Kontrol Keamanan V2: Manajemen Aset
Catatan
Tolok Ukur Keamanan Azure terbaru tersedia di sini.
Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Azure. Ini termasuk rekomendasi tentang izin untuk personil keamanan, akses keamanan ke inventaris aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventaris, jejak, dan benar).
Untuk melihat Azure Policy bawaan yang berlaku, lihat Rincian inisiatif bawaan Kepatuhan Terhadap Peraturan Tolok Ukur Keamanan Azure: Keamanan Jaringan
AM-1: Pastikan tim keamanan memiliki visibilitas terhadap risiko aset
| ID Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Azure Security Center.
Tergantung pada cara tanggung jawab tim keamanan terstruktur, pemantauan terhadap risiko keamanan dapat merupakan tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.
Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.
Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-2: Pastikan tim keamanan memiliki akses ke inventaris aset dan metadata
| ID Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Pastikan bahwa tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang timbul, dan sebagai masukan untuk terus meningkatkan keamanan.
Fitur inventaris Azure Security Center dan Azure Resource Graph dapat meminta dan menemukan semua sumber daya dalam langganan Anda, termasuk layanan Azure, aplikasi, dan sumber daya jaringan.
Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan Tag serta metadata lain di Azure (Nama, Deskripsi, dan Kategori).
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-3: Gunakan hanya layanan Azure yang disetujui
| ID Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Gunakan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri/menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu peringatan saat layanan yang tidak disetujui terdeteksi.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-4: Pastikan keamanan manajemen siklus hidup aset
| ID Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Tetapkan atau perbarui kebijakan keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi dampak yang berpotensi tinggi. Modifikasi ini mencakup perubahan pada: penyedia identitas dan akses, sensitivitas data, konfigurasi jaringan, dan penugasan hak istimewa admin.
Hapus sumber daya Azure saat tidak lagi diperlukan.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-5: Batasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager
| ID Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Gunakan Akses Bersyarat Microsoft Azure Active Directory untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengkonfigurasi "akses blok" untuk Aplikasi "Microsoft Azure Management".
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-6: Gunakan hanya aplikasi yang disetujui dalam sumber daya komputasi
| ID Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Pastikan bahwa hanya perangkat lunak resmi yang dijalankan, dan semua perangkat lunak yang tidak resmi diblokir untuk dieksekusi di Azure Virtual Machines.
Gunakan kontrol aplikasi adaptif Azure Security Center (ASC) untuk menemukan dan membuat daftar izinkan aplikasi. Anda juga dapat menggunakan kontrol aplikasi adaptif untuk memastikan bahwa hanya perangkat lunak yang sah yang dijalankan dan semua perangkat lunak yang tidak sah diblokir agar tidak dieksekusi di Microsoft Azure Virtual Machines.
Gunakan Pelacakan dan Inventaris Perubahan Azure Automation untuk mengotomatisasi pengumpulan informasi inventaris dari komputer virtual Windows dan Linux Anda. Nama perangkat lunak, versi, penerbit, dan waktu penyegaran tersedia dari portal Microsoft Azure. Untuk mendapatkan tanggal penginstalan perangkat lunak dan informasi lainnya, aktifkan diagnostik tingkat tamu dan arahkan Log Kejadian Windows ke ruang kerja Analitik Log.
Bergantung pada jenis skrip, Anda dapat menggunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna dalam menjalankan skrip pada sumber daya komputasi Azure.
Anda juga dapat menggunakan solusi pihak ketiga untuk mengidentifikasi perangkat lunak yang tidak disetujui.
Cara menggunakan Kontrol Aplikasi Adaptif Azure Security Center
Cara mengontrol eksekusi skrip PowerShell di Lingkungan Windows
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):