Freigeben über

Sicherheitskontrolle: Bestands- und Bestandsverwaltung

Hinweis

Das aktuellste up-to-Update des Azure Security Benchmark ist hier verfügbar.

Empfehlungen zur Bestands- und Bestandsverwaltung konzentrieren sich auf die Behandlung von Problemen im Zusammenhang mit der aktiven Verwaltung (Bestand, Nachverfolgen und Korrigieren) aller Azure-Ressourcen, sodass nur autorisierte Ressourcen Zugriff erhalten, und nicht verwaltete und nicht verwaltete Ressourcen identifiziert und entfernt werden.

6.1: Verwenden der automatisierten Asset Discovery-Lösung

Azure-ID CIS-IDs Verantwortung
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Kunde

Verwenden Sie Azure Resource Graph, um alle Ressourcen (z. B. Compute, Speicher, Netzwerk, Ports und Protokolle usw.) innerhalb Ihres Abonnements abzufragen/zu ermitteln. Stellen Sie in Ihrem Mandanten geeignete (Lese-)Berechtigungen sicher, und listen Sie alle Azure-Abonnements sowie Ressourcen in Ihren Abonnements auf.

Obwohl klassische Azure-Ressourcen möglicherweise über Resource Graph ermittelt werden, wird dringend empfohlen, Azure Resource Manager-Ressourcen in Zukunft zu erstellen und zu verwenden.

6.2: Verwalten von Ressourcenmetadaten

Azure-ID CIS-IDs Verantwortung
6.2 1.5 Kunde

Wenden Sie Tags auf Azure-Ressourcen an, um Metadaten logisch zu organisieren und sie in eine Taxonomie einzuordnen.

6.3: Löschen nicht autorisierter Azure-Ressourcen

Azure-ID CIS-IDs Verantwortung
6.3 1.6 Kunde

Verwenden Sie nach Bedarf Tagging, Verwaltungsgruppen und separate Abonnements zum Organisieren und Nachverfolgen von Ressourcen. Stimmen Sie das Inventar regelmäßig ab und stellen Sie sicher, dass nicht autorisierte Ressourcen rechtzeitig aus dem Abonnement gelöscht werden.

6.4: Definieren und Verwalten eines Inventars genehmigter Azure-Ressourcen

Azure-ID CIS-IDs Verantwortung
6.4 2.1 Kunde

Erstellen Sie eine Bestandsaufnahme genehmigter Azure-Ressourcen und genehmigter Software für Computeressourcen gemäß unseren Organisationsanforderungen.

6.5: Überwachung auf nicht genehmigte Azure-Ressourcen

Azure-ID CIS-IDs Verantwortung
6.5 2.3, 2.4 Kunde

Verwenden Sie Azure-Richtlinie, um Einschränkungen für den Typ der Ressourcen festzulegen, die in Ihren Abonnements erstellt werden können.

Verwenden Sie Azure Resource Graph, um Ressourcen innerhalb ihrer Abonnements abzufragen/zu ermitteln. Stellen Sie sicher, dass alle azure-Ressourcen, die in der Umgebung vorhanden sind, genehmigt werden.

6.6: Überwachen auf nicht genehmigte Softwareanwendungen innerhalb von Computeressourcen

Azure-ID CIS-IDs Verantwortung
6.6 2.3, 2.4 Kunde

Verwenden Sie azure virtual machine Inventory, um die Sammlung von Informationen über alle Software auf virtuellen Computern zu automatisieren. Softwarename, Version, Publisher und Aktualisierungszeit sind im Azure-Portal verfügbar. Um Zugriff auf das Installationsdatum und andere Informationen zu erhalten, aktivieren Sie die Diagnose auf Gastebene, und bringen Sie die Windows-Ereignisprotokolle in einen Log Analytics-Arbeitsbereich.

6.7: Entfernen nicht genehmigter Azure-Ressourcen und -Softwareanwendungen

Azure-ID CIS-IDs Verantwortung
6.7 2,5 Kunde

Verwenden Sie die Dateiintegritätsüberwachung (Change Tracking) des Azure Security Centers und den Inventar virtueller Computer, um alle auf virtuellen Computern installierten Software zu identifizieren. Sie können Ihren eigenen Prozess zum Entfernen nicht autorisierter Software implementieren. Sie können auch eine Drittanbieterlösung verwenden, um nicht genehmigte Software zu identifizieren.

6.8: Nur genehmigte Anwendungen verwenden

Azure-ID CIS-IDs Verantwortung
6.8 2.6 Kunde

Verwenden Sie adaptive Azure Security Center-Anwendungssteuerelemente, um sicherzustellen, dass nur autorisierte Software ausgeführt wird und alle nicht autorisierten Software auf virtuellen Azure-Computern nicht ausgeführt wird.

6.9: Nur genehmigte Azure-Dienste verwenden

Azure-ID CIS-IDs Verantwortung
6.9 2.6 Kunde

Verwenden Sie Azure-Richtlinie, um einzuschränken, welche Dienste Sie in Ihrer Umgebung bereitstellen können.

6.10: Verwalten eines Inventars genehmigter Softwaretitel

Azure-ID CIS-IDs Verantwortung
6.10 2.7 Kunde

Verwenden Sie adaptive Azure Security Center-Anwendungssteuerelemente, um anzugeben, auf welche Dateitypen eine Regel angewendet werden kann oder nicht.

Implementieren Sie die Drittanbieterlösung, wenn dies nicht der Anforderung entspricht.

6.11: Einschränken der Fähigkeit von Benutzern zur Interaktion mit Azure Resource Manager

Azure-ID CIS-IDs Verantwortung
6.11 2,9 Kunde

Verwenden Sie den bedingten Azure-Zugriff, um die Interaktion von Benutzern mit Azure Resources Manager zu beschränken, indem Sie "Zugriff blockieren" für die "Microsoft Azure Management"-App konfigurieren.

6.12: Einschränken der Fähigkeit der Benutzer, Skripts innerhalb von Computeressourcen auszuführen

Azure-ID CIS-IDs Verantwortung
6.12 2,9 Kunde

Je nach Typ von Skripts können Sie bestimmte Betriebssystemkonfigurationen oder Ressourcen von Drittanbietern verwenden, um die Fähigkeit der Benutzer zum Ausführen von Skripts in Azure-Computeressourcen einzuschränken. Sie können auch adaptive Azure Security Center-Anwendungssteuerelemente nutzen, um sicherzustellen, dass nur autorisierte Software ausgeführt wird und alle nicht autorisierten Software auf virtuellen Azure-Computern nicht ausgeführt wird.

6.13: Anwendungen mit hohem Risiko physisch oder logisch voneinander trennen

Azure-ID CIS-IDs Verantwortung
6.13 2,9 Kunde

Software, die für Geschäftsvorgänge erforderlich ist, aber möglicherweise ein höheres Risiko für die Organisation verursacht, sollte innerhalb ihres eigenen virtuellen Computers und/oder virtuellen Netzwerks isoliert und ausreichend durch eine Azure-Firewall oder eine Netzwerksicherheitsgruppe gesichert werden.

Nächste Schritte