Kontrol Keamanan v3: Manajemen aset
Aset Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Azure, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventaris aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventaris, melacak, dan memperbaiki).
AM-1: Melacak inventaris aset dan risikonya
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 02/04/2021 |
Prinsip Keamanan: Melacak inventaris aset Anda berdasarkan kueri dan menemukan semua sumber daya cloud Anda. Atur aset Anda secara logis dengan menandai dan mengelompokkan aset Anda berdasarkan sifat layanan, lokasi, atau karakteristik lainnya. Pastikan organisasi keamanan Anda memiliki akses ke inventaris aset yang terus diperbarui.
Pastikan organisasi keamanan Anda dapat memantau risiko aset cloud dengan selalu memiliki wawasan keamanan dan risiko yang dikumpulkan secara terpusat
Panduan Azure: Fitur inventaris Microsoft Defender untuk Cloud dan Azure Resource Graph dapat mengkueri dan menemukan semua sumber daya di langganan Anda, termasuk layanan Azure, aplikasi, dan sumber daya jaringan. Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan Tag serta metadata lain di Azure (Nama, Deskripsi, dan Kategori).
Pastikan bahwa organisasi keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang timbul, dan sebagai masukan untuk terus meningkatkan keamanan.
Pastikan organisasi keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud. Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.
Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.
Implementasi dan konteks tambahan:
- Cara membuat kueri dengan Azure Resource Graph Explorer
- Manajemen inventaris aset Microsoft Defender untuk Cloud
- Untuk informasi selengkapnya tentang memberi tag aset, lihat panduan keputusan penamaan dan pemberian tag sumber daya
- Gambaran Umum Peran Pembaca Keamanan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-2: Hanya menggunakan layanan yang disetujui
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Prinsip Keamanan: Memastikan bahwa hanya layanan cloud yang disetujui yang dapat digunakan, dengan mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan.
Panduan Azure: Menggunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat diprovisikan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.
Implementasi dan konteks tambahan:
- Konfigurasikan dan kelola Azure Policy
- Cara menolak jenis sumber daya tertentu dengan Azure Policy
- Cara membuat kueri dengan Azure Resource Graph Explorer
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-3: Memastikan keamanan manajemen siklus hidup aset
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 02/04/2021 |
Prinsip Keamanan: Memastikan atribut keamanan atau konfigurasi aset selalu diperbarui selama siklus hidup aset.
Panduan Azure: Membuat atau memperbarui kebijakan/proses keamanan yang menangani proses pengelolaan siklus hidup aset untuk modifikasi dampak yang berpotensi tinggi. Modifikasi tersebut mencakup perubahan pada: penyedia identitas dan akses, sensitivitas data, konfigurasi jaringan, dan penetapan hak istimewa admin.
Hapus sumber daya Azure saat tidak lagi diperlukan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-4: Membatasi akses ke manajemen aset
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | T/A |
Prinsip Keamanan: Membatasi akses pengguna ke fitur manajemen aset, untuk menghindari modifikasi aset yang tidak disengaja atau berbahaya di cloud Anda.
Panduan Azure: Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Azure Resource Manager menyediakan lapisan manajemen yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya (aset) di Azure. Gunakan Akses Bersyarat Microsoft Azure Active Directory untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengkonfigurasi "akses blok" untuk Aplikasi "Microsoft Azure Management".
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Prinsip Keamanan: Memastikan bahwa hanya perangkat lunak resmi yang dijalankan dengan membuat daftar yang memungkinkan dan memblokir perangkat lunak yang tidak diotorisasi agar tidak dijalankan di lingkungan Anda.
Panduan Azure: Menggunakan kontrol aplikasi adaptif Microsoft Defender untuk Cloud untuk menemukan dan membuat daftar izinkan aplikasi. Anda juga dapat menggunakan kontrol aplikasi adaptif Azure Security Center untuk memastikan bahwa hanya perangkat lunak yang sah yang dijalankan dan semua perangkat lunak yang tidak sah diblokir agar tidak dieksekusi di Azure Virtual Machines.
Gunakan Pelacakan dan Inventaris Perubahan Azure Automation untuk mengotomatisasi pengumpulan informasi inventaris dari komputer virtual Windows dan Linux Anda. Nama perangkat lunak, versi, penerbit, dan waktu penyegaran tersedia dari portal Microsoft Azure. Untuk mendapatkan tanggal penginstalan perangkat lunak dan informasi lainnya, aktifkan diagnostik tingkat tamu dan arahkan Log Kejadian Windows ke ruang kerja Analitik Log.
Bergantung pada jenis skrip, Anda dapat menggunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna dalam menjalankan skrip pada sumber daya komputasi Azure.
Anda juga dapat menggunakan solusi pihak ketiga untuk mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi dan konteks tambahan:
- Cara menggunakan kontrol aplikasi adaptif Microsoft Defender untuk Cloud
- Pahami Pelacakan Perubahan dan Inventaris Azure Automation
- Cara mengontrol eksekusi skrip PowerShell di Lingkungan Windows
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):