漏洞管理建议侧重于解决与持续获取、评估和处理新信息相关的问题,以便识别和修正漏洞,并最大限度地减少攻击者的机会窗口。
5.1:运行自动漏洞扫描工具
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 5.1 | 3.1, 3.2, 3.3 | 客户 |
请遵循 Azure 安全中心关于在 Azure 虚拟机、容器映像和 SQL Server 上执行漏洞评估的建议。
使用第三方解决方案在网络设备和 Web 应用程序上执行漏洞评估。 执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实现 JIT 预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。
5.2:部署自动操作系统修补管理解决方案
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 5.2 | 3.4 | 客户 |
使用 Azure“更新管理”确保 Windows 和 Linux VM 上安装最新的安全更新。 对于 Windows VM,请确保已启用 Windows 更新并设置为自动更新。
5.3:为第三方软件游戏部署自动修补程序管理解决方案
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 5.3 | 3.5 | 客户 |
使用第三方修补程序管理解决方案。 已在其环境中利用 System Center Configuration Manager 的客户可以利用 System Center Updates Publisher,从而允许客户将自定义更新发布到 Windows Server 更新服务。 这允许更新管理器修补使用 System Center Configuration Manager 作为其第三方软件的更新存储库的计算机。
5.4:比较连续的漏洞扫描
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 5.4 | 3.6 | 客户 |
以一致间隔导出扫描结果,并比较结果以验证是否已修正漏洞。 使用 Azure 安全中心建议的漏洞管理建议时,可以透视到所选解决方案的门户以查看历史扫描数据。
5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 5.5 | 3.7 | 客户 |
使用常见的风险评分计划(例如,常见漏洞评分系统)或第三方扫描工具提供的默认风险评级。
后续步骤
- 请参阅下一个安全控制: 库存和资产管理