Säkerhetskontroll v3: Tillgångshantering

  • Artikel

Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över Azure-resurser, inklusive rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt).

AM-1: Spåra tillgångslager och deras risker

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Säkerhetsprincip: Spåra tillgångsinventeringen efter fråga och identifiera alla dina molnresurser. Organisera dina tillgångar logiskt genom att tagga och gruppera dina tillgångar baserat på tjänstens natur, plats eller andra egenskaper. Se till att din säkerhetsorganisation har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar.

Se till att din säkerhetsorganisation kan övervaka riskerna med molntillgångarna genom att alltid ha säkerhetsinsikter och risker sammanställda centralt

Azure-vägledning: Inventeringsfunktionen Microsoft Defender för molnet och Azure Resource Graph kan fråga efter och identifiera alla resurser i dina prenumerationer, inklusive Azure-tjänster, program och nätverksresurser. Organisera tillgångar logiskt enligt organisationens taxonomi med hjälp av taggar samt andra metadata i Azure (namn, beskrivning och kategori).

Se till att säkerhetsorganisationer har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure. Säkerhetsteamet behöver den här inventeringen till att utvärdera organisationens potentiella exponering för nya risker samt som indata till löpande förbättringar av säkerheten.

Se till att säkerhetsorganisationer beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet. Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

AM-2: Använd endast godkända tjänster

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Säkerhetsprincip: Se till att endast godkända molntjänster kan användas genom att granska och begränsa vilka tjänster användarna kan etablera i miljön.

Azure-vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

AM-3: Säkerställ säkerheten för livscykelhantering av tillgångar

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Säkerhetsprincip: Se till att säkerhetsattribut eller konfigurationer av tillgångarna alltid uppdateras under tillgångens livscykel.

Azure-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för livscykelhantering av tillgångar för ändringar med potentiellt stor påverkan. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, datakänslighet, nätverkskonfiguration och tilldelning av administratörsbehörighet.

Ta bort Azure-resurser när de inte längre behövs.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

AM-4: Begränsa åtkomsten till tillgångshantering

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
3.3 AC-3 Ej tillämpligt

Säkerhetsprincip: Begränsa användarnas åtkomst till tillgångshanteringsfunktioner för att undvika oavsiktlig eller skadlig ändring av tillgångarna i molnet.

Azure-vägledning: Azure Resource Manager är distributions- och hanteringstjänsten för Azure. Den tillhandahåller ett hanteringslager som gör att du kan skapa, uppdatera och ta bort resurser (tillgångar) i Azure. Använd villkorsstyrd åtkomst i Azure AD för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

AM-5: Använd endast godkända program på en virtuell dator

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Säkerhetsprincip: Se till att endast auktoriserad programvara körs genom att skapa en lista över tillåtna och blockera otillåten programvara från att köras i din miljö.

Azure-vägledning: Använd Microsoft Defender för molnet anpassningsbara programkontroller för att identifiera och generera en lista över tillåtna program. Du kan också använda ASC-anpassningsbara programkontroller för att säkerställa att endast auktoriserad programvara körs och att all obehörig programvara blockeras från att köras på Azure Virtual Machines.

Använd Azure Automation Ändringsspårning och inventering för att automatisera insamlingen av inventeringsinformation från dina virtuella Windows- och Linux-datorer. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill hämta programinstallationsdatum och annan information aktiverar du diagnostik på gästnivå och dirigerar Windows händelseloggar till Log Analytics-arbetsytan.

Beroende på typen av skript kan du använda operativsystemspecifika konfigurationer eller resurser från tredje part för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser.

Du kan också använda en tredjepartslösning för att identifiera och identifiera icke-godkänd programvara.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):