Controllo di sicurezza v3: Gestione degli asset
Gestione asset copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse di Azure, inclusi i consigli sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per servizi e risorse (inventario, monitoraggio e correzione).
AM-1: Tenere traccia dell'inventario delle risorse e dei relativi rischi
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Principio di sicurezza: Tenere traccia dell'inventario degli asset eseguendo una query e individuare tutte le risorse cloud. Organizzare logicamente gli asset contrassegnando e raggruppando gli asset in base alla natura del servizio, alla posizione o ad altre caratteristiche. Assicurarsi che l'organizzazione della sicurezza abbia accesso a un inventario aggiornato continuamente degli asset.
Assicurarsi che l'organizzazione della sicurezza possa monitorare i rischi degli asset cloud avendo sempre informazioni dettagliate sulla sicurezza e rischi aggregati centralmente
Linee guida di Azure: La funzionalità di inventario di Microsoft Defender for Cloud e Azure Resource Graph possono eseguire query su e individuare tutte le risorse nelle sottoscrizioni, inclusi servizi, applicazioni e risorse di rete di Azure. Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in Azure (nome, descrizione e categoria).
Assicurarsi che le organizzazioni di sicurezza abbiano accesso a un inventario aggiornato continuamente degli asset in Azure. I team di sicurezza spesso necessitano di questo inventario per valutare la potenziale esposizione dell'organizzazione ai rischi emergenti e come input per miglioramenti continui della sicurezza.
Assicurarsi che alle organizzazioni di sicurezza vengano concesse autorizzazioni di lettura per la sicurezza nel tenant e nelle sottoscrizioni di Azure in modo che possano monitorare i rischi per la sicurezza usando Microsoft Defender for Cloud. Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) oppure a gruppi di gestione o a sottoscrizioni specifiche.
Nota: potrebbero essere necessarie anche altre autorizzazioni per ottenere visibilità sui carichi di lavoro e i servizi.
Implementazione e contesto aggiuntivo:
- Come creare query con Azure Resource Graph Explorer
- Gestione dell'inventario degli asset di Microsoft Defender for Cloud
- Per altre informazioni sull'assegnazione di tag agli asset, vedere la guida alle decisioni di denominazione e assegnazione di tag alle risorse
- Panoramica del ruolo con autorizzazioni di lettura per la sicurezza
Stakeholder della sicurezza dei clienti (Altre informazioni):
AM-2: usare solo i servizi approvati
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Principio di sicurezza: Assicurarsi che sia possibile usare solo i servizi cloud approvati, controllando e limitando i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente.
Linee guida di Azure: Usare Criteri di Azure per controllare e limitare i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente. Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. È anche possibile usare Monitoraggio di Azure per creare regole per attivare gli avvisi quando viene rilevato un servizio non approvato.
Implementazione e contesto aggiuntivo:
- Configurare e gestire Criteri di Azure
- Come negare un tipo di risorsa specifico con Criteri di Azure
- Come creare query con Azure Resource Graph Explorer
Stakeholder della sicurezza dei clienti (Altre informazioni):
AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Principio di sicurezza: Assicurarsi che gli attributi o le configurazioni di sicurezza degli asset vengano sempre aggiornati durante il ciclo di vita dell'asset.
Linee guida di Azure: Stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad impatto elevato. Queste modifiche includono modifiche ai provider di identità e all'accesso, alla riservatezza dei dati, alla configurazione di rete e all'assegnazione dei privilegi amministrativi.
Rimuovere le risorse di Azure quando non sono più necessarie.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Gestione della postura
- Gestione della conformità della sicurezza
AM-4: Limitare l'accesso alla gestione degli asset
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/D |
Principio di sicurezza: Limitare l'accesso degli utenti alle funzionalità di gestione degli asset per evitare modifiche accidentali o dannose degli asset nel cloud.
Linee guida di Azure: Azure Resource Manager è il servizio di distribuzione e gestione per Azure. Fornisce un livello di gestione che consente di creare, aggiornare ed eliminare risorse (asset) in Azure. Usare Azure AD accesso condizionale per limitare la capacità degli utenti di interagire con Azure Resource Manager configurando "Blocca l'accesso" per l'app "gestione Microsoft Azure".
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
AM-5: usare solo le applicazioni approvate nella macchina virtuale
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Principio di sicurezza: Assicurarsi che solo il software autorizzato venga eseguito creando un elenco di elementi consentiti e bloccando l'esecuzione del software non autorizzato nell'ambiente.
Linee guida di Azure: Usare i controlli applicazioni adattivi di Microsoft Defender for Cloud per individuare e generare un elenco di applicazioni consentite. È anche possibile usare i controlli applicazioni adattivi del Centro sicurezza di Azure per assicurarsi che venga eseguito solo il software autorizzato e che tutto il software non autorizzato sia bloccato dall'esecuzione in Azure Macchine virtuali.
Usare Automazione di Azure Rilevamento modifiche e inventario per automatizzare la raccolta di informazioni di inventario dalle macchine virtuali Windows e Linux. Il nome software, la versione, l'editore e l'ora di aggiornamento sono disponibili dal portale di Azure. Per ottenere la data di installazione del software e altre informazioni, abilitare la diagnostica a livello di guest e indirizzare i log eventi Windows all'area di lavoro Log Analytics.
A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script nelle risorse di calcolo di Azure.
È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.
Implementazione e contesto aggiuntivo:
- Come usare i controlli applicazioni adattivi di Microsoft Defender for Cloud
- Informazioni su Automazione di Azure Rilevamento modifiche e inventario
- Come controllare l'esecuzione di script di PowerShell in ambienti Windows
Stakeholder della sicurezza dei clienti (altre informazioni):