致云安全防御人员的检查清单

Cortex Cloud b y Palo Alto N etworks每个季度，指派领域负责人重新审视与其职责相关的部分。使用评估内容提示来巩固结构化评审。参照成功指标验证成果。行动项目作为对执行情况的检查，评估所有权是否仍然明确、自动化是否仍然有效以及控制措施是否仍然与业务优先级保持一致。掌握证据，建立信心。日志、配置快照、合规性状态和系统行为应支持每一项控制主张。用遥测代替口头保证。优先考虑态势发生漂移、威胁发生变化或信心不足的领域。对每个领域的就绪程度进行评分。不要一味追求完美。将补救工作的重点放在关键工作负载、显而易见的差距或高爆破半径风险等关键环节上。检查清单没有衡量完整性。其目标是实现经得起审视的运营保证。目录身份和访问基础数据发现和分类运行时安全和工作负载保护网络和边界防御威胁检测和响应软件供应链和CI/CD安全治理、风险与合规性持续威胁暴露管理AI风险治理云安全检查清单索引代码到云到SOC的优势如何使用检查清单 |致云安全防御人员的检查清单3581013161922252728 Cortex Cloud b y Palo Alto N etworks每项云安全计划都取决于清晰的身份界限和严密的访问实践。身份仍然是云中最有针对性也最容易配置错误的控制平面。零信任要求团队无一例外地规定谁可以访问什么、从哪里访问以及在什么条件下访问。身份和访问基础评估内容控制成熟度网格—身份和访问健康功能覆盖MFA特权访问审查密钥和令牌轮换通配符权限访问日志记录和归因 |致云安全防御人员的检查清单•我们是否在所有云身份（包括第三方集成和服务账户）之间一致地应用MFA？•上一次对跨云提供商的IAM角色和策略进行全面审查是什么时候？•是否存在过期令牌或未轮换的密钥、可能允许权限提升的残留访问路径？•我们是否在整个环境中限制了对通配符权限（例如访问策略）的使用？•我们能否将每项特权操作的创建和活动都追溯到经过验证的身份？基本（临时）仅限管理员；对服务不强制执行手动、不定期审核静态凭据无过期或警报常见于策略定义中部分日志记录；有限的用户关联 3中级（基于策略）高级（自动化强制执行）所有人类用户都要进行MFA通过IdP强制执行；包括联合账户和服务账户季度审查，手动证明自动审查；与JIT访问工作流程集成手动跟踪；密钥由所有者自行决定轮换自动轮换，强制过期按角色划分的策略；已标记被策略即代码阻止完整日志记录，手动映射被策略即代码阻止 行动项目成功指标Cortex Cloud b y Palo Alto N etworks 所有身份的MFA执行率达到200%包括人类身份、联合身份和服务身份。由策略强制执行，没有配置漂移。通过月度证明进行验证。不到1%的身份被归类为过期身份未记录异常和审查的账户中，超过90天无活动的比例不超过1%。通过自动化跟踪。生产环境中无通配符权限所有IAM权限均限定为最低权限。全环境扫描显示，在运行的基础设施中未使用*:*策略。每季度完成特权访问审核每个季度，团队都会完成访问权限审查，将高风险角色追溯到当前用户。审查结果被记录下来，推动权限精简。将特权操作映射到身份的模糊度低于1%审核跟踪完全真实地将高敏感度的变化归因（例如，策略更新、权限提升）。在SLA范围内对异常进行审查和补救。超过30天的静态凭据会自动轮换或撤销主动执行密钥轮换策略。违规时触发警报，团队无需提示即可采取行动。根账户使用率在所有云活动中占比小于0.1%尽可能禁用根账户。在允许的情况下，使用情况很少，有记录，受到严格的即时访问程序管理。按需提供访问治理指标仪表盘显示身份清单、权限分布、访问新近度和密钥轮换状态。全面强制执行MFA：通过IdP策略要求所有人类和服务身份都进行MFA。监控执行漂移。消除过期账户：识别90天以上不活跃的账户。移除或重新分类，记录业务理由。审核管理员访问路径：映射所有权限提升路径。记录每次使用提升的访问权限，要求人工证明。限制过于宽泛的角色：禁止通配符权限，使用策略即代码强制在组和角色级别执行最低权限。自动轮换密钥：为所有静态凭据设置最长有效期。对超出期限阈值的凭据发出警报或自动撤销。12345|致云安全防御人员的检查清单 Cortex Cloud b y Palo Alto N etworks|致云安全防御人员的检查清单碎片化的数据环境会造成盲点。如果不深入了解数据类型、分类和暴露程度，清单就无法反映风险。数据发现和分类•我们是否已识别所有敏感数据的存储位置，包括非托管和临时服务？•我们能否区分受监管数据（例如PCI、HIPAA、GDPR）和业务关键数据？•我们是否在数据移动或结构变化时对其进行动态分类？•我们是否在账户、存储桶和存储服务之间应用一致的标记和标注？•我们是否已验证测试或备份环境中不存在未加密的敏感数据？评估内容•我们是否对所有敏感工作负载使用客户管理的密钥(CMK)，而不是依赖提供商管理的默认密钥？•我们多久轮换一次加密密钥？我们能否验证轮换是否成功完成？•我们是否按角色和职能细分了密钥访问权限？任何身份都可以在未经审核的情况下升级到密钥•所有加密密钥操作（包括失败的尝试）是否都启用了审核日志？•我们是否将解密工作流程测试作为事故响应计划的一部分？加密和密钥管理缺乏控制的加密会造成虚假的安全感。团队不仅必须管理静态加密或传输中的加密，还必须管理密钥所有权、使用和可审核性。 管理吗？ 5 行动项目成功指标Cortex Cloud b y Palo Alto N etworks 100%的敏感数据资产被分类和标记自动发现工具可检测并标注所有受监管数据和关键业务数据。分类模式适用于对象存储、数据库和临时卷。任何环境中都没有未加密的敏感数据扫描发现的敏感数据（如PII、PHI、支付数据）在静态或传输过程中未加密存储的实例为零。所有测试、备份和分析环境均符合要求。≥ 95%的加密使用客户管理的密钥包含敏感数据的工作负载依赖于CMK或HSM支持的CMK。对于受监管数据，提供商管理的默认密钥已完全废弃。100%的活跃CMK按时完成密钥轮换通过自动化执行密钥轮换计划。每次轮换事件都会触发验证，以确认不同依赖服务之间的连续性。所有密钥访问路径都受到角色限制，毫无例外IAM边界可防止未经授权访问加密密钥。任何用户或服务账户都无法在记录的工作流程之外拥有管理控制权。审核日志覆盖100%的密钥生命周期操作所有密钥的使用、创建、删除和访问尝试，无论成功与否，都会被记录下来并保留。日志与SIEM集成，推动检测规则。解密工作流程每年至少测试两次事故响应演习验证团队能否可靠地找回和解密受保护的数据。测试涵盖多种数据类，包括真实的密钥恢复。数据保护仪表盘实时反映盘点和覆盖缺口安全团队无需手动查询，即可按业务部门、敏感度和服务类型显示加密态势、分类完整性和密钥所有权。扫描未分类数据：使用DSPM工具或CSP原生功能识别对象存储、数据库和临时存储中的敏感数据。对数据进行一致分类和标注：通过策略即代码定义并强制执行分类模式。在部署时就要求标注，而不是事后再要求。使用CMK加密数据：将关键数据转换为客户管理的密钥。使用访问日志和策略执行指标验证CMK的执行情况。按计划轮换密钥：自动化密钥生命周期管理。确认下游兼容性并检测轮换执行中的异常。按角色限制密钥访问：强化IAM策略。要求对与密钥相关的操作进行及时访问、合理记录和实时警报。12345|致云安全防御人员的检查清单 7 Cortex Cloud b y Palo Alto N etworks|致云安全防御人员的检查清单工作负载一旦部署，其行为就不再像静态资产一样。它们会膨胀出短暂的进程，跨越信任边界，产生扫描程序无法预测的行为。即使在上游充分知情的情况下，静态控制也无法验证工作负载是否按预期执行。运行时安全必须确认已部署的代码是否符合其通过构建和部署时的状态，在不符合时进行干预。运行时安全和工作负载保护•我们是否在部署前拦截了易受攻击或配置错误的镜像？•我们能否在生产环境中检测到容器和无服务器功能的行为漂移或异常活动？•所有生产工作负载是否都已部署内核级安全防护（例如eBPF、AppArmor或seccomp）？•为了防止横向移动，我们是否已按信任级别隔离生产工作负载？•我们是否捕获并分析了运行时遥测数据（例如系统调用跟踪、DNS活动、进程树）？评估内容自动化就绪网格—按工作负载类型划分的运行时控制工作负载类型部署前执行运行时监控容器镜像构建时进行SCA/IaC扫描；仅提供建议已启用日志记录；无基准测试容器阻止扫描策略；强制执行策略即代码持续监控，基准测试无服务器仅Linter扫描或部分扫描有限或没有遥测；检查网络活动虚拟机（生产）CI中的操作系统修补策略带主机遥测的EDR 8行为检测自动化遏制通过手动调优检测漂移通过警报响应手动阻止eBPF驱动的异常检测验证触发后自动隔离无运行时基准；网络异常检测自动阻止高风险网络活动（或手动禁用）进程和文件完整性监控通过SOAR自动提交工单和锁定 行动项目成功指标Cortex Cloud b y Palo Alto N etworks 部署前扫描100%的生产工作负载所有容器镜像、无服务器功能和虚拟机模板都在CI/CD管道中接受自动安全扫描。拦截策略可防止高风险工件的推广。在所有活跃的工作负载上部署运行时监控每个正在运行的容器、功能和虚拟机都会将实时遥测数据报告给中央平台。任何生产工作负载都不会超出覆盖范围。在SLA范围内触发和审查基线漂移警报行为异常会生成警报。每个警报都会在规定的响应时限内链接到有记录的调查。对≥ 90%的容器强制执行系统调用限制生产容器使用强制的seccomp、AppArmor或同等配置文件运行。实时记录并阻止漂移或绕过尝试。生产环境中没有未跟踪的容器镜像所有正在使用的容器镜像都可追溯到已验证的构建。影子镜像和过期版本会被自动标记和隔离。已注册EDR的虚拟机具有完全可视性100%的持久虚拟机参与端点检测和响应计划。遥测包括进程级行为、完整性检查和远程会话跟踪。不同信任级别的环境中不会重复使用基础镜像基础镜像反映了特定于环境的强化要求。在开发、试运行和生产环境中重复使用镜像会触发强制规则和审批工作流程。运行时指标集成到云安全仪表盘仪表盘提供了对扫描覆盖范围、运行时异常、基线漂移和工作负载分段的实时可视性。安全和平台团队使用这些数据进行日常分流和事故防御。在构建时扫描每个工作负载：配置CI管道，对镜像、IaC模板和功能代码执行拦截策略。使引入高危漏洞或错误配置的构建失败。使用eBPF或类似工具检测运行时：启用跨容器和主机的细粒度系统调用监控，在不注入代理的情况下检测意外行为。基线和漂移警报：为工作负载执行模式建立行为基线。当进程、文件系统活动或出站流量偏离常规时触发调查。按信任度划分工作负载：执行环境分段，将开发、试运行和生产工作负载隔离开来。对网络、访问和日志记录应用分段策略。测试自动遏制逻辑：模拟已知的攻击模式，验证从检测到响应的切换（如容器暂停、功能禁用、虚拟机锁定）是否正确触发。|致云安全防御人员的检查清单 9 Cortex Cloud b y Palo Alto N etworks|致云安全防御人员的检查清单云网络打破了传统的安全边界，身份取代了IP。隔离的幻觉往往掩盖了横向暴露的现实。安全团队必须控制什么可以进入云，什么可以在云中移动。可视性和分段构成了新的防火墙。策略取代了拼凑。网络和边界防御评估内容•我们是否默认拒绝所有入口规则？例外是否经过审核并有时间限制？•我们的安全组是否限定在尽可能窄的CIDR块和端口内？•我们能否识别所有云账户中的每个公共IP或暴露的服务？•为了简化异常检测，我们是否对来自工作负载的意外出口行为发出警报并对外部目的地进行分•我们是否将管理平面访问与一般工作负载流量隔离开来？•是否所有内部服务通信都使用相互TLS或服务网格进行加密？•我们是否使用工作负载身份而不仅仅是网络存在来验证内部API调用？•我们是否跨可用性区域和地区将信任与网络位置分离？•我们能否审