Compartir a través de

Control de seguridad: Inventario y administración de recursos

Nota:

El punto de referencia de seguridad de Azure más up-toestá disponible aquí.

Las recomendaciones de inventario y administración de recursos se centran en solucionar problemas relacionados con la administración activa (inventario, seguimiento y corrección) de todos los recursos de Azure para que solo se proporcione acceso a los recursos autorizados y se identifiquen y quiten los recursos no autorizados y no administrados.

6.1: Uso de la solución de detección de recursos automatizada

Identificador de Azure Identificadores CIS Responsabilidad
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Cliente

Use Azure Resource Graph para consultar o detectar todos los recursos (como proceso, almacenamiento, red, puertos y protocolos, etc.) dentro de las suscripciones. Asegúrese de tener los permisos adecuados (lectura) en su inquilino y enumere todas las suscripciones de Azure, así como los recursos dentro de sus suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar recursos de Azure Resource Manager en el futuro.

6.2: Mantenimiento de metadatos de recursos

Identificador de Azure Identificadores CIS Responsabilidad
6.2 1.5 Cliente

Aplique etiquetas a recursos de Azure que proporcionan metadatos para organizarlos lógicamente en una taxonomía.

6.3: Eliminación de recursos de Azure no autorizados

Identificador de Azure Identificadores CIS Responsabilidad
6.3 1.6 Cliente

Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de forma oportuna.

6.4: Definición y mantenimiento de un inventario de recursos de Azure aprobados

Identificador de Azure Identificadores CIS Responsabilidad
6.4 2.1 Cliente

Cree un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso según nuestras necesidades organizativas.

6.5: Supervisión de recursos de Azure no aprobados

Identificador de Azure Identificadores CIS Responsabilidad
6.5 2.3, 2.4 Cliente

Use Azure Policy para aplicar restricciones al tipo de recursos que se pueden crear en las suscripciones.

Use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

6.6: Supervisión de aplicaciones de software no aprobadas dentro de los recursos de proceso

Identificador de Azure Identificadores CIS Responsabilidad
6.6 2.3, 2.4 Cliente

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre todo el software en Virtual Machines. El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener acceso a la fecha de instalación y a otra información, habilite los diagnósticos de nivel de invitado y ponga los registros de eventos de Windows en un área de trabajo de Log Analytics.

6.7: Eliminación de recursos y aplicaciones de software de Azure no aprobadas

Identificador de Azure Identificadores CIS Responsabilidad
6.7 2,5 Cliente

Use la supervisión de la integridad de los archivos (Change Tracking) de Azure Security Center y el inventario de máquinas virtuales para identificar todo el software instalado en máquinas virtuales. Puede implementar su propio proceso para quitar software no autorizado. También puede usar una solución de terceros para identificar software no aprobado.

6.8: Usar solo aplicaciones aprobadas

Identificador de Azure Identificadores CIS Responsabilidad
6,8 2.6 Cliente

Use controles de aplicaciones adaptables de Azure Security Center para asegurarse de que solo se ejecuta software autorizado y se impide que todo el software no autorizado se ejecute en Azure Virtual Machines.

6.9: Uso de solo servicios de Azure aprobados

Identificador de Azure Identificadores CIS Responsabilidad
6.9 2.6 Cliente

Use Azure Policy para restringir los servicios que puede aprovisionar en su entorno.

6.10: Mantenimiento de un inventario de títulos de software aprobados

Identificador de Azure Identificadores CIS Responsabilidad
6.10 2.7 Cliente

Use controles de aplicaciones adaptables de Azure Security Center para especificar a qué tipos de archivo puede aplicarse una regla o no.

Implemente una solución de terceros si no cumple el requisito.

6.11: Limitar la capacidad de los usuarios para interactuar con Azure Resource Manager

Identificador de Azure Identificadores CIS Responsabilidad
6.11 2.9 Cliente

Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resources Manager mediante la configuración de "Bloquear acceso" para la aplicación "Administración de Microsoft Azure".

6.12: Limitar la capacidad de los usuarios para ejecutar scripts dentro de los recursos de proceso

Identificador de Azure Identificadores CIS Responsabilidad
6.12 2.9 Cliente

Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en recursos de proceso de Azure. También puede aprovechar los controles de aplicaciones adaptables de Azure Security Center para asegurarse de que solo se ejecuta software autorizado y que todo el software no autorizado está bloqueado para ejecutarse en Azure Virtual Machines.

6.13: Aplicaciones de alto riesgo física o lógicamente segregadas

Identificador de Azure Identificadores CIS Responsabilidad
6.13 2.9 Cliente

El software necesario para las operaciones empresariales, pero puede suponer un mayor riesgo para la organización, debe aislarse dentro de su propia máquina virtual o red virtual y estar suficientemente protegido con azure Firewall o un grupo de seguridad de red.

Pasos siguientes