Security Control v3: Zarządzanie zasobami
Usługa Asset Asset Management obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami platformy Azure, w tym zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie).
AM-1: Śledzenie spisu zasobów i ich ryzyka
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Zasada zabezpieczeń: Śledzenie spisu zasobów według zapytania i odnajdywanie wszystkich zasobów w chmurze. Logicznie organizuj zasoby, tagując i grupując zasoby na podstawie ich charakteru usługi, lokalizacji lub innych cech. Upewnij się, że organizacja zabezpieczeń ma dostęp do stale aktualizowanego spisu zasobów.
Upewnij się, że organizacja zabezpieczeń może monitorować zagrożenia związane z zasobami w chmurze, zawsze mając wgląd w zabezpieczenia i zagrożenia zagregowane centralnie
Wskazówki dotyczące platformy Azure: Funkcja spisu Microsoft Defender dla Chmury i usługa Azure Resource Graph mogą wysyłać zapytania o wszystkie zasoby w subskrypcjach i odnajdywać je, w tym usługi platformy Azure, aplikacje i zasoby sieciowe. Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (Nazwa, Opis i Kategoria).
Upewnij się, że organizacje zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby oszacować potencjalne zagrożenie w organizacji do pojawiających się zagrożeń i jako dane wejściowe w celu ciągłego ulepszania zabezpieczeń.
Upewnij się, że organizacje zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu Microsoft Defender dla Chmury. Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.
Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.
Implementacja i dodatkowy kontekst:
- Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph
- zarządzanie spisem zasobów Microsoft Defender dla Chmury
- Aby uzyskać więcej informacji na temat tagowania zasobów, zobacz przewodnik po decyzjach dotyczących nazewnictwa zasobów i tagowania
- Omówienie roli czytelnika zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-2: Używaj tylko zatwierdzonych usług
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Zasada zabezpieczeń: Upewnij się, że można używać tylko zatwierdzonych usług w chmurze, przeprowadzając inspekcję i ograniczanie usług, które użytkownicy mogą aprowizować w środowisku.
Wskazówki dotyczące platformy Azure: Użyj Azure Policy do przeprowadzania inspekcji i ograniczania usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.
Implementacja i dodatkowy kontekst:
- Konfigurowanie Azure Policy i zarządzanie nimi
- Jak odmówić określonego typu zasobu za pomocą Azure Policy
- Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Zasada zabezpieczeń: Upewnij się, że atrybuty zabezpieczeń lub konfiguracje zasobów są zawsze aktualizowane podczas cyklu życia zasobu.
Wskazówki dotyczące platformy Azure: Ustanów lub zaktualizuj zasady zabezpieczeń/proces, który dotyczy procesów zarządzania cyklem życia zasobów w celu modyfikacji potencjalnie mających duży wpływ. Te modyfikacje obejmują zmiany dostawców tożsamości i dostępu, poufność danych, konfigurację sieci i przypisywanie uprawnień administracyjnych.
Usuń zasoby platformy Azure, gdy nie są już potrzebne.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Zarządzanie stanem bezpieczeństwa
- Zarządzanie zgodnością zabezpieczeń
AM-4: Ograniczanie dostępu do zarządzania zasobami
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Nie dotyczy |
Zasada zabezpieczeń: Ogranicz dostęp użytkowników do funkcji zarządzania zasobami, aby uniknąć przypadkowej lub złośliwej modyfikacji zasobów w chmurze.
Wskazówki dotyczące platformy Azure: Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Zapewnia warstwę zarządzania, która umożliwia tworzenie, aktualizowanie i usuwanie zasobów (zasobów) na platformie Azure. Użyj dostępu warunkowego usługi Azure AD, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "zarządzanie Microsoft Azure".
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Zasada zabezpieczeń: Upewnij się, że tylko autoryzowane oprogramowanie jest wykonywane przez utworzenie listy dozwolonych i zablokowanie nieautoryzowanego oprogramowania do wykonywania w środowisku.
Wskazówki dotyczące platformy Azure: Użyj Microsoft Defender dla Chmury funkcji adaptacyjnego sterowania aplikacjami, aby odnaleźć i wygenerować listę dozwolonych aplikacji. Możesz również użyć funkcji adaptacyjnego sterowania aplikacjami usługi ASC, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.
Użyj Azure Automation Śledzenie zmian i spis, aby zautomatyzować zbieranie informacji o spisie z Windows i maszyn wirtualnych z systemem Linux. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać datę instalacji oprogramowania i inne informacje, włącz diagnostykę na poziomie gościa i skierować dzienniki zdarzeń Windows do obszaru roboczego usługi Log Analytics.
W zależności od typu skryptów można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć użytkownikom możliwość wykonywania skryptów w zasobach obliczeniowych platformy Azure.
Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.
Implementacja i dodatkowy kontekst:
- Jak używać Microsoft Defender dla Chmury adaptacyjnych kontrolek aplikacji
- Omówienie Azure Automation Śledzenie zmian i spis
- Jak kontrolować wykonywanie skryptów programu PowerShell w środowiskach Windows
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):