Controllo della sicurezza: inventario e gestione degli asset

  • Articolo

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

Le raccomandazioni relative all'inventario e alla gestione degli asset sono incentrate sulla gestione attiva (inventario, traccia e correzione) di tutte le risorse di Azure, in modo che solo le risorse autorizzate vengano accessibili e le risorse non autorizzate e non gestite vengano identificate e rimosse.

6.1: Usare la soluzione di individuazione automatica degli asset

ID di Azure ID CIS Responsabilità
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Customer

Usare Azure Resource Graph per eseguire query o individuare tutte le risorse, ad esempio calcolo, archiviazione, rete, porte e protocolli e così via, all'interno delle sottoscrizioni. Assicurarsi di disporre delle autorizzazioni (di lettura) appropriate nel tenant e di poter enumerare tutte le sottoscrizioni di Azure e le risorse all'interno delle sottoscrizioni.

Sebbene le risorse di Azure (versione classica) possano essere individuate tramite Resource Graph, in futuro è consigliabile creare e usare le risorse di Azure Resource Manager.

6.2: gestire i metadati degli asset

ID di Azure ID CIS Responsabilità
6.2 1.5 Customer

Applicare tag alle risorse di Azure fornendo metadati per organizzarli in modo logico in una tassonomia.

6.3: eliminare le risorse di Azure non autorizzate

ID di Azure ID CIS Responsabilità
6.3 1.6 Customer

Usare l'assegnazione di tag, i gruppi di gestione e le sottoscrizioni separate, se appropriato, per organizzare e tenere traccia degli asset. Riconciliare l'inventario a intervalli regolari e assicurarsi che le risorse non autorizzate vengano eliminate in modo tempestivo dalla sottoscrizione.

6.4: Definire e gestire un inventario delle risorse di Azure approvate

ID di Azure ID CIS Responsabilità
6.4 2.1 Customer

Creare un inventario delle risorse di Azure approvate e del software approvato per le risorse di calcolo in base alle esigenze dell'organizzazione.

6.5: monitorare la presenza di risorse di Azure non approvate

ID di Azure ID CIS Responsabilità
6.5 2.3, 2.4 Customer

Usare Criteri di Azure per impostare restrizioni sul tipo di risorse che è possibile creare nelle sottoscrizioni.

Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. Verificare che tutte le risorse di Azure presenti nell'ambiente siano approvate.

6.6: monitorare le applicazioni software non approvate nelle risorse di calcolo

ID di Azure ID CIS Responsabilità
6.6 2.3, 2.4 Customer

Usare Inventario macchine virtuali di Azure per automatizzare la raccolta di informazioni su tutto il software in Macchine virtuali. Il nome software, la versione, il server di pubblicazione e l'ora di aggiornamento sono disponibili dal portale di Azure. Per ottenere l'accesso alla data di installazione e ad altre informazioni, abilitare la diagnostica a livello di guest e portare i log eventi di Windows in un'area di lavoro Log Analytics.

6.7: rimuovere le risorse di Azure e le applicazioni software non approvate

ID di Azure ID CIS Responsabilità
6.7 2.5 Customer

Usare monitoraggio dell'integrità dei file (Rilevamento modifiche) e l'inventario delle macchine virtuali di Centro sicurezza di Azure per identificare tutto il software installato in Macchine virtuali. È possibile implementare il proprio processo per la rimozione di software non autorizzato. È anche possibile usare una soluzione di terze parti per identificare il software non approvato.

6.8: usare solo applicazioni approvate

ID di Azure ID CIS Responsabilità
6.8 2.6 Customer

Usare Centro sicurezza di Azure controlli applicazioni adattivi per assicurarsi che venga eseguito solo il software autorizzato e che tutto il software non autorizzato sia bloccato dall'esecuzione in Azure Macchine virtuali.

6.9: usare solo servizi di Azure approvati

ID di Azure ID CIS Responsabilità
6.9 2.6 Customer

Usare Criteri di Azure per limitare i servizi di cui è possibile effettuare il provisioning nell'ambiente.

6.10: Mantenere un inventario dei titoli software approvati

ID di Azure ID CIS Responsabilità
6.10 2.7 Customer

Usare Centro sicurezza di Azure controlli applicazioni adattivi per specificare i tipi di file a cui può essere applicata o meno una regola.

Implementare una soluzione di terze parti se questo non soddisfa il requisito.

6.11: Limitare la capacità degli utenti di interagire con Azure Resource Manager

ID di Azure ID CIS Responsabilità
6.11 2,9 Customer

Usare l'accesso condizionale di Azure per limitare la capacità degli utenti di interagire con Gestione risorse di Azure configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure".

6.12: limitare la capacità degli utenti di eseguire gli script nelle risorse di calcolo

ID di Azure ID CIS Responsabilità
6.12 2,9 Customer

A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script all'interno delle risorse di calcolo di Azure. È anche possibile sfruttare Centro sicurezza di Azure controlli applicazioni adattivi per assicurarsi che solo il software autorizzato venga eseguito e che tutti i software non autorizzati vengano eseguiti in Azure Macchine virtuali.

6.13: separare fisicamente o logicamente le applicazioni ad alto rischio

ID di Azure ID CIS Responsabilità
6.13 2,9 Customer

Il software necessario per le operazioni aziendali, ma può comportare un rischio maggiore per l'organizzazione, deve essere isolato all'interno della propria macchina virtuale e/o rete virtuale e/o con una rete sufficientemente protetta con un Firewall di Azure o un gruppo di sicurezza di rete.

Passaggi successivi