Kontrola zabezpieczeń: zarządzanie zasobami
Zarządzanie zasobami obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami, w tym zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie).
AM-1: Śledzenie spisu zasobów i ich ryzyka
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Zasada zabezpieczeń: Śledzenie spisu zasobów przez wykonywanie zapytań i odnajdywanie wszystkich zasobów w chmurze. Logicznie organizuj zasoby, tagując i grupując zasoby na podstawie ich charakteru usługi, lokalizacji lub innych cech. Upewnij się, że organizacja zabezpieczeń ma dostęp do stale aktualizowanego spisu zasobów.
Upewnij się, że organizacja zabezpieczeń może monitorować zagrożenia dla zasobów w chmurze, zawsze mając szczegółowe informacje o zabezpieczeniach i zagrożenia zagregowane centralnie.
Wskazówki dotyczące platformy Azure: funkcja Microsoft Defender spisu w chmurze i usługa Azure Resource Graph mogą wysyłać zapytania o wszystkie zasoby w subskrypcjach i odnajdywać je, w tym usługi platformy Azure, aplikacje i zasoby sieciowe. Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (Nazwa, Opis i Kategoria).
Upewnij się, że organizacje zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń.
Upewnij się, że organizacje zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu Microsoft Defender for Cloud. Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.
Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.
Wskazówki dotyczące platformy GCP: Użyj spisu zasobów chmury Google, aby zapewnić usługi spisu oparte na bazie danych szeregów czasowych. Ta baza danych przechowuje pięciotygodniową historię metadanych zasobów GCP. Usługa eksportowania spisu zasobów w chmurze umożliwia eksportowanie wszystkich metadanych zasobów w określonym znaczniku czasu lub eksportowanie historii zmian zdarzeń w określonym przedziale czasu.
Ponadto usługa Google Cloud Security Command Center obsługuje inną konwencję nazewnictwa. Zasoby są zasobami organizacji Google Cloud. Role zarządzanie dostępem i tożsamościami dla usługi Security Command Center można przyznać na poziomie organizacji, folderu lub projektu. Możliwość wyświetlania, tworzenia lub aktualizowania wyników, zasobów i źródeł zabezpieczeń zależy od poziomu, dla którego udzielono dostępu.
Implementacja GCP i dodatkowy kontekst:
- Spis zasobów w chmurze
- Wprowadzenie do spisu zasobów w chmurze
- Obsługiwane typy zasobów w usłudze Security Command Center
Implementacja platformy Azure i dodatkowy kontekst:
- Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph
- Microsoft Defender do zarządzania spisem zasobów w chmurze
- Aby uzyskać więcej informacji na temat tagowania zasobów, zobacz przewodnik po decyzjach dotyczących nazewnictwa zasobów i tagowania
- Omówienie roli czytelnika zabezpieczeń
Wskazówki dotyczące platformy AWS: funkcja spisu menedżera systemów platformy AWS umożliwia wykonywanie zapytań o wszystkie zasoby w wystąpieniach usługi EC2, w tym szczegóły na poziomie aplikacji i na poziomie systemu operacyjnego. Ponadto użyj grup zasobów platformy AWS — Edytor tagów, aby przeglądać spisy zasobów platformy AWS.
Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie AWS (Nazwa, Opis i Kategoria).
Upewnij się, że organizacje zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie AWS. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń.
Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Korzystanie z usługi Google Cloud Organization Policy Service w celu przeprowadzania inspekcji i ograniczania usług, które użytkownicy mogą aprowizować w danym środowisku. Możesz również użyć funkcji Monitorowania w chmurze w pakiecie Operations Suite i/lub zasadach organizacji, aby utworzyć reguły wyzwalające alerty po wykryciu niezatwierdzonej usługi.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-2: Używaj tylko zatwierdzonych usług
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Zasada zabezpieczeń: Upewnij się, że można używać tylko zatwierdzonych usług w chmurze, przeprowadzając inspekcję i ograniczanie usług, które użytkownicy mogą aprowizować w środowisku.
Wskazówki dotyczące platformy Azure: użyj Azure Policy do przeprowadzania inspekcji i ograniczania usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.
Implementacja platformy Azure i dodatkowy kontekst:
- Konfigurowanie Azure Policy i zarządzanie nimi
- Jak odmówić określonego typu zasobu za pomocą Azure Policy
- Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph
Wskazówki dotyczące platformy AWS: Używanie konfiguracji platformy AWS do przeprowadzania inspekcji i ograniczania użytkowników usług, które mogą aprowizować w danym środowisku. Używanie grup zasobów platformy AWS do wykonywania zapytań dotyczących zasobów i odnajdywania ich na ich kontach. Możesz również użyć narzędzia CloudWatch i/lub konfiguracji platformy AWS, aby utworzyć reguły wyzwalające alerty po wykryciu niezatwierdzonej usługi.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Ustanów lub zaktualizuj zasady zabezpieczeń/proces, który dotyczy procesów zarządzania cyklem życia zasobów w celu modyfikacji potencjalnie mających duży wpływ. Te modyfikacje obejmują zmiany dostawców tożsamości i dostępu, poufne dane, konfigurację sieci i ocenę uprawnień administracyjnych. Użyj Usługi Google Cloud Security Command Center i sprawdź kartę Zgodność zasobów zagrożonych.
Ponadto użyj zautomatyzowanego czyszczenia nieużywanych projektów w chmurze Google i usługi Cloud Recommender, aby udostępnić rekomendacje i szczegółowe informacje dotyczące korzystania z zasobów w usłudze Google Cloud. Te zalecenia i szczegółowe informacje dotyczą poszczególnych produktów lub usług i są generowane na podstawie metod heurystycznych, uczenia maszynowego i bieżącego użycia zasobów.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Zasada zabezpieczeń: Upewnij się, że atrybuty zabezpieczeń lub konfiguracje zasobów są zawsze aktualizowane podczas cyklu życia zasobu.
Wskazówki dotyczące platformy Azure: Ustanów lub zaktualizuj zasady zabezpieczeń/proces, który dotyczy procesów zarządzania cyklem życia zasobów w celu modyfikacji potencjalnie mających duży wpływ. Te modyfikacje obejmują zmiany dostawców tożsamości i dostępu, poziom poufności danych, konfigurację sieci i przypisanie uprawnień administracyjnych.
Identyfikowanie i usuwanie zasobów platformy Azure, gdy nie są już potrzebne.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: Ustanów lub zaktualizuj zasady zabezpieczeń/proces, który dotyczy procesów zarządzania cyklem życia zasobów w celu modyfikacji potencjalnie mających duży wpływ. Te modyfikacje obejmują zmiany dostawców tożsamości i dostępu, poziom poufności danych, konfigurację sieci i przypisanie uprawnień administracyjnych.
Zidentyfikuj i usuń zasoby platformy AWS, gdy nie są już potrzebne.
Implementacja platformy AWS i dodatkowy kontekst:
- Jak mogę sprawdzić aktywne zasoby, których już nie potrzebuję na moim koncie platformy AWS?
- Jak mogę zakończyć aktywne zasoby, których już nie potrzebuję na moim koncie platformy AWS?
Wskazówki dotyczące platformy GCP: użyj usługi Google Cloud Identity and Access Management (IAM), aby ograniczyć dostęp do określonego zasobu. Możesz określić akcje zezwalania lub odmowy, a także warunki, w których są wyzwalane akcje. Można określić jeden warunek lub połączone metody uprawnień na poziomie zasobu, zasad opartych na zasobach, autoryzacji opartej na tagach, poświadczeń tymczasowych lub ról połączonych z usługami, aby mieć szczegółowe mechanizmy kontroli dostępu dla zasobów.
Ponadto można użyć kontrolek usługi VPC, aby chronić przed przypadkowymi lub ukierunkowanymi działaniami przez jednostki zewnętrzne lub wewnętrzne jednostki, co pomaga zminimalizować nieprzyzwoiszone ryzyko eksfiltracji danych przed usługami Google Cloud. Za pomocą kontrolek usługi VPC można tworzyć obwody, które chronią zasoby i dane usług, które jawnie określisz.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Zarządzanie stanem bezpieczeństwa
- Zarządzanie zgodnością z zabezpieczeniami
AM-4: Ograniczanie dostępu do zarządzania zasobami
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Nie dotyczy |
Zasada zabezpieczeń: ogranicz dostęp użytkowników do funkcji zarządzania zasobami, aby uniknąć przypadkowej lub złośliwej modyfikacji zasobów w chmurze.
Wskazówki dotyczące platformy Azure: Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Zapewnia warstwę zarządzania, która umożliwia tworzenie, aktualizowanie i usuwanie zasobów (zasobów) na platformie Azure. Użyj Azure AD dostępu warunkowego, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".
Użyj Access Control opartej na rolach platformy Azure (RBAC) platformy Azure, aby przypisać role do tożsamości w celu kontrolowania ich uprawnień i dostępu do zasobów platformy Azure. Na przykład użytkownik mający tylko rolę "Czytelnik" kontroli dostępu opartej na rolach platformy Azure może wyświetlać wszystkie zasoby, ale nie może wprowadzać żadnych zmian.
Użyj blokad zasobów, aby zapobiec usunięciom lub modyfikacjom zasobów. Blokady zasobów mogą być również administrowane za pośrednictwem usługi Azure Blueprints.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak skonfigurować dostęp warunkowy w celu blokowania dostępu do usługi Azure Resources Manager
- Blokowanie zasobów w celu ochrony infrastruktury
- Ochrona nowych zasobów za pomocą blokad zasobów usługi Azure Blueprints
Wskazówki dotyczące platformy AWS: Ograniczanie dostępu do określonego zasobu za pomocą usługi AWS IAM. Można określić dozwolone lub odrzucane akcje, a także warunki, w których są wyzwalane akcje. Można określić jeden warunek lub połączyć metody uprawnień na poziomie zasobu, zasad opartych na zasobach, autoryzacji opartej na tagach, poświadczeń tymczasowych lub ról połączonych z usługą, aby mieć precyzyjną kontrolę dostępu do zasobów.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące narzędzia GCP: Użyj usługi Google Cloud VM Manager, aby odnaleźć aplikacje zainstalowane w wystąpieniach aparatów obliczeniowych. Za pomocą spisu systemu operacyjnego i zarządzania konfiguracją można upewnić się, że nieautoryzowane oprogramowanie jest blokowane podczas wykonywania w wystąpieniach aparatu obliczeniowego.
Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
AM-5: Używanie tylko zatwierdzonych aplikacji na maszynie wirtualnej
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Zasada zabezpieczeń: upewnij się, że tylko autoryzowane oprogramowanie jest wykonywane przez utworzenie listy dozwolonych i zablokowanie nieautoryzowanego oprogramowania do wykonywania w środowisku.
Wskazówki dotyczące platformy Azure: użyj Microsoft Defender dla funkcji adaptacyjnego sterowania aplikacjami w chmurze, aby odnaleźć i wygenerować listę dozwolonych aplikacji. Możesz również użyć funkcji adaptacyjnego sterowania aplikacjami usługi ASC, aby upewnić się, że tylko autoryzowane oprogramowanie może być wykonywane, a wszystkie nieautoryzowane oprogramowanie jest blokowane podczas wykonywania w usłudze Azure Virtual Machines.
Użyj Azure Automation Śledzenie zmian i spis, aby zautomatyzować zbieranie informacji o spisie z maszyn wirtualnych z systemem Windows i Linux. Informacje o nazwie oprogramowania, wersji, wydawcy i czasie odświeżania są dostępne w Azure Portal. Aby uzyskać datę instalacji oprogramowania i inne informacje, włącz diagnostykę na poziomie gościa i przekierowuj dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.
W zależności od typu skryptów można używać konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów przez użytkowników w zasobach obliczeniowych platformy Azure.
Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak używać Microsoft Defender do adaptacyjnego sterowania aplikacjami w chmurze
- Omówienie Azure Automation Śledzenie zmian i spis
- Jak kontrolować wykonywanie skryptów programu PowerShell w środowiskach systemu Windows
Wskazówki dotyczące platformy AWS: funkcja spisu menedżera systemów AWS umożliwia odnajdywanie aplikacji zainstalowanych w wystąpieniach usługi EC2. Użyj reguł konfiguracji platformy AWS, aby upewnić się, że nieautoryzowane oprogramowanie nie jest wykonywane w wystąpieniach usługi EC2.
Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.
Implementacja platformy AWS i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):