Bagikan melalui

Kontrol Keamanan v3: Manajemen aset

Manajemen Aset Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Azure, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventarisasi aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventarisasi, lacak, dan benar).

AM-1: Melacak inventaris aset dan risikonya

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Prinsip Keamanan: Lacak inventori aset Anda dengan mengkueri dan menemukan semua sumber daya cloud Anda. Atur aset Anda secara logis dengan memberi tag dan mengelompokkan aset Anda berdasarkan sifat layanan, lokasi, atau karakteristik lainnya. Pastikan organisasi keamanan Anda memiliki akses ke inventarisasi aset yang terus diperbarui.

Pastikan organisasi keamanan Anda dapat memantau risiko aset cloud dengan selalu memiliki wawasan keamanan dan risiko yang dikumpulkan secara terpusat

Panduan Azure: Fitur inventori Microsoft Defender for Cloud dan Azure Resource Graph dapat mengkueri dan menemukan semua sumber daya dalam langganan Anda, termasuk layanan Azure, aplikasi, dan sumber daya jaringan. Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan Tag serta metadata lain di Azure (Nama, Deskripsi, dan Kategori).

Pastikan bahwa organisasi keamanan memiliki akses ke inventarisasi aset yang terus diperbarui di Azure. Tim keamanan sering membutuhkan inventarisasi ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai input untuk terus meningkatkan keamanan.

Pastikan organisasi keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Pertahanan Microsoft untuk Cloud. Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Grup Manajemen Akar) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

AM-2: Hanya gunakan layanan yang disetujui

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Prinsip Keamanan: Pastikan bahwa hanya layanan cloud yang disetujui yang dapat digunakan, dengan mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan.

Panduan Azure: Gunakan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan mereka. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan untuk memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

AM-3: Memastikan keamanan manajemen siklus hidup aset

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Prinsip Keamanan: Pastikan atribut keamanan atau konfigurasi aset selalu diperbarui selama siklus hidup aset.

Panduan Azure: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, sensitivitas data, konfigurasi jaringan, dan penetapan hak istimewa administratif.

Hapus sumber daya Azure saat tidak lagi diperlukan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

AM-4: Membatasi akses ke manajemen aset

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.3 AC-3 Tidak tersedia

Prinsip Keamanan: Batasi akses pengguna ke fitur manajemen aset, untuk menghindari modifikasi aset yang tidak disengaja atau berbahaya di cloud Anda.

Panduan Azure: Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Ini menyediakan lapisan manajemen yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya (aset) di Azure. Gunakan Akses Bersyar Azure ACTIVE Directory untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

AM-5: Hanya gunakan aplikasi yang disetujui di komputer virtual

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Prinsip Keamanan: Pastikan bahwa hanya perangkat lunak resmi yang dijalankan dengan membuat daftar izin dan memblokir perangkat lunak yang tidak sah agar tidak dijalankan di lingkungan Anda.

Panduan Azure: Gunakan kontrol aplikasi adaptif Microsoft Defender for Cloud untuk menemukan dan menghasilkan daftar izin aplikasi. Anda juga dapat menggunakan kontrol aplikasi adaptif ASC untuk memastikan bahwa hanya perangkat lunak resmi yang dijalankan dan semua perangkat lunak yang tidak sah diblokir agar tidak dijalankan di Azure Virtual Machines.

Gunakan Pelacakan Perubahan dan Inventarisasi Azure Automation untuk mengotomatiskan pengumpulan informasi inventarisasi dari VM Windows dan Linux Anda. Nama perangkat lunak, versi, penerbit, dan waktu refresh tersedia dari portal Microsoft Azure. Untuk mendapatkan tanggal penginstalan perangkat lunak dan informasi lainnya, aktifkan diagnostik tingkat pengguna tamu dan arahkan Log Peristiwa Windows ke ruang kerja Log Analytics.

Bergantung pada jenis skrip, Anda dapat menggunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna untuk menjalankan skrip di sumber daya komputasi Azure.

Anda juga dapat menggunakan solusi pihak ketiga untuk menemukan dan mengidentifikasi perangkat lunak yang tidak disetujui.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):