсов и принудительного применения, не поддерживаемых AWS Config, может потребоваться написать пользовательские скрипты или использовать сторонние средства для реализации аудита конфигурации и принудительного применения.

Вы также можете централизованно отслеживать смещение конфигурации путем подключения учетной записи AWS к Microsoft Defender для облака.

Реализация AWS и дополнительный контекст:

• Исправление несоответствующих ресурсов AWS правилами конфигурации AWS
• Обнаружение неуправляемых изменений конфигурации в стеках и ресурсах
• Пакет соответствия конфигурации AWS

Руководство по GCP. Использование Центра командной строки Google Cloud Security для настройки GCP. Используйте Google Cloud Monitoring в Operations Suite для создания оповещений при обнаружении отклонения конфигурации ресурсов.

Для управления организациями используйте политику организации для централизованного и программного контроля над облачными ресурсами организации. Администратор политики организации сможет настроить ограничения во всей иерархии ресурсов.

Для аудита конфигурации ресурсов и принудительного применения, не поддерживаемого политикой организации, может потребоваться написать пользовательские скрипты или использовать сторонние средства для реализации аудита и принудительного применения конфигурации.

Реализация GCP и дополнительный контекст:

• Общие сведения о службе политик организации.
• Центр ресурсов соответствия требованиям.
• Набор операций Google Cloud (ранее Stackdriver)

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps

PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов

Принцип безопасности. Определение безопасных базовых показателей конфигурации для вычислительных ресурсов, таких как виртуальные машины и контейнеры. Используйте средства управления конфигурацией, чтобы автоматически установить базовые показатели конфигурации до или во время развертывания вычислительных ресурсов, чтобы среда была совместима по умолчанию после развертывания. Либо используйте предварительно настроенный образ, чтобы встроить базовую конфигурацию в шаблон образа вычислительного ресурса.

Руководство по Azure. Используйте рекомендуемые базовые показатели безопасности операционной системы Azure (как для Windows, так и Для Linux) для определения базовой конфигурации вычислительных ресурсов.

Кроме того, можно использовать пользовательский образ виртуальной машины (с помощью построителя образов Azure) или образ контейнера с конфигурацией компьютера Azure Automanage (ранее называемой гостевой конфигурацией политики Azure) и конфигурацией состояния службы автоматизации Azure для установки требуемой конфигурации безопасности.

Реализация Azure и дополнительный контекст:

• Базовая конфигурация безопасности ОС Linux
• Базовые показатели конфигурации безопасности ОС Windows
• Рекомендация по настройке безопасности для вычислительных ресурсов
• Общие сведения о конфигурации состояния службы автоматизации Azure

Руководство по AWS. Используйте образы компьютеров AWS EC2 (AMI) из доверенных источников в Marketplace в качестве эталона для определения базовой конфигурации EC2.

Кроме того, с помощью построителя образов EC2 можно создать пользовательский шаблон AMI с агентом System Manager, чтобы установить нужную конфигурацию безопасности. Примечание. Агент AWS Systems Manager предварительно установлен на некоторых образах машин Amazon (AMIs), предоставляемых AWS.

Для приложений рабочей нагрузки, работающих в ваших экземплярах EC2, AWS Lambda или среде контейнеров, можно использовать AWS System Manager AppConfig для установки требуемой конфигурации.

Реализация AWS и дополнительный контекст:

• Включение конфигурации состояния службы автоматизации Azure

Руководство по GCP. Использование рекомендуемых базовых показателей безопасности операционной системы Google Cloud (для Windows и Linux) в качестве эталона для определения базовой конфигурации вычислительных ресурсов.

Кроме того, вы можете воспользоваться пользовательским образом виртуальной машины, созданным с помощью Packer Image Builder, или образом контейнера, собранным с помощью Google Cloud Build, чтобы задать необходимую базовую конфигурацию.

Реализация GCP и дополнительный контекст:

• Образы подсистемы вычислений Google.
• Рекомендации по управлению изображениями
• Создание образов контейнеров.
• Создание образов виртуальных машин с помощью Packer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps

PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов

Принцип безопасности: непрерывно отслеживайте и оповещайте, если в вычислительных ресурсах имеется отклонение от определенной базовой конфигурации. Примените нужную конфигурацию в соответствии с базовой конфигурацией, запретив несоответствующую конфигурацию или развернув конфигурацию в вычислительных ресурсах.

Руководство по Azure. Используйте Microsoft Defender для облака и конфигурацию компьютера Azure Automanage (прежнее название — гостевая конфигурация политики Azure) для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и другие. Кроме того, можно использовать шаблоны Azure Resource Manager, пользовательские образы операционной системы или конфигурацию состояния службы автоматизации Azure для поддержания конфигурации безопасности операционной системы. Шаблоны виртуальных машин Майкрософт в сочетании с конфигурацией состояния автоматизации Azure могут помочь в выполнении и поддержании требований безопасности. Отслеживание изменений и инвентаризация в службе автоматизации Azure позволяет отслеживать изменения виртуальных машин, размещенных в Azure, локальной среде и других облачных средах, чтобы помочь определить операционные и экологические проблемы с программным обеспечением, управляемым диспетчером пакетов распространителя. Установите агент аттестации гостей на виртуальных машинах, чтобы отслеживать целостность загрузки на конфиденциальных виртуальных машинах.

Примечание. Образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и поддерживаются корпорацией Майкрософт.

Реализация Azure и дополнительный контекст:

• Реализация рекомендаций по оценке уязвимостей Microsoft Defender для облака
• Создание виртуальной машины Azure на основе шаблона ARM
• Общие сведения о конфигурации состояния службы автоматизации Azure
• Создание виртуальной машины Windows на портале Azure
• Безопасность контейнеров в Microsoft Defender для облака
• Общие сведения об отслеживании изменений и инвентаризации
• Аттестация гостей для конфиденциальных виртуальных машин

Руководство по AWS. Используйте функцию диспетчера состояний AWS System Manager для регулярной оценки и исправления отклонений конфигурации в экземплярах EC2. Кроме того, можно использовать шаблоны CloudFormation, пользовательские образы операционной системы для поддержания конфигурации безопасности операционной системы. Шаблоны AMI в сочетании с System Manager могут помочь в выполнении и поддержании требований к безопасности.

Вы также можете централизованно отслеживать конфигурацию операционной системы и управлять ими через конфигурацию состояния автоматизации Azure и подключить применимые ресурсы к управлению безопасностью Azure с помощью следующих методов:

• Подключение учетной записи AWS к Microsoft Defender для облака
• Использование Azure Arc для серверов для подключения экземпляров EC2 к Microsoft Defender для облака

Для приложений рабочей нагрузки, работающих внутри экземпляров EC2, в среде AWS Lambda или контейнерах, можно использовать AWS Systems Manager AppConfig для аудита и применения требуемой базовой конфигурации.

Примечание. Интерфейсы МИ, опубликованные Amazon Web Services в AWS Marketplace, управляются и поддерживаются Amazon Web Services.

Реализация AWS и дополнительный контекст:

• AWS Systems Manager State Manager
• Подключение учетных записей AWS к Microsoft Defender для облака
• Включение конфигурации состояния службы автоматизации Azure

Руководство по GCP. Используйте Диспетчер виртуальных машин и Центр команд Google Cloud Security для регулярной оценки и исправления отклонения конфигурации экземпляров вычислительных подсистем, контейнеров и бессерверных контрактов. Кроме того, можно использовать шаблоны виртуальных машин Deployment Manager, пользовательские образы операционной системы для поддержания конфигурации безопасности операционной системы. Шаблоны шаблонов виртуальных машин Deployment Manager в сочетании с VM Manager могут помочь в выполнении и поддержании требований к безопасности.

Вы также можете централизованно отслеживать конфигурацию операционной системы и управлять ими через конфигурацию состояния автоматизации Azure и подключить применимые ресурсы к управлению безопасностью Azure с помощью следующих методов:

• Подключение проекта GCP к Microsoft Defender для Облака
• Использование Azure Arc для серверов для подключения экземпляров виртуальной машины GCP к Microsoft Defender для облака

Реализация GCP и дополнительный контекст:

• Обзор Центра командной строки Google Cloud.
• Google Cloud VM Manager
• Google Cloud Deployment Manager:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps

PV-5. Выполнение оценки уязвимостей

Принцип безопасности. Выполнение оценки уязвимостей для облачных ресурсов на всех уровнях в фиксированном расписании или по запросу. Отслеживайте и сравнивайте результаты сканирования, чтобы убедиться, что уязвимости устранены. Оценка должна включать все типы уязвимостей, такие как уязвимости в службах Azure, сети, веб-системах, операционных системах, неправильной настройке и т. д.

Помните о потенциальных рисках, связанных с привилегированным доступом, используемым сканерами уязвимостей. Следуйте рекомендациям по обеспечению безопасности привилегированного доступа, чтобы защитить все учетные записи администратора, используемые для сканирования.

Руководство по Azure. Следуйте рекомендациям Microsoft Defender для облака для выполнения оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL. Microsoft Defender для облака имеет встроенный сканер уязвимостей для виртуальных машин. Используйте стороннее решение для оценки уязвимостей на сетевых устройствах и приложениях (например, веб-приложения)

Экспортируйте результаты сканирования с согласованными интервалами и сравнивайте результаты с предыдущими проверками, чтобы убедиться, что уязвимости были исправлены. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, вы можете перейти на портал выбранного решения проверки для просмотра исторических данных сканирования.

При выполнении удаленных проверок не используйте одну, бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии поставки JIT для учетной записи для сканирования. Учетные данные для учетной записи проверки должны быть защищены, отслеживаются и используются только для сканирования уязвимостей.

Примечание. Службы Microsoft Defender (включая Defender для серверов, контейнеров, службы приложений, базы данных и DNS) внедряют определенные возможности оценки уязвимостей. Оповещения, созданные из служб Azure Defender, должны отслеживаться и проверяться вместе с результатом средства сканирования уязвимостей Microsoft Defender для облака.

Примечание. Убедитесь, что вы настроите уведомления по электронной почте в Microsoft Defender для Облака.

Реализация Azure и дополнительный контекст:

• Реализация рекомендаций по оценке уязвимостей Microsoft Defender для облака
• Интегрированный сканер уязвимостей для виртуальных машин
• Оценка уязвимостей SQL
• Экспорт результатов проверки уязвимостей Microsoft Defender для облака

Руководство по AWS. Используйте Amazon Inspector для проверки экземпляров Amazon EC2 и образов контейнеров, размещенных в Реестре контейнеров Amazon Elastic (Amazon ECR) для уязвимостей программного обеспечения и непреднамеренного сетевого воздействия. Используйте стороннее решение для оценки уязвимостей на сетевых устройствах и приложениях (например, веб-приложения)

Чтобы подключить учетную запись AWS к Microsoft Defender для облака и развернуть Microsoft Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) в экземплярах EC2, см. элемент управления ES-1: "Использование обнаружения конечных точек и реагирования на конечные точки", чтобы подключить учетную запись AWS к Microsoft Defender для облака и развернуть Microsoft Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки). Microsoft Defender для серверов предоставляет собственные возможности управления угрозами и уязвимостями для виртуальных машин. Результат сканирования уязвимостей будет консолидирован на панели мониторинга Microsoft Defender для облака.

Отслеживайте состояние результатов обнаружения уязвимостей, чтобы убедиться, что они правильно исправляются либо пропускаются, если они считаются ложноположительными.

При выполнении удаленных проверок не используйте одну, бессрочную учетную запись администратора. Рассмотрите возможность реализации временного метода работы с правами доступа для учетной записи проверки. Учетные данные для учетной записи проверки должны быть защищены, отслеживаются и используются только для сканирования уязвимостей.

Реализация AWS и дополнительный контекст:

• Amazon Inspector
• Изучение слабых мест с помощью Microsoft Defender для управления угрозами и уязвимостями конечной точки

Руководство по GCP: Следуйте рекомендациям Microsoft Defender для облака или Центра управления Google Cloud Security для выполнения оценки уязвимостей в экземплярах Compute Engine. Центр управления безопасностью имеет встроенные оценки уязвимостей на сетевых устройствах и приложениях (например, средство проверки веб-безопасности)

Экспортируйте результаты сканирования с согласованными интервалами и сравнивайте результаты с предыдущими проверками, чтобы убедиться, что уязвимости были исправлены. При использовании рекомендаций по управлению уязвимостями, предлагаемых Центром управления безопасностью, вы можете перейти на портал выбранного решения проверки для просмотра исторических данных сканирования.

Реализация GCP и дополнительный контекст:

• Обзор Центра команд Google Cloud Security.Обзор средства проверки веб-безопасности

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps

PV-6. Быстрое и автоматическое исправление уязвимостей

Принцип безопасности. Быстрое и автоматическое развертывание исправлений и обновлений для устранения уязвимостей в облачных ресурсах. Используйте соответствующий подход на основе рисков, чтобы определить приоритет исправления уязвимостей. Например, более серьезные уязвимости в ресурсе с более высоким значением должны быть устранены в качестве более высокого приоритета.

Руководство по Azure. Используйте службу "Управление обновлениями службы автоматизации Azure" или стороннее решение, чтобы обеспечить установку последних обновлений системы безопасности на виртуальных машинах Windows и Linux. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.

Для стороннего программного обеспечения используйте стороннее решение по управлению исправлениями или издатель обновлений Microsoft System Center для Configuration Manager.

Реализация Azure и дополнительный контекст:

• Настройка управления обновлениями для виртуальных машин в Azure
• Управление обновлениями и исправлениями для виртуальных машин Azure

Руководство по AWS. Используйте AWS Systems Manager — диспетчер исправлений, чтобы обеспечить установку последних обновлений системы безопасности в операционных системах и приложениях. Диспетчер исправлений поддерживает базовые показатели исправлений для определения списка утвержденных и отклоненных исправлений для ваших систем.

Вы также можете использовать управление обновлениями службы автоматизации Azure для централизованного управления исправлениями и обновлениями экземпляров AWS EC2 Windows и Linux.

Для стороннего программного обеспечения используйте стороннее решение по управлению исправлениями или издатель обновлений Microsoft System Center для Configuration Manager.

Реализация AWS и дополнительный контекст:

• AWS Systems Manager — диспетчер исправлений
• Обзор управления обновлениями

Руководство по GCP. Используйте управление исправлениями ОС Google Cloud VM Manager или стороннее решение, чтобы обеспечить установку последних обновлений безопасности на виртуальной машине Windows и Linux. Для виртуальной машины Windows убедитесь, что служба обновления Windows включена и настроена на автоматическое обновление.

Для стороннего программного обеспечения используйте стороннее решение по управлению исправлениями или издатель обновлений Microsoft System Center для управления конфигурацией.

Реализация GCP и дополнительный контекст:

• Диспетчер виртуальных машин.
• Управление исправлениями ОС
• Google Kubernetes Engine (GKE). Установка обновлений для системы безопасности

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps

PV-7: проведение регулярных проверок уязвимостей извне

Принцип безопасности. Имитация реальных атак для более полного просмотра уязвимости вашей организации. Операции красной команды и тестирование на проникновение дополняют традиционный подход сканирования уязвимостей для обнаружения рисков.

Следуйте рекомендациям отрасли по проектированию, подготовке и проведению такого тестирования, чтобы гарантировать, что это не приведет к повреждению или нарушению работы вашей среды. Это всегда должно включать обсуждение области тестирования и ограничений с соответствующими заинтересованными лицами и владельцами ресурсов.

Руководство по Azure. По мере необходимости проводите тестирование на проникновение или действия красной команды в ресурсах Azure и убедитесь в исправлении всех критически важных результатов безопасности.

Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и выполнение Red Teaming и динамическое тестирование на проникновение сайтов в облачной инфраструктуре, службах и приложениях, управляемых Корпорацией Майкрософт.

Реализация Azure и дополнительный контекст:

• Тестирование на проникновение в Azure
• Правила взаимодействия при тестировании на проникновение
• Microsoft Cloud Red Teaming
• Техническое руководство по тестированию и оценке информационной безопасности

Руководство AWS: По мере необходимости проводите проникновенное тестирование или мероприятия команды Red Team на ваших ресурсах AWS и убедитесь, что все критически важные уязвимости безопасности устранены.

Следуйте политике поддержки клиентов AWS для тестирования на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики AWS.

Реализация AWS и дополнительный контекст:

• Политика поддержки клиентов AWS для тестирования на проникновение

Руководство по GCP: по мере необходимости проводите тестирование на проникновение или дейности red team в ресурсе GCP и убедитесь в устранении всех критически важных уязвимостей безопасности.

Следуйте политике поддержки клиентов GCP для тестирования на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики GCP.

Реализация GCP и дополнительный контекст:

• Часто задаваемые вопросы о безопасности облака: тестирование на проникновение.
• Запросы на тестирование нагрузки/нагрузочного и проникновения

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление осанкой
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps