Управление безопасностью версии 3. Управление активами

Управление ресурсами охватывает меры, касающиеся обеспечения видимости и управления ресурсами Azure. Сюда входят рекомендации по разрешениям для сотрудников служб безопасности, доступу к инвентаризации ресурсов и по управлению утверждениями для ресурсов и служб (инвентаризация, отслеживание и исправление).

AM-1: Отслеживание инвентаризации ресурсов и их рисков

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Принцип безопасности. Отслеживайте инвентаризацию ресурсов, выполняя запрос и обнаружение всех своих облачных ресурсов. Логически упорядочивайте свои ресурсы, присваивая им метки и группируя их на основе параметров службы, расположения или других характеристик. Убедитесь, что ваша организация безопасности имеет доступ к постоянно обновляемой инвентаризации ресурсов.

Убедитесь, что ваша организация безопасности может отслеживать риски облачных ресурсов с помощью централизованного объединения аналитики безопасности и рисков.

Руководство по Azure. Инвентаризация в Microsoft Defender для облака и Azure Resource Graph могут запрашивать и обнаруживать все ресурсы в вашей подписке, включая службы Azure, приложения и сетевые ресурсы. Упорядочите ресурсы логически в соответствии с классификацией вашей организации, используя теги и другие метаданные в Azure (имя, описание и категорию).

Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности.

Убедитесь, что организациям безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака. Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-2: использование только утвержденных служб

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, PM-5 6.3

Принцип безопасности. Обеспечьте использование только утвержденных облачных служб с помощью аудита и ограничений на подготовку служб пользователями в среде.

Руководство по Azure. Используйте Политику Azure, чтобы проводить аудит и устанавливать ограничения на службы, которые пользователи могут подготавливать в среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-3: обеспечение безопасности управления жизненным циклом

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Принцип безопасности. Обеспечьте постоянное обновление атрибутов безопасности и конфигураций ресурсов во время жизненного цикла ресурса.

Руководство по Azure. Установите или обновите политики и процессы безопасности, которые относятся к процессам управления жизненным циклом, чтобы внести изменения, которые могут иметь значительные последствия. Например, изменение поставщиков удостоверений и доступа, конфиденциальности данных, конфигурации сети и назначения прав администратора.

Удалите ресурсы Azure, если они больше не нужны.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-4: ограничение доступа к управлению ресурсами

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
3.3 AC-3 Н/Д

Принцип безопасности. Ограничьте доступ пользователей к возможностям управления ресурсами, чтобы избежать их случайного или умышленного изменения в облаке.

Руководство по Azure. Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в Azure. Используйте условный доступ Azure AD, чтобы ограничить пользователям возможность взаимодействия с Azure Resource Manager, настроив блокировку доступа для приложения "Управление Microsoft Azure".

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-5: использование только утвержденных приложений на виртуальной машине

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Принцип безопасности. Обеспечьте выполнение только разрешенного программного обеспечения, создав список разрешений и заблокировав выполнение несанкционированного программного обеспечения в среде.

Руководство по Azure. Воспользуйтесь адаптивными элементами управления приложениями Microsoft Defender для облака, чтобы обнаруживать и создавать список разрешений приложений. Можно также использовать адаптивные элементы управления приложениями Центра безопасности Azure, чтобы обеспечить выполнение только разрешенного программного обеспечения и заблокировать несанкционированное на Виртуальных машинах Azure.

Используйте функцию "Отслеживание изменений и инвентаризация" в службе автоматизации Azure, чтобы автоматизировать сбор данных учета с виртуальных машин Windows и Linux. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и направьте журналы событий Windows в рабочую область Log Analytics.

Вы можете использовать конфигурации для конкретных операционных систем или ресурсы сторонних производителей, чтобы ограничить пользователям запуск скриптов определенного типа в вычислительных ресурсах Azure.

Вы также можете использовать решение сторонних производителей для обнаружения и идентификации несанкционированного программного обеспечения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):