Řízení zabezpečení: Správa prostředků
Správa prostředků zahrnuje kontrolní mechanismy, které zajišťují viditelnost zabezpečení a zásady správného řízení u vašich prostředků, včetně doporučení k oprávněním pro bezpečnostní pracovníky, přístupu zabezpečení k inventáři prostředků a správy schválení pro služby a prostředky (inventář, sledování a správnost).
AM-1: Sledování inventáře aktiv a jejich rizik
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Princip zabezpečení: Sledujte inventář prostředků pomocí dotazu a objevte všechny cloudové prostředky. Prostředky můžete logicky uspořádat tak, že je označíte a seskupíte podle jejich povahy služby, umístění nebo jiných vlastností. Ujistěte se, že vaše organizace zabezpečení má přístup k průběžně aktualizovanému inventáři prostředků.
Ujistěte se, že vaše organizace zabezpečení může monitorovat rizika pro cloudové prostředky tím, že bude mít vždy centrálně agregované přehledy o zabezpečení a rizika.
Pokyny pro Azure: Funkce Microsoft Defender pro cloudový inventář a Azure Resource Graph můžou dotazovat a zjišťovat všechny prostředky ve vašich předplatných, včetně služeb, aplikací a síťových prostředků Azure. Prostředky můžete logicky uspořádat podle taxonomie vaší organizace pomocí značek a dalších metadat v Azure (Název, Popis a Kategorie).
Zajistěte, aby bezpečnostní organizace měly přístup k průběžně aktualizovanému inventáři prostředků v Azure. Bezpečnostní týmy často potřebují tento inventář, aby vyhodnotily potenciální vystavení své organizace vznikajícím rizikům a jako vstup pro neustálé zlepšování zabezpečení.
Ujistěte se, že organizace zabezpečení mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení, aby mohly monitorovat bezpečnostní rizika pomocí Microsoft Defender pro cloud. Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.
Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.
Pokyny pro GCP: K poskytování inventarizačních služeb založených na databázi časových řad použijte službu Google Cloud Asset Inventory. Tato databáze uchovává pětitýdenní historii metadat prostředků GCP. Služba exportu inventáře cloudových prostředků umožňuje exportovat všechna metadata aktiv v určitém časovém razítku nebo exportovat historii změn událostí během určitého časového rámce.
Kromě toho Google Cloud Security Command Center podporuje jiné zásady vytváření názvů. Prostředky jsou prostředky služby Google Cloud organizace. Role IAM pro Security Command Center je možné udělit na úrovni organizace, složky nebo projektu. Vaše schopnost zobrazit, vytvořit nebo aktualizovat zjištění, prostředky a zdroje zabezpečení závisí na úrovni, pro kterou máte udělený přístup.
Implementace GCP a další kontext:
- Inventář cloudových prostředků
- Úvod do inventáře cloudových prostředků
- Podporované typy prostředků ve službě Security Command Center
Implementace Azure a další kontext:
- Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu
- Microsoft Defender pro správu inventáře cloudových prostředků
- Další informace o označování prostředků najdete v průvodci rozhodováním o pojmenování a označování prostředků.
- Přehled role Čtenář zabezpečení
Pokyny pro AWS: Pomocí funkce inventáře AWS Systems Manageru můžete dotazovat a zjišťovat všechny prostředky v instancích EC2, včetně podrobností o úrovni aplikace a operačního systému. Kromě toho můžete pomocí AWS Resource Groups – Tag Editor procházet inventáře prostředků AWS.
Prostředky můžete logicky uspořádat podle taxonomie vaší organizace pomocí značek a dalších metadat v AWS (Name, Description a Category).
Zajistěte, aby bezpečnostní organizace měly přístup k průběžně aktualizovanému inventáři prostředků v AWS. Bezpečnostní týmy často potřebují tento inventář, aby vyhodnotily potenciální vystavení své organizace vznikajícím rizikům a jako vstup pro neustálé zlepšování zabezpečení.
Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.
Implementace AWS a další kontext:
Pokyny pro GCP: Pomocí služby Zásad organizace v cloudu Google můžete auditovat a omezit služby, které můžou uživatelé ve vašem prostředí zřizovat. Můžete také použít monitorování cloudu v Operations Suite nebo zásadách organizace k vytvoření pravidel pro aktivaci upozornění při zjištění neschválené služby.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :
AM-2: Používejte jenom schválené služby
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Princip zabezpečení: Zajistěte, aby bylo možné používat jenom schválené cloudové služby, a to auditováním a omezením služeb, které můžou uživatelé v prostředí zřizovat.
Pokyny pro Azure: Pomocí Azure Policy můžete auditovat a omezit služby, které můžou uživatelé ve vašem prostředí zřizovat. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.
Implementace Azure a další kontext:
- Konfigurace a správa Azure Policy
- Jak odepřít konkrétní typ prostředku pomocí Azure Policy
- Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu
Pokyny pro AWS: Pomocí konfigurace AWS můžete auditovat a omezit služby, které můžou uživatelé ve vašem prostředí zřizovat. Pomocí skupin prostředků AWS můžete dotazovat a zjišťovat prostředky v rámci jejich účtů. Můžete také použít CloudWatch a/nebo AWS Config k vytvoření pravidel pro aktivaci upozornění při zjištění neschválené služby.
Implementace AWS a další kontext:
Pokyny GCP: Vytvořte nebo aktualizujte zásady nebo procesy zabezpečení, které řeší procesy správy životního cyklu aktiv pro úpravy s potenciálně vysokým dopadem. Tyto úpravy zahrnují změny zprostředkovatelů identity a přístupu, citlivých dat, konfigurace sítě a posouzení oprávnění správce. Použijte Google Cloud Security Command Center a zkontrolujte kartu Dodržování předpisů pro ohrožené prostředky.
Kromě toho využijte automatizované čištění nepoužívaných cloudových projektů Google a službu Cloud Recommender k poskytování doporučení a přehledů pro používání prostředků ve službě Google Cloud. Tato doporučení a přehledy jsou pro jednotlivé produkty nebo služby a generují se na základě heuristických metod, strojového učení a aktuálního využití prostředků.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :
AM-3: Zajištění zabezpečení správy životního cyklu aktiv
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Princip zabezpečení: Zajistěte, aby se atributy zabezpečení nebo konfigurace prostředků během životního cyklu aktiv vždy aktualizovaly.
Pokyny pro Azure: Vytvoření nebo aktualizace zásad nebo procesů zabezpečení, které řeší procesy správy životního cyklu aktiv pro úpravy s potenciálně vysokým dopadem. Mezi tyto úpravy patří změny zprostředkovatelů identity a přístupu, úrovně citlivosti dat, konfigurace sítě a přiřazení oprávnění správce.
Identifikujte a odeberte prostředky Azure, které už nepotřebujete.
Implementace Azure a další kontext:
Pokyny pro AWS: Vytvořte nebo aktualizujte zásady nebo procesy zabezpečení, které řeší procesy správy životního cyklu aktiv pro úpravy s potenciálně vysokým dopadem. Mezi tyto úpravy patří změny zprostředkovatelů identity a přístupu, úrovně citlivosti dat, konfigurace sítě a přiřazení oprávnění správce.
Identifikujte a odeberte prostředky AWS, když už nejsou potřeba.
Implementace AWS a další kontext:
- Návody vyhledat aktivní prostředky, které už na svém účtu AWS nepotřebuji?
- Návody ukončit aktivní prostředky, které už na svém účtu AWS nepotřebuji?
Pokyny GCP: Omezení přístupu ke konkrétnímu prostředku pomocí služby Google Cloud Identity and Access Management (IAM). Můžete zadat akce povolení nebo zamítnutí a také podmínky, za kterých se akce aktivují. Můžete zadat jednu podmínku nebo kombinaci metod oprávnění na úrovni prostředků, zásad založených na prostředcích, autorizace na základě značek, dočasných přihlašovacích údajů nebo rolí propojených se službou, abyste měli podrobné řízení přístupu k vašim prostředkům.
Kromě toho můžete ovládací prvky služby VPC použít k ochraně před náhodnými nebo cílenými akcemi externích nebo insiderských entit, což pomáhá minimalizovat riziko neoprávněného exfiltrace dat ze služeb Google Cloud. Pomocí ovládacích prvků služby VPC můžete vytvořit hraniční zařízení, která chrání prostředky a data služeb, které explicitně zadáte.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :
AM-4: Omezení přístupu ke správě prostředků
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 3.3 | AC-3 | – |
Princip zabezpečení: Omezte přístup uživatelů k funkcím správy prostředků, abyste se vyhnuli náhodným nebo škodlivým úpravám prostředků v cloudu.
Pokyny pro Azure: Azure Resource Manager je služba pro nasazení a správu pro Azure. Poskytuje vrstvu správy, která umožňuje vytvářet, aktualizovat a odstraňovat prostředky (prostředky) v Azure. Pomocí Azure AD podmíněného přístupu můžete omezit možnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.
Pomocí Access Control Na základě role Azure (Azure RBAC) můžete přiřazovat role identitám za účelem řízení jejich oprávnění a přístupu k prostředkům Azure. Například uživatel, který má pouze roli Čtenář Azure RBAC, může zobrazit všechny prostředky, ale nesmí provádět žádné změny.
Pomocí zámků prostředků můžete zabránit odstranění nebo úpravám prostředků. Zámky prostředků je možné spravovat také prostřednictvím Služby Azure Blueprints.
Implementace Azure a další kontext:
- Postup konfigurace podmíněného přístupu pro blokování přístupu k Azure Resources Manageru
- Uzamčení prostředků za účelem zajištění ochrany infrastruktury
- Ochrana nových prostředků pomocí zámků prostředků Azure Blueprints
Pokyny pro AWS: Použití AWS IAM k omezení přístupu ke konkrétnímu prostředku Můžete zadat povolené nebo odepřené akce a také podmínky, za kterých se akce aktivují. Můžete zadat jednu podmínku nebo zkombinovat metody oprávnění na úrovni prostředků, zásad založených na prostředcích, autorizace na základě značek, dočasných přihlašovacích údajů nebo rolí propojených se službami, abyste měli podrobné řízení přístupu k vašim prostředkům.
Implementace AWS a další kontext:
Pokyny pro GCP: Pomocí Správce virtuálních počítačů Google Cloud zjistěte aplikace nainstalované v instancích Compute Engines. Správu inventáře a konfigurace operačního systému je možné použít k zajištění toho, aby se v instancích výpočetního modulu zablokoval neautorizovaný software.
K zjišťování a identifikaci neschváleného softwaru můžete použít také řešení třetí strany.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :
AM-5: Ve virtuálním počítači používejte jenom schválené aplikace.
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Princip zabezpečení: Vytvořením seznamu povolených zajistěte, aby se spouštěl jenom autorizovaný software, a zablokujte spuštění neautorizovaného softwaru ve vašem prostředí.
Pokyny pro Azure: Pomocí Microsoft Defender pro adaptivní řízení aplikací v cloudu můžete zjistit a vygenerovat seznam povolených aplikací. Můžete také použít adaptivní řízení aplikací ASC, abyste zajistili, že se může spouštět jenom autorizovaný software a že se v Azure Virtual Machines zablokuje spouštění veškerého neautorizovaného softwaru.
Pomocí Azure Automation Sledování změn a inventář můžete automatizovat shromažďování informací o inventáři z virtuálních počítačů s Windows a Linuxem. Informace o názvu, verzi, vydavateli a času aktualizace softwaru jsou k dispozici na Azure Portal. Pokud chcete získat datum instalace softwaru a další informace, povolte diagnostiku na úrovni hosta a nasměrujte protokoly událostí Windows do pracovního prostoru služby Log Analytics.
V závislosti na typu skriptů můžete pomocí konfigurací specifických pro operační systém nebo prostředků třetích stran omezit možnost uživatelů spouštět skripty ve výpočetních prostředcích Azure.
K zjišťování a identifikaci neschváleného softwaru můžete použít také řešení třetí strany.
Implementace Azure a další kontext:
- Jak používat Microsoft Defender pro adaptivní řízení aplikací v cloudu
- Principy Azure Automation Sledování změn a inventář
- Jak řídit spouštění skriptů PowerShellu v prostředích Windows
Pokyny pro AWS: Pomocí funkce inventáře AWS Systems Manageru můžete zjistit aplikace nainstalované v instancích EC2. Pomocí pravidel konfigurace AWS zajistěte, aby se v instancích EC2 blokoval neautorizovaný software.
K zjišťování a identifikaci neschváleného softwaru můžete použít také řešení třetí strany.
Implementace AWS a další kontext:
Účastníci zabezpečení zákazníků (další informace) :