Microsoft cloud security benchmark: Access, Data, Identity, Network, Endpoint, Management, Recovery, Incident и Vulnerability Management

Завершено

Управление ресурсами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление).

AM-1: Отслеживание инвентаризации ресурсов и их рисков

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Принцип безопасности. Отслеживание инвентаризации активов по запросу и обнаружение всех облачных ресурсов. Логически упорядочьте ваши ресурсы путем тегирования и группировки на основе характера обслуживания, расположения или других характеристик. Убедитесь, что ваша организация безопасности имеет доступ к постоянно обновляемой инвентаризации активов.

Убедитесь, что ваша организация безопасности может отслеживать риски для облачных ресурсов, всегда имея аналитические сведения и риски, агрегированные централизованно.

Руководство по Azure. Функция инвентаризации Microsoft Defender для облака и Azure Resource Graph могут запрашивать и обнаруживать все ресурсы в подписках, включая службы Azure, приложения и сетевые ресурсы. Логически упорядочивать ресурсы в соответствии с таксономией вашей организации с помощью тегов и других метаданных в Azure (имя, описание и категория).

Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этом инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.

Убедитесь, что организациям безопасности предоставлены разрешения читателя безопасности в клиенте и подписках Azure, чтобы они могли отслеживать риски безопасности с помощью «Microsoft Defender for Cloud». Разрешения "Security Reader" можно применять ко всему клиенту (корневой группе управления) или настраивать их для групп управления или конкретных подписок.

Замечание

Дополнительные разрешения могут потребоваться для получения доступности рабочих нагрузок и служб.

Рекомендации по GCP: Используйте инвентаризацию активов Google Cloud для обеспечения служб инвентаризации на основе базы данных временных рядов. Эта база данных сохраняет пятинедельную историю метаданных ресурса GCP. Служба экспорта инвентаризации облачных активов позволяет экспортировать все метаданные активов в определенный период времени или экспортировать журнал изменений событий.

Кроме того, Центр управления Google Cloud Security поддерживает другое соглашение об именовании. Активы — это ресурсы Google Cloud организации. Роли IAM для Центра управления безопасностью можно предоставить на уровне организации, папки или проекта. Возможность просматривать, создавать или обновлять результаты, ресурсы и источник безопасности зависит от уровня предоставления доступа.

Реализация GCP и дополнительный контекст:

Реализация Azure и более подробный контекст:

Руководство по AWS. Используйте функцию инвентаризации AWS Systems Manager для запроса и обнаружения всех ресурсов в экземплярах EC2, включая сведения об уровне приложения и уровне операционной системы. Кроме того, используйте группы ресурсов AWS — редактор тегов для просмотра запасов ресурсов AWS.

Логически упорядочивайте ресурсы в соответствии с таксономией вашей организации с помощью тегов и других метаданных в AWS (имя, описание и категория).

Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации активов в AWS. Группы безопасности часто нуждаются в этом инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.

Замечание

Дополнительные разрешения могут потребоваться, чтобы получить обзор рабочих нагрузок и служб.

Реализация AWS и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

AM-2. Использование только утвержденных служб

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, PM-5 6.3

Принцип безопасности. Убедитесь, что можно использовать только утвержденные облачные службы, проверяя и ограничивая, какие службы пользователи могут развертывать в среде.

Руководство по Azure. Использование политики Azure для аудита и ограничения того, какие службы пользователи могут развертывать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в подписках. Вы также можете использовать Azure Monitor для создания правил для активации оповещений при обнаружении неутвержденной службы.

Реализация Azure и дополнительная информация.

Руководство по AWS. Используйте AWS Config для аудита и ограничения того, какие службы пользователи могут развертывать в вашей среде. Используйте группы ресурсов AWS для запроса и обнаружения ресурсов в своих учетных записях. Вы также можете использовать CloudWatch и (или) AWS Config для создания правил для активации оповещений при обнаружении неопровержденной службы.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте службу политики Google Cloud Organization для аудита и ограничения того, какие службы пользователи могут развертывать в вашей среде. Вы также можете использовать облачный мониторинг в Operations Suite и /или политике организации для создания правил для активации оповещений при обнаружении неопровержденной службы.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

AM-3: обеспечение безопасности управления жизненным циклом

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Принцип безопасности. Убедитесь, что атрибуты безопасности или конфигурации ресурсов всегда обновляются во время жизненного цикла активов.

Рекомендации по Azure: определение или корректировка политик безопасности или процессов управления жизненным циклом ресурсов с учетом внесения изменений. Эти изменения включают изменения поставщиков удостоверений и доступа, уровня конфиденциальности данных, конфигурации сети и назначения прав администратора.

Определите и удалите ресурсы Azure, когда они больше не нужны.

Реализация Azure и дополнительный контекст:

Руководство AWS: Установите или обновите политики и процессы безопасности, которые учитывают управление жизненным циклом активов при внесении изменений. Эти изменения включают изменения поставщиков удостоверений и доступа, уровня конфиденциальности данных, конфигурации сети и назначения прав администратора.

Определите и удалите ресурсы AWS, когда они больше не нужны.

Реализация AWS и дополнительный контекст:

Рекомендации по GCP: Установите или обновите политики безопасности и процессы, которые охватывают управление жизненным циклом активов для модификаций. Эти изменения включают изменения поставщиков удостоверений и доступа, конфиденциальных данных, конфигурации сети и оценки прав администратора. Используйте Центр командной строки Google Cloud Security и проверьте вкладку соответствия требованиям для активов, подверженных риску.

Кроме того, используйте автоматическую очистку неиспользуемых проектов Google Cloud и службу "Облачная рекомендация" для предоставления рекомендаций и аналитических сведений об использовании ресурсов в Google Cloud. Эти рекомендации и аналитические сведения предназначены для каждого продукта или службы и создаются на основе эвристических методов, машинного обучения и текущего использования ресурсов.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

AM-4: ограничение доступа к управлению ресурсами

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
3,3 АС-3 Не применимо

Принцип безопасности. Ограничение доступа пользователей к функциям управления активами, чтобы избежать случайного или вредоносного изменения ресурсов в облаке.

Руководство по Azure. Azure Resource Manager — это служба развертывания и управления для Azure. Он предоставляет уровень управления, позволяющий создавать, обновлять и удалять ресурсы (ресурсы) в Azure. Используйте условный доступ Microsoft Entra, чтобы ограничить возможность взаимодействия пользователей с Azure Resource Manager, настроив параметр "Блокировать доступ" для приложения "Управление Microsoft Azure".

Используйте управление доступом на основе ролей Azure (RBAC), чтобы назначить роли удостоверениям для управления разрешениями и доступом к ресурсам Azure. Например, пользователь с ролью "Читатель" Azure RBAC может просматривать все ресурсы, но не может вносить изменения.

Используйте блокировки ресурсов, чтобы предотвратить удаление или изменение ресурсов. Блокировки ресурсов администрируются с помощью azure Blueprints.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Использование AWS IAM для ограничения доступа к конкретному ресурсу. Можно указать разрешенные или запрещенные действия, а также условия, в которых активируются действия. Можно указать одно условие или объединить методы разрешений на уровне ресурсов, политик на основе ресурсов, авторизации на основе тегов, временных учетных данных или связанных с службой ролей, чтобы обеспечить точное управление доступом к ресурсам.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Использование Google Cloud Identity and Access Management (IAM) позволяет ограничить доступ к конкретному ресурсу. Вы можете указать разрешения или запретить действия и условия, в которых активируются действия. Вы можете указать одно условие или объединенные методы разрешений на уровне ресурсов, политики на основе ресурсов, авторизацию на основе тегов, временные учетные данные или связанные с службой роли, чтобы обеспечить точное управление доступом для ваших ресурсов.

Кроме того, вы можете использовать Контроль сервисов VPC для защиты от случайных или целенаправленных действий внешних или внутренних сотрудников, что помогает свести к минимуму необоснованные риски утечки данных из сервисов Google Cloud. Элементы управления службами VPC можно использовать для создания периметров, которые защищают ресурсы и данные служб, которые вы явно указали.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

AM-5. Использование только утвержденных приложений в виртуальной машине

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Принцип безопасности. Убедитесь, что только авторизованное программное обеспечение выполняется путем создания списка разрешений и блокирования несанкционированного программного обеспечения от выполнения в вашей среде.

Руководство по Azure. Использование элементов управления адаптивными приложениями в Microsoft Defender для облака для обнаружения и создания списка разрешений приложения. Вы также можете использовать адаптивные элементы управления приложениями ASC, чтобы гарантировать, что на виртуальных машинах Azure может выполняться только авторизованное программное обеспечение, а все несанкционированное программное обеспечение заблокировано.

Отслеживание изменений и инвентаризация службы автоматизации Azure позволяет автоматизировать сбор данных инвентаризации из виртуальных машин Windows и Linux. Сведения о названии программного обеспечения, версии, издателе и времени обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и перенаправите журналы событий Windows в рабочую область Log Analytics.

В зависимости от типа скриптов можно использовать конфигурации для конкретной операционной системы или внешние ресурсы, чтобы ограничить возможность пользователей выполнять скрипты в вычислительных ресурсах Azure.

Вы также можете использовать внешнее решение для обнаружения и идентификации неутвержденного программного обеспечения.

Реализация Azure и дополнительный контекст:

Руководство по GCP. Используйте Google Cloud VM Manager для обнаружения приложений, установленных в экземплярах вычислительных подсистем. Управление инвентаризацией и конфигурацией ОС можно использовать, чтобы неавторизованное программное обеспечение было заблокировано для выполнения на экземплярах вычислительного ядра.

Вы также можете использовать внешнее решение для обнаружения и идентификации неутвержденного программного обеспечения.

Реализация GCP и дополнительный контекст:

Руководство по AWS. Используйте функцию инвентаризации AWS Systems Manager для обнаружения приложений, установленных в экземплярах EC2. Используйте правила AWS Config, чтобы убедиться, что неавторизованное программное обеспечение заблокировано выполнять в экземплярах EC2.

Вы также можете использовать внешнее решение для обнаружения и идентификации неутвержденного программного обеспечения.

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Управление безопасностью: резервное копирование и восстановление

Элементы управления резервного копирования и восстановления позволяют обеспечить выполнение резервных копий данных и конфигураций на разных уровнях служб, проверку и защиту.

BR-2. Защита данных резервного копирования и восстановления

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
11.3 CP-6, CP-9 3.4

Принцип безопасности: Убедитесь, что резервные данные и операции защищены от кражи данных, компрометации данных, программ-вымогателей, вредоносных программ и злонамеренных инсайдеров. К элементам управления безопасностью, которые следует применять, относятся управление доступом пользователей и сети, шифрование данных в состоянии покоя и при передаче.

Руководство по Azure. Использование многофакторной проверки подлинности и Azure RBAC для защиты критически важных операций Azure Backup (например, удаления, хранения изменений, обновлений конфигурации резервного копирования). Для поддерживаемых ресурсов Azure Backup используйте Azure RBAC для разделения обязанностей и обеспечения детального доступа и создания частных конечных точек в виртуальной сети Azure для безопасного резервного копирования и восстановления данных из хранилищ служб восстановления.

Для поддерживаемых ресурсов Azure Backup данные резервного копирования автоматически шифруются с помощью ключей, управляемых платформой Azure, с 256-разрядным шифрованием AES. Вы также можете зашифровать резервные копии с помощью управляемого клиентом ключа. В этом случае убедитесь, что ключ, управляемый клиентом, в Azure Key Vault также находится в области резервного копирования. Если вы используете ключ под управлением клиента, применяйте мягкое удаление и защиту от очистки в Azure Key Vault для защиты ключей от случайного или вредоносного удаления. Для локальных резервных копий с помощью Azure Backup шифрование данных на месте хранения предоставляется с помощью парольной фразы, которую вы предоставляете.

Защита данных резервного копирования от случайного или вредоносного удаления, например атак программ-шантажистов или попыток шифрования или изменения данных резервного копирования. Для поддерживаемых ресурсов Azure Backup включите обратимое удаление, чтобы обеспечить восстановление элементов без потери данных до 14 дней после несанкционированного удаления и включение многофакторной проверки подлинности с помощью ПИН-кода, созданного на портале Azure. Также включите геоизбыточное хранилище или восстановление между регионами, чтобы обеспечить возможность восстановления резервных копий при возникновении аварии в основном регионе. Вы также можете включить зонированное избыточное хранилище (ZRS), чтобы гарантировать возможность восстановления резервных копий при отказе зоны.

Замечание

Если вы используете собственные функции резервного копирования ресурсов или службы резервного копирования, отличные от Azure Backup, обратитесь к microsoft Cloud Security Benchmark (и базовым планам служб) для реализации указанных выше элементов управления.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Использование управления доступом AWS IAM для защиты aws Backup. Всегда защищать точки доступа к службе архивации AWS и резервного копирования и восстановления. Примеры элементов управления:

  • Используйте многофакторную проверку подлинности (MFA) для критически важных операций, таких как удаление точки резервного копирования и восстановления.
  • Используйте протокол TLS для обмена данными с ресурсами AWS.
  • Используйте AWS KMS с AWS Backup для шифрования данных резервного копирования с помощью управляемого клиентом CMK или CMK, управляемого AWS, связанного со службой резервного копирования AWS.
  • Используйте блокировку AWS Backup Vault для неизменяемого хранилища критически важных данных.
  • Защита контейнеров S3 с помощью политики доступа, отключение общедоступного доступа, применение шифрования неактивных данных и управление версиями.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Использование выделенных учетных записей с самой надежной проверкой подлинности для выполнения критически важных операций резервного копирования и восстановления, таких как удаление, хранение изменений, обновления конфигурации резервного копирования. Выделенные учетные записи защищают данные резервного копирования от случайного или вредоносного удаления, например атак программ-шантажистов или попыток шифрования или изменения данных резервного копирования.

Для поддерживаемых ресурсов GCP Backup используйте Google IAM с ролями и разрешениями для разделения обязанностей и обеспечения детального доступа и настройки подключения частных служб к VPC для безопасного резервного копирования и восстановления данных с устройства Backup/Recovery.

Данные резервного копирования автоматически шифруются по умолчанию на уровне платформы с помощью алгоритма AES (AES), AES-256.

Замечание

Если вы используете собственную функцию резервного копирования ресурса или службы резервного копирования, отличные от GCP Backup, обратитесь к соответствующему руководству для реализации элементов управления безопасностью. Например, можно также защитить определенные экземпляры виртуальных машин от удаления, задав свойство deletionProtection в ресурсе экземпляра виртуальной машины.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Управление безопасностью: защита данных

Защита данных охватывает управление защитой неактивных данных, транзитом и с помощью авторизованных механизмов доступа, включая обнаружение, классификацию, защиту и мониторинг ресурсов конфиденциальных данных с помощью управления доступом, шифрования, управления ключами и управления сертификатами.

DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
3.13 AC-4, SI-4 A3.2

Принцип безопасности: мониторинг аномалий вокруг конфиденциальных данных, таких как несанкционированная передача данных в расположения за пределами корпоративной видимости и контроля. Вы отслеживаете аномальные действия (крупные или необычные передачи), которые могут указывать на несанкционированные кражи данных.

Руководство по Azure. Используйте Azure Information Protection (AIP) для мониторинга классифицированных и помеченных данных.

Используйте Microsoft Defender для хранилища, Microsoft Defender для SQL, Microsoft Defender для реляционных баз данных с открытым исходным кодом и Microsoft Defender для Cosmos DB для оповещения об аномальной передаче информации, которая может указывать на несанкционированную передачу конфиденциальных данных.

Замечание

При необходимости для обеспечения соответствия требованиям защиты от потери данных (DLP) можно использовать решение защиты от потери данных на основе узла из Azure Marketplace или решение защиты от потери данных Microsoft 365 для принудительного применения детективных и /или запретительных элементов управления, чтобы предотвратить кражу данных.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте AWS Macie для мониторинга данных, которые были классифицированы и помечены, и используйте GuardDuty для обнаружения аномальных действий на некоторых ресурсах (S3, EC2 или Kubernetes или IAM). Результаты и оповещения можно просматривать, анализировать и отслеживать с помощью EventBridge и пересылать в Microsoft Sentinel или Центр безопасности для агрегирования инцидентов и отслеживания.

Вы также можете подключить учетные записи AWS к Microsoft Defender для облака для проверки соответствия требованиям, безопасности контейнеров и возможностей безопасности конечных точек.

Замечание

При необходимости для обеспечения соответствия требованиям защиты от потери данных (DLP) можно использовать решение защиты от потери данных на основе узла из AWS Marketplace.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Использование Центра командной строки Google Cloud Security, обнаружения угроз событий или обнаружения аномалий для оповещения об аномальной передаче информации, которая может указывать на несанкционированную передачу конфиденциальных данных.

Вы также можете подключить учетные записи GCP к Microsoft Defender для Облака для проверки соответствия требованиям, безопасности контейнеров и возможностей безопасности конечных точек.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

DP-3. Шифрование конфиденциальных данных при передаче

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Принцип безопасности. Защита передаваемых данных от атак "вне полосы" (например, отслеживания трафика) с помощью шифрования, чтобы злоумышленники не могли легко считывать или изменять данные.

Задайте границу сети и область службы, в которой данные в транзитном шифровании являются обязательными внутри и за пределами сети. Хотя это необязательно для трафика в частных сетях, это крайне важно для трафика во внешних и общедоступных сетях.

Руководство по использованию Azure: Обеспечьте безопасную передачу в таких службах, как Azure хранилище, где встроена функция шифрования данных при передаче.

Принудительное применение ПРОТОКОЛА HTTPS для рабочих нагрузок и служб веб-приложений, гарантируя, что все клиенты, подключающиеся к ресурсам Azure, используют протокол TLS версии 1.2 или более поздней версии. Для удаленного управления виртуальными машинами используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола.

Для удаленного управления виртуальными машинами Azure используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Для безопасной передачи файлов используйте службу SFTP/FTPS в BLOB-объекте службы хранилища Azure, приложениях службы приложений и приложениях-функциях вместо использования обычной службы FTP.

Замечание

Шифрование данных в процессе передачи включено для всего трафика Azure, передаваемого между центрами обработки данных Azure. ПРОТОКОЛ TLS версии 1.2 или более поздней версии включен в большинстве служб Azure по умолчанию. А некоторые службы, такие как служба хранилища Azure и шлюз приложений, могут применять TLS версии 1.2 или более поздней версии на стороне сервера.

Реализация Azure и дополнительный контекст:

Рекомендации AWS: обеспечить безопасную передачу данных в таких службах, как Amazon S3, RDS и CloudFront, где имеется встроенная функция шифрования данных в транзите.

Принудительное применение ПРОТОКОЛА HTTPS (например, в AWS Elastic Load Balancer) для веб-приложений и служб рабочей нагрузки (на стороне сервера или на стороне клиента или на обеих сторонах), гарантируя, что все клиенты, подключающиеся к ресурсам AWS, используют TLS версии 1.2 или более поздней версии.

Для удаленного управления экземплярами EC2 используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Для безопасной передачи файлов используйте службу AWS Transfer SFTP или FTPS вместо обычной службы FTP.

Замечание

Весь сетевой трафик между центрами обработки данных AWS прозрачно шифруется на физическом уровне. Весь трафик внутри VPC и между одноранговыми VPC в разных регионах прозрачно шифруется на сетевом уровне при условии использования поддерживаемых типов экземпляров Amazon EC2. ПРОТОКОЛ TLS версии 1.2 или более поздней версии включен в большинстве служб AWS по умолчанию. А некоторые службы, такие как AWS Load Balancer, могут применять TLS версии 1.2 или более поздней версии на стороне сервера.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Обеспечивайте безопасную передачу в службах, таких как Google Cloud Storage, где встроена функция шифрования данных при передаче.

Обеспечьте использование протокола HTTPS для рабочих нагрузок и служб веб-приложений, гарантируя, что все клиенты, подключающиеся к ресурсам GCP, используют протокол TLS версии 1.2 или более поздней.

Для удаленного управления Google Cloud Compute Engine используется SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Для безопасной передачи файлов используйте службу SFTP/FTPS в таких службах, как Google Cloud Big Query или Cloud App Engine вместо обычной службы FTP.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

DP-6. Использование процесса безопасного управления ключами

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
Не применимо IA-5, SC-12, SC-28 3.6

Принцип безопасности: документируйте и реализуйте стандарт управления криптографическими ключами предприятия, процессы и процедуры для управления жизненным циклом ключей. Если в службах требуется использовать управляемый клиентом ключ, используйте службу защищенного хранилища ключей для создания ключей, распространения и хранения. Выполняйте переключение и аннулирование ключей согласно установленному расписанию, а также в случае планового удаления или компрометации ключей.

Руководство по Azure. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранилище. Ротация и аннулирование ключей в Azure Key Vault и вашей службе в соответствии с установленным расписанием и при отказе от использования или компрометации ключей. Требуется определенный криптографический тип и минимальный размер ключа при создании ключей.

Если в службах или приложениях рабочей нагрузки требуется использовать управляемый клиентом ключ (CMK), убедитесь, что вы следуйте рекомендациям.

  • Используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с использованием ключа шифрования ключей (KEK) в хранилище ключей.
  • Убедитесь, что ключи регистрируются в Azure Key Vault и реализуются с помощью идентификаторов ключей в каждой службе или приложении.

Чтобы максимально увеличить длительность и переносимость ключевых материалов, используйте собственный ключ (BYOK) для служб (импортируя ключи, защищенные с использованием HSM, из ваших локальных HSM в Azure Key Vault). Чтобы выполнить генерацию ключей и передачу ключей, следуйте рекомендуемой инструкции.

Замечание

Ознакомьтесь с приведенными ниже сведениями о уровне FIPS 140-2 для типов Azure Key Vault и уровня соответствия и проверки FIPS.

  • Ключи, защищенные программным обеспечением в хранилищах (артикулы "Премиум" и "Стандартный"): FIPS 140-2 уровень 1
  • Ключи, защищенные HSM в хранилищах (SKU класса Premium): FIPS 140-2 уровень 2
  • Ключи, защищенные HSM в управляемом HSM: FIPS 140-2 уровня 3

Azure Key Vault Premium использует общую инфраструктуру HSM в серверной части. Ключевой модуль аппаратной безопасности (HSM) в Azure Key Vault использует выделенные конфиденциальные точки доступа с выделенным HSM, если вам требуется более высокий уровень безопасности ключей.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Использование службы управления ключами AWS (KMS) для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Обновление и отзыв ключей в KMS и вашей службе на основе определенного расписания, а также при выводе ключа из обращения или его компрометации.

Если необходимо использовать главный ключ клиента, управляемый клиентом, в службах управления нагрузкой или приложениях, убедитесь, что вы следуете рекомендациям.

  • Используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с вашим ключом шифрования ключей (KEK) в вашей системе управления ключами (KMS).
  • Убедитесь, что ключи зарегистрированы в KMS и реализуются с помощью политик IAM в каждой службе или приложении.

Чтобы максимально увеличить срок службы и переносимость ключевых материалов, принесите собственный ключ (BYOK) для использования в службах (то есть импортируйте ключи, защищенные HSM, из ваших локальных HSM в KMS или Cloud HSM). Чтобы выполнить генерацию ключей и передачу ключей, следуйте рекомендуемой инструкции.

Замечание

AWS KMS использует общую инфраструктуру HSM в серверной части. Используйте пользовательское хранилище ключей AWS KMS, поддерживаемое AWS CloudHSM, если необходимо управлять собственным хранилищем ключей и выделенными HSM (например, требованием соответствия нормативным требованиям для повышения уровня безопасности ключей) для создания и хранения ключей шифрования.

Ознакомьтесь со списком для уровня соответствия FIPS 140-2 в AWS KMS и CloudHSM.

  • Стандартное значение по умолчанию для AWS KMS: сертифицировано FIPS 140-2 уровня 2
  • AWS KMS с помощью CloudHSM: проверка FIPS 140-2 уровня 3 (для определенных служб)
  • AWS CloudHSM: проверено FIPS 140-2 уровня 3

Замечание

Для управления секретами (учетные данные, пароль, ключи API и т. д.) используйте диспетчер секретов AWS.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Использование облачной службы управления ключами (Cloud KMS) для создания жизненных циклов ключей шифрования и управления ими в совместимых облачных службах Google и в приложениях рабочей нагрузки. Вращение и аннулирование ваших ключей в Cloud KMS и вашем сервисе на основе определенного расписания, а также при выводе ключа из эксплуатации или его компрометации.

Используйте службу Google Cloud HSM для предоставления аппаратно защищенных ключей для Cloud KMS (служба управления ключами). Это дает вам возможность управлять и использовать свои собственные криптографические ключи, находясь под защитой полностью управляемых аппаратных модулей безопасности (HSM).

В облачном сервисе HSM используются HSM, которые сертифицированы по FIPS 140-2 уровня 3 и всегда работают в режиме FIPS. Сертифицированы по уровню 3 FIPS 140-2 и всегда работают в режиме FIPS. Стандарт FIPS задает криптографические алгоритмы и случайное создание чисел, используемых HSM.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

DP-7. Использование процесса управления безопасными сертификатами

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
Не применимо IA-5, SC-12, SC-17 3.6

Принцип безопасности: документируйте и реализуйте стандарт управления корпоративными сертификатами, процессы и процедуры, которые включают управление жизненным циклом сертификатов и политики сертификатов (если требуется инфраструктура открытого ключа).

Убедитесь, что сертификаты, используемые критически важными службами вашей организации, инвентаризируются, отслеживаются, мониторятся и обновляются своевременно с помощью автоматизированного механизма, чтобы избежать нарушения работы служб.

Руководство по Azure. Создание и управление жизненным циклом сертификата с помощью Azure Key Vault, включая создание и импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификатов следует определенному стандарту без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасная криптография и т. д. Настройте автоматическую смену сертификата в Azure Key Vault и поддерживаемые службы Azure на основе определенного расписания и истечения срока действия сертификата. Если автоматическая смена не поддерживается в интерфейсном приложении, используйте смену вручную в Azure Key Vault.

Избегайте использования самоподписанного сертификата и сертификата с подстановочными знаками в критически важных сервисах из-за ограниченной гарантии безопасности. Вместо этого можно создать общедоступные подписанные сертификаты в Azure Key Vault. Следующие центры сертификации (ЦС) являются партнерскими поставщиками, которые в настоящее время интегрированы с Azure Key Vault.

  • DigiCert: Azure Key Vault предлагает OV TLS/SSL-сертификаты с помощью DigiCert.
  • GlobalSign: Azure Key Vault предлагает OV TLS/SSL-сертификаты с помощью GlobalSign.

Замечание

Используйте только утвержденный ЦС и убедитесь, что известные плохие корневые и промежуточные сертификаты, выданные этими центрами сертификации, отключены.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Создание и управление жизненным циклом сертификата, включая создание и импорт, смену, отзыв, хранение и очистку сертификата, используйте диспетчер сертификатов AWS (ACM). Убедитесь, что создание сертификатов следует определенному стандарту без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасная криптография и т. д. Настройте автоматическую смену сертификата в ACM и поддерживаемых службах AWS на основе определенного расписания и истечения срока действия сертификата. Если автоматическая смена не поддерживается в интерфейсном приложении, используйте смену вручную в ACM. В то же время необходимо всегда отслеживать состояние продления сертификата, чтобы убедиться в действительности сертификата.

Избегайте использования самоподписанного сертификата и сертификата с подстановочными знаками в критически важных сервисах из-за ограниченной гарантии безопасности. Вместо этого создайте открытые подписанные сертификаты (подписанные Центром сертификации Amazon) в ACM и развертывайте их программным образом в таких службах, как CloudFront, Load Balancers, шлюз API и т. д. Вы также можете использовать ACM для создания частного центра сертификации (ЦС) для подписывания частных сертификатов.

Замечание

Используйте только утвержденный ЦС и убедитесь, что известные плохие корневые или промежуточные сертификаты ЦС, выданные этими центрами сертификации, отключены.

Реализация AWS и дополнительный контекст:

Руководство по GCP: используйте Google Cloud Certificate Manager для создания и управления жизненным циклом сертификатов, включая создание и импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификатов следует определенному стандарту без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасная криптография и т. д. Настройте автоматическую смену сертификата в диспетчере сертификатов и поддерживаемых службах GCP на основе определенного расписания и истечения срока действия сертификата. Если автоматическая смена не поддерживается в интерфейсном приложении, используйте смену вручную в Диспетчере сертификатов. В то же время необходимо всегда отслеживать состояние продления сертификата, чтобы убедиться в действительности сертификата.

Избегайте использования самоподписанного сертификата и сертификата с подстановочными знаками в критически важных сервисах из-за ограниченной гарантии безопасности. Вместо этого вы можете создавать подписанные общедоступные сертификаты в диспетчере сертификатов и развертывать их программным способом в таких службах, как Load Balancer и Cloud DNS и т. д. Вы также можете использовать службу центра сертификации для создания частного центра сертификации (ЦС) для подписывания частных сертификатов.

Замечание

Вы также можете использовать Google Cloud Secret Manager для хранения сертификатов TLS.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

DP-8. Обеспечение безопасности репозитория ключей и сертификатов

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
Не применимо IA-5, SC-12, SC-17 3.6

Принцип безопасности. Обеспечение безопасности службы хранилища ключей, используемой для управления криптографическим ключом и жизненным циклом сертификатов. Защита службы хранилища ключей с помощью управления доступом, безопасности сети, ведения журнала и мониторинга и резервного копирования, чтобы обеспечить защиту ключей и сертификатов с помощью максимальной безопасности.

Руководство по Azure. Защита криптографических ключей и сертификатов путем защиты службы Azure Key Vault с помощью следующих элементов управления:

  • Реализуйте управление доступом с помощью политик RBAC в управляемом HSM Azure Key Vault на уровне ключа, чтобы обеспечить минимальные полномочия и разделение обязанностей. Например, убедитесь, что разделение обязанностей выполняется для пользователей, которые управляют ключами шифрования, поэтому у них нет возможности доступа к зашифрованным данным и наоборот. Для Azure Key Vault уровней "Стандартный" и "Премиум" создайте уникальные хранилища для различных приложений, чтобы обеспечить минимальные привилегии и разделение обязанностей.
  • Включите ведение журнала в Azure Key Vault, чтобы обеспечить регистрацию критически важных действий на управляющем и данных уровнях.
  • Защита Azure Key Vault с помощью приватного канала и брандмауэра Azure для обеспечения минимального воздействия службы
  • Используйте управляемое удостоверение для доступа к ключам, хранящимся в Azure Key Vault в приложениях рабочей нагрузки.
  • При очистке данных убедитесь, что ключи не удаляются до очистки фактических данных, резервных копий и архивов.
  • Резервное копирование ключей и сертификатов с помощью Azure Key Vault. Включите обратимое удаление и защиту от очистки, чтобы избежать случайного удаления ключей. Если ключи необходимо удалить, рассмотрите возможность отключения ключей вместо их удаления, чтобы избежать случайного удаления ключей и криптографических стирания данных.
  • Для определенных сценариев использования BYOK генерируйте ключи в локальной HSM и импортируйте их, чтобы максимально продлить срок службы и обеспечить переносимость ключей.
  • Никогда не хранить ключи в формате открытого текста за пределами Azure Key Vault. Ключи во всех службах хранилища ключей по умолчанию не экспортируются.
  • Используйте типы ключей с поддержкой HSM (RSA-HSM) в Azure Key Vault Premium и Управляемом HSM Azure для защиты оборудования и самых сильных уровней FIPS.

Включите Microsoft Defender для Azure Key Vault, чтобы обеспечить родную защиту от продвинутых угроз для Azure Key Vault и добавить дополнительный уровень аналитики безопасности.

Реализация Azure и дополнительный контекст:

Руководство по AWS: Для обеспечения безопасности криптографических ключей защитите ключи, усилив службу управления ключами AWS (KMS) с помощью следующих мер:

  • Реализуйте управление доступом с помощью политик ключей (управление доступом на уровне ключа) с политиками IAM (управление доступом на основе удостоверений), чтобы обеспечить минимальные привилегии и разделение принципов обязанностей. Например, убедитесь, что разделение обязанностей выполняется для пользователей, которые управляют ключами шифрования, поэтому у них нет возможности доступа к зашифрованным данным и наоборот.
  • Используйте элементы управления детективом, такие как CloudTrails, для регистрации и отслеживания использования ключей в KMS и оповещения о критических действиях.
  • Никогда не хранить ключи в формате открытого текста за пределами KMS.
  • При удалении ключей рекомендуется отключить ключи в KMS, а не удалять их, чтобы избежать случайного удаления ключей и криптографической эрастики данных.
  • При очистке данных убедитесь, что ключи не удаляются до очистки фактических данных, резервных копий и архивов.
  • Для использования собственного ключа (BYOK) создайте ключи в локальной среде HSM и импортируйте их, чтобы максимально увеличить время существования и переносимость ключей.

Для безопасности сертификатов защитите сертификаты, завердив службу AWS Certificate Manager (ACM) с помощью следующих элементов управления:

  • Реализуйте управление доступом с помощью политик на уровне ресурсов и политик IAM (управление доступом на основе удостоверений), чтобы обеспечить наименьшие привилегии и разделение обязанностей. Например, убедитесь, что разделение обязанностей выполняется для учетных записей пользователей: учетные записи пользователей, которые создают сертификаты, отделены от учетных записей пользователей, которым требуется только доступ только для чтения к сертификатам.
  • Используйте элементы управления детектива, такие как CloudTrails, для регистрации и отслеживания использования сертификатов в ACM и оповещения о критических действиях.
  • Следуйте инструкциям по безопасности KMS, чтобы защитить закрытый ключ (созданный для запроса сертификата), используемый для интеграции сертификатов службы.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Для обеспечения безопасности криптографических ключей защитите свои ключи путём усиления Службы управления ключами с помощью следующих мер:

  • Реализуйте управление доступом с помощью ролей IAM, чтобы обеспечить принципы наименьших привилегий и разделения обязанностей. Например, убедитесь, что разделение обязанностей выполняется для пользователей, которые управляют ключами шифрования, поэтому у них нет возможности доступа к зашифрованным данным и наоборот.
  • Создайте отдельное кольцо ключей для каждого проекта, которое позволяет легко управлять доступом к ключам и управлять ими, следуя рекомендациям по минимальным привилегиям. Кроме того, он упрощает проверку того, кто и когда имеет доступ к различным ключам.
  • Включите автоматическую смену ключей, чтобы обеспечить их регулярное обновление и освежение. Это помогает защититься от потенциальных угроз безопасности, таких как атаки методом перебора или вредоносные акторы, пытающиеся получить доступ к конфиденциальной информации.
  • Настройте приемник аудиторского журнала для отслеживания всех действий, происходящих в вашей среде GCP KMS.

Для обеспечения безопасности сертификатов защитите сертификаты, усилив диспетчер сертификатов GCP и службу центра сертификации с помощью следующих мер:

  • Реализуйте управление доступом с помощью политик уровня ресурсов и политик IAM (управление доступом на основе идентификаций), чтобы обеспечить минимальные привилегии и разделение обязанностей. Например, убедитесь, что разделение обязанностей выполняется для учетных записей пользователей: учетные записи пользователей, которые создают сертификаты, отделены от учетных записей пользователей, которым требуется только доступ только для чтения к сертификатам.
  • Используйте такие элементы управления детектива, как журналы аудита облака, чтобы регистрировать и отслеживать использование сертификатов в диспетчере сертификатов и предупреждать вас о критических действиях.
  • Диспетчер секретов также поддерживает хранение сертификата TLS. Для реализации мер безопасности в Secret Manager необходимо следовать аналогичной практике.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Управление безопасностью: безопасность конечных точек

Endpoint Security охватывает элементы управления в обнаружении и реагировании на конечных точках, включая использование средств EDR и служб защиты от вредоносных программ для конечных точек в облачных средах.

ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
13,7 SC-3, SI-2, SI-3, SI-16 11.5

Принцип безопасности. Включение возможностей обнаружения конечных точек и реагирования (EDR) для виртуальных машин и интеграции с процессами SIEM и операций безопасности.

Руководство по Azure. Microsoft Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на сложные угрозы.

Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечных точках и интегрировать оповещения в решение SIEM, например Microsoft Sentinel.

Реализация Azure и дополнительный контекст:

Рекомендации по AWS: Подключите свою учетную запись AWS к Microsoft Defender для облака и разверните Microsoft Defender для серверов (с интегрированным Microsoft Defender для конечной точки) на ваших экземплярах EC2, чтобы обеспечить возможности EDR для предотвращения, обнаружения, исследования и реагирования на современные угрозы.

Кроме того, используйте встроенную функцию аналитики угроз Amazon GuardDuty для мониторинга и защиты экземпляров EC2. Amazon GuardDuty может обнаруживать аномальные действия, такие как деятельность, указывающая на компрометацию экземпляра: добыча криптовалют, вредоносные программы, использующие алгоритмы генерации доменов (DGAs), исходящая активность отказа в обслуживании, необычно высокий объём сетевого трафика, необычные сетевые протоколы, исходящая связь экземпляра с известным вредоносным IP-адресом, использование временных учетных данных Amazon EC2 внешним IP-адресом, а также эксфильтрацию данных с использованием DNS.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Подключение проекта GCP к Microsoft Defender для облака и развертывание Microsoft Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) на экземплярах виртуальных машин для обеспечения возможностей EDR для предотвращения, обнаружения, исследования и реагирования на дополнительные угрозы.

Кроме того, используйте Центр управления безопасностью Google для интегрированной аналитики угроз для мониторинга и защиты экземпляров виртуальных машин. Центр управления безопасностью может обнаруживать аномальные действия, такие как потенциально утечка учетных данных, добыча криптовалют, потенциально вредоносные приложения, вредоносные действия сети и многое другое.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

ES-2. Использование современного программного обеспечения для защиты от вредоносных программ

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
10,1 SC-3, SI-2, SI-3, SI-16 5.1

Принцип безопасности: используйте решения, обеспечивающие защиту от вредоносных программ (также известные как защита конечных точек), способные обеспечивать защиту в режиме реального времени и выполнение периодического сканирования.

Руководство по Azure. Microsoft Defender для облака может автоматически определять использование многих популярных решений для защиты от вредоносных программ для виртуальных машин и локальных компьютеров с настроенными Azure Arc и сообщать о состоянии выполнения защиты конечных точек и предоставлять рекомендации.

Антивирусная программа в Microsoft Defender — это решение для борьбы с вредоносным ПО, по умолчанию используемое в Windows Server 2016 и более поздних версий. Для Windows Server 2012 R2 используйте расширение защиты от вредоносных программ Майкрософт, чтобы включить SCEP (System Center Endpoint Protection). Для виртуальных машин Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Замечание

Вы также можете использовать Microsoft Defender для облака, Defender для хранилищ, чтобы обнаруживать вредоносные программы, загруженные в учетные записи хранения Azure.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Подключение учетной записи AWS к Microsoft Defender для облака позволяет Microsoft Defender для облака автоматически определять использование некоторых популярных решений защиты от вредоносных программ для экземпляров EC2 с настроенными Azure Arc и сообщать о состоянии выполнения защиты конечных точек и предоставлять рекомендации.

Разверните антивирусную программу Microsoft Defender, которая является решением по умолчанию для защиты от вредоносных программ для Windows Server 2016 и более поздних версий. Для экземпляров EC2 под управлением Windows Server 2012 R2 используйте расширение защиты от вредоносных программ Майкрософт, чтобы включить SCEP (System Center Endpoint Protection). Для экземпляров EC2 под управлением Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Замечание

Microsoft Defender Cloud также поддерживает некоторые сторонние продукты защиты конечных точек для оценки состояния обнаружения и работоспособности.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Подключение проектов GCP к Microsoft Defender для Облака, чтобы позволить Microsoft Defender для Облака автоматически определять использование популярных решений защиты от вредоносных программ для экземпляров виртуальных машин с настроенными Azure Arc и сообщать о состоянии защиты конечных точек и предоставлять рекомендации.

Разверните антивирусную программу Microsoft Defender, которая является решением по умолчанию для защиты от вредоносных программ для Windows Server 2016 и более поздних версий. Для экземпляров виртуальных машин под управлением Windows Server 2012 R2 используйте расширение защиты от вредоносных программ Майкрософт, чтобы включить SCEP (System Center Endpoint Protection). Для экземпляров виртуальных машин под управлением Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Замечание

Microsoft Defender Cloud также поддерживает некоторые сторонние продукты защиты конечных точек для оценки состояния обнаружения и работоспособности.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
10.2 SI-2, SI-3 5.2

Принцип безопасности. Убедитесь, что подписи защиты от вредоносных программ обновляются быстро и последовательно для решения защиты от вредоносных программ.

Руководство по Azure. Следуйте рекомендациям в Microsoft Defender для Облака, чтобы обеспечить актуальность всех конечных точек с последними подписями. Защита от вредоносных программ Майкрософт (для Windows) и Microsoft Defender для конечной точки (для Linux) автоматически устанавливает последние подписи и обновления ядра по умолчанию.

Для внешних решений убедитесь, что подписи обновляются во внешнем решении для защиты от вредоносных программ.

Реализация Azure и дополнительный контекст:

Руководство по AWS. С помощью учетной записи AWS, подключенной к Microsoft Defender для облака, следуйте рекомендациям в Microsoft Defender для Облака, чтобы обеспечить актуальность всех конечных точек с последними подписями. Защита от вредоносных программ Microsoft (для Windows) и Microsoft Defender for Endpoint (для Linux) автоматически устанавливает последние подписи и обновления ядра по умолчанию.

Для внешних решений убедитесь, что подписи обновляются во внешнем решении для защиты от вредоносных программ.

Реализация AWS и дополнительный контекст:

Руководство по GCP. При подключении проектов GCP в Microsoft Defender для Облака следуйте рекомендациям в Microsoft Defender для Cloud, чтобы обеспечить актуальность всех решений EDR с последними подписями. Антивредоносное ПО Microsoft (для Windows) и Microsoft Defender для Endpoint (для Linux) автоматически устанавливают последние подписи и обновления ядра по умолчанию.

Для внешних решений убедитесь, что подписи обновляются во внешнем решении для защиты от вредоносных программ.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Контроль безопасности: управление и стратегия

Управление и стратегия предоставляют рекомендации по обеспечению последовательной стратегии безопасности и документированного подхода к управлению, чтобы управлять безопасностью и поддерживать безопасность, включая создание ролей и обязанностей для различных функций облачной безопасности, унифицированной технической стратегии и поддержки политик и стандартов.

GS-5. Определение и внедрение стратегии управления состоянием безопасности

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Общие рекомендации. Создайте политику, процедуру и стандарт, чтобы обеспечить управление конфигурацией безопасности и управление уязвимостями в вашем мандате облачной безопасности.

Управление конфигурацией безопасности в облаке должно включать следующие области:

  • Определите базовые настройки безопасности для различных типов ресурсов в облаке, таких как веб-портал и консоль, плоскость управления и контроля, а также ресурсы, работающие в службах IaaS, PaaS и SaaS.
  • Убедитесь, что базовые показатели безопасности устраняют риски в различных областях управления, таких как безопасность сети, управление удостоверениями, привилегированный доступ, защита данных и т. д.
  • Используйте средства для непрерывного измерения, аудита и принудительного применения конфигурации, чтобы предотвратить отклонение конфигурации от базового плана.
  • Разработайте процесс, чтобы оставаться в курсе функций безопасности, например, подписывайтесь на обновления сервиса.
  • Используйте механизм проверки работоспособности безопасности или соответствия требованиям (например, оценка безопасности, панель мониторинга соответствия требованиям в Microsoft Defender для облака), чтобы регулярно просматривать конфигурацию безопасности и устранять выявленные пробелы.

Управление уязвимостями в облаке должно включать следующие аспекты безопасности:

  • Регулярно оценивать и устранять уязвимости во всех типах облачных ресурсов, таких как облачные собственные службы, операционные системы и компоненты приложений.
  • Используйте подход на основе рисков для определения приоритетов оценки и исправления.
  • Подпишитесь на соответствующие уведомления о безопасности CSPM и блоги, чтобы получать последние обновления системы безопасности.
  • Убедитесь, что оценка уязвимостей и исправление (например, расписание, область и методы) соответствуют требованиям соответствия вашей организации.

Реализация и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

GS-11. Определение и реализация стратегии безопасности с несколькими облаками

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
Не применимо Не применимо Не применимо

Общие рекомендации. Убедитесь, что в облачной и системе управления безопасностью, управлением рисками и операцией определена стратегия нескольких облаков, которая должна включать следующие аспекты:

  • Внедрение мультиоблачной среды: Для организаций, которые используют мультиоблачную инфраструктуру, обучайте команды вашей организации, чтобы они понимали различия в функциях между облачными платформами и стеком технологий. Создавайте, развертывайте и/или переносите мобильные решения. Обеспечивает легкость перемещения между облачными платформами с минимальной зависимостью от поставщика, эффективно используя облачные функции для достижения оптимального результата при освоении облачных технологий.
  • Облачные операции и операции безопасности. Упрощение операций безопасности для поддержки решений в каждом облаке с помощью централизованного набора процессов управления и управления, которые совместно используют общие операционные процессы независимо от того, где развернуто и работает решение.
  • Стек инструментов и технологий. Выберите соответствующее средство, которое поддерживает многооблачную среду, чтобы помочь в создании унифицированных и централизованных платформ управления, которые включают все домены безопасности, рассмотренные в этом тесте безопасности.

Реализация и дополнительный контекст:

Управление безопасностью: управление удостоверениями

Управление идентификацией охватывает контроль безопасности и доступа с помощью систем управления идентификацией и доступом, включая использование единой аутентификации, сильных аутентификаций, управляемых удостоверений (и служебных принципов) для приложений, условного доступа и мониторинга аномальных действий учетных записей.

IM-8. Ограничение доступа к учетным данным и секретам

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Принцип безопасности. Убедитесь, что разработчики приложений безопасно обрабатывают учетные данные и секреты:

  • Избегайте внедрения учетных данных и секретов в файлы кода и конфигурации.
  • Использование хранилища ключей или службы безопасного хранилища ключей для хранения учетных данных и секретов
  • Проверка учетных данных в исходном коде.

Замечание

Управляется и применяется через безопасный жизненный цикл разработки программного обеспечения (SDLC) и процесс безопасности DevOps.

Руководство по Azure. Если использование управляемого удостоверения невозможно, убедитесь, что секреты и учетные данные хранятся в безопасных хранилищах, таких как Azure Key Vault, вместо того, чтобы внедрять их в файлы кода и конфигурации.

Если вы используете Azure DevOps и GitHub для платформы управления кодом:

  • Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
  • Для GitHub используйте функцию встроенного сканирования секретов для идентификации учетных данных или других форм секретов в коде.

Клиенты, такие как Функции Azure, службы приложений Azure и виртуальные машины, могут использовать управляемые удостоверения для безопасного доступа к Azure Key Vault. См. контроли защиты данных, связанные с использованием Azure Key Vault для управления секретами.

Замечание

Azure Key Vault обеспечивает автоматическую смену поддерживаемых служб. Для секретов, которые не могут обновляться автоматически, позаботьтесь о том, чтобы они вручную обновлялись периодически и очищались, когда они больше не используются.

Реализация Azure и дополнительный контекст:

Руководство по AWS: Если использование роли IAM для доступа к приложениям невозможно, убедитесь, что секретная информация и учетные данные хранятся в безопасных местах, таких как AWS Secrets Manager или AWS Systems Manager Parameter Store, вместо встраивания их в код и файлы конфигурации.

Используйте рецензент CodeGuru для анализа статического кода, который может обнаруживать секреты, жестко закодированные в исходном коде.

Если вы используете Azure DevOps и GitHub для платформы управления кодом:

  • Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
  • Для GitHub используйте функцию сканирования секретов для идентификации учетных данных или других форм секретов в коде.

Замечание

Secrets Manager обеспечивает автоматическую ротацию секретов для поддерживаемых служб. Для секретов, которые не могут обновляться автоматически, позаботьтесь о том, чтобы они вручную обновлялись периодически и очищались, когда они больше не используются.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Если использование управляемой Google учетной записи службы для доступа к приложениям невозможно, убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как Диспетчер секретов Google Cloud, а не внедряются в файлы с кодом и конфигурацией.

Используйте расширение Google Cloud Code в средах разработки (интегрированная среда разработки), например Visual Studio Code, для интеграции секретов, управляемых диспетчером секретов в код.

Если вы используете Azure DevOps или GitHub для платформы управления кодом:

  • Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
  • Для GitHub используйте функцию сканирования секретов для идентификации учетных данных или других форм секретов в коде.

Замечание

Настройте расписания смены секретов, хранящихся в Secret Manager, как лучшую практику.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Управление безопасностью: реагирование на инциденты

Ответ на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure (например, Microsoft Defender для облака и Microsoft Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты.

IR-4: обнаружение и анализ — исследование инцидента

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
Не применимо ИК-4 12.10

Принцип безопасности. Убедитесь, что команда по обеспечению безопасности может запрашивать и использовать различные источники данных при расследовании потенциальных инцидентов, чтобы создать полное представление о том, что произошло. Для отслеживания действий потенциального злоумышленника в цепочке атаки следует собирать разнообразные логи, чтобы избежать незащищенных сторон. Кроме того, следует убедиться, что аналитические сведения и результаты изучения записываются для других аналитиков и для хронологической справки в будущем.

Используйте облачное решение SIEM и управление инцидентами, если у вашей организации нет существующего решения для агрегирования журналов безопасности и сведений об оповещениях. Сопоставляйте данные инцидентов на основе данных, полученных из разных источников, для проведения расследований инцидентов.

Руководство по Azure. Убедитесь, что ваша команда по операциям безопасности может запрашивать и использовать различные источники данных, собранные из служб и систем в области. Кроме того, он также может включать в себя следующие источники:

  • Данные журнала удостоверений и доступа: используйте журналы Microsoft Entra и журналы доступа уровня рабочей нагрузки (например, операционные системы или уровни приложений) для корреляции событий идентификации и доступа.
  • Сетевые данные: используйте журналы потоков групп безопасности сети, наблюдатель за сетями Azure и Azure Monitor для записи журналов сетевых потоков и других аналитических сведений.
  • Связанные с инцидентом данные о действиях, полученные из моментальных снимков затронутых систем, можно получить с помощью:
    • Возможность моментальных снимков виртуальной машины Azure для создания моментального снимка диска работающей системы.
    • Возможность дампа собственной памяти операционной системы для создания моментального снимка памяти запущенной системы.
    • Функция моментального снимка в других поддерживаемых службах Azure или собственные возможности вашего программного обеспечения, позволяющие создавать моментальные снимки работающих систем.

Microsoft Sentinel предоставляет обширную аналитику данных практически в любом источнике журнала и портале управления регистрами для управления полным жизненным циклом инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.

Замечание

Если данные, связанные с инцидентами, фиксируются для расследования, убедитесь, что существует достаточная безопасность для защиты данных от несанкционированного изменения, таких как отключение ведения журнала или удаление журналов, которые злоумышленники выполняют во время действия взлома данных в полете.

Реализация Azure и дополнительный контекст:

Рекомендации AWS: Источники данных для исследования — это централизованные журнальные источники, которые собирают данные из охватываемых услуг и работающих систем, но также могут включать:

  • Данные журнала идентификации и доступа: используйте журналы IAM и рабочие нагрузки (например, операционные системы или уровни приложений) для сопоставления событий идентификации и доступа.
  • Сетевые данные: используйте журналы потоков VPC, зеркальные отображения трафика VPC и Azure CloudTrail и CloudWatch для записи журналов потоков сети и других аналитических сведений.
  • Моментальные снимки работающих систем, сделанные с помощью:
    • Возможность моментального снимка в Amazon EC2 (EBS) для создания моментального снимка диска работающей системы.
    • Возможность дампа собственной памяти операционной системы для создания моментального снимка памяти запущенной системы.
    • Функция моментального снимка служб AWS или собственных возможностей программного обеспечения для создания моментальных снимков запущенных систем.

Если вы собираете связанные с SIEM данные в Microsoft Sentinel, то платформа предлагает обширный анализ данных из практически любого источника журналов и портал управления делами для полной поддержки жизненного цикла инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.

Замечание

Когда данные, связанные с инцидентами, фиксируются для расследования, убедитесь, что существует достаточная безопасность для защиты данных от несанкционированного изменения, таких как отключение ведения журнала или удаление журналов, которые злоумышленники выполняют во время действия взлома данных в полете.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Источники данных для исследования представляют собой централизованные журнальные источники, которые собирают информацию из включённых в охват служб и работающих систем, но также могут включать:

  • Данные журнала идентификации и доступа: используйте журналы IAM и рабочие нагрузки (например, операционные системы или уровни приложений) для сопоставления событий идентификации и доступа.
  • Сетевые данные: используйте журналы потоков VPC и элементы управления службой VPC для записи журналов сетевых потоков и других аналитических сведений.
  • Моментальные снимки работающих систем, сделанные с помощью:
    • Возможность моментального снимка в виртуальных машинах GCP для создания моментального снимка диска работающей системы.
    • Возможность дампа собственной памяти операционной системы для создания моментального снимка памяти запущенной системы.
    • Функция моментальных снимков в службах GCP или собственные возможности вашего программного обеспечения для создания снимков запущенных систем.

Если вы собираете связанные с SIEM данные в Microsoft Sentinel, то платформа предлагает обширный анализ данных из практически любого источника журналов и портал управления делами для полной поддержки жизненного цикла инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.

Замечание

Когда данные, связанные с инцидентами, фиксируются для расследования, убедитесь, что существует достаточная безопасность для защиты данных от несанкционированного изменения, таких как отключение ведения журнала или удаление журналов, которые злоумышленники выполняют во время действия взлома данных в полете.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

IR-6: сдерживание, искоренение и восстановление — автоматизация обработки инцидентов

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
Не применимо IR-4, IR-5, IR-6 12.10

Принцип безопасности. Автоматизация ручных повторяющихся задач для ускорения времени реагирования и снижения нагрузки на аналитиков. Для выполнения задач вручную требуется больше времени. При этом замедляется каждый инцидент и уменьшается количество инцидентов, которые может обработать аналитик. Задачи, выполняемые вручную, также увеличивают усталость аналитика, что повышает риск возникновения ошибки, вызванной человеческим фактором, и снижает способность аналитиков эффективно сосредоточиться на сложных задачах.

Руководство по Azure. Использование функций автоматизации рабочих процессов в Microsoft Defender для облака и Microsoft Sentinel для автоматического активации действий или запуска сборников схем для реагирования на входящие оповещения системы безопасности. Сценарии действий выполняют такие действия, как отправка уведомлений, отключение учетных записей и изоляция проблемных сетей.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Если вы используете Microsoft Sentinel для централизованного управления инцидентом, вы также можете создавать автоматические действия или запускать сборники схем для реагирования на входящие оповещения системы безопасности.

Кроме того, используйте функции автоматизации в AWS System Manager для автоматического активации действий, определенных в плане реагирования на инциденты, включая уведомление контактов и (или) запуск модуля Runbook для реагирования на оповещения, такие как отключение учетных записей и изоляция проблемных сетей.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Если вы используете Microsoft Sentinel для централизованного управления инцидентом, вы также можете создавать автоматические действия или запускать сборники схем для реагирования на входящие оповещения системы безопасности.

Кроме того, используйте автоматизацию сборников схем в Хронике для автоматического активации действий, определенных в плане реагирования на инциденты, включая уведомление контактов и (или) запуск сборника схем для реагирования на оповещения.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Управление безопасностью: ведение журнала и обнаружение угроз

Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения угроз в облаке и включения, сбора и хранения журналов аудита для облачных служб, включая включение процессов обнаружения, исследования и исправления с помощью средств управления для создания высококачественных оповещений с помощью обнаружения угроз в облачных службах; он также включает сбор журналов с помощью облачной службы мониторинга, централизованного анализа безопасности с помощью SIEM, синхронизации времени и хранения журналов.

LT-1. Включение возможностей обнаружения угроз

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности. Для поддержки сценариев обнаружения угроз отслеживайте все известные типы ресурсов для известных и ожидаемых угроз и аномалий. Настройте правила для фильтрации и анализа оповещений, чтобы извлекать высококачественные оповещения из журналов, от агентов или из других источников данных и уменьшить количество ложных срабатываний.

Руководство по Azure. Используйте возможность обнаружения угроз в Microsoft Defender для облака для соответствующих служб Azure.

Сведения об обнаружении угроз, не включенных в службы Microsoft Defender, см. в базовых планах службы Microsoft Cloud Security Benchmark для соответствующих служб, чтобы включить возможности обнаружения угроз или оповещений системы безопасности в службе. Прием оповещений и данных журнала из Microsoft Defender для облака, Microsoft Defender XDR и других ресурсов в ваши экземпляры Azure Monitor или Microsoft Sentinel, чтобы создать правила аналитики, которые обнаруживают угрозы и создают оповещения, соответствующие определенным критериям для вашей среды.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами управления (ICS) или надзорным контролем и получением данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Для служб, которые не имеют собственной возможности обнаружения угроз, рассмотрите возможность сбора журналов плоскости данных и анализа угроз с помощью Microsoft Sentinel.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте Amazon GuardDuty для обнаружения угроз, которое анализирует и обрабатывает следующие источники данных: журналы потоков VPC, журналы событий управления AWS CloudTrail, журналы событий cloudTrail S3, журналы аудита EKS и журналы DNS. GuardDuty может сообщать о проблемах безопасности, таких как повышение привилегий, использование учетных данных или обмен данными с вредоносными IP-адресами или доменами.

Настройте AWS Config для проверки правил в SecurityHub для мониторинга соответствия требованиям, таких как смещение конфигурации и создание выводов при необходимости.

Для обнаружения угроз, не включенных в GuardDuty и SecurityHub, включите возможности обнаружения угроз или оповещений системы безопасности в поддерживаемых службах AWS. Извлеките оповещения в CloudTrail, CloudWatch или Microsoft Sentinel для создания правил аналитики, которые охотятся на угрозы, соответствующие определенным критериям в вашей среде.

Вы также можете использовать Microsoft Defender для облака для мониторинга определенных служб в AWS, таких как экземпляры EC2.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами управления (ICS) или надзорным контролем и получением данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Используйте Обнаружение угроз по событиям в Центре безопасности Google Cloud Security для выявления угроз с использованием данных журналов, таких как действия администратора, доступ к данным GKE, журналы потоков VPC, облачные DNS и журналы брандмауэра.

Кроме того, используйте комплекс решений для обеспечения безопасности для современного центра безопасности (SOC) с решениями Chronicle SIEM и SOAR. Chronicle предоставляет посредством SIEM и SOAR возможности обнаружения угроз, исследования и охоты.

Вы также можете использовать Microsoft Defender для облака для мониторинга определенных служб в GCP, таких как экземпляры вычислительных виртуальных машин.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами управления (ICS) или надзорным контролем и получением данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-3. Включение ведения журнала для исследования безопасности

Развернуть таблицу

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Принцип безопасности. Включение ведения журнала облачных ресурсов в соответствии с требованиями для расследований инцидентов безопасности и реагирования на них и соответствия требованиям.

Руководство по Azure. Включение возможностей ведения журнала для ресурсов на разных уровнях, таких как журналы для ресурсов Azure, операционных систем и приложений в виртуальных машинах и других типах журналов.

Помните о различных типах журналов для безопасности, аудита и других операций на уровне управления/контроля и уровне данных. На платформе Azure доступны три типа журналов:

  • Журнал ресурсов Azure: ведение журнала операций, выполняемых в ресурсе Azure (плоскости данных). Например, получение секрета из хранилища ключей или запрос к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
  • Журнал действий Azure: ведение журналов операций на каждом ресурсе Azure на уровне подписки снаружи (плоскость управления). Журнал действий можно использовать для определения того, что, кто и когда совершил для любых операций записи (PUT, POST, DELETE) над ресурсами в рамках вашей подписки. Существует один журнал действий для каждой подписки Azure.
  • Журналы идентификатора Microsoft Entra: журналы журнала действий входа и аудита изменений, внесенных в идентификатор Microsoft Entra для определенного клиента.

Вы также можете использовать Microsoft Defender для облака и Azure Policy для активации журналов ресурсов и сбора данных в ресурсах Azure.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Использование журнала AWS CloudTrail для событий управления (операций плоскости управления) и событий данных (операций плоскости данных) и отслеживания этих следов с помощью CloudWatch для автоматизированных действий.

Служба журналов Amazon CloudWatch позволяет собирать и хранить журналы из ресурсов, приложений и служб практически в реальном времени. Существует три основных категории журналов:

  • Переданные журналы: журналы, автоматически опубликованные службами AWS от вашего имени. В настоящее время Журналы потоков Amazon VPC и Журналы Amazon Route 53 являются двумя поддерживаемыми типами. Эти два журнала включены по умолчанию.
  • Журналы, опубликованные службами AWS: журналы из более чем 30 служб AWS публикуются в CloudWatch. К ним относятся Шлюз API Amazon, AWS Lambda, AWS CloudTrail и многие другие. Эти журналы можно включить непосредственно в службах и CloudWatch.
  • Настраиваемые журналы: журналы из собственного приложения и внутренних ресурсов. Эти журналы необходимо собрать, установив агент CloudWatch в операционных системах и перенаправив их в CloudWatch.

Хотя многие службы публикуют журналы только в CloudWatch Logs, некоторые службы AWS могут публиковать журналы непосредственно в Amazon S3 или Amazon Kinesis Data Firehose, где можно использовать различные политики хранения и удерживания журналов.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Включение возможностей ведения журнала для ресурсов на разных уровнях, таких как журналы для ресурсов Azure, операционных систем и приложений в виртуальных машинах и других типах журналов.

Помните о различных типах журналов для безопасности, аудита и других операций на уровне управления/контроля и уровне данных. Служба Operations Suite Cloud Logging собирает и агрегирует все лог-события с разных уровней ресурсов. В облачном журнале поддерживаются четыре категории журналов:

  • Журналы платформ — журналы, написанные вашими облачными службами Google.
  • Журналы компонентов , аналогичные журналам платформ, но журналы создаются компонентами программного обеспечения Google, которые выполняются в системах.
  • Журналы безопасности — в основном журналы аудита, которые записывают административные действия и доступы к вашим ресурсам.
  • Пользовательские журналы — журналы, написанные специально разработанными приложениями и службами
  • Журналы мультиоблака и журналы гибридного облака — журналы от других облачных провайдеров, таких как Microsoft Azure, и журналы из локальной инфраструктуры.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-4. Включение ведения сетевого журнала для исследования безопасности

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Принцип безопасности. Включение ведения журнала для сетевых служб для поддержки расследований инцидентов, связанных с сетью, охоты на угрозы и создания оповещений системы безопасности. Сетевые журналы включают журналы из сетевых служб, таких как фильтрация IP-адресов, брандмауэр сети и приложений, DNS, мониторинг потоков и т. д.

Руководство по Azure. Включение и сбор журналов ресурсов группы безопасности сети (NSG), журналов потоков NSG, журналов брандмауэра Azure и журналов брандмауэра веб-приложений (WAF) и журналов с виртуальных машин с помощью агента сбора данных сетевого трафика для анализа безопасности для поддержки расследований инцидентов и создания оповещений системы безопасности. Журналы потоков можно отправлять в рабочую область Azure Monitor Log Analytics, а затем использовать аналитику трафика для предоставления аналитических сведений.

Сбор журналов запросов DNS для сопоставления других сетевых данных.

Реализация Azure и дополнительный контекст:

Руководство AWS: включите и собирайте сетевые журналы, такие как журналы потоков VPC, журналы WAF и журналы запросов разрешателя Route53 для анализа безопасности, поддержки расследований инцидентов и создания оповещений о безопасности. Журналы можно экспортировать в CloudWatch для мониторинга или в хранилище S3 для импорта в Microsoft Sentinel для централизованной аналитики.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Большинство журналов сетевых действий доступны через журналы потоков VPC, которые записывают образец сетевых потоков, отправляемых и полученных ресурсами, включая экземпляры, используемые в качестве виртуальных машин Google Compute, узлов ядра Kubernetes. Эти журналы можно использовать для мониторинга сети, судебной экспертизы, анализа безопасности в режиме реального времени и оптимизации расходов.

Вы можете просматривать журналы потоков в журнале облака и экспортировать журналы в место назначения, которое поддерживает экспорт журнала в облаке. Журналы потоков агрегируются по подключению из виртуальных машин Compute Engine и экспортируются в режиме реального времени. Подписавшись на Pub/Sub, вы можете анализировать журналы потоков с помощью API потоковой передачи в режиме реального времени.

Замечание

Вы также можете использовать клонирование трафика указанных инстанций с помощью функции "Зеркальное отображение пакетов" в сети Виртуального частного облака (VPC) и перенаправлять его для проверки. Зеркальное отображение пакетов захватывает все данные о трафике и пакетах, включая полезные данные и заголовки.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-5: централизованные управление журналом безопасности и анализ

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Не применимо

Принцип безопасности: централизация хранилища журналов и анализа для обеспечения корреляции между данными журнала. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Используйте cloud native SIEM, если у вас нет существующего решения SIEM для поставщиков поставщиков поддержки. Можно также агрегировать журналы и оповещения в вашей текущей системе управления событиями безопасности (SIEM).

Руководство по Azure. Убедитесь, что вы интегрируете журналы действий Azure в централизованную рабочую область Log Analytics. Используйте Azure Monitor для запроса и выполнения анализа и создания правил генерации оповещений на основе журналов, собранных из служб Azure, с конечных устройств, из сетевых ресурсов и других систем безопасности.

Кроме того, активируйте и подключите данные в Microsoft Sentinel с функциями управления событиями информационной безопасности (SIEM) и возможностями автоматизированного реагирования по безопасности (SOAR).

Реализация Azure и дополнительный контекст:

Руководство по AWS. Убедитесь, что вы интегрируете журналы AWS в централизованный ресурс для хранения и анализа. Используйте CloudWatch для запроса и выполнения аналитики, а также для создания правил оповещений с помощью журналов, объединенных из служб AWS, конечных устройств, сетевых ресурсов и других систем безопасности.

Кроме того, можно агрегировать журналы в контейнере хранилища S3 и подключить данные журнала к Microsoft Sentinel, обеспечивающие управление событиями безопасности (SIEM) и средства автоматического реагирования системы безопасности (SOAR).

Реализация AWS и дополнительный контекст:

Руководство по GCP. Убедитесь, что вы интегрируете журналы GCP в централизованный ресурс (например, контейнер журналов Operations Suite Cloud) для хранения и анализа. Cloud Logging поддерживает ведение журналов для большинства собственных служб Google Cloud, а также для внешних и локальных приложений. Вы можете использовать ведение журнала облака для запроса и выполнения аналитики, а также создавать правила генерации оповещений с помощью журналов, агрегированных из служб GCP, служб, конечных точек устройств, сетевых ресурсов и других систем безопасности.

Используйте облачный нативный SIEM, если у вас нет существующего решения SIEM для CSP, или агрегируйте журналы и оповещения в вашем существующем SIEM.

Замечание

Google предоставляет два интерфейса для запросов журналов: Logs Explorer и Log Analytics, которые используются для выполнения запросов, просмотра и анализа журналов. Для устранения неполадок и изучения данных журнала рекомендуется использовать обозреватель журналов. Чтобы создать аналитические сведения и тенденции, рекомендуется использовать Log Analytics.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-6: Настройка хранения журналов

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Принцип безопасности. Планирование стратегии хранения журналов в соответствии с вашими требованиями к соответствию, нормативным требованиям и бизнес-требованиям. Настройте политику хранения журналов для отдельных служб ведения журналов, чтобы обеспечить надлежащее архивирование журналов.

Руководство по Azure. Такие журналы, как журналы действий Azure, сохраняются в течение 90 дней, а затем удаляются. Необходимо создать параметр диагностики и перенаправить журналы в другое расположение (например, рабочую область Azure Monitor Log Analytics, Центры событий или службу хранилища Azure) на основе ваших потребностей. Эта стратегия также применяется к другим журналам ресурсов и ресурсам, управляемым самостоятельно, например журналам в операционных системах и приложениях на виртуальных машинах.

У вас есть параметр хранения журналов:

  • Используйте рабочую область Azure Monitor Log Analytics для периода хранения журналов до одного года или в соответствии с требованиями группы реагирования.
  • Используйте службу хранилища Azure, Data Explorer или Data Lake для долгосрочного и архивного хранилища в течение более одного года и для удовлетворения требований к соответствию безопасности.
  • Используйте Центры событий Azure для пересылки журналов во внешний ресурс за пределами Azure.

Замечание

Microsoft Sentinel использует рабочую область Log Analytics в качестве серверной части для хранения журналов. Если вы планируете хранить журналы SIEM в течение длительного времени, следует рассмотреть стратегию долгосрочного хранения.

Реализация Azure и дополнительный контекст:

Руководство AWS: По умолчанию журналы хранятся на неопределенный срок и никогда не удаляются в CloudWatch. Вы можете настроить политику хранения для каждой группы журналов, сохранить неограниченное хранение или выбрать срок хранения в диапазоне от 10 лет до одного дня.

Используйте Amazon S3 для архивации журналов из CloudWatch и примените к контейнеру политику управления жизненным циклом объектов и архивации. Службу хранилища Azure можно использовать для централизованного архивирования журналов, передав файлы из Amazon S3 в службу хранилища Azure.

Реализация AWS и дополнительный контекст:

Руководство по GCP. По умолчанию Operations Suite Cloud Log сохраняет журналы в течение 30 дней, если вы не настраиваете пользовательское хранение для контейнера ведения журнала в облаке. Журналы аудита действий администратора, журналы аудита событий системы и журналы прозрачности доступа хранятся по умолчанию в течение 400 дней. Вы можете настроить облачное ведение журнала для хранения журналов в диапазоне от 1 до 3650 дней.

Используйте облачное хранилище для архивации журналов из облачного ведения журнала и примените к контейнеру политику управления жизненным циклом объектов и архивации. Службу хранилища Azure можно использовать для централизованного архивирования журналов, передав файлы из Google Cloud Storage в службу хранилища Azure.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

Управление безопасностью: управление состоянием и уязвимостью

Функция "Управление уязвимостями" ориентирована на средства управления для оценки и улучшения состояния облачной безопасности, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, отчеты и исправление в облачных ресурсах.

PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
4,1 CM-2, CM-6 2,2

Принцип безопасности: непрерывно отслеживайте и оповещайте, когда в вычислительных ресурсах наблюдается отклонение от определенной базовой конфигурации. Осуществление конфигурации в соответствии с базовой, путем отказа в применении несоответствующих конфигураций или развертывания конфигурации на вычислительных ресурсах.

Руководство по Azure. Используйте Microsoft Defender для облака и конфигурацию компьютера Azure Automanage (прежнее название — гостевая конфигурация политики Azure) для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и другие. Кроме того, можно использовать шаблоны Azure Resource Manager, пользовательские образы операционной системы или конфигурацию состояния службы автоматизации Azure для поддержания конфигурации безопасности операционной системы. Шаблоны виртуальных машин Майкрософт с конфигурацией состояния службы автоматизации Azure могут помочь в удовлетворении и поддержании требований безопасности. Отслеживание изменений и инвентаризация в службе автоматизации Azure позволяет отслеживать изменения виртуальных машин, размещенных в Azure, локальной среде и других облачных средах, чтобы помочь определить операционные и экологические проблемы с программным обеспечением, управляемым диспетчером пакетов распространителя. Установите агент аттестации гостей на виртуальных машинах, чтобы отслеживать целостность загрузки на конфиденциальных виртуальных машинах.

Замечание

Образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и поддерживаются корпорацией Майкрософт.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте функцию диспетчера состояний AWS System Manager для регулярной оценки и исправления отклонений конфигурации в экземплярах EC2. Кроме того, можно использовать шаблоны CloudFormation, пользовательские образы операционной системы для поддержания конфигурации безопасности операционной системы. Шаблоны AMI с System Manager могут помочь в удовлетворении и поддержании требований к безопасности.

Вы также можете централизованно отслеживать конфигурацию операционной системы и управлять ими через конфигурацию состояния автоматизации Azure и подключить применимые ресурсы к управлению безопасностью Azure с помощью следующих методов:

  • Подключение учетной записи AWS к Microsoft Defender для облака
  • Использование Azure Arc для серверов для подключения экземпляров EC2 к Microsoft Defender для облака

Для приложений рабочей нагрузки, выполняемых в экземплярах EC2, в AWS Lambda или в контейнерах, можно использовать AWS Systems Manager AppConfig для аудита и применения требуемой базовой конфигурации.

Замечание

Интерфейсы AMIs, опубликованные Amazon Web Services в AWS Marketplace, управляются и поддерживаются Amazon Web Services.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте Диспетчер виртуальных машин и Центр команд Google Cloud Security для регулярной оценки и исправления отклонения конфигурации экземпляров вычислительных подсистем, контейнеров и бессерверных контрактов. Кроме того, можно использовать шаблоны виртуальных машин Deployment Manager, пользовательские образы операционной системы для поддержания конфигурации безопасности операционной системы. Шаблоны виртуальных машин Диспетчера развертываний с помощью VM Manager могут помочь в удовлетворении и поддержании требований к безопасности.

Вы также можете централизованно отслеживать конфигурацию операционной системы и управлять ими через конфигурацию состояния автоматизации Azure и подключить применимые ресурсы к управлению безопасностью Azure с помощью следующих методов:

  • Подключение проекта GCP к Microsoft Defender для Облака
  • Использование Azure Arc для серверов для подключения экземпляров виртуальной машины GCP к Microsoft Defender для облака

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

PV-5. Выполнение оценки уязвимостей

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Принцип безопасности. Выполнение оценки уязвимостей для облачных ресурсов на всех уровнях в фиксированном расписании или по запросу. Отслеживайте и сравнивайте результаты сканирования, чтобы убедиться, что уязвимости устранены. Оценка должна включать все типы уязвимостей, такие как уязвимости в службах Azure, сети, веб-системах, операционных системах, неправильной настройке и т. д.

Помните о потенциальных рисках, связанных с привилегированным доступом, используемым сканерами уязвимостей. Следуйте рекомендациям по обеспечению безопасности привилегированного доступа, чтобы защитить все учетные записи администратора, используемые для сканирования.

Руководство по Azure. Следуйте рекомендациям Microsoft Defender для облака для выполнения оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL. Microsoft Defender для облака имеет встроенный сканер уязвимостей для виртуальных машин. Используйте внешнее решение для выполнения оценки уязвимостей на сетевых устройствах и приложениях (например, в веб-приложениях)

Экспортируйте результаты сканирования с согласованными интервалами и сравнивайте результаты с предыдущими проверками, чтобы убедиться, что уязвимости были исправлены. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, вы можете перейти на портал выбранного решения проверки для просмотра исторических данных сканирования.

При выполнении удаленных проверок не используйте отдельную, бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии поставки JIT для учетной записи для сканирования. Учетные данные для учетной записи проверки должны быть защищены, отслеживаются и используются только для сканирования уязвимостей.

Замечание

Службы Microsoft Defender (включая Defender для серверов, контейнеров, службы приложений, базы данных и DNS) внедряют определенные возможности оценки уязвимостей. Оповещения, созданные из служб Azure Defender, должны отслеживаться и проверяться вместе с результатом средства сканирования уязвимостей Microsoft Defender для облака.

Замечание

Убедитесь, что вы настроите уведомления по электронной почте в Microsoft Defender для Облака.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте Amazon Inspector для проверки экземпляров Amazon EC2 и образов контейнеров, размещенных в Реестре контейнеров Amazon Elastic (Amazon ECR) для уязвимостей программного обеспечения и непреднамеренного сетевого воздействия. Используйте внешнее решение для выполнения оценки уязвимостей на сетевых устройствах и приложениях (например, в веб-приложениях)

Обратитесь к элементу управления ES-1, Используйте обнаружение и реакцию на конечных точках (EDR) для подключения вашей учетной записи AWS к Microsoft Defender for Cloud и развертывания Microsoft Defender for Servers (с интегрированной службой Microsoft Defender for Endpoint) в ваших экземплярах EC2. Microsoft Defender для серверов предоставляет собственные возможности управления угрозами и уязвимостями для виртуальных машин. Результат сканирования уязвимостей консолидируется на панели мониторинга Microsoft Defender для облака.

Отслеживайте состояние результатов уязвимостей, чтобы убедиться, что они правильно исправляются или подавляются, если они считаются ложными положительными.

При выполнении удаленных проверок не используйте отдельную, бессрочную учетную запись администратора. Рассмотрите возможность реализации временного метода работы с правами доступа для учетной записи проверки. Учетные данные для учетной записи проверки должны быть защищены, отслеживаются и используются только для сканирования уязвимостей.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Следуйте рекомендациям Microsoft Defender для облака и/или Центра управления безопасностью Google Cloud для выполнения оценки уязвимостей в экземплярах Compute Engine. Центр управления безопасностью имеет встроенные оценки уязвимостей на сетевых устройствах и приложениях (например, средство проверки веб-безопасности)

Экспортируйте результаты сканирования с согласованными интервалами и сравнивайте результаты с предыдущими проверками, чтобы убедиться, что уязвимости были исправлены. При использовании рекомендаций по управлению уязвимостями, предлагаемых Центром управления безопасностью, вы можете перейти на портал выбранного решения проверки для просмотра исторических данных сканирования.

Реализация GCP и дополнительный контекст:

PV-6. Быстрое и автоматическое исправление уязвимостей

Идентификатор(ы) элементов управления CIS версии 8 NIST SP 800-53 r4 идентификатор(ы) PCI-DSS ID версии 3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: ИСПРАВЛЕНИЕ НЕДОСТАТКОВ 6.1, 6.2, 6.5, 11.2

Принцип безопасности. Быстрое и автоматическое развертывание исправлений и обновлений для устранения уязвимостей в облачных ресурсах. Используйте соответствующий подход на основе рисков, чтобы определить приоритет исправления уязвимостей. Например, более серьезные уязвимости в ресурсе с более высоким значением должны быть устранены в качестве более высокого приоритета.

Руководство по Azure. Используйте управление обновлениями службы автоматизации Azure или внешнее решение, чтобы убедиться, что на виртуальных машинах Windows и Linux установлены последние обновления системы безопасности. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.

Для внешнего программного обеспечения используйте внешнее решение по управлению исправлениями или издатель обновлений Microsoft System Center для Configuration Manager.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте AWS Systems Manager — диспетчер исправлений, чтобы обеспечить установку последних обновлений системы безопасности в операционных системах и приложениях. Диспетчер исправлений поддерживает базовые показатели исправлений для определения списка утвержденных и отклоненных исправлений для ваших систем.

Вы также можете использовать управление обновлениями службы автоматизации Azure для централизованного управления исправлениями и обновлениями экземпляров AWS EC2 Windows и Linux.

Для внешнего программного обеспечения используйте внешнее решение по управлению исправлениями или издатель обновлений Microsoft System Center для Configuration Manager.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте управление исправлениями ОС Google Cloud VM Manager или внешним решением, чтобы обеспечить установку последних обновлений безопасности на виртуальных машинах Windows и Linux. Убедитесь, что для виртуальных машин Windows служба Windows Update включена и настроена на автоматическое обновление.

Для внешнего программного обеспечения используйте внешнее решение по управлению исправлениями или издатель обновлений Microsoft System Center для управления конфигурацией.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):