Security Control v3: Eszközkezelés
Az Eszközeszköz-kezelés magában foglalja az Azure-erőforrások biztonsági láthatóságának és szabályozásának biztosítását biztosító vezérlőket, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és helyes).
AM-1: Eszközleltár és kockázatainak nyomon követése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Biztonsági elv: Nyomon követheti az eszközleltárat lekérdezéssel, és felderítheti az összes felhőbeli erőforrást. Logikailag rendszerezheti az eszközöket úgy, hogy megjelöli és csoportosítja az eszközöket a szolgáltatás jellege, helye vagy egyéb jellemzői alapján. Győződjön meg arról, hogy a biztonsági szervezet hozzáfér az eszközök folyamatosan frissített leltárához.
Győződjön meg arról, hogy a biztonsági szervezet képes figyelni a felhőbeli eszközök kockázatait, ha mindig központilag összesíti a biztonsági megállapításokat és a kockázatokat
Azure-útmutató: A Felhőhöz készült Microsoft Defender leltárfunkció és az Azure Resource Graph lekérdezheti és felderítheti az előfizetések összes erőforrását, beleértve az Azure-szolgáltatásokat, az alkalmazásokat és a hálózati erőforrásokat. Logikailag rendszerezheti az eszközöket a szervezet osztályozása szerint címkék és más metaadatok használatával az Azure-ban (név, leírás és kategória).
Győződjön meg arról, hogy a biztonsági szervezetek hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához. A biztonsági csapatoknak gyakran van szükségük erre a leltárra a vállalat új kockázatokkal szembeni kitettségének felméréséhez, és a folyamatos biztonsági fejlesztéséket szolgáló információként.
Győződjön meg arról, hogy a biztonsági szervezetek biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és -előfizetésekben, hogy Felhőhöz készült Microsoft Defender használatával monitorozni tudják a biztonsági kockázatokat. A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.
Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.
Implementáció és további környezet:
- Lekérdezések létrehozása az Azure Resource Graph Explorerrel
- Felhőhöz készült Microsoft Defender eszközleltár-kezelés
- Az eszközök címkézésével kapcsolatos további információkért tekintse meg az erőforrások elnevezésével és címkézésével kapcsolatos döntési útmutatót
- A biztonsági olvasó szerepkör áttekintése
Ügyfélbiztonsági érdekelt felek (további információ):
AM-2: Csak jóváhagyott szolgáltatások használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Biztonsági elv: Győződjön meg arról, hogy csak jóváhagyott felhőszolgáltatások használhatók a környezetben üzembe helyezhető szolgáltatások naplózásával és korlátozásával.
Azure-útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.
Implementáció és további környezet:
- Azure Policy konfigurálása és kezelése
- Adott erőforrástípus megtagadása Azure Policy
- Lekérdezések létrehozása az Azure Resource Graph Explorerrel
Ügyfélbiztonsági érdekelt felek (további információ):
AM-3: Az eszközéletciklus-kezelés biztonságának biztosítása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Biztonsági elv: Győződjön meg arról, hogy az eszközök biztonsági attribútumai vagy konfigurációi mindig frissülnek az eszköz életciklusa során.
Azure-útmutató: Olyan biztonsági szabályzatokat/folyamatokat hozhat létre vagy frissíthet, amelyek az eszköz életciklus-kezelési folyamatait kezelik a potenciálisan nagy hatású módosítások érdekében. A módosítások közé tartoznak az identitásszolgáltatók és a hozzáférés módosítása, az adatérzékenység, a hálózati konfiguráció és a rendszergazdai jogosultságok hozzárendelése.
Távolítsa el az Azure-erőforrásokat, ha már nincs rájuk szükség.
Implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
AM-4: Az eszközkezeléshez való hozzáférés korlátozása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/A |
Biztonsági elv: Korlátozza a felhasználók hozzáférését az eszközkezelési funkciókhoz, hogy elkerülje a felhőben lévő eszközök véletlen vagy rosszindulatú módosítását.
Azure-útmutató: Az Azure Resource Manager az Azure üzembe helyezési és felügyeleti szolgáltatása. Ez egy felügyeleti réteget biztosít, amely lehetővé teszi erőforrások (objektumok) létrehozását, frissítését és törlését az Azure-ban. Az Azure AD feltételes hozzáféréssel korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.
Implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Biztonsági elv: Győződjön meg arról, hogy csak az engedélyezett szoftverek futnak egy engedélyezési lista létrehozásával, és tiltsa le a jogosulatlan szoftverek végrehajtását a környezetben.
Azure-útmutató: Az Felhőhöz készült Microsoft Defender adaptív alkalmazásvezérlők használatával felderítheti és létrehozhatja az alkalmazás engedélyezési listáját. Az ASC adaptív alkalmazásvezérlőivel gondoskodhat arról, hogy csak az engedélyezett szoftverek futhassanak, és az összes jogosulatlan szoftver ne legyen futtatható az Azure Virtual Machines.
A Azure Automation változáskövetés és leltározás segítségével automatizálhatja a leltáradatok gyűjtését a Windows és Linux rendszerű virtuális gépekről. A szoftver neve, verziója, közzétevője és frissítési ideje a Azure Portal érhető el. A szoftvertelepítés dátumának és egyéb adatainak lekéréséhez engedélyezze a vendégszintű diagnosztikát, és irányítsa a Windows eseménynaplókat a Log Analytics-munkaterületre.
A szkriptek típusától függően operációsrendszer-specifikus konfigurációk vagy külső erőforrások használatával korlátozhatja a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásaiban.
Külső megoldással is felderítheti és azonosíthatja a nem jóváhagyott szoftvereket.
Implementáció és további környezet:
- Felhőhöz készült Microsoft Defender adaptív alkalmazásvezérlők használata
- A Azure Automation változáskövetés és leltározás ismertetése
- PowerShell-szkriptek végrehajtásának szabályozása Windows környezetekben
Ügyfélbiztonsági érdekelt felek (további információ):