最后更新于2023年3月27日星期一17:59:41 GMT

互联网安全中心(CIS)最近发布了最新版本的Azure基金会基准测试版本2.0.0. 这是自4年前发布基准测试以来的第一个主要版本, 这可能会让你相信这次更新会带来一系列重大变化. 然而, 这个版本实际上比之前的小版本带来了更少的有影响的变化.

而不是彻底的改变, 这次更新包括了一些经过调整和重新编号的部分,以及一些更新的语言和品牌.

Rapid7正在积极审查这些新建议,并评估这些建议的需求和潜力 InsightCloudSec.

所以这些变化很小,但它们是什么呢?

在构成基准的10个部分中,有4个部分增加了新的建议:

  • 第1组(身份及访问管理)
  • 这也是唯一删除了推荐的部分.
  • 第4组(数据库服务)
  • 第5节(记录及监察)
  • 第七节(虚拟机)

五个部分没有变化:

  • 第3节(存管帐户)
  • 第6节(网络)
  • 第八部分(钥匙库)
  • 第九组(应用服务)
  • 第10条(杂项)

第2节(Microsoft Defender)没有任何增减, 但在编号和分类方面确实有一些改变.

第1组(身份及访问管理)

本节将介绍以以下内容为中心的广泛建议 身份和访问策略. 2.0.0,还有一个附加项:

推荐: 1.3 -确保“用户可以创建Azure AD租户”设置为“否”

为什么重要: 最佳实践是只允许管理员创建新租户. 这样可以防止用户创建新的Azure AD或Azure AD B2C租户,并确保只有授权用户才能这样做.

如上所述,这也是唯一一节完全删除了一项建议:

建议:删除 1.5 -确保启用“在所有记住的设备上恢复多因素身份验证”(此建议已在v2中替换).0.0)

删除原因: 这项建议可能已被删除,因为它与现在的建议1有些多余.1.4(确保启用“允许用户记住他们信任的设备上的多因素身份验证”). 本质上, 更新后的建议断言,不应该允许用户绕过任何设备的MFA.

第4组(数据库服务)

本节的重点是保护内部的数据库服务 Azure 环境,如Azure SQL或宇宙DB. 独联体对本节增加了一项建议, 专门为宇宙DB设计的, 指导用户尽可能地利用Active 导演y和Azure RBAC.

推荐: 4.5.3 -尽可能使用Azure Active 导演y (AAD)客户端身份验证和Azure RBAC.

为什么重要: 宇宙DB, Azure的原生NoSQL数据库服务, 是否可以使用令牌或AAD进行客户端身份验证,从而使用Azure RBAC进行授权. 使用AAD明显更加安全,因为AAD处理凭据并允许MFA和集中管理, Azure RBAC与Azure的其他部分更好地集成在一起.

第5节(记录及监察)

本节中的两个新建议旨在确保您已经正确配置了日志管理环境, 包括收集必要的日志(流日志), 审计日志, 活动日志, 等.),并确保这些日志的存储位置是安全的.

推荐: 5.3.1 -确保配置了应用程序洞察

为什么重要: Azure中的应用程序洞察充当应用程序性能监视解决方案,提供有关应用程序执行情况的有价值数据以及执行事件响应时的其他信息. 收集的日志数据类型包括应用程序度量, 遥测数据, 以及应用程序跟踪日志记录数据, 它们为组织提供有关应用程序活动和应用程序事务的详细信息. 这两个数据集都帮助组织采用主动和追溯的方法来处理其现代应用程序中的安全性和性能相关指标.

推荐: 5.确保SKU基本/消耗不用于需要监控的工件

为什么重要: Azure中的基本或免费sku, 虽然成本效益高, 在监控的内容和从微软团队获得的支持方面有很大的限制. 通常, 这些SKU没有服务sla, 微软通常拒绝为他们提供支持. 因此,不建议将基本/免费sku用于生产工作负载. 而升级到标准层可能有点贵, 你将得到微软更多的支持, 以及通过Azure Monitor等本地监控服务生成和使用更详细信息的能力.

第七节(虚拟机)

第7部分侧重于保护Azure环境中的虚拟机. 本节中的建议包括确保您的虚拟机正在使用托管磁盘,并且操作系统和数据磁盘使用客户托管密钥(CMK)加密。, 仅举几个例子. 本节中有一个新的建议.

推荐: 7.1 -确保Azure堡垒主机存在

为什么重要: Azure Bastion服务允许组织以更安全的方式通过Internet访问Azure虚拟机,而无需为它们分配公共IP地址. Azure Bastion服务提供远程桌面协议(RDP)和Secure Shell (SSH)访问虚拟机,在web浏览器中使用TLS. 这是为了防止组织在Azure虚拟机上向Internet开放3389/TCP和22/TCP.

使用InsightCloudSec实现和执行CIS Azure基础基准2.0.0

InsightCloudSec持续评估您的整个云环境(无论是单云还是跨多个平台托管)是否符合组织标准. 它可以在几分钟内检测到不合规的资源和未批准的更改. 该平台持续监控您的环境,以确保您正确实施了CIS建议的必要控制,以保护在Azure环境中运行的云工作负载.

每当帐户或资源偏离合规性时,InsightCloudSec可以立即检测. 该平台开箱即用,有30多个遵从性包, 包括针对CIS Azure基础基准2的专用包.0.0. InsightCloudSec中的合规性包是一组检查,可用于持续评估您的云环境是否符合给定的监管框架, 或行业或供应商最佳实践.

正如你在下面的截图中看到的, InsightCloudSec有许多检查和见解,直接与CIS Azure foundation Benchmark 2中的建议一致.0.0.


当你深入到一个给定的见解, 您可以详细了解有多少资源违反了给定的检查,以及一个相对风险评分,以概述给定违反的风险程度.

下面是一个来自CIS Azure foundation Benchmark 2的例子.0.0, 特别是一组违反“存储帐户超过90天且未轮换访问密钥”检查的资源。. 您将获得洞察的概述, 包括为什么实施它很重要,以及不这样做的风险.


然而,这个平台并不止于此. 根据CIS自己的建议,还为您提供了必要的补救步骤, 如果你愿意的话, 建议使用InsightCloudSec内的本机机器人创建自动化,以供那些希望完全消除强制遵守此策略所涉及的人工工作的人使用.

如果您有兴趣了解更多有关InsightCloudSec如何帮助持续和自动执行云安全标准的信息, 一定要查看演示!