Управление безопасностью версии 3. Управление активами
Управление ресурсами охватывает меры, касающиеся обеспечения видимости и управления ресурсами Azure. Сюда входят рекомендации по разрешениям для сотрудников служб безопасности, доступу к инвентаризации ресурсов и по управлению утверждениями для ресурсов и служб (инвентаризация, отслеживание и исправление).
AM-1: Отслеживание инвентаризации ресурсов и их рисков
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Принцип безопасности. Отслеживайте инвентаризацию ресурсов, выполняя запрос и обнаружение всех своих облачных ресурсов. Логически упорядочивайте свои ресурсы, присваивая им метки и группируя их на основе параметров службы, расположения или других характеристик. Убедитесь, что ваша организация безопасности имеет доступ к постоянно обновляемой инвентаризации ресурсов.
Убедитесь, что ваша организация безопасности может отслеживать риски облачных ресурсов с помощью централизованного объединения аналитики безопасности и рисков.
Руководство по Azure. Инвентаризация в Microsoft Defender для облака и Azure Resource Graph могут запрашивать и обнаруживать все ресурсы в вашей подписке, включая службы Azure, приложения и сетевые ресурсы. Упорядочите ресурсы логически в соответствии с классификацией вашей организации, используя теги и другие метаданные в Azure (имя, описание и категорию).
Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности.
Убедитесь, что организациям безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака. Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.
Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.
Реализация и дополнительный контекст:
- Как создавать запросы с помощью обозревателя Azure Resource Graph
- Управление инвентаризацией ресурсов в Microsoft Defender для облака
- Дополнительные сведения о присвоении тегов ресурсам см. в руководстве по именованию ресурсов и присвоению тегов
- Общие сведения о роли читателя сведений о безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность инфраструктуры и конечных точек
- Ответственные за управление соответствием требованиям безопасности
AM-2: использование только утвержденных служб
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
2.5, 2.6, 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Принцип безопасности. Обеспечьте использование только утвержденных облачных служб с помощью аудита и ограничений на подготовку служб пользователями в среде.
Руководство по Azure. Используйте Политику Azure, чтобы проводить аудит и устанавливать ограничения на службы, которые пользователи могут подготавливать в среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.
Реализация и дополнительный контекст:
- Настройка Политики Azure и управление ею
- Как отказаться от определенного типа ресурса с помощью Политики Azure
- Как создавать запросы с помощью обозревателя Azure Resource Graph
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Ответственные за управление соответствием требованиям безопасности
- Управление состоянием
AM-3: обеспечение безопасности управления жизненным циклом
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
1.1, 2.1 | CM-8, CM-7 | 2.4 |
Принцип безопасности. Обеспечьте постоянное обновление атрибутов безопасности и конфигураций ресурсов во время жизненного цикла ресурса.
Руководство по Azure. Установите или обновите политики и процессы безопасности, которые относятся к процессам управления жизненным циклом, чтобы внести изменения, которые могут иметь значительные последствия. Например, изменение поставщиков удостоверений и доступа, конфиденциальности данных, конфигурации сети и назначения прав администратора.
Удалите ресурсы Azure, если они больше не нужны.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность инфраструктуры и конечных точек
- Управление состоянием
- Ответственные за управление соответствием требованиям безопасности
AM-4: ограничение доступа к управлению ресурсами
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
3.3 | AC-3 | Н/Д |
Принцип безопасности. Ограничьте доступ пользователей к возможностям управления ресурсами, чтобы избежать их случайного или умышленного изменения в облаке.
Руководство по Azure. Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в Azure. Используйте условный доступ Azure AD, чтобы ограничить пользователям возможность взаимодействия с Azure Resource Manager, настроив блокировку доступа для приложения "Управление Microsoft Azure".
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
AM-5: использование только утвержденных приложений на виртуальной машине
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Принцип безопасности. Обеспечьте выполнение только разрешенного программного обеспечения, создав список разрешений и заблокировав выполнение несанкционированного программного обеспечения в среде.
Руководство по Azure. Воспользуйтесь адаптивными элементами управления приложениями Microsoft Defender для облака, чтобы обнаруживать и создавать список разрешений приложений. Можно также использовать адаптивные элементы управления приложениями Центра безопасности Azure, чтобы обеспечить выполнение только разрешенного программного обеспечения и заблокировать несанкционированное на Виртуальных машинах Azure.
Используйте функцию "Отслеживание изменений и инвентаризация" в службе автоматизации Azure, чтобы автоматизировать сбор данных учета с виртуальных машин Windows и Linux. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и направьте журналы событий Windows в рабочую область Log Analytics.
Вы можете использовать конфигурации для конкретных операционных систем или ресурсы сторонних производителей, чтобы ограничить пользователям запуск скриптов определенного типа в вычислительных ресурсах Azure.
Вы также можете использовать решение сторонних производителей для обнаружения и идентификации несанкционированного программного обеспечения.
Реализация и дополнительный контекст:
- Использование адаптивных элементов управления приложениями в Microsoft Defender для облака
- Общие сведения об отслеживании изменений и инвентаризации в службе автоматизации Azure
- Управление выполнением скриптов PowerShell в средах Windows
Заинтересованные лица по безопасности клиентов (дополнительные сведения):