Biztonságvezérlés: Eszközkezelés
Az Eszközkezelés magában foglalja az erőforrások biztonsági láthatóságának és szabályozásának biztosítását szolgáló vezérlőket, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és javítás).
AM-1: Eszközleltár és kockázatainak nyomon követése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Biztonsági elv: Nyomon követheti az eszközleltárat lekérdezéssel, és felderítheti az összes felhőbeli erőforrást. Logikailag rendszerezheti az eszközöket úgy, hogy megjelöli és csoportosítja az objektumokat a szolgáltatás természete, helye vagy egyéb jellemzői alapján. Győződjön meg arról, hogy a biztonsági szervezet rendelkezik hozzáféréssel az eszközök folyamatosan frissített leltárához.
Győződjön meg arról, hogy a biztonsági szervezet képes figyelni a felhőbeli eszközökre vonatkozó kockázatokat, ha mindig központilag összesíti a biztonsági megállapításokat és kockázatokat.
Azure-útmutató: A Microsoft Defender felhőleltározási funkciója és az Azure Resource Graph lekérdezheti és felderítheti az előfizetések összes erőforrását, beleértve az Azure-szolgáltatásokat, alkalmazásokat és hálózati erőforrásokat. Logikailag rendszerezheti az eszközöket a szervezet osztályozása szerint címkék és más metaadatok használatával az Azure-ban (Név, Leírás és Kategória).
Győződjön meg arról, hogy a biztonsági szervezetek hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához. A biztonsági csapatoknak gyakran szükségük van erre a leltárra, hogy kiértékeljék a szervezet potenciális kitettségét a felmerülő kockázatoknak, és hogy a folyamatos biztonsági fejlesztések bemeneteként szolgálhassanak.
Győződjön meg arról, hogy a biztonsági szervezetek biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a felhőhöz készült Microsoft Defender használatával monitorozni tudják a biztonsági kockázatokat. A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.
Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.
GCP-útmutató: A Google Cloud Asset Inventory használatával idősorozat-adatbázison alapuló leltárszolgáltatásokat nyújthat. Ez az adatbázis a GCP-objektum metaadatainak öthetes előzményeit tárolja. A Cloud Asset Inventory exportálási szolgáltatás lehetővé teszi az összes objektum metaadatának exportálását egy adott időbélyegen, vagy exportálhatja az eseményváltozások előzményeit egy időkereten belül.
A Google Cloud Security Command Center emellett más elnevezési konvenciók használatát is támogatja. Az eszközök a szervezet Google Cloud-erőforrásai. A Security Command Center IAM-szerepkörei a szervezet, mappa vagy projekt szintjén adhatók meg. Az eredmények, objektumok és biztonsági források megtekintésének, létrehozásának és frissítésének lehetősége attól a szinttől függ, amelyhez hozzáférést kap.
GCP-implementáció és további környezet:
- Cloud Asset Inventory
- Bevezetés a Cloud Asset Inventory használatába
- Támogatott eszköztípusok a Security Command Centerben
Azure-implementáció és további környezet:
- Lekérdezések létrehozása az Azure Resource Graph Explorerrel
- Microsoft Defender a felhőalapú eszközleltár-kezeléshez
- Az eszközök címkézésével kapcsolatos további információkért tekintse meg az erőforrások elnevezésével és címkézésével kapcsolatos döntési útmutatót
- A biztonsági olvasó szerepkör áttekintése
AWS-útmutató: Az AWS Systems Manager Inventory funkciójával lekérdezheti és felderítheti az EC2-példányok összes erőforrását, beleértve az alkalmazásszintet és az operációs rendszer szintjét. Emellett az AWS-erőforráscsoportok – Címkeszerkesztő használatával tallózhat az AWS-erőforráskészletekben.
Logikailag rendszerezheti az eszközöket a szervezet osztályozása szerint címkék, valamint az AWS egyéb metaadatai (Név, Leírás és Kategória) használatával.
Győződjön meg arról, hogy a biztonsági szervezetek hozzáférhetnek az AWS-beli eszközök folyamatosan frissített leltárához. A biztonsági csapatoknak gyakran szükségük van erre a leltárra, hogy kiértékeljék a szervezet potenciális kitettségét a felmerülő kockázatoknak, és hogy a folyamatos biztonsági fejlesztések bemeneteként szolgálhassanak.
Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Organization Policy Service használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki az Ön környezetében. A Felhőmonitorozás az Operations Suite-ban és/vagy a szervezeti házirendben is használható szabályok létrehozására, hogy riasztásokat aktiváljon, ha a rendszer nem jóváhagyott szolgáltatást észlel.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
AM-2: Csak jóváhagyott szolgáltatások használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Biztonsági elv: Győződjön meg arról, hogy csak a jóváhagyott felhőszolgáltatások használhatók a környezetben üzembe helyezhető szolgáltatások naplózásával és korlátozásával.
Azure-útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.
Azure-implementáció és további környezet:
- Azure Policy konfigurálása és kezelése
- Adott erőforrástípus megtagadása Azure Policy
- Lekérdezések létrehozása az Azure Resource Graph Explorerrel
AWS-útmutató: Az AWS Config használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az AWS-erőforráscsoportok használatával lekérdezheti és felderítheti a fiókjaikban lévő erőforrásokat. A CloudWatch és/vagy az AWS Config használatával is létrehozhat szabályokat a riasztások aktiválásához, ha egy nem jóváhagyott szolgáltatást észlel.
AWS-implementáció és további környezet:
GCP-útmutató: Olyan biztonsági szabályzatokat/folyamatokat hozhat létre vagy frissíthet, amelyek az eszköz életciklusának felügyeleti folyamatait kezelik a potenciálisan nagy hatású módosítások érdekében. Ezek a módosítások magukban foglalják az identitásszolgáltatók és a hozzáférés, a bizalmas adatok, a hálózati konfiguráció és a rendszergazdai jogosultságok felmérésének módosításait. Használja a Google Cloud Security Command Centert, és ellenőrizze, hogy a Megfelelőség lapon találhatók-e veszélyben lévő objektumok.
Emellett a nem használt Google Cloud-projektek automatikus törlése és a Cloud Recommender szolgáltatás használatával javaslatokat és megállapításokat adhat a Google Cloud erőforrásainak használatához. Ezek a javaslatok és megállapítások termékenként vagy szolgáltatásonként vannak létrehozva, és heurisztikus módszerek, gépi tanulás és az aktuális erőforrás-használat alapján jönnek létre.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
AM-3: Az eszközéletciklus-kezelés biztonságának biztosítása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Biztonsági elv: Győződjön meg arról, hogy az eszközök biztonsági attribútumai vagy konfigurációi mindig frissülnek az eszköz életciklusa során.
Azure-útmutató: Olyan biztonsági szabályzatokat/folyamatokat hozhat létre vagy frissíthet, amelyek az eszköz életciklus-felügyeleti folyamatait kezelik a potenciálisan nagy hatású módosítások érdekében. A módosítások közé tartoznak az identitásszolgáltatók és a hozzáférés változásai, az adat bizalmassági szintje, a hálózati konfiguráció és a rendszergazdai jogosultságok hozzárendelése.
Az Azure-erőforrások azonosítása és eltávolítása, ha már nincs rájuk szükség.
Azure-implementáció és további környezet:
Útmutató az AWS-hez: Olyan biztonsági szabályzatok/folyamatok létrehozása vagy frissítése, amelyek az eszköz életciklus-felügyeleti folyamatait kezelik a potenciálisan nagy hatású módosítások érdekében. A módosítások közé tartoznak az identitásszolgáltatók és a hozzáférés változásai, az adat bizalmassági szintje, a hálózati konfiguráció és a rendszergazdai jogosultságok hozzárendelése.
Azonosítsa és távolítsa el az AWS-erőforrásokat, ha már nincs rájuk szükség.
AWS-implementáció és további környezet:
- Hogyan olyan aktív erőforrásokat keres, amelyekre már nincs szükségem az AWS-fiókomban?
- Hogyan leállítja azokat az aktív erőforrásokat, amelyekre már nincs szükségem az AWS-fiókomban?
GCP-útmutató: A Google Cloud Identity and Access Management (IAM) használatával korlátozhatja az adott erőforráshoz való hozzáférést. Megadhatja az engedélyezési vagy megtagadási műveleteket, valamint azokat a feltételeket, amelyek mellett a műveletek aktiválódnak. Az erőforrásszintű engedélyek, az erőforrás-alapú szabályzatok, a címkealapú engedélyezés, az ideiglenes hitelesítő adatok vagy a szolgáltatáshoz társított szerepkörök egyetlen feltételét vagy kombinált metódusát is megadhatja, hogy részletesen szabályozhassa az erőforrások hozzáférés-vezérlését.
Emellett a VPC szolgáltatásvezérlőivel megvédheti a külső entitások vagy bennfentes entitások véletlen vagy célzott műveleteit, ami segít minimalizálni a Google Cloud-szolgáltatások indokolatlan adatkiszivárgási kockázatait. A VPC szolgáltatásvezérlőivel szegélyeket hozhat létre, amelyek védik a kifejezetten megadott szolgáltatások erőforrásait és adatait.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
AM-4: Az eszközkezeléshez való hozzáférés korlátozása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/A |
Biztonsági elv: Korlátozza a felhasználók hozzáférését az eszközkezelési funkciókhoz, hogy elkerülje az eszközök véletlen vagy rosszindulatú módosítását a felhőben.
Azure-útmutató: Az Azure Resource Manager az Azure üzembe helyezési és felügyeleti szolgáltatása. Ez egy felügyeleti réteget biztosít, amely lehetővé teszi erőforrások (objektumok) létrehozását, frissítését és törlését az Azure-ban. A Azure AD feltételes hozzáféréssel korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.
Az Azure Szerepköralapú Access Control (Azure RBAC) használatával szerepköröket rendelhet az identitásokhoz az engedélyek és az Azure-erőforrásokhoz való hozzáférés szabályozásához. Például egy csak "Olvasó" Azure RBAC-szerepkörrel rendelkező felhasználó megtekintheti az összes erőforrást, de nem végezhet módosításokat.
Az erőforrás-zárolások használatával megakadályozhatja az erőforrások törlését vagy módosítását. Az erőforrás-zárolások az Azure Blueprintsen keresztül is felügyelhetők.
Azure-implementáció és további környezet:
- Feltételes hozzáférés konfigurálása az Azure Resources Managerhez való hozzáférés letiltásához
- Erőforrások zárolása az infrastruktúra védelme érdekében
- Új erőforrások védelme az Azure Blueprints erőforrás-zárolásaival
AWS-útmutató: Az AWS IAM használatával korlátozhatja egy adott erőforráshoz való hozzáférést. Megadhatja az engedélyezett vagy megtagadó műveleteket, valamint azokat a feltételeket, amelyek mellett a műveletek aktiválódnak. Megadhat egy feltételt, vagy kombinálhatja az erőforrásszintű engedélyek, az erőforrás-alapú szabályzatok, a címkealapú engedélyezés, az ideiglenes hitelesítő adatok vagy a szolgáltatáshoz kapcsolódó szerepkörök metódusait, hogy részletesen szabályozhassa az erőforrások hozzáférés-vezérlését.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud VM Manager használatával felderítheti a számítási motorok példányaira telepített alkalmazásokat. Az operációs rendszer leltározása és konfigurációkezelése biztosíthatja, hogy a nem engedélyezett szoftverek ne legyenek futtatva a számítási motor példányaion.
Külső megoldással is felderítheti és azonosíthatja a nem jóváhagyott szoftvereket.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Biztonsági elv: Győződjön meg arról, hogy csak az engedélyezett szoftverek futnak egy engedélyezési lista létrehozásával, és letiltja a jogosulatlan szoftverek futtatását a környezetben.
Azure-útmutató: Az Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel felderítheti és létrehozhatja az alkalmazás engedélyezési listáját. Az ASC adaptív alkalmazásvezérlőivel biztosíthatja, hogy csak a jogosult szoftverek hajthatók végre, és hogy az összes jogosulatlan szoftver ne legyen futtatható az Azure Virtual Machines.
A Azure Automation változáskövetés és leltározás használatával automatizálhatja a készletinformációk gyűjtését a Windows és Linux rendszerű virtuális gépekről. A szoftvernévre, verzióra, közzétevőre és frissítési időre vonatkozó információk a Azure Portal érhetők el. A szoftvertelepítés dátumának és egyéb információinak lekéréséhez engedélyezze a vendégszintű diagnosztikát, és irányítsa a Windows eseménynaplóit egy Log Analytics-munkaterületre.
A szkriptek típusától függően operációsrendszer-specifikus konfigurációk vagy külső erőforrások használatával korlátozhatja a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásokban.
Külső megoldással is felderítheti és azonosíthatja a nem jóváhagyott szoftvereket.
Azure-implementáció és további környezet:
- A Microsoft Defender használata a felhőhöz adaptív alkalmazásvezérlőkhöz
- A Azure Automation változáskövetés és leltározás ismertetése
- PowerShell-szkriptek végrehajtásának szabályozása Windows-környezetekben
AWS-útmutató: Az AWS Systems Manager Inventory funkcióval felderítheti az EC2-példányokra telepített alkalmazásokat. Az AWS konfigurációs szabályaival győződjön meg arról, hogy a nem engedélyezett szoftverek nem futtathatóak AZ EC2-példányokon.
Külső megoldással is felderítheti és azonosíthatja a nem jóváhagyott szoftvereket.
AWS-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):