Kontrola zabezpieczeń: spis i zarządzanie zasobami

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Zalecenia dotyczące spisu i zarządzania zasobami koncentrują się na rozwiązywaniu problemów związanych z aktywnym zarządzaniem (spisem, śledzeniem i poprawianie) wszystkich zasobów platformy Azure, dzięki czemu tylko autoryzowane zasoby mają dostęp, a zasoby nieautoryzowane i niezarządzane są identyfikowane i usuwane.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Klient

Użyj usługi Azure Resource Graph, aby wykonywać zapytania o wszystkie zasoby (takie jak obliczenia, magazyn, sieć, porty i protokoły itp.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

6.2: Obsługa metadanych elementów zawartości

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6,2 1.5 Klient

Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.3 1.6 Klient

Używaj tagowania, grup zarządzania i oddzielnych subskrypcji, jeśli jest to odpowiednie, do organizowania i śledzenia zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

6.4: Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.4 2.1 Klient

Utwórz spis zatwierdzonych zasobów platformy Azure i zatwierdzone oprogramowanie dla zasobów obliczeniowych zgodnie z potrzebami organizacji.

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.5 2.3, 2.4 Klient

Użyj Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach.

Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich zasobów. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku są zatwierdzone.

6.6: Monitorowanie niezatwierdzonych aplikacji programowych w ramach zasobów obliczeniowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.6 2.3, 2.4 Klient

Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o całym oprogramowaniu na Virtual Machines. Nazwa oprogramowania, Wersja, Wydawca i Czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa i przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

6.7: Usuwanie niezatwierdzonych zasobów i aplikacji platformy Azure

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.7 2.5 Klient

Użyj funkcji monitorowania integralności plików (Change Tracking) i spisu maszyn wirtualnych Azure Security Center, aby zidentyfikować wszystkie oprogramowanie zainstalowane na Virtual Machines. Możesz zaimplementować własny proces usuwania nieautoryzowanego oprogramowania. Możesz również użyć rozwiązania innej firmy do identyfikowania niezatwierdzonego oprogramowania.

6.8: Używanie tylko zatwierdzonych aplikacji

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.8 2,6 Klient

Użyj Azure Security Center adaptacyjnych kontrolek aplikacji, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.9 2,6 Klient

Użyj Azure Policy, aby ograniczyć usługi, które można aprowizować w środowisku.

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.10 2.7 Klient

Użyj Azure Security Center adaptacyjnych kontrolek aplikacji, aby określić typy plików, do których może mieć zastosowanie reguła lub do których nie ma zastosowania.

Zaimplementuj rozwiązanie innych firm, jeśli nie spełnia wymagań.

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.11 2.9 Klient

Użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resources Manager, konfigurując pozycję "Blokuj dostęp" dla aplikacji "Zarządzanie platformą Microsoft Azure".

6.12: Ogranicz możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.12 2.9 Klient

W zależności od typu skryptów można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych platformy Azure. Możesz również skorzystać z Azure Security Center adaptacyjnych kontrolek aplikacji, aby upewnić się, że tylko autoryzowane oprogramowanie jest wykonywane, a wszystkie nieautoryzowane oprogramowanie jest blokowane podczas wykonywania na platformie Azure Virtual Machines.

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Identyfikator platformy Azure Identyfikatory CIS Odpowiedzialność
6.13 2.9 Klient

Oprogramowanie wymagane do operacji biznesowych, ale może wiązać się z większym ryzykiem dla organizacji, powinno być izolowane w ramach własnej maszyny wirtualnej i/lub sieci wirtualnej i/lub sieci wirtualnej i wystarczająco zabezpieczone za pomocą Azure Firewall lub sieciowej grupy zabezpieczeń.

Następne kroki