安全控制：状况和漏洞管理

2025-04-30

状况和漏洞管理侧重于用于评估和改进云安全状况的控制措施，包括漏洞扫描、渗透测试和修正，以及云资源中的安全配置跟踪、报告和更正。

PV-1：定义并建立安全配置

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.1、4.2	CM-2、CM-6	1.1

安全原则：为云中的不同资源类型定义安全配置基线。或者，使用配置管理工具在资源部署之前或期间自动建立配置基线，以便环境在部署后默认合规。

Azure 指南：使用 Microsoft 云安全基准和服务基线为每个各自的 Azure 产品/服务定义配置基线。请参阅 Azure 参考体系结构和云采用框架登陆区域体系结构，了解可能需要跨 Azure 资源的关键安全控制和配置。

使用 Azure 登陆区域（和蓝图）通过设置服务和应用程序环境的配置（包括 Azure 资源管理器模板、Azure RBAC 控件和 Azure Policy）来加速工作负荷部署。

Azure 实现和其他上下文：

AWS 指南：使用Microsoft云安全基准 - AWS 的多云指南和其他输入来定义每个相应 AWS 产品/服务的配置基线。请参阅 AWS Well-Architectured 框架中的安全支柱和其他支柱，了解可能需要跨 AWS 资源的关键安全控制和配置。

使用 AWS 登陆区域定义中的 AWS CloudFormation 模板和 AWS 配置规则自动部署和配置服务和应用程序环境。

AWS 实现和其他上下文：

GCP 指南：使用 Microsoft 云安全基准 – GCP 的多云指南和其他输入来定义每个相应 GCP 产品/服务的配置基线。请参阅 Google Cloud 部署基础蓝图和登陆区域设计中的支柱。

使用适用于 Google Cloud 的 Terraform 蓝图模块，并使用本机 Google Cloud 部署管理器来自动部署和配置服务和应用程序环境。

GCP 实现和其他上下文：

Google Cloud 中的登陆区域设计。适用于 Google Cloud 的 Terraform 蓝图和模块。 https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
安全基础蓝图
Google Cloud Deployment Manager

客户安全利益干系人（了解详细信息）：

PV-2：审核并强制执行安全配置

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.1、4.2	CM-2、CM-6	2.2

安全原则：在与定义的配置基线存在偏差时持续监视和发出警报。通过拒绝不符合标准的配置或部署配置，按照基线配置强制执行所需的配置。

Azure 指南：使用 Microsoft Defender for Cloud 配置 Azure Policy 来审核和强制实施 Azure 资源的配置。在资源上检测到配置偏差时，使用 Azure Monitor 创建警报。

使用 Azure Policy [拒绝] 和 [部署（如果不存在）]规则在 Azure 资源之间强制实施安全配置。

对于 Azure Policy 不支持的资源配置审核和强制实施，可能需要编写自定义脚本或使用第三方工具来实现配置审核和执行。

Azure 实现和其他上下文：

AWS 指南：使用 AWS 配置规则审核 AWS 资源的配置。可以选择使用与 AWS 配置规则关联的 AWS Systems Manager 自动化来解决配置偏移。在资源上检测到配置偏差时，使用 Amazon CloudWatch 创建警报。

对于 AWS 配置不支持的资源配置审核和强制实施，可能需要编写自定义脚本或使用第三方工具来实现配置审核和执行。

还可以通过将 AWS 帐户加入 Microsoft Defender for Cloud 来集中监视配置偏移。

AWS 实现和其他上下文：

GCP 指南：使用 Google Cloud Security 命令中心配置 GCP。使用 Operations Suite 中的 Google Cloud Monitoring 在资源上检测到配置偏差时创建警报。

若要管理组织，请使用组织策略集中和以编程方式控制组织的云资源。作为组织策略管理员，你将能够在整个资源层次结构中配置约束。

对于组织策略不支持的资源配置审核和强制实施，可能需要编写自定义脚本，或使用第三方工具来实现配置审核和执行。

GCP 实现和其他上下文：

客户安全利益干系人（了解详细信息）：

PV-3：定义和建立计算资源的安全配置

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.1	CM-2、CM-6	2.2

安全原则：为计算资源（例如 VM 和容器）定义安全配置基线。使用配置管理工具在计算资源部署之前或期间自动建立配置基线，以便环境在部署后默认合规。或者，使用预配置的映像将所需的配置基线构建到计算资源映像模板中。

Azure 指南：使用 Azure 建议的作系统安全基线（适用于 Windows 和 Linux）作为基准来定义计算资源配置基线。

此外，还可以将自定义 VM 映像（使用 Azure 映像生成器）或容器映像与 Azure Automanage 计算机配置（以前称为 Azure Policy 来宾配置）和 Azure Automation State Configuration 配合使用来建立所需的安全配置。

Azure 实现和其他上下文：

AWS 指南：使用来自市场上受信任源的 EC2 AWS 计算机映像（AMI）作为基准来定义 EC2 配置基线。

此外，还可以使用 EC2 映像生成器通过 Systems Manager 代理生成自定义 AMI 模板，以建立所需的安全配置。注意：AWS 系统管理器代理预安装在 AWS 提供的一些 Amazon Machine Images （AMIs）上。

对于在 EC2 实例、AWS Lambda 或容器环境中运行的工作负荷应用程序，可以使用 AWS System Manager AppConfig 建立所需的配置基线。

AWS 实现和其他上下文：

启用 Azure Automation State Configuration

GCP 指南：使用 Google Cloud 建议的作系统安全基线（适用于 Windows 和 Linux）作为基准来定义计算资源配置基线。

此外，还可以使用 Packer 映像生成器的自定义 VM 映像，或者将容器映像与 Google Cloud Build 容器映像配合使用来建立所需的配置基线。

GCP 实现和其他上下文：

客户安全利益干系人（了解详细信息）：

PV-4：审核并强制实施计算资源的安全配置

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.1	CM-2、CM-6	2.2

安全原则：在与计算资源中定义的配置基线存在偏差时，持续监视和发出警报。通过拒绝不合规的配置或在计算资源中部署配置，根据基线配置强制实施所需的配置。

Azure 指南：使用 Microsoft Defender for Cloud 和 Azure Automanage 计算机配置（以前称为 Azure Policy 来宾配置）定期评估和修正 Azure 计算资源（包括 VM、容器等）上的配置偏差。此外，可以使用 Azure 资源管理器模板、自定义作系统映像或 Azure Automation State Configuration 来维护作系统的安全配置。 Microsoft VM 模板与 Azure Automation State Configuration 结合使用可以帮助满足和维护安全要求。使用 Azure 自动化中的更改跟踪和清单跟踪 Azure 中托管的虚拟机、本地和其他云环境中的更改，以帮助查明分发包管理器管理的软件的作和环境问题。在虚拟机上安装来宾证明代理，以监视机密虚拟机上的启动完整性。

注意：由Microsoft发布的 Azure 市场 VM 映像由Microsoft进行管理和维护。

Azure 实现和其他上下文：

AWS 指南：使用 AWS System Manager 的状态管理器功能定期评估和修正 EC2 实例上的配置偏差。此外，可以使用 CloudFormation 模板、自定义作系统映像来维护作系统的安全配置。 AMI 模板与 Systems Manager 结合使用有助于满足和维护安全要求。

还可以通过 Azure Automation State Configuration 集中监视和管理作系统配置偏移，并使用以下方法将适用的资源载入 Azure 安全治理：

将 AWS 帐户载入 Microsoft Defender for Cloud
使用 Azure Arc for 服务器将 EC2 实例连接到 Microsoft Defender for Cloud

对于在 EC2 实例、AWS Lambda 或容器环境中运行的工作负荷应用程序，可以使用 AWS System Manager AppConfig 审核并强制实施所需的配置基线。

注意：AMAZON Web Services 在 AWS 市场中发布的 AMIS 由 Amazon Web Services 管理和维护。

AWS 实现和其他上下文：

GCP 指南：使用 VM 管理器和 Google Cloud Security 命令中心定期评估和修正计算引擎实例、容器和无服务器协定的配置偏差。此外，还可以使用部署管理器 VM 模板、自定义作系统映像来维护作系统的安全配置。部署管理器 VM 模板模板与 VM 管理器结合使用可以帮助满足和维护安全要求。

还可以通过 Azure Automation State Configuration 集中监视和管理作系统配置偏移，并使用以下方法将适用的资源载入 Azure 安全治理：

将 GCP 项目载入 Microsoft Defender for Cloud
使用适用于服务器的 Azure Arc 将 GCP VM 实例连接到 Microsoft Defender for Cloud

GCP 实现和其他上下文：

客户安全利益干系人（了解详细信息）：

PV-5：执行漏洞评估

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
5.5, 7.1, 7.5, 7.6	RA-3、RA-5	6.1, 6.2, 6.6

安全原则：按固定计划或按需对云资源的所有层执行漏洞评估。跟踪和比较扫描结果，以验证是否已修复漏洞。评估应包括所有类型的漏洞，例如 Azure 服务、网络、Web、作系统、配置错误等。

请注意与漏洞扫描程序使用的特权访问相关的潜在风险。遵循特权访问安全最佳做法来保护用于扫描的任何管理帐户。

Azure 指南：遵循来自 Microsoft Defender for Cloud 的建议，在 Azure 虚拟机、容器映像和 SQL 服务器上执行漏洞评估。 Microsoft Defender for Cloud 具有适用于虚拟机的内置漏洞扫描程序。使用第三方解决方案在网络设备和应用程序（例如 Web 应用程序）上执行漏洞评估

以一致间隔导出扫描结果，并将结果与以前的扫描进行比较，以验证是否已修复漏洞。使用 Microsoft Defender for Cloud 建议的漏洞管理建议时，可以透视到所选扫描解决方案的门户以查看历史扫描数据。

执行远程扫描时，不要使用单个永久管理帐户。请考虑为扫描账户实施 JIT（实时）配置方法。扫描帐户的凭据应受到保护、监视，并且仅用于漏洞扫描。

注意：Microsoft Defender 服务（包括 Defender for 服务器、容器、应用服务、数据库和 DNS）嵌入某些漏洞评估功能。应监视和查看从 Azure Defender 服务生成的警报以及 Microsoft Defender for Cloud 漏洞扫描工具的结果。

注意：确保在 Microsoft Defender for Cloud 中设置电子邮件通知。

Azure 实现和其他上下文：

AWS 指南：使用 Amazon Inspector 扫描驻留在 Amazon Elastic Container Registry（Amazon ECR）中的 Amazon EC2 实例和容器映像，了解软件漏洞和意外的网络泄露。使用第三方解决方案在网络设备和应用程序（例如 Web 应用程序）上执行漏洞评估

请参阅控制 ES-1“使用终结点检测和响应（EDR）”，将 AWS 帐户载入 Microsoft Defender for Cloud，并在 EC2 实例中部署 Microsoft Defender for Servers（已集成 Microsoft Defender for Endpoint）。 Microsoft Defender for servers 为 VM 提供本机威胁和漏洞管理功能。漏洞扫描结果将合并到 Microsoft Defender for Cloud 仪表板中。

跟踪漏洞发现的状态，以确保它们被正确修正或禁止（如果它们被视为误报）。

执行远程扫描时，不要使用单个永久管理帐户。请考虑为扫描账户实施临时配置方法。扫描帐户的凭据应受到保护、监视，并且仅用于漏洞扫描。

AWS 实现和其他上下文：

GCP 指南：遵循 Microsoft Defender for Cloud 或/和 Google Cloud Security 命令中心的建议，对计算引擎实例执行漏洞评估。安全命令中心在网络设备和应用程序（例如 Web 安全扫描程序）上进行了内置漏洞评估

以一致间隔导出扫描结果，并将结果与以前的扫描进行比较，以验证是否已修复漏洞。使用安全命令中心建议的漏洞管理建议时，可以透视到所选扫描解决方案的门户以查看历史扫描数据。

GCP 实现和其他上下文：

Google Cloud Security Command Center 概述。Web 安全扫描程序概述

客户安全利益干系人（了解详细信息）：

PV-6：快速自动修正漏洞

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
7.2, 7.3, 7.4, 7.7	RA-3、RA-5、SI-2：缺陷修正	6.1, 6.2, 6.5, 11.2

安全原则：快速自动部署修补程序和更新，以修正云资源中的漏洞。使用适当的基于风险的方法确定漏洞修正的优先级。例如，较高价值资产中更严重的漏洞应作为更高的优先级进行处理。

Azure 指南：使用 Azure 自动化更新管理或第三方解决方案来确保 Windows 和 Linux VM 上安装最新的安全更新。对于 Windows VM，请确保已启用 Windows 更新并设置为自动更新。

对于第三方软件，请使用第三方修补程序管理解决方案或 Microsoft System Center Updates Publisher for Configuration Manager。

Azure 实现和其他上下文：

AWS 指南：使用 AWS Systems Manager - Patch Manager 确保作系统和应用程序上安装最新的安全更新。修补程序管理器支持修补程序基线，以便为系统定义已批准和拒绝的修补程序列表。

还可以使用 Azure 自动化更新管理集中管理 AWS EC2 Windows 和 Linux 实例的修补程序和更新。

对于第三方软件，请使用第三方修补程序管理解决方案或 Microsoft System Center Updates Publisher for Configuration Manager。

AWS 实现和其他上下文：

GCP 指南：使用 Google Cloud VM Manager OS 修补程序管理或第三方解决方案来确保 Windows 和 Linux VM 上安装最新的安全更新。对于 Windows VM，请确保已启用 Windows 更新并设置为自动更新。

对于第三方软件，请使用第三方修补程序管理解决方案或Microsoft System Center Updates Publisher 进行配置管理。

GCP 实现和其他上下文：

客户安全利益干系人（了解详细信息）：

PV-7：定期执行红队操作

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5	CA-8、RA-5	6.6, 11.2, 11.3

安全原则：模拟实际攻击，以便更全面地了解组织的漏洞。红队运营和渗透测试补充了传统的漏洞扫描方法来发现风险。

遵循行业最佳实践来设计、准备和实施此类测试，以确保不会对您的环境造成任何破坏或干扰。这应始终包括与相关利益干系人和资源所有者讨论测试范围和约束。

Azure 指南：根据需要，对 Azure 资源执行渗透测试或红色团队活动，并确保修正所有关键安全发现。

遵循Microsoft云渗透测试参与规则，确保渗透测试不违反Microsoft策略。针对Microsoft托管的云基础结构、服务和应用程序，使用Microsoft的红队策略和执行实时站点渗透测试。

Azure 实现和额外背景信息：

AWS 指南：根据需要，对 AWS 资源执行渗透测试或红团队活动，并确保修正所有关键安全发现。

遵循 AWS 渗透测试客户支持策略，确保渗透测试不违反 AWS 策略。

AWS 实现和其他上下文：

适用于渗透测试的 AWS 客户支持策略

GCP 指南：根据需要，对 GCP 资源执行渗透测试或红团队活动，并确保修正所有关键安全发现。

遵循渗透测试的 GCP 客户支持策略，确保渗透测试不违反 GCP 策略。

GCP 实现和其他上下文：

客户安全利益干系人（了解详细信息）：

通过

安全控制：状况和漏洞管理

PV-1：定义并建立安全配置

PV-2：审核并强制执行安全配置

PV-3：定义和建立计算资源的安全配置

PV-4：审核并强制实施计算资源的安全配置

PV-5：执行漏洞评估

PV-6：快速自动修正漏洞

PV-7：定期执行红队操作

反馈

其他资源