Řízení zabezpečení: Správa inventáře a majetku
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Doporučení pro správu inventáře a prostředků se zaměřují na řešení problémů souvisejících s aktivní správou (inventáře, sledování a oprava) všech prostředků Azure, aby byl udělen přístup jenom autorizovaným prostředkům a nespravované a nespravované prostředky se identifikují a odeberou.
6.1: Použití automatizovaného řešení zjišťování prostředků
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Zákazník |
Pomocí azure Resource Graph můžete dotazovat nebo zjišťovat všechny prostředky (například výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte v tenantovi příslušná oprávnění (číst) a vypíšete všechna předplatná Azure a prostředky v rámci vašich předplatných.
I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager v budoucnu.
6.2: Údržba metadat assetů
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6,2 | 1.5 | Zákazník |
Použijte značky u prostředků Azure, které poskytují metadata, aby je logicky uspořádaly do taxonomie.
6.3: Odstranění neoprávněných prostředků Azure
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.3 | 1.6 | Zákazník |
K uspořádání a sledování prostředků použijte značkování, skupiny pro správu a samostatná předplatná. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.
6.4: Definování a údržba inventáře schválených prostředků Azure
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.4 | 2.1 | Zákazník |
Vytvořte inventář schválených prostředků Azure a schváleného softwaru pro výpočetní prostředky podle našich organizačních potřeb.
6.5: Monitorování pro neschválené prostředky Azure
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.5 | 2.3, 2.4 | Zákazník |
Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit ve vašich předplatných.
Pomocí azure Resource Graph můžete dotazovat nebo zjišťovat prostředky v rámci jejich předplatných. Ujistěte se, že jsou schválené všechny prostředky Azure v prostředí.
6.6: Monitorování neschválené softwarové aplikace ve výpočetních prostředcích
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.6 | 2.3, 2.4 | Zákazník |
Pomocí inventáře virtuálních počítačů Azure můžete automatizovat shromažďování informací o veškerém softwaru na Virtual Machines. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datu instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Systému Windows do pracovního prostoru služby Log Analytics.
6.7: Odebrání neschválené prostředky Azure a softwarových aplikací
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.7 | 2.5 | Zákazník |
Pomocí Azure Security Center monitorování integrity souborů (Change Tracking) a inventáře virtuálních počítačů identifikujte veškerý software nainstalovaný na Virtual Machines. Můžete implementovat vlastní proces pro odebrání neoprávněného softwaru. K identifikaci neschváleného softwaru můžete použít také řešení třetích stran.
6.8: Používejte pouze schválené aplikace.
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.8 | 2,6 | Zákazník |
Pomocí Azure Security Center adaptivních řízení aplikací se ujistěte, že se v Azure Virtual Machines nespustí jenom autorizovaný software a veškerý neautorizovaný software.
6.9: Použití pouze schválených služeb Azure
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.9 | 2,6 | Zákazník |
Pomocí Azure Policy omezte služby, které můžete ve svém prostředí zřídit.
6.10: Údržba inventáře schválených softwarových titulů
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.10 | 2.7 | Zákazník |
Pomocí Azure Security Center Adaptivní řízení aplikací určete typy souborů, na které se pravidlo může nebo nemusí vztahovat.
Implementujte řešení třetích stran, pokud tento požadavek nesplňuje.
6.11: Omezení schopnosti uživatelů pracovat s Azure Resource Manager
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.11 | 2.9 | Zákazník |
Podmíněný přístup Azure můžete použít k omezení schopnosti uživatelů pracovat s Azure Resources Managerem tím, že pro aplikaci Microsoft Azure Management nakonfigurujete možnost Blokovat přístup.
6.12: Omezení schopnosti uživatelů spouštět skripty ve výpočetních prostředcích
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.12 | 2.9 | Zákazník |
V závislosti na typu skriptů můžete použít konkrétní konfigurace operačního systému nebo prostředky třetích stran k omezení schopnosti uživatelů spouštět skripty v rámci výpočetních prostředků Azure. Můžete také využít Azure Security Center adaptivní řízení aplikací, abyste zajistili, že se v Azure Virtual Machines nespustí jenom autorizovaný software a veškerý neautorizovaný software.
6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace
| Azure ID | ID CIS | Odpovědnost |
|---|---|---|
| 6.13 | 2.9 | Zákazník |
Software, který je nutný pro obchodní operace, ale může mít vyšší riziko pro organizaci, by měl být izolovaný v rámci vlastního virtuálního počítače nebo virtuální sítě a dostatečně zabezpečený s Azure Firewall nebo skupinou zabezpečení sítě.
Další kroky
- Podívejte se na další ovládací prvek zabezpečení: Zabezpečená konfigurace