Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Gestión de Activos cubre los controles para garantizar la visibilidad y gobernanza de la seguridad sobre sus recursos, incluidas las recomendaciones sobre permisos para el personal de seguridad, el acceso de seguridad al inventario de activos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección).
AM-1: Realización de un seguimiento del inventario de recursos y sus riesgos
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Principio de seguridad: realice un seguimiento del inventario de recursos mediante consulta y descubra todos los recursos en la nube. Organice lógicamente los recursos mediante el etiquetado y la agrupación de los recursos en función de su naturaleza de servicio, ubicación u otras características. Asegúrese de que su organización de seguridad tiene acceso a un inventario actualizado continuamente de los recursos.
Asegúrese de que su organización de seguridad puede supervisar los riesgos de los recursos en la nube siempre teniendo información de seguridad y riesgos agregados de forma centralizada.
Guía de Azure: la característica de inventario de Microsoft Defender for Cloud y Azure Resource Graph pueden consultar y detectar todos los recursos de las suscripciones, incluidos los servicios de Azure, las aplicaciones y los recursos de red. Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas, así como otros metadatos de Azure (Nombre, Descripción y Categoría).
Asegúrese de que las organizaciones de seguridad tengan acceso a un inventario actualizado continuamente de los recursos en Azure. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar la seguridad continua.
Asegúrese de que a las organizaciones de seguridad se les conceden permisos de lector de seguridad en su inquilino y suscripciones de Azure para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud. Los permisos de lector de seguridad se pueden aplicar ampliamente a un inquilino completo (grupo de administración raíz) o tener como ámbito grupos de administración o suscripciones específicas.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Guía de Google Cloud Platform: utilice Google Cloud Asset Inventory para proporcionar servicios de inventario basados en una base de datos de serie temporal. Esta base de datos mantiene un historial de cinco semanas de metadatos de los recursos de la Plataforma Google Cloud (GCP). El servicio de exportación de Inventario de activos en la nube le permite exportar todos los metadatos de recursos en una determinada marca de tiempo o exportar el historial de cambios de eventos durante un período de tiempo.
Además, Google Cloud Security Command Center admite una convención de nomenclatura diferente. Los activos son recursos de Google Cloud de una organización. Los roles de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. La capacidad de ver, crear o actualizar los resultados, los recursos y los orígenes de seguridad depende del nivel para el que se le conceda acceso.
Implementación de GCP y contexto adicional:
- Inventario de recursos en la nube
- Introducción al inventario de recursos en la nube
- Tipos de recursos admitidos en Security Command Center
Implementación de Azure y contexto adicional:
- Creación de consultas con Azure Resource Graph Explorer
- Administración del inventario de recursos de Microsoft Defender for Cloud
- Para más información sobre el etiquetado de recursos, consulte la guía de decisión de nomenclatura y etiquetado de recursos.
- Información general sobre el rol de lector de seguridad
Guía de AWS: use la característica inventario de AWS Systems Manager para consultar y detectar todos los recursos de las instancias ec2, incluidos los detalles del nivel de aplicación y del sistema operativo. Además, use AWS Resource Groups - Tag Editor para examinar los inventarios de recursos de AWS.
Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas, así como otros metadatos de AWS (Nombre, Descripción y Categoría).
Asegúrese de que las organizaciones de seguridad tengan acceso a un inventario actualizado continuamente de los recursos en AWS. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar la seguridad continua.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Implementación de AWS y contexto adicional:
Guía de GCP: use el servicio de directivas de la organización de Google Cloud para auditar y restringir los servicios que los usuarios pueden aprovisionar en su entorno. También puede usar la supervisión en la nube en Operations Suite o la directiva de organización para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Implementación de GCP y contexto adicional:
- Introducción al servicio de directivas de la organización
- Creación y administración de directivas de organización
Partes interesadas en la seguridad del cliente (más información):
- Seguridad de la infraestructura y del punto de conexión
- Administración del cumplimiento de la seguridad
AM-2: Usar solo servicios aprobados
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Principio de seguridad: asegúrese de que solo se pueden usar los servicios en la nube aprobados, mediante la auditoría y la restricción de los servicios que los usuarios pueden aprovisionar en el entorno.
Guía de Azure: use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Implementación de Azure y contexto adicional:
- Configuración y administración de Azure Policy
- Cómo denegar un tipo de recurso específico con Azure Policy
- Creación de consultas con Azure Resource Graph Explorer
Guía de AWS: use AWS Config para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use grupos de recursos de AWS para consultar y detectar recursos dentro de sus cuentas. También puede usar CloudWatch o AWS Config para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Implementación de AWS y contexto adicional:
Guía de GCP: establezca o actualice las directivas de seguridad o el proceso que aborden los procesos de administración del ciclo de vida de los recursos para modificaciones potencialmente de gran impacto. Estas modificaciones incluyen cambios en proveedores de identidades y acceso, datos confidenciales, configuración de red y evaluación de privilegios administrativos. Utilice el Centro de Seguridad de Google Cloud y compruebe la pestaña de Cumplimiento para los activos en riesgo.
Además, use la limpieza automatizada de proyectos de Google Cloud sin usar y el servicio Recomendador de nube para proporcionar recomendaciones e información sobre el uso de recursos en Google Cloud. Estas recomendaciones e información son por producto o por servicio y se generan en función de métodos heurísticos, aprendizaje automático y uso actual de recursos.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
AM-3: Confirmación de la seguridad de la administración del ciclo de vida de los recursos
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Principio de seguridad: asegúrese de que los atributos de seguridad o las configuraciones de los recursos siempre se actualizan durante el ciclo de vida de los recursos.
Guía de Azure: establezca o actualice directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, el nivel de confidencialidad de datos, la configuración de red y la asignación de privilegios administrativos.
Identifique y quite los recursos de Azure cuando ya no sean necesarios.
Implementación de Azure y contexto adicional:
Guía de AWS: establezca o actualice las directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para realizar modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, el nivel de confidencialidad de datos, la configuración de red y la asignación de privilegios administrativos.
Identifique y quite los recursos de AWS cuando ya no sean necesarios.
Implementación de AWS y contexto adicional:
- ¿Cómo se comprueban los recursos activos que ya no necesito en mi cuenta de AWS?
- ¿Cómo puedo terminar los recursos activos que ya no necesito en mi cuenta de AWS?
Guía de GCP: Use Google Cloud Identity and Access Management (IAM) para restringir el acceso a un recurso específico. Puede especificar permitir o denegar acciones, así como las condiciones bajo las cuales se desencadenan dichas acciones. Puede especificar una condición o métodos combinados de permisos de nivel de recurso, directivas basadas en recursos, autorización basada en etiquetas, credenciales temporales o roles vinculados al servicio para tener controles de acceso de control específicos para los recursos.
Además, puede usar controles de servicio vpc para protegerse frente a acciones accidentales o dirigidas por entidades externas o entidades internas, lo que ayuda a minimizar los riesgos de filtración de datos no justificados de los servicios de Google Cloud. Puede usar los controles de servicio de VPC para crear perímetros que protejan los recursos y los datos de los servicios que especifique explícitamente.
Implementación de GCP y contexto adicional:
- Administración de identidades y acceso (IAM)
- Introducción a los controles de servicio de VPC
- Resource Manager
Partes interesadas en la seguridad del cliente (más información):
- Seguridad de la infraestructura y del punto de conexión
- Administración de posturas
- Administración del cumplimiento de la seguridad
AM-4: Limitación del acceso a la administración de recursos
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | No disponible |
Principio de seguridad: limite el acceso de los usuarios a las características de administración de recursos para evitar modificaciones accidentales o malintencionadas de los recursos en la nube.
Guía de Azure: Azure Resource Manager es el servicio de implementación y administración de Azure. Proporciona una capa de administración que permite crear, actualizar y eliminar recursos (recursos) en Azure. Use el acceso condicional de Azure AD para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de "Bloquear acceso" para la aplicación "Administración de Microsoft Azure".
Utilice el Control de Acceso basado en Roles de Azure (Azure RBAC) para asignar roles a identidades y controlar sus permisos y acceso a los recursos de Azure. Por ejemplo, un usuario con solo el rol "Lector" de Azure RBAC puede ver todos los recursos, pero no puede realizar ningún cambio.
Use bloqueos de recursos para evitar eliminaciones o modificaciones en los recursos. Los bloqueos de recursos también se pueden administrar a través de Azure Blueprints.
Implementación de Azure y contexto adicional:
- Configuración del acceso condicional para bloquear el acceso a Azure Resources Manager
- Bloqueo de los recursos para proteger la infraestructura
- Protección de nuevos recursos con bloqueos de recursos de Azure Blueprints
Guía de AWS: use AWS IAM para restringir el acceso a un recurso específico. Puede especificar acciones permitidas o denegadas, así como las condiciones en las que se desencadenan las acciones. Para tener un control de acceso detallado para sus recursos, puede especificar una condición o combinar los métodos de permisos a nivel de recurso, políticas basadas en recursos, autorización basada en etiquetas, credenciales temporales o roles vinculados al servicio.
Implementación de AWS y contexto adicional:
Guía de GCP: use Google Cloud VM Manager para detectar las aplicaciones instaladas en las instancias de Compute Engine. El inventario del sistema operativo y la administración de configuración se pueden usar para asegurarse de que el software no autorizado está bloqueado para ejecutarse en instancias de Compute Engine.
También puede usar una solución de terceros para detectar e identificar software no aprobado.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
AM-5: Usar solo aplicaciones aprobadas en la máquina virtual
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Principio de seguridad: asegúrese de que solo se ejecute el software autorizado mediante la creación de una lista de permitidos y bloquee la ejecución del software no autorizado en su entorno.
Guía de Azure: use los controles de aplicaciones adaptables de Microsoft Defender for Cloud para detectar y generar una lista de aplicaciones permitidas. También puede usar controles de aplicaciones adaptables de ASC para asegurarse de que solo se pueda ejecutar software autorizado y que todo el software no autorizado se bloquee para ejecutarse en Azure Virtual Machines.
Utiliza Seguimiento de Cambios e Inventario de Azure Automation para automatizar la recopilación de información de inventario de las máquinas virtuales Windows y Linux. La información sobre el nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener la fecha de instalación de software y otra información, habilite el diagnóstico de nivel de invitado y dirija los registros de eventos de Windows a un área de trabajo de Log Analytics.
Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en recursos de proceso de Azure.
También puede usar una solución de terceros para detectar e identificar software no aprobado.
Implementación de Azure y contexto adicional:
- Uso de controles de aplicaciones adaptables de Microsoft Defender for Cloud
- Descripción del seguimiento de cambios e inventario de Azure Automation
- Cómo controlar la ejecución de scripts de PowerShell en entornos de Windows
Guía de AWS: use la característica inventario de AWS Systems Manager para detectar las aplicaciones instaladas en las instancias ec2. Use reglas de AWS Config para asegurarse de que el software no autorizado está bloqueado para ejecutarse en instancias EC2.
También puede usar una solución de terceros para detectar e identificar software no aprobado.
Implementación de AWS y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):