Säkerhetskontroll: Inventering och tillgångshantering

Anteckning

Den senaste Azure Security Benchmark finns här.

Lager- och tillgångshanteringsrekommendationer fokuserar på att hantera problem som rör aktiv hantering (inventering, spårning och korrekt) alla Azure-resurser så att endast auktoriserade resurser får åtkomst och obehöriga och ohanterade resurser identifieras och tas bort.

6.1: Använd automatiserad tillgångsidentifieringslösning

Azure-ID CIS-ID:n Ansvar
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Kund

Använd Azure Resource Graph för att fråga/identifiera alla resurser (till exempel beräkning, lagring, nätverk, portar och protokoll osv.) i dina prenumerationer. Kontrollera lämpliga (läsbehörigheter) i din klientorganisation och räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Även om klassiska Azure-resurser kan identifieras via Resource Graph rekommenderar vi starkt att du skapar och använder Azure Resource Manager resurser framöver.

6.2: Underhålla tillgångsmetadata

Azure-ID CIS-ID:n Ansvar
6,2 1.5 Kund

Tillämpa taggar på Azure-resurser som ger metadata för att logiskt organisera dem i en taxonomi.

6.3: Ta bort obehöriga Azure-resurser

Azure-ID CIS-ID:n Ansvar
6.3 1.6 Kund

Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra tillgångar. Stämma av inventeringen regelbundet och se till att obehöriga resurser tas bort från prenumerationen i tid.

6.4: Definiera och underhålla en inventering av godkända Azure-resurser

Azure-ID CIS-ID:n Ansvar
6.4 2.1 Kund

Skapa en inventering av godkända Azure-resurser och godkänd programvara för beräkningsresurser enligt organisationens behov.

6.5: Övervaka för ej godkända Azure-resurser

Azure-ID CIS-ID:n Ansvar
6.5 2.3, 2.4 Kund

Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i dina prenumerationer.

Använd Azure Resource Graph för att fråga/identifiera resurser i deras prenumerationer. Kontrollera att alla Azure-resurser som finns i miljön är godkända.

6.6: Övervaka för program som inte har godkänts i beräkningsresurser

Azure-ID CIS-ID:n Ansvar
6.6 2.3, 2.4 Kund

Använd Inventering av virtuella Azure-datorer för att automatisera insamlingen av information om all programvara på Virtual Machines. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar windows-händelseloggarna till en Log Analytics-arbetsyta.

6.7: Ta bort icke godkända Azure-resurser och program

Azure-ID CIS-ID:n Ansvar
6.7 2.5 Kund

Använd Azure Security Center filintegritetsövervakning (Ändringsspårning) och inventering av virtuella datorer för att identifiera all programvara som är installerad på Virtual Machines. Du kan implementera en egen process för att ta bort obehörig programvara. Du kan också använda en tredjepartslösning för att identifiera icke-godkänd programvara.

6.8: Använd endast godkända program

Azure-ID CIS-ID:n Ansvar
6.8 2,6 Kund

Använd Azure Security Center anpassningsbara programkontroller för att säkerställa att endast auktoriserad programvara körs och att all obehörig programvara blockeras från att köras på Azure Virtual Machines.

6.9: Använd endast godkända Azure-tjänster

Azure-ID CIS-ID:n Ansvar
6.9 2,6 Kund

Använd Azure Policy för att begränsa vilka tjänster du kan etablera i din miljö.

6.10: Bevara en förteckning över godkända programvarutitlar

Azure-ID CIS-ID:n Ansvar
6.10 2.7 Kund

Använd Azure Security Center anpassningsbara programkontroller för att ange vilka filtyper en regel kan eller inte gäller för.

Implementera en lösning från tredje part om detta inte uppfyller kravet.

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Azure-ID CIS-ID:n Ansvar
6.11 2.9 Kund

Använd villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resources Manager genom att konfigurera "Blockera åtkomst" för "Microsoft Azure Management"-appen.

6.12: Begränsa användarnas möjlighet att köra skript i beräkningsresurser

Azure-ID CIS-ID:n Ansvar
6.12 2.9 Kund

Beroende på typen av skript kan du använda operativsystemspecifika konfigurationer eller resurser från tredje part för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser. Du kan också använda Azure Security Center anpassningsbara programkontroller för att säkerställa att endast auktoriserad programvara körs och att all obehörig programvara blockeras från att köras på Azure Virtual Machines.

6.13: Fysiskt eller logiskt särskilja högriskprogram

Azure-ID CIS-ID:n Ansvar
6.13 2.9 Kund

Programvara som krävs för affärsverksamhet, men som kan medföra högre risk för organisationen, bör isoleras inom en egen virtuell dator och/eller ett virtuellt nätverk och skyddas tillräckligt med antingen en Azure Firewall eller en nätverkssäkerhetsgrupp.

Nästa steg