Säkerhetskontroll: Tillgångshantering
Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över dina resurser, inklusive rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt).
AM-1: Spåra tillgångslager och deras risker
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Säkerhetsprincip: Spåra tillgångsinventeringen efter fråga och identifiera alla dina molnresurser. Organisera dina tillgångar logiskt genom att tagga och gruppera dina tillgångar baserat på tjänstens natur, plats eller andra egenskaper. Se till att din säkerhetsorganisation har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar.
Se till att din säkerhetsorganisation kan övervaka riskerna för molntillgångar genom att alltid ha säkerhetsinsikter och risker aggregerade centralt.
Azure-vägledning: Funktionen Microsoft Defender för molninventering och Azure Resource Graph kan fråga efter och identifiera alla resurser i dina prenumerationer, inklusive Azure-tjänster, program och nätverksresurser. Organisera tillgångar logiskt enligt organisationens taxonomi med hjälp av taggar och andra metadata i Azure (namn, beskrivning och kategori).
Se till att säkerhetsorganisationer har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar.
Se till att säkerhetsorganisationer beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet. Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.
Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.
GCP-vägledning: Använd Google Cloud Asset Inventory för att tillhandahålla inventeringstjänster baserat på en tidsseriedatabas. Den här databasen behåller en fem veckor lång historik över GCP-tillgångsmetadata. Med exporttjänsten Cloud Asset Inventory kan du exportera alla tillgångsmetadata vid en viss tidsstämpel eller exportera händelseändringshistorik under en tidsram.
Dessutom stöder Google Cloud Security Command Center en annan namngivningskonvention. Tillgångar är en organisations Google Cloud-resurser. IAM-rollerna för Security Command Center kan beviljas på organisations-, mapp- eller projektnivå. Din möjlighet att visa, skapa eller uppdatera resultat, tillgångar och säkerhetskällor beror på vilken nivå du beviljas åtkomst för.
GCP-implementering och ytterligare kontext:
- Inventering av molntillgångar
- Introduktion till inventering av molntillgångar
- Tillgångstyper som stöds i Security Command Center
Azure-implementering och ytterligare kontext:
- Skapa frågor med Azure Resource Graph Explorer
- Microsoft Defender för hantering av molntillgångar
- Mer information om taggning av tillgångar finns i beslutsguiden för namngivning och taggning av resurser
- Översikt över säkerhetsläsarrollen
AWS-vägledning: Använd inventeringsfunktionen i AWS Systems Manager för att fråga efter och identifiera alla resurser i dina EC2-instanser, inklusive information om programnivå och operativsystemnivå. Använd dessutom AWS-resursgrupper – Taggredigeraren för att bläddra bland AWS-resursinventeringar.
Ordna tillgångar logiskt enligt organisationens taxonomi med hjälp av taggar och andra metadata i AWS (namn, beskrivning och kategori).
Se till att säkerhetsorganisationer har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar på AWS. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar.
Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud Organization Policy Service för att granska och begränsa vilka tjänster användare kan etablera i din miljö. Du kan också använda molnövervakning i Operations Suite och/eller organisationsprincip för att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst identifieras.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
AM-2: Använd endast godkända tjänster
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Säkerhetsprincip: Se till att endast godkända molntjänster kan användas genom att granska och begränsa vilka tjänster som användare kan etablera i miljön.
Azure-vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.
Azure-implementering och ytterligare kontext:
- Konfigurera och hantera Azure Policy
- Neka en viss resurstyp med Azure Policy
- Skapa frågor med Azure Resource Graph Explorer
AWS-vägledning: Använd AWS-konfiguration för att granska och begränsa vilka tjänster användarna kan etablera i din miljö. Använd AWS-resursgrupper för att fråga efter och identifiera resurser i deras konton. Du kan också använda CloudWatch och/eller AWS Config för att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst identifieras.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för hantering av tillgångars livscykel för ändringar med potentiellt hög påverkan. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, känsliga data, nätverkskonfiguration och utvärdering av administratörsbehörighet. Använd Google Cloud Security Command Center och kontrollera efterlevnadsfliken för tillgångar i riskzonen.
Du kan också använda automatisk rensning av oanvända Google Cloud Projects och tjänsten Cloud Recommender för att ge rekommendationer och insikter om hur du använder resurser i Google Cloud. Dessa rekommendationer och insikter är per produkt eller per tjänst och genereras baserat på heuristiska metoder, maskininlärning och aktuell resursanvändning.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
AM-3: Säkerställ säkerheten för livscykelhantering av tillgångar
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Säkerhetsprincip: Se till att säkerhetsattribut eller konfigurationer av tillgångarna alltid uppdateras under tillgångens livscykel.
Azure-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för hantering av tillgångars livscykel för ändringar med potentiellt stor påverkan. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, känslighetsnivå för data, nätverkskonfiguration och tilldelning av administratörsbehörighet.
Identifiera och ta bort Azure-resurser när de inte längre behövs.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för hantering av tillgångars livscykel för ändringar med potentiellt hög påverkan. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, känslighetsnivå för data, nätverkskonfiguration och tilldelning av administratörsbehörighet.
Identifiera och ta bort AWS-resurser när de inte längre behövs.
AWS-implementering och ytterligare kontext:
- Hur gör jag för att söka efter aktiva resurser som jag inte längre behöver på mitt AWS-konto?
- Hur gör jag för att avsluta aktiva resurser som jag inte längre behöver på mitt AWS-konto?
GCP-vägledning: Använd Google Cloud Identity and Access Management (IAM) för att begränsa åtkomsten till specifika resurser. Du kan ange tillåt eller neka åtgärder samt villkor under vilka åtgärder utlöses. Du kan ange ett villkor eller kombinerade metoder för behörigheter på resursnivå, resursbaserade principer, taggbaserad auktorisering, tillfälliga autentiseringsuppgifter eller tjänstlänkade roller för att få detaljerad kontroll av åtkomstkontroller för dina resurser.
Dessutom kan du använda VPC-tjänstkontroller för att skydda mot oavsiktliga eller riktade åtgärder från externa entiteter eller insiders-entiteter, vilket hjälper till att minimera obefogade dataexfiltreringsrisker från Google Cloud-tjänster. Du kan använda VPC-tjänstkontroller för att skapa perimeterr som skyddar resurser och data för tjänster som du uttryckligen anger.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
AM-4: Begränsa åtkomsten till tillgångshantering
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Ej tillämpligt |
Säkerhetsprincip: Begränsa användarnas åtkomst till tillgångshanteringsfunktioner för att undvika oavsiktlig eller skadlig ändring av tillgångarna i molnet.
Azure-vägledning: Azure Resource Manager är distributions- och hanteringstjänsten för Azure. Den tillhandahåller ett hanteringslager som gör att du kan skapa, uppdatera och ta bort resurser (tillgångar) i Azure. Använd Azure AD villkorlig åtkomst för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".
Använd rollbaserade Azure-Access Control (Azure RBAC) för att tilldela roller till identiteter för att styra deras behörigheter och åtkomst till Azure-resurser. Till exempel kan en användare med endast Azure RBAC-rollen Läsare visa alla resurser, men inte göra några ändringar.
Använd resurslås för att förhindra borttagning eller ändringar av resurser. Resurslås kan också administreras via Azure Blueprints.
Azure-implementering och ytterligare kontext:
- Så här konfigurerar du villkorlig åtkomst för att blockera åtkomst till Azure Resources Manager
- Lås dina resurser för att skydda infrastrukturen
- Skydda nya resurser med Azure Blueprints-resurslås
AWS-vägledning: Använd AWS IAM för att begränsa åtkomsten till en specifik resurs. Du kan ange tillåtna eller nekande åtgärder samt de villkor under vilka åtgärder utlöses. Du kan ange ett villkor eller kombinera metoder för behörigheter på resursnivå, resursbaserade principer, taggbaserad auktorisering, tillfälliga autentiseringsuppgifter eller tjänstlänkade roller för att ha en detaljerad kontroll av åtkomstkontroll för dina resurser.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud VM Manager för att identifiera de program som är installerade på Compute Engines-instanser. Operativsystemets inventering och konfigurationshantering kan användas för att säkerställa att icke-auktoriserad programvara blockeras från att köras på Compute Engine-instanser.
Du kan också använda en tredjepartslösning för att identifiera och identifiera icke-godkänd programvara.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
AM-5: Använd endast godkända program på en virtuell dator
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Säkerhetsprincip: Se till att endast auktoriserad programvara körs genom att skapa en lista över tillåtna och blockera otillåten programvara från att köras i din miljö.
Azure-vägledning: Använd Microsoft Defender för molnanpassade programkontroller för att identifiera och generera en lista över tillåtna program. Du kan också använda ASC-anpassningsbara programkontroller för att säkerställa att endast auktoriserad programvara kan köras och att all obehörig programvara blockeras från att köras på Azure Virtual Machines.
Använd Azure Automation Ändringsspårning och inventering för att automatisera insamlingen av inventeringsinformation från dina virtuella Windows- och Linux-datorer. Information om programvarunamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill hämta programinstallationsdatum och annan information aktiverar du diagnostik på gästnivå och dirigerar Windows-händelseloggarna till en Log Analytics-arbetsyta.
Beroende på typen av skript kan du använda operativsystemspecifika konfigurationer eller resurser från tredje part för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser.
Du kan också använda en tredjepartslösning för att identifiera och identifiera icke-godkänd programvara.
Azure-implementering och ytterligare kontext:
- Så här använder du Microsoft Defender för molnanpassade programkontroller
- Förstå Azure Automation Ändringsspårning och inventering
- Så här styr du PowerShell-skriptkörning i Windows-miljöer
AWS-vägledning: Använd inventeringsfunktionen i AWS Systems Manager för att identifiera de program som är installerade i dina EC2-instanser. Använd AWS-konfigurationsregler för att säkerställa att icke-auktoriserad programvara blockeras från att köras på EC2-instanser.
Du kan också använda en tredjepartslösning för att identifiera och identifiera icke-godkänd programvara.
AWS-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):