Řízení zabezpečení V2: Správa prostředků
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Správa prostředků se zabývá ovládacími prvky, které zajišťují viditelnost zabezpečení a zásady správného řízení prostředků Azure. To zahrnuje doporučení týkající se oprávnění pro pracovníky zabezpečení, přístup zabezpečení k inventáři prostředků a správu schválení pro služby a prostředky (inventář, sledování a správnost).
Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Zabezpečení sítě
AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi Azure a předplatných udělená oprávnění čtenáře zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí Azure Security Center.
V závislosti na struktuře odpovědností týmu zabezpečení může být monitorování bezpečnostních rizik zodpovědností centrálního týmu zabezpečení nebo místního týmu. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.
Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.
Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Zajistěte, aby bezpečnostní týmy měly přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure. Bezpečnostní týmy tento inventář často potřebují k tomu, aby vyhodnotily potenciální slabá místa organizace vůči vznikajícím rizikům, a jako vstup pro průběžná vylepšování zabezpečení.
Funkce inventáře Azure Security Center a Azure Resource Graph můžou dotazovat a zjišťovat všechny prostředky ve vašich předplatných, včetně služeb Azure, aplikací a síťových prostředků.
Logicky uspořádejte prostředky podle taxonomie vaší organizace pomocí značek a dalších metadat v Azure (název, popis a kategorie).
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
AM-3: Používání jenom schválených služeb Azure
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Pomocí Azure Policy můžete auditovat a omezovat služby, které můžou uživatelé zřídit ve vašem prostředí. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
AM-4: Zajištění zabezpečení správy životního cyklu prostředků
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Vytvořte nebo aktualizujte zásady zabezpečení, které řeší procesy správy životního cyklu prostředků pro potenciálně vysoké změny dopadu. Mezi tyto úpravy patří změny zprostředkovatelů identit a přístupu, citlivosti dat, konfigurace sítě nebo přiřazení oprávnění správce.
Pokud už je nepotřebujete, odeberte prostředky Azure.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
AM-5: Omezení schopnosti uživatelů pracovat s Azure Resource Manager
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Pomocí Azure AD podmíněného přístupu můžete omezit schopnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
AM-6: Použití jenom schválených aplikací ve výpočetních prostředcích
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Ujistěte se, že se spustí jenom autorizovaný software a veškerý neautorizovaný software se v Azure Virtual Machines nespustí.
Pomocí adaptivních řízení aplikací Azure Security Center můžete zjišťovat a generovat seznam povolených aplikací. Adaptivní řízení aplikací můžete použít také k zajištění, aby se v Azure Virtual Machines nespustí jenom autorizovaný software a veškerý neautorizovaný software.
Pomocí Azure Automation Sledování změn a inventář můžete automatizovat shromažďování informací inventáře z virtuálních počítačů s Windows a Linuxem. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat datum instalace softwaru a další informace, povolte diagnostiku na úrovni hosta a nasměrujte protokoly událostí systému Windows do pracovního prostoru Služby Log Analytics.
V závislosti na typu skriptů můžete pomocí konfigurací specifických pro operační systém nebo prostředků třetích stran omezit schopnost uživatelů spouštět skripty ve výpočetních prostředcích Azure.
K zjišťování a identifikaci neschváleného softwaru můžete použít také řešení třetích stran.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):