Beveiligingsbeheer v3: Assetbeheer
Asset Asset Management heeft betrekking op besturingselementen om de zichtbaarheid en governance van beveiliging over Azure-resources te garanderen, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, toegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en corrigeren).
AM-1: Inventaris van activa en hun risico's bijhouden
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Beveiligingsprincipe: Houd uw assetinventaris bij door query's uit te voeren en al uw cloudresources te detecteren. Organiseer uw assets logisch door uw assets te taggen en te groeperen op basis van hun service-aard, locatie of andere kenmerken. Zorg ervoor dat uw beveiligingsorganisatie toegang heeft tot een continu bijgewerkte inventaris van assets.
Zorg ervoor dat uw beveiligingsorganisatie de risico's van de cloudassets kan bewaken door altijd beveiligingsinzichten en risico's centraal te verzamelen
Richtlijnen voor Azure: De Microsoft Defender voor Cloud inventarisfunctie en Azure Resource Graph kunnen alle resources in uw abonnementen opvragen en detecteren, waaronder Azure-services, -toepassingen en -netwerkbronnen. Organiseer assets logisch volgens de taxonomie van uw organisatie met behulp van tags en andere metagegevens in Azure (naam, beschrijving en categorie).
Zorg ervoor dat beveiligingsorganisaties toegang hebben tot een continu bijgewerkte inventaris van assets in Azure. Beveiligingsteams hebben deze inventaris vaak nodig om de mogelijke blootstelling van hun organisatie aan toekomstige risico's te evalueren, en willen deze inventaris gebruiken als invoer waarmee ze de beveiliging constant kunnen verbeteren.
Zorg ervoor dat beveiligingsorganisaties machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud. De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.
Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.
Implementatie en aanvullende context:
- Query's maken met Azure Resource Graph Explorer
- Microsoft Defender voor Cloud assetinventarisbeheer
- Zie de handleiding voor beslissingen over resourcenamen en taggen voor meer informatie over het taggen van assets
- Overzicht van rol Beveiligingslezer
Belanghebbenden voor klantbeveiliging (meer informatie):
AM-2: Alleen goedgekeurde services gebruiken
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Beveiligingsprincipe: Zorg ervoor dat alleen goedgekeurde cloudservices kunnen worden gebruikt door te controleren en te beperken welke services gebruikers in de omgeving kunnen inrichten.
Richtlijnen voor Azure: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.
Implementatie en aanvullende context:
- Azure Policy configureren en beheren
- Een specifiek resourcetype weigeren met Azure Policy
- Query's maken met Azure Resource Graph Explorer
Belanghebbenden voor klantbeveiliging (meer informatie):
AM-3: Beveiliging van levenscyclusbeheer van assets garanderen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Beveiligingsprincipe: Zorg ervoor dat beveiligingskenmerken of -configuraties van de assets altijd worden bijgewerkt tijdens de levenscyclus van assets.
Richtlijnen voor Azure: Beveiligingsbeleid of -proces instellen of bijwerken dat betrekking heeft op processen voor levenscyclusbeheer van activa voor mogelijk hoge impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, gegevensgevoeligheid, netwerkconfiguratie en toewijzing van beheerdersbevoegdheden.
Verwijder Azure-resources wanneer deze ze niet meer nodig zijn.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
AM-4: Toegang tot assetbeheer beperken
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3,3 | AC-3 | N.v.t. |
Beveiligingsprincipe: Beperk de toegang van gebruikers tot assetbeheerfuncties om onbedoelde of schadelijke wijzigingen van de assets in uw cloud te voorkomen.
Richtlijnen voor Azure: Azure Resource Manager is de implementatie- en beheerservice voor Azure. Het biedt een beheerlaag waarmee u resources (assets) in Azure kunt maken, bijwerken en verwijderen. Gebruik voorwaardelijke toegang van Azure AD om de mogelijkheid van gebruikers te beperken om te communiceren met Azure Resource Manager door 'Toegang blokkeren' te configureren voor de app 'Microsoft Azure beheer'.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Beveiligingsprincipe: Zorg ervoor dat alleen geautoriseerde software wordt uitgevoerd door een acceptatielijst te maken en te blokkeren dat niet-geautoriseerde software wordt uitgevoerd in uw omgeving.
Richtlijnen voor Azure: Gebruik Microsoft Defender voor Cloud adaptieve toepassingsbesturingselementen om een acceptatielijst voor toepassingen te detecteren en te genereren. U kunt ook adaptieve ASC-toepassingsbesturingselementen gebruiken om ervoor te zorgen dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd op Azure Virtual Machines.
Gebruik Azure Automation Wijzigingen bijhouden en inventaris om het verzamelen van inventarisgegevens van uw Windows- en Linux-VM's te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u de datum van de software-installatie en andere informatie wilt ophalen, schakelt u diagnostische gegevens op gastniveau in en stuurt u de Windows gebeurtenislogboeken naar de Log Analytics-werkruimte.
Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren in Azure-rekenresources te beperken.
U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.
Implementatie en aanvullende context:
- Adaptieve toepassingsbesturingselementen gebruiken Microsoft Defender voor Cloud
- Inzicht in Azure Automation Wijzigingen bijhouden en inventaris
- PowerShell-scriptuitvoering beheren in Windows omgevingen
Belanghebbenden voor klantbeveiliging (meer informatie):