Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление положением безопасности и уязвимостями сосредоточено на элементах управления для оценки и улучшения безопасности Azure, включая сканирование на уязвимости, тестирование на проникновение и коррекцию, а также отслеживание, отчетность и коррекцию конфигурации безопасности в ресурсах Azure.
PV-1: определение и установка безопасных конфигураций
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Принцип безопасности: Определите базовые показатели безопасной конфигурации для различных типов ресурсов в облаке. Кроме того, используйте средства управления конфигурацией для автоматического установления базовой конфигурации до или во время развертывания ресурсов, чтобы среда была совместима по умолчанию после развертывания.
Руководство по Azure: Используйте базовые показатели безопасности Azure и базовые показатели службы, чтобы определить базовые показатели конфигурации для каждого соответствующего предложения или службы Azure. Ознакомьтесь с эталонной архитектурой Azure и архитектурой целевой зоны Cloud Adoption Framework, чтобы понять критически важные элементы управления безопасностью и конфигурации, которые могут потребоваться в ресурсах Azure.
Используйте Azure Blueprints для автоматизации развертывания и настройки служб и сред приложений, включая шаблоны Azure Resource Manager, элементы управления Azure RBAC и политики в одном определении схемы.
Реализация и дополнительный контекст:
- Иллюстрация реализации Guardrails в целевой зоне масштабирования предприятия
- Работа с политиками безопасности в Microsoft Defender для облака
- Руководство. Создание политик и управление ими для обеспечения соответствия требованиям
- Схемы Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-2: проведение аудита и реализация конфигураций безопасности
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Принцип безопасности: Непрерывно отслеживайте и оповещайте, когда имеется отклонение от определенной базовой конфигурации. Примените нужную конфигурацию в соответствии с базовой конфигурацией, запретив несоответствующую конфигурацию или разверните конфигурацию.
Руководство по Azure: Используйте Microsoft Defender для облака, чтобы настроить политику Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов.
Используйте правило политики Azure [запретить] и [развертывание, если не существует], чтобы применить безопасную конфигурацию в ресурсах Azure.
Для аудита конфигурации ресурсов и принудительного применения, не поддерживаемого политикой Azure, может потребоваться написать собственные скрипты или использовать сторонние средства для реализации аудита и принудительного применения конфигурации.
Реализация и дополнительный контекст:
- Общие сведения о эффектах политики Azure
- Создание политик и управление ими для обеспечения соответствия требованиям
- Получите данные о соответствии ресурсов Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2,2 |
Принцип безопасности: Определите безопасные базовые показатели конфигурации для вычислительных ресурсов, таких как виртуальные машины и контейнеры. Используйте средства управления конфигурацией, чтобы автоматически установить базовые показатели конфигурации до или во время развертывания вычислительных ресурсов, чтобы среда была совместима по умолчанию после развертывания. Либо используйте предварительно настроенный образ, чтобы встроить базовую конфигурацию в шаблон образа вычислительного ресурса.
Руководство по Azure: Используйте рекомендуемые базовые показатели операционной системы Azure (как для Windows, так и Для Linux) для определения базовой конфигурации вычислительных ресурсов.
Кроме того, можно использовать пользовательский образ виртуальной машины или образ контейнера с гостевой конфигурацией политики Azure и конфигурацией состояния службы автоматизации Azure для установки требуемой конфигурации безопасности.
Реализация и дополнительный контекст:
- Базовая конфигурация безопасности ОС Linux
- Базовые показатели конфигурации безопасности ОС Windows
- Рекомендация по настройке безопасности для вычислительных ресурсов
- Общие сведения о конфигурации состояния службы автоматизации Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2,2 |
Принцип безопасности: Непрерывно отслеживайте и оповещайте, если в вычислительных ресурсах имеется отклонение от определенной базовой конфигурации. Примените нужную конфигурацию в соответствии с базовой конфигурацией, запретив несоответствующую конфигурацию или развернув конфигурацию в вычислительных ресурсах.
Руководство по Azure: Используйте агент гостевой конфигурации Microsoft Defender для облака и политики Azure для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и другие. Кроме того, можно использовать шаблоны Azure Resource Manager, пользовательские образы операционной системы или конфигурацию состояния службы автоматизации Azure для поддержания конфигурации безопасности операционной системы. Шаблоны виртуальных машин Майкрософт в сочетании с конфигурацией состояния автоматизации Azure могут помочь в выполнении и поддержании требований безопасности.
Примечание. Образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и поддерживаются корпорацией Майкрософт.
Реализация и дополнительный контекст:
- Реализация рекомендаций по оценке уязвимостей Microsoft Defender для облака
- Создание виртуальной машины Azure на основе шаблона ARM
- Общие сведения о конфигурации состояния службы автоматизации Azure
- Создание виртуальной машины Windows на портале Azure
- Безопасность контейнеров в Microsoft Defender для облака
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-5. Выполнение оценки уязвимостей
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Принцип безопасности: Выполните оценку уязвимостей для облачных ресурсов на всех уровнях в фиксированном расписании или по запросу. Отслеживайте и сравнивайте результаты сканирования, чтобы убедиться, что уязвимости устранены. Оценка должна включать все виды уязвимостей, таких как уязвимости в службах Azure, сети, веб-системах, операционных системах, неправильной настройке и т. д.
Помните о потенциальных рисках, связанных с привилегированным доступом, используемым сканерами уязвимостей. Следуйте рекомендациям по обеспечению безопасности привилегированного доступа, чтобы защитить все учетные записи администратора, используемые для сканирования.
Руководство по Azure: Следуйте рекомендациям Microsoft Defender для облака для оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL. В Microsoft Defender для облака есть встроенный сканер уязвимостей для сканирования виртуальных машин. Используйте стороннее решение для оценки уязвимостей на сетевых устройствах и приложениях (например, веб-приложения)
Экспортируйте результаты сканирования с согласованными интервалами и сравнивайте результаты с предыдущими проверками, чтобы убедиться, что уязвимости были исправлены. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, вы можете перейти на портал выбранного решения проверки для просмотра исторических данных сканирования.
При выполнении удаленных проверок не используйте одну, бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии поставки JIT для учетной записи для сканирования. Учетные данные для учетной записи проверки должны быть защищены, отслеживаются и используются только для сканирования уязвимостей.
Примечание. Службы Azure Defender (включая Defender для сервера, реестра контейнеров, Службы приложений, SQL и DNS) внедряют определенные возможности оценки уязвимостей. Оповещения, созданные из служб Azure Defender, должны отслеживаться и проверяться вместе с результатом средства сканирования уязвимостей Microsoft Defender для облака.
Примечание. Убедитесь, что вы настроите уведомления по электронной почте в Microsoft Defender для Облака.
Реализация и дополнительный контекст:
- Реализация рекомендаций по оценке уязвимостей Microsoft Defender для облака
- Интегрированный сканер уязвимостей для виртуальных машин
- Оценка уязвимостей SQL
- Экспорт результатов проверки уязвимостей Microsoft Defender для облака
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-6. Быстрое и автоматическое исправление уязвимостей
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: ИСПРАВЛЕНИЕ НЕДОСТАТКОВ | 6.1, 6.2, 6.5, 11.2 |
Принцип безопасности: Быстрое и автоматическое развертывание исправлений и обновлений для исправления уязвимостей в облачных ресурсах. Используйте соответствующий подход на основе рисков, чтобы определить приоритет исправления уязвимостей. Например, более серьезные уязвимости в ресурсе с более высоким значением должны быть устранены в качестве более высокого приоритета.
Руководство по Azure: Используйте службу "Управление обновлениями службы автоматизации Azure" или стороннее решение, чтобы обеспечить установку последних обновлений безопасности на виртуальных машинах Windows и Linux. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.
Для стороннего программного обеспечения используйте стороннее решение по управлению исправлениями или издатель обновлений System Center для Configuration Manager.
Определите приоритеты обновлений для развертывания сначала с помощью общей программы оценки рисков (например, Common Vulnerability Scoring System) или оценки рисков по умолчанию, предоставляемые сторонним средством сканирования и адаптированными к вашей среде. Кроме того, следует рассмотреть, какие приложения представляют высокий риск безопасности и какие из них требуют высокой доступности.
Реализация и дополнительный контекст:
- Настройка управления обновлениями для виртуальных машин в Azure
- Управление обновлениями и исправлениями для виртуальных машин Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PV-7: проведение регулярных проверок уязвимостей извне
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | СА-8, РА-5 | 6.6, 11.2, 11.3 |
Принцип безопасности: Имитируйте реальные атаки, чтобы обеспечить более полное представление об уязвимости вашей организации. Операции красной команды и тестирование на проникновение дополняют традиционный подход сканирования уязвимостей для обнаружения рисков.
Следуйте рекомендациям отрасли по проектированию, подготовке и проведению такого тестирования, чтобы гарантировать, что это не приведет к повреждению или нарушению работы вашей среды. Это всегда должно включать обсуждение области тестирования и ограничений с соответствующими заинтересованными лицами и владельцами ресурсов.
Руководство по Azure: При необходимости проводите тестирование на проникновение или деятельность красной команды в ваших ресурсах Azure и убедитесь, что все критические уязвимости безопасности исправлены.
Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и выполнение Red Teaming и динамическое тестирование на проникновение сайтов в облачной инфраструктуре, службах и приложениях, управляемых Корпорацией Майкрософт.
Реализация и дополнительный контекст:
- Тестирование на проникновение в Azure
- Правила взаимодействия при тестировании на проникновение
- Microsoft Cloud Red Teaming
- Техническое руководство по тестированию и оценке информационной безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):