安全控制 v3:资产管理
资产管理包括用于确保 Azure 资源安全可见性和治理的控制措施,包括以下几方面的建议:安全人员的权限、对资产清单的安全访问,以及管理对服务和资源的审批(盘点、跟踪和更正)。
AM-1:跟踪资产清单及其风险
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1、1.5、2.1、2.4 | CM-8、PM-5 | 2.4 |
安全原则:通过查询跟踪资产清单并发现所有云资源。 根据资产的服务性质、位置或其他特征,对资产进行标记和分组,以便从逻辑上组织资产。 确保安全组织能够访问不断更新的资产清单。
通过始终集中汇总安全见解和风险,确保安全组织能够监视云资产的风险
Azure 指导:Microsoft Defender for Cloud 清单功能和 Azure Resource Graph 可以查询和发现订阅中的所有资源,包括 Azure 服务、应用程序和网络资源。 请使用 Azure 中的标记以及其他元数据(名称、说明和类别)以合乎逻辑的方式组织资产。
确保安全组织有权访问 Azure 上持续更新的资产清单。 安全团队通常需要此清单,以评估其组织遭遇新兴风险的可能性,并根据它不断提高安全性。
确保在 Azure 租户和订阅中向安全组织授予安全读取者权限,以便他们可以使用 Microsoft Defender for Cloud 监视安全风险。 安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。
注意:若要了解工作负载和服务,可能需要更多权限。
实现和其他上下文:
- 如何使用 Azure Resource Graph 浏览器创建查询
- Microsoft Defender for Cloud 资产清单管理
- 有关标记资产的详细信息,请参阅资源命名和标记决策指南
- 安全读取者角色概述
客户安全利益干系人(了解详细信息):
AM-2:仅使用已获批准的服务
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5、2.6、2.7、4.8 | CM-8、PM-5 | 6.3 |
安全原则:通过审核和限制用户可在环境中预配的服务,确保仅可使用已获批准的云服务。
Azure 指导:使用 Azure Policy 来审核和限制用户可在环境中预配的服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-3:确保资产生命周期管理的安全
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1、2.1 | CM-8、CM-7 | 2.4 |
安全原则:确保资产的安全属性或配置在资产生命周期内将会一直更新。
Azure 指导:建立或更新安全策略/流程,用于应对资产生命周期管理过程的可能具有重大影响的修改。 这些修改包括对以下内容的更改:标识提供者和访问权限、数据敏感度、网络配置,以及管理特权分配。
如果不再需要 Azure 资源,请将其删除。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-4:限制对资产管理的访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | 空值 |
安全原则:限制用户对资产管理功能的访问,避免意外或恶意修改云中的资产。
Azure 指导:Azure 资源管理器是 Azure 的部署和管理服务。 它提供了一个管理层,用于在 Azure 中创建、更新和删除资源(资产)。 使用 Azure AD 条件访问可通过为“Microsoft Azure 管理”应用配置“阻止访问”,限制用户与 Azure 资源管理器进行交互的能力。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-5:仅在虚拟机中使用已获批准的应用程序
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5、2.6、2.7、4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
安全原则:通过创建允许列表并阻止未经授权的软件在环境中执行,确保仅已授权的软件才能执行。
Azure 指导:使用 Microsoft Defender for Cloud 自适应应用程序控制来发现和生成应用程序允许列表。 你也可以使用 ASC 自适应应用程序控制来确保在 Azure 虚拟机上只执行已经过授权的软件,并阻止执行所有未经授权的软件。
请使用 Azure 自动化更改跟踪和清单来自动收集 Windows 和 Linux VM 中的清单信息。 可从 Azure 门户获得软件名称、版本、发布者和刷新时间。 若要获取软件安装日期和其他信息,请启用来宾级诊断,并将 Windows 事件日志定向到 Log Analytics 工作区。
根据脚本类型的不同,可以使用特定于操作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。
也可以使用第三方解决方案来发现和标识未经批准的软件。
实现和其他上下文:
客户安全利益干系人(了解详细信息):