Řízení zabezpečení v3: Správa prostředků

Správa assetů se zabývá ovládacími prvky, které zajišťují viditelnost zabezpečení a zásady správného řízení u prostředků Azure, včetně doporučení k oprávněním pro pracovníky zabezpečení, přístupu zabezpečení k inventáři prostředků a správě schválení pro služby a prostředky (inventář, sledování a oprava).

AM-1: Sledování inventáře aktiv a jejich rizik

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2,4

Princip zabezpečení: Sledujte inventář prostředků dotazem a objevte všechny cloudové prostředky. Logicky uspořádejte prostředky tak, že označíte a seskupíte prostředky na základě jejich povahy služby, umístění nebo jiných charakteristik. Ujistěte se, že vaše organizace zabezpečení má přístup k nepřetržitě aktualizovanému inventáři prostředků.

Ujistěte se, že vaše organizace zabezpečení může monitorovat rizika cloudových prostředků tím, že vždy bude mít přehledy zabezpečení a rizika agregovaná centrálně.

Pokyny k Azure: Funkce inventáře Microsoft Defender for Cloud a Azure Resource Graph můžou dotazovat a zjišťovat všechny prostředky ve vašich předplatných, včetně služeb Azure, aplikací a síťových prostředků. Logicky uspořádejte prostředky podle taxonomie vaší organizace pomocí značek a dalších metadat v Azure (název, popis a kategorie).

Zajistěte, aby organizace zabezpečení měly přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure. Bezpečnostní týmy tento inventář často potřebují k tomu, aby vyhodnotily potenciální slabá místa organizace vůči vznikajícím rizikům, a jako vstup pro průběžná vylepšování zabezpečení.

Ujistěte se, že organizace zabezpečení mají ve vašem tenantovi Azure a předplatných udělená oprávnění čtenáře zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí Microsoft Defender for Cloud. Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

AM-2: Použití pouze schválených služeb

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Princip zabezpečení: Ujistěte se, že se dají používat jenom schválené cloudové služby, a to auditováním a omezením toho, které služby můžou uživatelé v prostředí zřídit.

Pokyny k Azure: Pomocí Azure Policy můžete auditovat a omezit služby, které uživatelé můžou ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

AM-3: Zajištění zabezpečení správy životního cyklu aktiv

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
1.1, 2.1 CM-8, CM-7 2,4

Princip zabezpečení: Ujistěte se, že se atributy zabezpečení nebo konfigurace prostředků vždy aktualizují během životního cyklu majetku.

Pokyny k Azure: Vytvořte nebo aktualizujte zásady zabezpečení nebo proces, který řeší procesy správy životního cyklu prostředků pro potenciálně velké změny dopadu. Mezi tyto úpravy patří změny zprostředkovatelů identit a přístupu, citlivosti dat, konfigurace sítě a přiřazení oprávnění správce.

Pokud už je nepotřebujete, odeberte prostředky Azure.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

AM-4: Omezení přístupu ke správě prostředků

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.3 AC-3

Princip zabezpečení: Omezte přístup uživatelů k funkcím správy prostředků, abyste se vyhnuli náhodné nebo škodlivé úpravě prostředků v cloudu.

Pokyny k Azure: Azure Resource Manager je služba nasazení a správy pro Azure. Poskytuje vrstvu správy, která umožňuje vytvářet, aktualizovat a odstraňovat prostředky (prostředky) v Azure. Podmíněný přístup Azure AD použijte k omezení možnosti uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

AM-5: Použití jenom schválených aplikací na virtuálním počítači

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Princip zabezpečení: Ujistěte se, že se ve vašem prostředí spouští jenom autorizovaný software, a vytvořte seznam povolených položek a zablokujte neautorizovaný software.

Pokyny k Azure: K zjišťování a vygenerování seznamu povolených aplikací použijte Microsoft Defender for Cloud adaptivní řízení aplikací. Adaptivní řízení aplikací ASC můžete také použít k zajištění, aby se v Azure Virtual Machines nespustí jenom autorizovaný software a veškerý neautorizovaný software.

Pomocí Azure Automation Sledování změn a inventář můžete automatizovat shromažďování informací o inventáři z vašich Windows a virtuálních počítačů s Linuxem. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat datum instalace softwaru a další informace, povolte diagnostiku na úrovni hosta a nasměrujte protokoly událostí Windows do pracovního prostoru Služby Log Analytics.

V závislosti na typu skriptů můžete pomocí konfigurací specifických pro operační systém nebo prostředků třetích stran omezit schopnost uživatelů spouštět skripty ve výpočetních prostředcích Azure.

K zjišťování a identifikaci neschváleného softwaru můžete použít také řešení třetích stran.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):