Controllo della sicurezza: inventario e gestione degli asset
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
Le raccomandazioni relative all'inventario e alla gestione degli asset sono incentrate sulla gestione attiva (inventario, traccia e correzione) di tutte le risorse di Azure, in modo che solo le risorse autorizzate vengano accessibili e le risorse non autorizzate e non gestite vengano identificate e rimosse.
6.1: Usare la soluzione di individuazione automatica degli asset
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Customer |
Usare Azure Resource Graph per eseguire query o individuare tutte le risorse, ad esempio calcolo, archiviazione, rete, porte e protocolli e così via, all'interno delle sottoscrizioni. Assicurarsi di disporre delle autorizzazioni (di lettura) appropriate nel tenant e di poter enumerare tutte le sottoscrizioni di Azure e le risorse all'interno delle sottoscrizioni.
Sebbene le risorse di Azure (versione classica) possano essere individuate tramite Resource Graph, in futuro è consigliabile creare e usare le risorse di Azure Resource Manager.
6.2: gestire i metadati degli asset
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.2 | 1.5 | Customer |
Applicare tag alle risorse di Azure fornendo metadati per organizzarli in modo logico in una tassonomia.
6.3: eliminare le risorse di Azure non autorizzate
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.3 | 1.6 | Customer |
Usare l'assegnazione di tag, i gruppi di gestione e le sottoscrizioni separate, se appropriato, per organizzare e tenere traccia degli asset. Riconciliare l'inventario a intervalli regolari e assicurarsi che le risorse non autorizzate vengano eliminate in modo tempestivo dalla sottoscrizione.
6.4: Definire e gestire un inventario delle risorse di Azure approvate
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.4 | 2.1 | Customer |
Creare un inventario delle risorse di Azure approvate e del software approvato per le risorse di calcolo in base alle esigenze dell'organizzazione.
6.5: monitorare la presenza di risorse di Azure non approvate
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.5 | 2.3, 2.4 | Customer |
Usare Criteri di Azure per impostare restrizioni sul tipo di risorse che è possibile creare nelle sottoscrizioni.
Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. Verificare che tutte le risorse di Azure presenti nell'ambiente siano approvate.
6.6: monitorare le applicazioni software non approvate nelle risorse di calcolo
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.6 | 2.3, 2.4 | Customer |
Usare Inventario macchine virtuali di Azure per automatizzare la raccolta di informazioni su tutto il software in Macchine virtuali. Il nome software, la versione, il server di pubblicazione e l'ora di aggiornamento sono disponibili dal portale di Azure. Per ottenere l'accesso alla data di installazione e ad altre informazioni, abilitare la diagnostica a livello di guest e portare i log eventi di Windows in un'area di lavoro Log Analytics.
6.7: rimuovere le risorse di Azure e le applicazioni software non approvate
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.7 | 2.5 | Customer |
Usare monitoraggio dell'integrità dei file (Rilevamento modifiche) e l'inventario delle macchine virtuali di Centro sicurezza di Azure per identificare tutto il software installato in Macchine virtuali. È possibile implementare il proprio processo per la rimozione di software non autorizzato. È anche possibile usare una soluzione di terze parti per identificare il software non approvato.
6.8: usare solo applicazioni approvate
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.8 | 2.6 | Customer |
Usare Centro sicurezza di Azure controlli applicazioni adattivi per assicurarsi che venga eseguito solo il software autorizzato e che tutto il software non autorizzato sia bloccato dall'esecuzione in Azure Macchine virtuali.
6.9: usare solo servizi di Azure approvati
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.9 | 2.6 | Customer |
Usare Criteri di Azure per limitare i servizi di cui è possibile effettuare il provisioning nell'ambiente.
6.10: Mantenere un inventario dei titoli software approvati
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.10 | 2.7 | Customer |
Usare Centro sicurezza di Azure controlli applicazioni adattivi per specificare i tipi di file a cui può essere applicata o meno una regola.
Implementare una soluzione di terze parti se questo non soddisfa il requisito.
6.11: Limitare la capacità degli utenti di interagire con Azure Resource Manager
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.11 | 2,9 | Customer |
Usare l'accesso condizionale di Azure per limitare la capacità degli utenti di interagire con Gestione risorse di Azure configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure".
6.12: limitare la capacità degli utenti di eseguire gli script nelle risorse di calcolo
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.12 | 2,9 | Customer |
A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script all'interno delle risorse di calcolo di Azure. È anche possibile sfruttare Centro sicurezza di Azure controlli applicazioni adattivi per assicurarsi che solo il software autorizzato venga eseguito e che tutti i software non autorizzati vengano eseguiti in Azure Macchine virtuali.
Come controllare l'esecuzione di script di PowerShell negli ambienti Windows
Come usare i controlli applicazioni adattivi Centro sicurezza di Azure
6.13: separare fisicamente o logicamente le applicazioni ad alto rischio
ID di Azure | ID CIS | Responsabilità |
---|---|---|
6.13 | 2,9 | Customer |
Il software necessario per le operazioni aziendali, ma può comportare un rischio maggiore per l'organizzazione, deve essere isolato all'interno della propria macchina virtuale e/o rete virtuale e/o con una rete sufficientemente protetta con un Firewall di Azure o un gruppo di sicurezza di rete.
Passaggi successivi
- Vedere il successivo controllo sicurezza: Configurazione sicura