Control de seguridad: administración de recursos
Asset Management cubre los controles para garantizar la visibilidad y gobernanza de la seguridad en los recursos, incluidas recomendaciones sobre los permisos para el personal de seguridad, el acceso de seguridad al inventario de recursos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección).
AM-1: Realización de un seguimiento del inventario de recursos y sus riesgos
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Principio de seguridad: realice un seguimiento del inventario de recursos mediante consulta y descubra todos los recursos en la nube. Organice lógicamente los recursos mediante el etiquetado y la agrupación de los recursos en función de su naturaleza de servicio, ubicación u otras características. Asegúrese de que la organización de seguridad tiene acceso a un inventario de recursos actualizado continuamente.
Asegúrese de que su organización de seguridad puede supervisar los riesgos de los recursos en la nube siempre teniendo información de seguridad y riesgos agregados de forma centralizada.
Guía de Azure: la característica de inventario de Microsoft Defender para la nube y Azure Resource Graph puede consultar y detectar todos los recursos de las suscripciones, incluidos los servicios de Azure, las aplicaciones y los recursos de red. Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas, así como otros metadatos de Azure (Nombre, Descripción y Categoría).
Asegúrese de que las organizaciones de seguridad tienen acceso a un inventario de recursos actualizado continuamente en Azure. Los equipos de seguridad a menudo necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar la seguridad continua.
Asegúrese de que a las organizaciones de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud. Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Guía de GCP: use El inventario de activos de Google Cloud para proporcionar servicios de inventario basados en una base de datos de serie temporal. Esta base de datos mantiene un historial de cinco semanas de metadatos de recursos de GCP. El servicio de exportación de inventario de activos en la nube permite exportar todos los metadatos de recursos en una marca de tiempo determinada o exportar el historial de cambios de eventos durante un período de tiempo.
Además, Google Cloud Security Command Center admite una convención de nomenclatura diferente. Los recursos son recursos de Google Cloud de una organización. Los roles de IAM para Security Command Center se pueden conceder en el nivel de organización, carpeta o proyecto. La capacidad de ver, crear o actualizar resultados, recursos y orígenes de seguridad depende del nivel al que se le conceda acceso.
Implementación de GCP y contexto adicional:
- Inventario de recursos en la nube
- Introducción al inventario de recursos en la nube
- Tipos de recursos admitidos en Security Command Center
Implementación de Azure y contexto adicional:
- Creación de consultas con Azure Resource Graph Explorer
- Administración del inventario de recursos de Microsoft Defender for Cloud
- Para más información sobre el etiquetado de recursos, vea la guía de decisiones de nomenclatura y etiquetado de recursos.
- Introducción al rol de lector de seguridad
Guía de AWS: Use la característica inventario de AWS Systems Manager para consultar y detectar todos los recursos de las instancias ec2, incluidos los detalles del nivel de aplicación y del sistema operativo. Además, use AWS Resource Groups - Tag Editor para examinar los inventarios de recursos de AWS.
Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas, así como otros metadatos de AWS (Nombre, Descripción y Categoría).
Asegúrese de que las organizaciones de seguridad tengan acceso a un inventario de activos actualizado continuamente en AWS. Los equipos de seguridad a menudo necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar la seguridad continua.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Implementación de AWS y contexto adicional:
Guía de GCP: use el servicio de directivas de la organización de Google Cloud para auditar y restringir los servicios que los usuarios pueden aprovisionar en su entorno. También puede usar la supervisión en la nube en Operations Suite o la directiva de organización para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Implementación de GCP y contexto adicional:
- Introducción al servicio de directivas de organización
- Creación y administración de directivas de la organización
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Administración del cumplimiento de la seguridad
AM-2: Uso exclusivo de los servicios aprobados
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Principio de seguridad: asegúrese de que solo se pueden usar los servicios en la nube aprobados, mediante la auditoría y la restricción de los servicios que los usuarios pueden aprovisionar en el entorno.
Guía de Azure: use Azure Policy para auditar y restringir los servicios que los usuarios pueden aprovisionar en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Implementación de Azure y contexto adicional:
- Configuración y administración de Azure Policy
- Denegación de un tipo de recurso específico con Azure Policy
- Creación de consultas con Azure Resource Graph Explorer
Guía de AWS: Use AWS Config para auditar y restringir los servicios que los usuarios pueden aprovisionar en su entorno. Use grupos de recursos de AWS para consultar y detectar recursos dentro de sus cuentas. También puede usar CloudWatch o AWS Config para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Implementación de AWS y contexto adicional:
Guía de GCP: establezca o actualice directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para realizar modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, los datos confidenciales, la configuración de red y la evaluación de privilegios administrativos. Use el Centro de comandos de Google Cloud Security y compruebe la pestaña Cumplimiento de los recursos en riesgo.
Además, use la limpieza automatizada de proyectos de Google Cloud sin usar y el servicio recomendador de nube para proporcionar recomendaciones e información sobre el uso de recursos en Google Cloud. Estas recomendaciones y conclusiones son por producto o por servicio y se generan en función de métodos heurísticos, aprendizaje automático y uso actual de recursos.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
AM-3: Confirmación de la seguridad de la administración del ciclo de vida de los recursos
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Principio de seguridad: asegúrese de que los atributos de seguridad o las configuraciones de los recursos siempre se actualizan durante el ciclo de vida de los recursos.
Guía de Azure: establezca o actualice directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para realizar modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, el nivel de confidencialidad de los datos, la configuración de red y la asignación de privilegios administrativos.
Identifique y quite los recursos de Azure cuando ya no sean necesarios.
Implementación de Azure y contexto adicional:
Guía de AWS: establezca o actualice directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, el nivel de confidencialidad de datos, la configuración de red y la asignación de privilegios administrativos.
Identifique y quite los recursos de AWS cuando ya no sean necesarios.
Implementación de AWS y contexto adicional:
- Cómo comprobar los recursos activos que ya no necesito en mi cuenta de AWS?
- Cómo terminar los recursos activos que ya no necesito en mi cuenta de AWS?
Guía de GCP: use Google Cloud Identity and Access Management (IAM) para restringir el acceso a recursos específicos. Puede especificar acciones de permitir o denegar, así como condiciones en las que se desencadenan las acciones. Puede especificar una condición o métodos combinados de permisos de nivel de recurso, directivas basadas en recursos, autorización basada en etiquetas, credenciales temporales o roles vinculados al servicio para tener controles de acceso de control específicos para los recursos.
Además, puede usar los controles de servicio de VPC para protegerse frente a acciones accidentales o dirigidas por entidades externas o entidades internas, lo que ayuda a minimizar los riesgos de filtración de datos no justificados de los servicios de Google Cloud. Puede usar los controles de servicio de VPC para crear perímetros que protejan los recursos y los datos de los servicios que especifique explícitamente.
Implementación de GCP y contexto adicional:
- Identity and Access Management (IAM)
- Información general sobre los controles de servicio de VPC
- Resource Manager
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Administración de la posición
- Administración del cumplimiento de la seguridad
AM-4: Limitación del acceso a la administración de recursos
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/D |
Principio de seguridad: limite el acceso de los usuarios a las características de administración de recursos para evitar modificaciones accidentales o malintencionadas de los recursos en la nube.
Guía de Azure: Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos (activos) en Azure. Use el acceso condicional de Azure AD para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".
Use el Access Control basado en rol de Azure (RBAC de Azure) para asignar roles a identidades para controlar sus permisos y acceso a los recursos de Azure. Por ejemplo, un usuario con solo el rol de RBAC de Azure "Lector" puede ver todos los recursos, pero no puede realizar ningún cambio.
Use bloqueos de recursos para evitar eliminaciones o modificaciones en los recursos. Los bloqueos de recursos también se pueden administrar a través de Azure Blueprints.
Implementación de Azure y contexto adicional:
- Configuración del acceso condicional para bloquear el acceso a Azure Resource Manager
- Bloqueo de los recursos para proteger la infraestructura
- Protección de los nuevos recursos con bloqueos de recursos de Azure Blueprints
Guía de AWS: use AWS IAM para restringir el acceso a un recurso específico. Puede especificar acciones permitidas o de denegación, así como las condiciones en las que se desencadenan las acciones. Puede especificar una condición o combinar métodos de permisos de nivel de recurso, directivas basadas en recursos, autorización basada en etiquetas, credenciales temporales o roles vinculados al servicio para tener un control de acceso de control específico para los recursos.
Implementación de AWS y contexto adicional:
Guía de GCP: use Google Cloud VM Manager para detectar las aplicaciones instaladas en las instancias de Compute Engines. El inventario del sistema operativo y la administración de configuración se pueden usar para asegurarse de que el software no autorizado está bloqueado para ejecutarse en instancias del motor de proceso.
También puede usar una solución de terceros para descubrir e identificar software no aprobado.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Principio de seguridad: asegúrese de que solo se ejecuta software autorizado mediante la creación de una lista de permitidos y bloquee la ejecución del software no autorizado en su entorno.
Guía de Azure: use Microsoft Defender para controles de aplicaciones adaptables en la nube para detectar y generar una lista de aplicaciones permitidas. También puede usar controles de aplicación adaptables de ASC para asegurarse de que solo se puede ejecutar software autorizado y que todo el software no autorizado está bloqueado para ejecutarse en Azure Virtual Machines.
Use Change Tracking e Inventario de Azure Automation para automatizar la recopilación de información de inventario de las máquinas virtuales Windows y Linux. El nombre del software, la versión, el publicador y la información de tiempo de actualización están disponibles en el Azure Portal. Para obtener la fecha de instalación de software y otra información, habilite los diagnósticos de nivel de invitado y dirija los registros de eventos de Windows a un área de trabajo de Log Analytics.
Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.
También puede usar una solución de terceros para descubrir e identificar software no aprobado.
Implementación de Azure y contexto adicional:
- Uso de los controles de aplicaciones adaptables de Microsoft Defender for Cloud
- Información general de Change Tracking e Inventario en Azure Automation
- Control de la ejecución de scripts de PowerShell en entornos Windows
Guía de AWS: use la característica inventario de AWS Systems Manager para detectar las aplicaciones instaladas en las instancias ec2. Use reglas de AWS Config para asegurarse de que el software no autorizado está bloqueado para ejecutarse en instancias ec2.
También puede usar una solución de terceros para descubrir e identificar software no aprobado.
Implementación de AWS y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):