注释
此处提供了最 up-to日期的 Azure 安全基准。
建立、实施并积极管理(跟踪、报告、更正)Azure 资源的安全配置,以防止攻击者利用易受攻击的服务和设置。
7.1:为所有 Azure 资源建立安全配置
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.1 | 5.1 | 客户 |
使用 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure 资源的配置。 还可以使用内置的 Azure Policy 定义。
此外,Azure 资源管理器还可以在 JavaScript 对象表示法(JSON)中导出模板,这应得到审查,以确保配置满足/超过组织的安全要求。
还可以使用来自 Azure 安全中心的建议作为 Azure 资源的安全配置基线。
7.2:建立安全的操作系统配置
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.2 | 5.1 | 客户 |
使用 Azure 安全中心建议在所有计算资源上维护安全配置。 此外,您可以使用自定义操作系统映像或 Azure Automation State 配置来建立您组织所需的操作系统安全配置。
7.3:维护安全的 Azure 资源配置
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.3 | 5.2 | 客户 |
使用 Azure Policy [拒绝] 和 [如果不存在部署] 在 Azure 资源中强制实施安全设置。 此外,还可以使用 Azure 资源管理器模板维护组织所需的 Azure 资源的安全配置。
7.4:维护安全的操作系统配置
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.4 | 5.2 | 共享 |
请遵循 Azure 安全中心关于对 Azure 计算资源执行漏洞评估的建议。 此外,可以使用 Azure 资源管理器模板、自定义作系统映像或 Azure Automation State 配置来维护组织所需的作系统的安全配置。 与 Azure 自动化 Desired State Configuration 结合使用的Microsoft虚拟机模板可能有助于满足和维护安全要求。
另请注意,由Microsoft发布的 Azure 市场虚拟机映像由Microsoft进行管理和维护。
7.5:安全存储 Azure 资源的配置
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.5 | 5.3 | 客户 |
使用 Azure DevOps 安全地存储和管理代码,例如自定义 Azure 策略、Azure 资源管理器模板和 Desired State Configuration 脚本。 若要访问在 Azure DevOps 中管理的资源,可以向特定用户、内置安全组或 Azure Active Directory 中定义的组(如果与 Azure DevOps 集成)或 Active Directory(如果与 TFS 集成)授予或拒绝权限。
7.6:安全地存储自定义操作系统映像
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.6 | 5.3 | 客户 |
如果使用自定义映像,请使用 Azure 基于角色的访问控制(Azure RBAC),以确保只有授权用户才能访问映像。 使用共享映像库,可以将映像共享给组织中的不同用户、服务主体或 AD 组。 对于容器映像,将它们存储在 Azure 容器注册表中,并利用 Azure RBAC 来确保只有授权用户才能访问映像。
7.7:为 Azure 资源部署配置管理工具
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.7 | 5.4 | 客户 |
使用 Azure Policy 定义和实施 Azure 资源的标准安全配置。 使用 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure 资源的网络配置。 还可以使用与特定资源相关的内置策略定义。 此外,还可以使用 Azure 自动化来部署配置更改。
7.8:为操作系统部署配置管理工具
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.8 | 5.4 | 客户 |
Azure Automation State Configuration 是任何云或本地数据中心中 Desired State Configuration(DSC)节点的配置管理服务。 可以轻松载入计算机、分配声明性配置,并查看显示每台计算机符合指定所需状态的报告。
7.9:为 Azure 资源实现自动配置监视
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.9 | 5.5 | 客户 |
使用 Azure 安全中心对 Azure 资源执行基线扫描。 此外,使用 Azure Policy 来警报和审核 Azure 资源配置。
7.10:为操作系统实现自动化配置监控
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.10 | 5.5 | 客户 |
使用 Azure 安全中心对容器的 OS 和 Docker 设置执行基线扫描。
7.11:安全地管理 Azure 机密
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.11 | 13.1 | 客户 |
将托管服务标识与 Azure Key Vault 结合使用,以简化和保护云应用程序的机密管理。
7.12:安全地自动管理身份
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.12 | 4.1 | 客户 |
在 Azure AD 中使用托管标识,为 Azure 服务提供自动管理的身份。 托管标识允许向支持 Azure AD 身份验证的任何服务(包括 Key Vault)进行身份验证,而无需在代码中提供任何凭据。
7.13:消除意外凭据泄露
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 7.13 | 18.1, 18.7 | 客户 |
实现凭据扫描程序以识别代码中的凭据。 凭据扫描程序还将鼓励将发现的凭据移动到更安全的位置,例如 Azure Key Vault。
后续步骤
- 请参阅下一个安全控制: 恶意软件防御