Open in app

Sign in

Write

Sign in

MS Defender for Cloud的CSPM

Microsoft Defender for Cloud 持續將資源配置與產界標準、法規和基準的要求進行比較。

要了解Security Posture Management(安全態勢管理)如何評估環境,了解安全政策舉措非常重要。

Microsoft Defender for Cloud 將安全性舉措套用至我們的訂閱。這些措施包含一項或多項安全政策。其中每項政策都會產生用於改善安全態勢的建議。

甚麼是Security policy?

在 Azure Policy 中建立的 Azure Policy definition是組織想要控制的特定安全性條件的規則。內建的definition包括控制可以部署的資源類型或強制在所有資源上使用標籤等內容。也可以建立自訂義policy definitations。

要實現這些policy definitions(無論是內建的還是自訂的),我們需要指派它們。可以透過 Azure 網站、PowerShell 或 Azure CLI 指派政策。可以從 Azure policy停用或啟用政策。

Azure Policy 中有不同類型的政策。 Defender for Cloud 主要使用「Audit」政策來檢查特定條件和配置,然後報告合規性。還有可用於應用的「強制執行」政策。

甚麼是security initiative?

Azure Policy initiative是 Azure Policy definitions或規則的集合(collection),這些定義或規則會針對特定目標或用途而分組合在一起。 Azure initiatives透過將一組策略邏輯上分組為單一專案來簡化政策的管理。

Security initiative定義了所需的工作負載配置,並協助確保遵守公司或監管機構的安全要求。

與security policies一樣,Defender for Cloud initiatives也是在 Azure Policy 中建立的。可以使用 Azure Policy 管理政策、建置initiatives以及將initiatives指派給多個訂閱或整個管理群組。

自動指派給 Microsoft Defender for Cloud 中每個訂閱的default initiatives是 Azure Security Benchmark。此基準是 Microsoft 編寫的、特定於 Azure 的一組指南,用於基於通用合規性框架的安全性和合規性最佳實踐。用的是CIS(Center for Internet Security)和NIST 的控制項之上,重點關注以雲端為中心的安全性。

Defender for Cloud 提供以下用於處理security initiatives與policies的選項:

  • 檢視和編輯內建default initiative — 啟用 Defender for Cloud 時,名為「Azure Security Benchmark」的initiative會自動指派給所有 Defender for Cloud 註冊訂閱。若要自訂此initiative,可以透過編輯政策的參數來啟用或停用其中的各個政策。請參閱內建安全政策清單,以了解開箱即用的可用選項。
  • 新增自己的custom initiatives— 如果想要自訂套用於訂閱的security initiatives,可以在 Defender for Cloud 中執行此操作。如果我們的電腦不遵循我們建立的政策,我們將收到建議。有關建置和指派自訂策略的說明,請參閱"Using custom security initiatives and policies"。
  • 新增regulatory compliance standards as initiatives — Defender for Cloud 的regulatory compliance dashboard顯示環境中在特定標準或法規(例如 Azure CIS、NIST SP 800–53 R4、SWIFT CSP CSCF-v2020)背景下的所有評估。

甚麼是security recommendation?

Defender for Cloud 使用政策(Policy)定期分析資源的合規狀態,以識別潛在的安全性設定錯誤和弱點。然後,它會提供有關如何修復這些問題的建議(recommendations)。建議是根據相關策政策評估資源並識別無法滿足組織定義的要求的資源的結果。

Defender for Cloud 根據選擇的舉措(initiatives)提出安全建議。當我們的舉措中的政策與資源進行比較並發現一個或多個不合規時,它會在 Defender for Cloud 中顯示為recommendations。

Recommendations是保護和強化資源所採取的行動。每個建議都提供以下資訊:

  • 問題的簡短描述
  • 為實施建議所採取的補救措施
  • 受影響的資源

Azure Security Benchmark是一項包含需求的舉措。例如,Azure storage account必須限制網路存取以減少其攻擊面。

該舉措包括多項政策,每項政策都需要特定的資源類型。這些政策強制執行該舉措中的要求。繼續此範例,使用「Storage accounts should restrict network access using virtual network rules」政策強制執行儲存要求。

Microsoft Defender for Cloud 會持續評估使用中的訂閱。如果它發現不滿足政策的資源,它會顯示修復該情況的建議並強化不滿足安全要求的資源的安全性。

因此,舉例來說,如果任何受保護訂閱上的 Azure storage account不受虛擬網路規則保護,我們將看到強化這些資源的建議。

因此,一項舉措包括 →政策針對特定環境 →產生建議。

安全性分數(Secure Score)介紹

Defender for Cloud 不斷評估跨雲端資源是否有安全性問題。然後,它將所有調查結果匯總為一個分數,以便您一目了然地了解當前的安全狀況:分數越高,所識別到的風險等級越低。

在 Microsoft Defender for Cloud 概述頁面中,安全性分數顯示為百分比值,並且也清楚地呈現了基礎值:

為了提高安全性,檢視 Defender for Cloud 的建議頁面,並透過實作每個問題的修復說明來修復建議。建議分為安全控制(security controls)。每個控制措施都是相關安全建議的邏輯群組,並反映我們易受攻擊的攻擊面。只有當我們修正控制項中單一資源的所有建議時,分數才會提高。

管理安全態勢

在「Security posture」頁面上,可以查看整個訂閱以及訂閱中每個環境的安全分數。預設顯示所有環境。

頁面的下半部分可讓檢視和管理所有個別訂閱、帳戶和專案,方法是查看它們的個別安全分數、不健康資源的數量,甚至查看它們的建議。

為了獲得安全控制的所有可能點,所有資源都必須符合安全控制中的所有安全建議。例如,Defender for Cloud 針對如何保護管理連接埠提供了多項建議。您需要糾正所有這些問題才能提高您的安全分數。

建議(Recommendations)

Defender for Cloud 分析資源的安全狀態以識別潛在的漏洞。要查看安全分數建議:

  • Sign in to the Azure portal.
  • Navigate to Microsoft Defender for Cloud > Recommendations.

我們將在此處看到適用於環境的建議。Recommendations會被分群到security control。

  • 選擇Secure score recommendations。
    安全分數建議會影響安全分數並對應到各種安全控制。 「All recommendations」頁籤可查看所有建議,包括屬於不同監管合規標準的建議。
  • (選擇性)選擇相關環境。
  • Select the > to expand the control, and view a list of recommendations。
  • 選擇特定建議即可查看建議詳細資訊頁面。

對於支援的建議,頂部工具列顯示以下任何或所有按鈕:

  1. Enforce and Deny(參閱Prevent misconfigurations with Enforce/Deny recommendations)
  2. 檢視政策定義以直接前往基礎政策的 Azure Policy entry
  3. Open query — 所有建議都包含使用 Azure Resource Graph Explorer查看受影響資源的詳細資訊
  • Severity indicator
  • Freshness interval
  • 豁免資源的計數(如果某個建議有豁免),該計數會顯示已豁免的資源數量,並提供查看特定資源的連結。
  • 對應到 MITRE ATT&CK ® tactics and techniques — 如果建議定義了tactics 與techniques,選擇該圖示以連結到 MITRE 網站上的相關頁面。這僅適用於 Azure scored recommendations。
  • Description — 安全問題的簡短描述。
  • 如果相關,詳細資訊頁面還包含related recommendations

relationship types有:

  • Prerequisite — 必須在要選擇建議之前完成的建議
  • Alternative — 不同的建議,提供另一種實現所選建議目標的方式
  • Dependent — 以所選建議為其先決條件的建議。對於每個相關建議,不正常資源的數量顯示在「Affected resources」欄位中。
  • Remediation steps — 修復受影響資源上的安全性問題所需的手動步驟的描述。對於帶有“Fix”選項的建議,可以選擇“View remediation logic”,然後再將建議的修復套用到資源。
  • Affected resources — 資源分組為選項卡(tabs):
  1. 健康資源 — 相關資源,這些資源要么不受影響,要么已經修復了問題。
  2. 不健康的資源 — 仍受已識別問題影響的資源。
  3. 不適用的資源 — Recommendations無法給予明確答案的資源。不適用選項卡(tabs)還包括每個資源的原因。
  • 用於修正建議或觸發logic app的操作按鈕。

補救步驟

建議提供有關如何更好地保護資源的建議。可以按照建議中提供的補救步驟來實施建議。查看所有建議後,決定先修復哪一個。應優先考慮最有可能提高安全分數的安全控制。

  1. 從清單中選擇一個建議。
  2. 按照補救步驟部分的說明進行操作。每個建議都有自己的一套說明。
  3. 完成後,將出現一則通知,告知問題是否已解決。

Fix button

為了簡化修復並提高環境的安全性(並提高安全分數),許多建議都包含「Fix」選項。

要實施修復:

  1. 從具有Fix action圖示的建議清單中,選擇recommendation。
  2. 從「Unhealthy resources」頁籤中,選擇要實施建議的資源,然後選擇「Remediate」。
  3. 在確認框中,閱讀remediation details與implications。
  4. 如有必要,插入相關參數,並核可remediation。
  5. 完成後,將出現一則通知,通知修復是否成功。

衡量和執行監管合規性

Microsoft Defender for Cloud 持續將資源配置與產界標準、法規和基準的要求進行比較。Regulatory compliance dashboard根據滿足特定合規性要求的方式提供有關組織的合規狀況的見解。

Defender for Cloud 中如何呈現監理合規標準?

Defender for Cloud 的regulatory compliance dashboard中呈現了產界標準、合規標準和基準。每個標準都是 Azure Policy 中定義的舉措。

若要在儀表板中查看已對應為評估的合規性數據,從「Security policy」頁面將合規性標準新增至的管理群組或訂閱。

當我們為所選範圍指派標準或基準時,該標準將顯示在regulatory compliance dashboard中,並且所有關聯的合規性資料都會對應為評估(assessments)。也可以下載已指派的任何標準的摘要報告。

Microsoft 會自行追蹤合規標準,並隨著時間的推移自動提高某些軟體包的覆蓋範圍。當 Microsoft 發布該舉措的新內容時,它將作為映射到標準中的控制項的新政策自動顯示在儀表板中。

預設情況下,每個訂閱都分配有 Azure Security Benchmark。這是 Microsoft 編寫的、特定於 Azure 的指南,用於基於通用合規性框架的安全性和合規性最佳實踐。可用的合規標準:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800–53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL and UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • New Zealand ISM Restricted
  • CMMC Level 3
  • Azure CIS 1.3.0
  • NIST SP 800–53 R5
  • FedRAMP H
  • FedRAMP M

將合規標準加入到儀表板

若要將標準新增至儀表板:

  1. 訂閱必須啟用 Defender for Cloud 的enhanced security features
  2. 使用者必須具有owner or policy contributor權限

加入標準:

  1. 從 Defender for Cloud 的選單中,選擇Regulatory compliance以開啟法規遵循儀表板。可以在此處查看目前已指派給目前所選訂閱的合規性標準。
  2. 從頁面頂部,選擇Manage compliance policies。將出現「Policy Management」頁面。
  3. 選擇要管理其合規性態勢的訂閱或管理群組。
  4. 若要新增與組織相關的標準,請展開Industry & regulatory standards部分並選擇新增更多標準。
  5. 在Add regulatory compliance standards頁面中,可以搜尋任何可用的標準
  6. 選擇添加並輸入特定舉措的所有必要詳細資訊,例如範圍、參數和補救措施。

Workbooks

Azure Monitor Workbooks為資料分析和在 Azure 網站中建立豐富的視覺化報表提供了彈性的畫布(canvas)。它們可讓我們利用 Azure 中的多個資料來源,並將它們組合成統一的互動式體驗。

在 Microsoft Defender for Cloud 中,可以存取內建workbook來追蹤組織的安全狀況。還可以建立自訂workbook以查看來自 Defender for Cloud 或其他支援的資料來源的各種資料。

Microsoft Defender for Cloud 中的Workbooks gallery

透過整合的 Azure Workbooks 功能,Microsoft Defender for Cloud 可建立自己的自訂的互動式的workbooka。 Defender for Cloud 還包括一個library,其中包含以下可供自訂的workbooks:

  • Secure Score Over Time workbook — 追蹤訂閱(subscriptions)分數以及資源建議的更改
  • System Updates workbook — 按資源、作業系統、嚴重性等查看缺少的系統更新
  • Vulnerability Assessment Findings workbook — 查看 Azure 資源的漏洞掃描結果
  • Compliance Over Time workbook — 查看訂閱與選擇的法規或產業標準的合規性狀態
  • Active Alerts workbook — 按嚴重性、類型、標籤、MITRE ATT&CK tactics和位置查看活動告警
雲端運算
資安
Cspm
雲端安全態勢管理

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams