Controle de segurança: Inventário e Gerenciamento de Ativos
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
As recomendações de Gerenciamento de Inventário e Ativos concentram-se em resolver problemas relacionados ao gerenciamento ativo (inventário, controle e correção) de todos os recursos do Azure para que apenas os recursos autorizados recebam acesso e recursos não autorizados e não gerenciados sejam identificados e removidos.
6.1: Usar uma solução Descoberta de Ativos automatizada
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Cliente |
Use o Azure Resource Graph para consultar/descobrir todos os recursos (como computação, armazenamento, rede, portas, protocolos etc.) em suas assinaturas. Configure permissões apropriadas (leitura) no seu locatário e enumere todas as assinaturas do Azure, bem como os recursos em suas assinaturas.
Embora os recursos clássicos do Azure possam ser descobertos por meio do Resource Graph, é altamente recomendável criar e usar recursos do Azure Resource Manager no futuro.
6.2: Manter metadados de ativo
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.2 | 1.5 | Cliente |
Aplique marcas aos recursos do Azure, fornecendo metadados para organizá-los logicamente em uma taxonomia.
6.3: Excluir recursos do Azure não autorizados
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.3 | 1.6 | Cliente |
Use marcação, grupos de gerenciamento e assinaturas separadas, sempre que apropriado, para organizar e acompanhar ativos. Reconcilie o inventário regularmente e garanta que os recursos não autorizados sejam excluídos da assinatura em tempo hábil.
6.4: Definir e manter um inventário de recursos aprovados do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.4 | 2.1 | Cliente |
Crie um inventário dos recursos aprovados do Azure e do software aprovado para recursos de computação de acordo com nossas necessidades organizacionais.
6.5: Monitorar recursos do Azure não aprovados
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.5 | 2.3, 2.4 | Cliente |
Use o Azure Policy para restringir os tipos de recursos criados na(s) sua(s) assinatura(s).
Use o Azure Resource Graph para consultar/descobrir recursos em suas assinaturas. Verifique se todos os recursos do Azure presentes no ambiente foram aprovados.
6.6: Monitorar aplicativos de software não aprovados nos recursos de computação
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.6 | 2.3, 2.4 | Cliente |
Use o inventário de máquina virtual do Azure para automatizar a coleta de informações sobre todos os softwares em Máquinas Virtuais. O nome do software, a versão, o distribuidor e o tempo de atualização estão disponíveis no portal do Azure. Para obter acesso à data de instalação e outras informações, habilite o diagnóstico de nível de convidado e leve os Logs de Eventos do Windows para um workspace do Log Analytics.
6.7: Remover recursos e aplicativos de software não aprovados do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.7 | 2.5 | Cliente |
Use o Controle de Alterações (Monitoramento de Integridade de Arquivo) e o inventário de máquina virtual da Central de Segurança do Azure para identificar todos os softwares instalados nas Máquinas Virtuais. Você pode implementar seu próprio processo para remover softwares não autorizados. Pode também usar uma solução terceirizada para identificar softwares não aprovados.
6.8: Usar somente aplicativos aprovados
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6,8 | 2.6 | Cliente |
Use os controles de aplicativo adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e todos os softwares não autorizados sejam impedidos de serem executados nas Máquinas Virtuais do Azure.
6.9: usar somente serviços do Azure aprovados
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.9 | 2.6 | Cliente |
Use o Azure Policy para restringir quais serviços você pode provisionar no seu ambiente.
6.10: Manter um inventário de nomes de software aprovados
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.10 | 2.7 | Cliente |
Use os Controles de Aplicativo Adaptáveis da Central de Segurança do Azure para especificar para quais tipos de arquivo uma regra pode ou não se aplicar.
Implemente uma solução terceirizada se isso não atender ao requisito.
6.11: Limitar a capacidade de interação dos usuários com o Azure Resource Manager
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.11 | 2,9 | Cliente |
Use o Acesso Condicional do Azure para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo de "Gerenciamento do Microsoft Azure".
6.12: limitar a capacidade dos usuários de executar scripts nos recursos de computação
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.12 | 2,9 | Cliente |
Dependendo da natureza dos scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts nos recursos de computação do Azure. Você também pode aproveitar os controles de aplicativos adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e todos aqueles não autorizados tenham a execução impedida nas Máquinas Virtuais do Azure.
Como controlar a execução de script do PowerShell em ambientes Windows
Como usar os controles de aplicativos adaptáveis da Central de Segurança do Azure
6.13: separar física ou logicamente os aplicativos de alto risco
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 6.13 | 2,9 | Cliente |
O software que for necessário para operações de negócios, mas que pode incorrer em um risco maior para a organização, deve ser isolado em sua própria máquina virtual e/ou ambiente virtual e suficientemente protegido com um Firewall do Azure ou Grupo de Segurança de Rede.
Próximas etapas
- Consulte o próximo Controle de Segurança: Configuração Segura