Contrôle de sécurité : Gestion des ressources
Asset Management couvre les contrôles pour garantir la visibilité et la gouvernance de la sécurité sur vos ressources, notamment des recommandations sur les autorisations pour le personnel de sécurité, l’accès à la sécurité à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction).
AM-1 : Suivre l’inventaire des ressources et leurs risques
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Principe de sécurité : suivez votre inventaire de ressources par requête et découvrez toutes vos ressources cloud. Organisez vos ressources de manière logique en étiquetant et en regroupant vos ressources en fonction de la nature de leur service, de leur emplacement ou d’autres caractéristiques. Assurez-vous que votre organisation de sécurité a accès à un inventaire des ressources continuellement mis à jour.
Assurez-vous que votre organization de sécurité peut surveiller les risques pour les ressources cloud en veillant à ce que les insights et les risques de sécurité soient toujours agrégés de manière centralisée.
Conseils Azure : la fonctionnalité d’inventaire Microsoft Defender cloud et Azure Resource Graph peuvent rechercher et découvrir toutes les ressources de vos abonnements, y compris les services, les applications et les ressources réseau Azure. Organisez logiquement les ressources en fonction de la taxonomie de votre organization à l’aide de balises ainsi que d’autres métadonnées dans Azure (Nom, Description et Catégorie).
Assurez-vous que les organisations de sécurité ont accès à un inventaire des ressources continuellement mis à jour sur Azure. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leurs organization aux risques émergents et comme une entrée pour les améliorations continues de la sécurité.
Assurez-vous que les organisations de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin qu’elles puissent surveiller les risques de sécurité à l’aide de Microsoft Defender pour le cloud. Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.
Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.
Conseils GCP : Utilisez Google Cloud Asset Inventory pour fournir des services d’inventaire basés sur une base de données de série chronologique. Cette base de données conserve un historique de cinq semaines des métadonnées des ressources GCP. Le service d’exportation d’inventaire des ressources cloud vous permet d’exporter toutes les métadonnées des ressources à un certain horodatage ou d’exporter l’historique des modifications d’événements pendant une période donnée.
En outre, Google Cloud Security Command Center prend en charge une convention d’affectation de noms différente. Les ressources sont les ressources Google Cloud d’un organization. Les rôles IAM pour Security Command Center peuvent être accordés au niveau organization, dossier ou projet. Votre capacité à afficher, créer ou mettre à jour des résultats, des ressources et des sources de sécurité dépend du niveau auquel l’accès vous est accordé.
Implémentation gcp et contexte supplémentaire :
- Inventaire des ressources cloud
- Présentation de l’inventaire des ressources cloud
- Types de ressources pris en charge dans le Centre de commandes de sécurité
Implémentation Azure et contexte supplémentaire :
- Procédure pour créer des requêtes avec l’Explorateur Azure Resource Graph
- Gestion de l’inventaire des ressources de Microsoft Defender pour le cloud
- Pour plus d’informations sur l’étiquetage des ressources, consultez le guide de décision concernant le nommage et l’étiquetage des ressources
- Vue d’ensemble du rôle lecteur de sécurité
Conseils AWS : Utilisez la fonctionnalité d’inventaire AWS Systems Manager pour interroger et découvrir toutes les ressources dans vos instances EC2, y compris les détails au niveau de l’application et du système d’exploitation. En outre, utilisez groupes de ressources AWS - Éditeur d’étiquettes pour parcourir les inventaires de ressources AWS.
Organisez logiquement les ressources en fonction de la taxonomie de votre organization à l’aide de balises ainsi que d’autres métadonnées dans AWS (Nom, Description et Catégorie).
Assurez-vous que les organisations de sécurité ont accès à un inventaire des ressources mis à jour en permanence sur AWS. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leurs organization aux risques émergents et comme une entrée pour les améliorations continues de la sécurité.
Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez le service Google Cloud Organization Policy pour auditer et restreindre les services que les utilisateurs peuvent approvisionner dans votre environnement. Vous pouvez également utiliser l’analyse cloud dans Operations Suite et/ou la stratégie d’organisation pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.
Implémentation gcp et contexte supplémentaire :
- Présentation du service de stratégie d’organisation
- Création et gestion des stratégies de organization
Parties prenantes de la sécurité des clients (En savoir plus) :
AM-2 : Utiliser uniquement des services approuvés
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Principe de sécurité : assurez-vous que seuls les services cloud approuvés peuvent être utilisés, en auditant et en limitant les services que les utilisateurs peuvent approvisionner dans l’environnement.
Conseils Azure : utilisez Azure Policy pour auditer et restreindre les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.
Implémentation Azure et contexte supplémentaire :
- Configurer et gérer Azure Policy
- Guide pratique pour refuser un type de ressource spécifique avec Azure Policy
- Procédure pour créer des requêtes avec l’Explorateur Azure Resource Graph
Conseils AWS : Utilisez AWS Config pour auditer et restreindre les services que les utilisateurs peuvent provisionner dans votre environnement. Utilisez des groupes de ressources AWS pour rechercher et découvrir des ressources dans leurs comptes. Vous pouvez également utiliser CloudWatch et/ou AWS Config pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Établissez ou mettez à jour des stratégies/processus de sécurité qui traitent des processus de gestion du cycle de vie des ressources pour les modifications potentiellement à impact élevé. Ces modifications incluent les modifications apportées aux fournisseurs d’identité et à l’accès, aux données sensibles, à la configuration réseau et à l’évaluation des privilèges administratifs. Utilisez le Centre de commandes Google Cloud Security et case activée’onglet Conformité pour les ressources à risque.
En outre, utilisez le nettoyage automatisé des projets Google Cloud inutilisés et le service Cloud Recommender pour fournir des recommandations et des insights sur l’utilisation des ressources sur Google Cloud. Ces recommandations et insights sont fournis par produit ou par service, et sont générés en fonction des méthodes heuristiques, du Machine Learning et de l’utilisation actuelle des ressources.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
AM-3 : Garantir la sécurité de la gestion du cycle de vie des ressources
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Principe de sécurité : vérifiez que les attributs de sécurité ou les configurations des ressources sont toujours mis à jour pendant le cycle de vie des ressources.
Conseils Azure : Établissez ou mettez à jour des stratégies/processus de sécurité qui traitent les processus de gestion du cycle de vie des ressources pour les modifications potentiellement à fort impact. Ces modifications incluent les modifications apportées aux fournisseurs d’identité et à l’accès, au niveau de sensibilité des données, à la configuration du réseau et à l’attribution de privilèges d’administration.
Identifiez et supprimez les ressources Azure lorsqu’elles ne sont plus nécessaires.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Établissez ou mettez à jour des stratégies/processus de sécurité qui traitent les processus de gestion du cycle de vie des ressources pour les modifications potentiellement à impact élevé. Ces modifications incluent les modifications apportées aux fournisseurs d’identité et à l’accès, au niveau de sensibilité des données, à la configuration du réseau et à l’attribution de privilèges d’administration.
Identifiez et supprimez les ressources AWS lorsqu’elles ne sont plus nécessaires.
Implémentation AWS et contexte supplémentaire :
- Comment faire case activée pour les ressources actives dont je n’ai plus besoin sur mon compte AWS ?
- Comment faire mettre fin aux ressources actives dont je n’ai plus besoin sur mon compte AWS ?
Conseils GCP : Utilisez Google Cloud Identity and Access Management (IAM) pour restreindre l’accès à une ressource spécifique. Vous pouvez spécifier des actions d’autorisation ou de refus, ainsi que des conditions dans lesquelles les actions sont déclenchées. Vous pouvez spécifier une condition ou des méthodes combinées d’autorisations au niveau des ressources, de stratégies basées sur les ressources, d’autorisation basée sur des étiquettes, d’informations d’identification temporaires ou de rôles liés au service pour disposer de contrôles d’accès précis pour vos ressources.
En outre, vous pouvez utiliser les contrôles de service VPC pour vous protéger contre les actions accidentelles ou ciblées d’entités externes ou internes, ce qui permet de réduire les risques d’exfiltration de données injustifiés provenant des services Google Cloud. Vous pouvez utiliser des contrôles de service VPC pour créer des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.
Implémentation gcp et contexte supplémentaire :
- Gestion des identités et des accès (IAM)
- Vue d’ensemble des contrôles de service VPC
- Resource Manager
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Gestion de la posture
- Gestion de la conformité de la sécurité
AM-4 : Limiter l’accès à la gestion des ressources
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/A |
Principe de sécurité : limitez l’accès des utilisateurs aux fonctionnalités de gestion des ressources pour éviter toute modification accidentelle ou malveillante des ressources dans votre cloud.
Conseils Azure : Azure Resource Manager est le service de déploiement et de gestion pour Azure. Il fournit une couche de gestion qui vous permet de créer, de mettre à jour et de supprimer des ressources dans votre compte Azure. Utilisez l’accès conditionnel Azure pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».
Utilisez azure role-based Access Control (Azure RBAC) pour attribuer des rôles à des identités afin de contrôler leurs autorisations et leur accès aux ressources Azure. Par exemple, un utilisateur avec uniquement le rôle RBAC Azure « Lecteur » peut afficher toutes les ressources, mais n’est pas autorisé à apporter des modifications.
Utilisez des verrous de ressources pour empêcher les suppressions ou les modifications des ressources. Les verrous de ressources peuvent également être administrés via Azure Blueprints.
Implémentation Azure et contexte supplémentaire :
- Guide pratique pour configurer l’accès conditionnel de façon à bloquer l’accès à Azure Resource Manager
- Verrouiller vos ressources pour protéger votre infrastructure
- Protéger les nouvelles ressources avec des verrous de ressource Azure Blueprints
Conseils AWS : Utilisez AWS IAM pour restreindre l’accès à une ressource spécifique. Vous pouvez spécifier des actions autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont déclenchées. Vous pouvez spécifier une condition ou combiner des méthodes d’autorisations au niveau des ressources, de stratégies basées sur les ressources, d’autorisation basée sur des étiquettes, d’informations d’identification temporaires ou de rôles liés au service pour disposer d’un contrôle d’accès précis pour vos ressources.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez Google Cloud VM Manager pour découvrir les applications installées sur les instances compute Engines. La gestion de l’inventaire et de la configuration du système d’exploitation peut être utilisée pour garantir que les logiciels non autorisés ne peuvent pas s’exécuter sur les instances du moteur de calcul.
Vous pouvez également utiliser une solution tierce pour découvrir et identifier les logiciels non approuvés.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
AM-5 : Utiliser uniquement des applications approuvées dans une machine virtuelle
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Principe de sécurité : assurez-vous que seuls les logiciels autorisés s’exécutent en créant une liste verte et bloquez l’exécution des logiciels non autorisés dans votre environnement.
Conseils Azure : Utilisez Microsoft Defender pour les contrôles d’application adaptatifs cloud afin de découvrir et de générer une liste verte d’applications. Vous pouvez également utiliser des contrôles d’application adaptatifs ASC pour vous assurer que seuls les logiciels autorisés peuvent s’exécuter et que l’exécution de tous les logiciels non autorisés sur Azure Machines Virtuelles est bloquée.
Utilisez la fonctionnalité Suivi des modifications et inventaire d’Azure Automation Change pour automatiser la collecte d’informations d’inventaire à partir de vos machines virtuelles Windows et Linux. Les informations sur le nom, la version, l’éditeur et l’heure d’actualisation du logiciel sont disponibles à partir du Portail Azure. Pour obtenir la date d’installation du logiciel et d’autres informations, activez la diagnostics au niveau de l’invité et dirigez les journaux des événements Windows vers un espace de travail Log Analytics.
Selon le type de script, vous pouvez utiliser des configurations de système d’exploitation spécifiques ou des ressources tierces pour limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul Azure.
Vous pouvez également utiliser une solution tierce pour découvrir et identifier les logiciels non approuvés.
Implémentation Azure et contexte supplémentaire :
- Guide pratique pour utiliser les contrôles d’application adaptatifs de Microsoft Defender pour le cloud
- Comprendre la fonctionnalité Suivi des modifications et inventaire d’Azure Automation
- Guide pratique pour contrôler l’exécution des scripts PowerShell dans des environnements Windows
Conseils AWS : Utilisez la fonctionnalité d’inventaire AWS Systems Manager pour découvrir les applications installées dans vos instances EC2. Utilisez des règles de configuration AWS pour vous assurer que l’exécution des logiciels non autorisés sur les instances EC2 est bloquée.
Vous pouvez également utiliser une solution tierce pour découvrir et identifier les logiciels non approuvés.
Implémentation AWS et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :