Biztonsági ellenőrzés: Leltár- és eszközkezelés
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A leltár- és eszközkezelési javaslatok az összes Azure-erőforrás aktív kezelésével (leltározásával, nyomon követésével és javításával) kapcsolatos problémák kezelésére összpontosítanak, így csak az engedélyezett erőforrások kapnak hozzáférést, valamint azonosítja és eltávolítja a jogosulatlan és nem felügyelt erőforrásokat.
6.1: Automatizált eszközfelderítési megoldás használata
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Ügyfél |
Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben található összes erőforrást (például számítási, tárolási, hálózati, portok és protokollok stb.). Gondoskodjon a megfelelő (olvasási) engedélyekről a bérlőben, és sorolja fel az összes Azure-előfizetést, valamint az előfizetéseken belüli erőforrásokat.
Bár a klasszikus Azure-erőforrások Resource Graph keresztül fedezhetők fel, erősen ajánlott azure-Resource Manager-erőforrásokat létrehozni és használni.
6.2: Eszköz metaadatainak karbantartása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6,2 | 1.5 | Ügyfél |
Címkéket alkalmazhat azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezésükhöz egy osztályozásba.
6.3: Jogosulatlan Azure-erőforrások törlése
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.3 | 1.6 | Ügyfél |
Ha szükséges, használjon címkézést, felügyeleti csoportokat és különálló előfizetéseket az eszközök rendszerezéséhez és nyomon követéséhez. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.
6.4: Jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.4 | 2.1 | Ügyfél |
Hozzon létre egy leltárt a jóváhagyott Azure-erőforrásokról és a jóváhagyott szoftverekről a számítási erőforrásokhoz a szervezeti igényeknek megfelelően.
6.5: Nem jóváhagyott Azure-erőforrások monitorozása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.5 | 2.3, 2.4 | Ügyfél |
A Azure Policy használatával korlátozhatja az előfizetés(ek)ben létrehozható erőforrások típusát.
Az Azure Resource Graph használatával lekérdezheti vagy felderítheti az előfizetés(ek)ben lévő erőforrásokat. Győződjön meg arról, hogy a környezetben található összes Azure-erőforrás jóvá van hagyva.
6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.6 | 2.3, 2.4 | Ügyfél |
Az Azure-beli virtuális gépek leltárával automatizálhatja a Virtual Machines összes szoftverével kapcsolatos információk gyűjtését. A szoftvernév, a verzió, a közzétevő és a frissítés ideje a Azure Portal érhető el. A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát, és helyezze a Windows-eseménynaplókat egy Log Analytics-munkaterületre.
6.7: Nem jóváhagyott Azure-erőforrások és szoftveralkalmazások eltávolítása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.7 | 2.5 | Ügyfél |
A Azure Security Center fájlintegritási monitorozásának (Change Tracking) és a virtuális gépek leltárának használatával azonosíthatja az Virtual Machines telepített összes szoftvert. Saját folyamatot valósíthat meg a jogosulatlan szoftverek eltávolítására. Külső megoldással is azonosíthatja a nem jóváhagyott szoftvereket.
6.8: Csak jóváhagyott alkalmazások használata
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.8 | 2,6 | Ügyfél |
Az Azure Security Center adaptív alkalmazásvezérlők használatával biztosíthatja, hogy csak az engedélyezett szoftverek futhassanak, és az összes jogosulatlan szoftver ne legyen futtatható az Azure Virtual Machines.
6.9: Csak jóváhagyott Azure-szolgáltatások használata
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.9 | 2,6 | Ügyfél |
A Azure Policy használatával korlátozhatja, hogy mely szolgáltatásokat építheti ki a környezetben.
6.10: A jóváhagyott szoftvercímek leltárának karbantartása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.10 | 2.7 | Ügyfél |
Az Azure Security Center Adaptív alkalmazásvezérlők segítségével megadhatja, hogy egy szabály mely fájltípusokra vonatkozhat.
Harmadik féltől származó megoldás implementálása, ha ez nem felel meg a követelménynek.
6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.11 | 2.9 | Ügyfél |
Az Azure Feltételes hozzáféréssel korlátozhatja a felhasználók azon képességét, hogy kommunikáljanak az Azure Resources Managerrel a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.
6.12: A felhasználók szkriptek számítási erőforrásokon belüli végrehajtásának korlátozása
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.12 | 2.9 | Ügyfél |
A szkriptek típusától függően operációsrendszer-specifikus konfigurációk vagy külső erőforrások használatával korlátozhatja a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásain belül. Az Azure Security Center adaptív alkalmazásvezérlők használatával biztosíthatja, hogy csak az engedélyezett szoftverek futhassanak, és az összes jogosulatlan szoftver ne legyen futtatható az Azure Virtual Machines.
PowerShell-szkript végrehajtásának szabályozása Windows-környezetekben
Az Azure Security Center adaptív alkalmazásvezérlők használata
6.13: A nagy kockázatú alkalmazások fizikai vagy logikai elkülönítése
| Azure ID | CIS-azonosítók | Felelősség |
|---|---|---|
| 6.13 | 2.9 | Ügyfél |
Az üzleti műveletekhez szükséges, de a szervezetre nézve magasabb kockázattal járó szoftvereket el kell különíteni a saját virtuális gépén és/vagy virtuális hálózatán belül, és megfelelően kell védeni egy Azure Firewall vagy hálózati biztonsági csoporttal.
Következő lépések
- Lásd a következő biztonsági vezérlőt: Biztonságos konfiguráció