Güvenlik Denetimi V2: Varlık Yönetimi
Not
En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.
Varlık Yönetimi, Azure kaynakları üzerinde güvenlik görünürlüğü ve idaresi sağlamak için denetimleri kapsar. Bu, güvenlik personeline yönelik izinler, varlık envanterine güvenlik erişimi ve hizmetler ve kaynaklar için onayları yönetme (envanter, izleme ve doğru) ile ilgili önerileri içerir.
İlgili yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Ağ Güvenliği
AM-1: Güvenlik ekibinin varlıklarla ilgili riskleri görebildiğinden emin olun
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Güvenlik ekiplerine Azure kiracınızda ve aboneliklerinizde Güvenlik Okuyucusu izinlerinin verildiğini ve böylece Azure Güvenlik Merkezi kullanarak güvenlik risklerini izleyebileceğinden emin olun.
Güvenlik ekibi sorumluluklarının nasıl yapılandırıldığına bağlı olarak, güvenlik risklerini izlemek merkezi bir güvenlik ekibinin veya yerel bir ekibin sorumluluğunda olabilir. Gerçi güvenlik içgörüleri ve risklerinin kuruluş içinde her zaman merkezi bir konumda toplanması gerekir.
Güvenlik Okuyucusu izinleri kiracının tamamına (Kök Yönetim Grubu) geniş kapsamlı olarak uygulanabileceği gibi, izinlerin kapsamı yönetim gruplarıyla veya belirli aboneliklerle de sınırlanabilir.
Not: İş yükleri ve hizmetlerin görünürlüğünü elde etmek için ek izinler gerekebilir.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
AM-2: Güvenlik ekibinin varlık envanterine ve meta verilerine erişebildiğinden emin olun
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Güvenlik ekiplerinin Azure'da sürekli güncelleştirilen varlık envanterine erişebildiğinden emin olun. Güvenlik ekipleri genellikle kuruluşlarının ortaya çıkabilecek risklerden olası etkilenme durumunu değerlendirmek ve sürekli güvenlik geliştirmelerine yönelik giriş sağlamak için bu envantere ihtiyaç duyar.
Azure Güvenlik Merkezi envanteri özelliği ve Azure Kaynak Grafı, Azure hizmetleri, uygulamalar ve ağ kaynakları dahil olmak üzere aboneliklerinizdeki tüm kaynakları sorgulayabilir ve bulabilir.
Etiketlerin yanı sıra Azure'daki diğer meta verileri (Ad, Açıklama ve Kategori) kullanarak varlıkları kuruluşunuzun taksonomisine göre mantıksal olarak düzenleyin.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
AM-3: Yalnızca onaylı Azure hizmetlerini kullanın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Kullanıcılarınızın ortamınızda sağlayabileceği hizmetleri denetlemek ve kısıtlamak için Azure İlkesi'ni kullanın. Abonelikler içindeki kaynakları sorgulamak ve bulmak için Azure Kaynak Grafı'nı kullanın. Ayrıca Azure İzleyici'yi kullanarak onaylanmamış hizmetler algılandığında uyarı tetikleme amacıyla kurallar oluşturabilirsiniz.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
VY-4: Varlık yaşam döngüsü yönetiminin güvenliğini sağlama
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Yüksek etkiye sahip olabilecek değişiklikler için varlık yaşam döngüsü yönetim süreçlerine yönelik güvenlik ilkeleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcıları ve erişim, veri duyarlılığı, ağ yapılandırması ve yönetici ayrıcalığı ataması ile ilgili değişikliklerdir.
Artık gerekmeyen Azure kaynaklarını kaldırın.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
AM-5: Kullanıcıların Azure Resource Manager ile etkileşim kurma becerisini sınırlayın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Kullanıcıların "Microsoft Azure Yönetimi" Uygulaması için "Erişimi engelle" yapılandırarak Azure Resource Manager ile etkileşim kurma becerisini sınırlamak için Azure AD Koşullu Erişim'i kullanın.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
AM-6: İşlem kaynaklarında yalnızca onaylanan uygulamaları kullanın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Azure Sanal Makineler yalnızca yetkili yazılımların yürütülmesini ve tüm yetkisiz yazılımların yürütülmesinin engellendiğinden emin olun.
Bir uygulama izin listesini bulmak ve oluşturmak için Azure Güvenlik Merkezi uyarlamalı uygulama denetimlerini kullanın. Uyarlamalı uygulama denetimlerini yalnızca yetkili yazılımların yürütülmesini ve tüm yetkisiz yazılımların Azure Sanal Makineler'de yürütülmesinin engellendiğinden emin olmak için de kullanabilirsiniz.
Windows ve Linux VM'lerinizden envanter bilgilerinin toplanmasını otomatikleştirmek için Azure Otomasyonu Değişiklik İzleme ve Envanter kullanın. Yazılım adı, sürümü, yayımcısı ve yenileme zamanı Azure portal kullanılabilir. Yazılım yükleme tarihini ve diğer bilgileri almak için konuk düzeyinde tanılamayı etkinleştirin ve Windows Olay Günlüklerini Log Analytics çalışma alanına yönlendirin.
Betiklerin türüne bağlı olarak, kullanıcıların Azure işlem kaynaklarında betik yürütme becerisini sınırlamak için işletim sistemine özgü yapılandırmaları veya üçüncü taraf kaynakları kullanabilirsiniz.
Onaylanmamış yazılımları bulmak ve tanımlamak için bir üçüncü taraf çözümü de kullanabilirsiniz.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):