Controllo di sicurezza V2: gestione di asset
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
Gestione asset copre i controlli per garantire visibilità e governance della sicurezza sulle risorse di Azure. Sono inclusi consigli sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per i servizi e le risorse (inventario, traccia e correzione).
Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Sicurezza di rete
AM-1: assicurarsi che il team di sicurezza abbia visibilità dei rischi per gli asset
ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
---|---|---|
AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Assicurarsi che i team di sicurezza abbiano le autorizzazioni di lettura della sicurezza nel tenant e nelle sottoscrizioni di Azure in modo che possano monitorare i rischi per la sicurezza usando Centro sicurezza di Azure.
A seconda del modo in cui le responsabilità del team di sicurezza sono strutturate, il monitoraggio per i rischi per la sicurezza potrebbe essere la responsabilità di un team di sicurezza centrale o di un team locale. Fatta questa premessa, le informazioni e i rischi per la sicurezza devono sempre essere aggregati in una posizione centralizzata all'interno di un'organizzazione.
Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) oppure a gruppi di gestione o a sottoscrizioni specifiche.
Nota: potrebbero essere necessarie anche altre autorizzazioni per ottenere visibilità sui carichi di lavoro e i servizi.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
AM-2: Assicurarsi che il team di sicurezza abbia accesso all'inventario degli asset e ai metadati
ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
---|---|---|
AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Assicurarsi che i team di sicurezza abbiano accesso a un inventario aggiornato continuo degli asset in Azure. I team di sicurezza spesso necessitano di questo inventario per valutare la potenziale esposizione dell'organizzazione ai rischi emergenti e come input per miglioramenti continui della sicurezza.
La funzionalità di inventario Centro sicurezza di Azure e Azure Resource Graph può eseguire query per e individuare tutte le risorse nelle sottoscrizioni, inclusi i servizi, le applicazioni e le risorse di rete di Azure.
Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in Azure (Nome, Descrizione e Categoria).
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
AM-3: Usare solo i servizi di Azure approvati
ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
---|---|---|
AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Usare Criteri di Azure per controllare e limitare i servizi di cui gli utenti possono eseguire il provisioning nell'ambiente. Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. È anche possibile usare Monitoraggio di Azure per creare regole per attivare gli avvisi quando viene rilevato un servizio non approvato.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
4\. Garantire la sicurezza della gestione del ciclo di vita delle risorse
ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
---|---|---|
AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Stabilire o aggiornare i criteri di sicurezza che indirizzano i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente elevate. come ad esempio modifiche a: provider di identità e accessi, sensibilità dei dati, configurazione della rete e assegnazione dei privilegi amministrativi.
Rimuovere le risorse di Azure quando non sono più necessarie.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
AM-5: limitare la capacità degli utenti di interagire con Azure Resource Manager
ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
---|---|---|
AM-5 | 2,9 | AC-3 |
Usare l'accesso condizionale di Azure AD per limitare la capacità degli utenti di interagire con Azure Resource Manager configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure".
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
AM-6: usare solo applicazioni approvate nelle risorse di calcolo
ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
---|---|---|
AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Assicurarsi che venga eseguito solo il software autorizzato e che tutti i software non autorizzati vengano eseguiti in Azure Macchine virtuali.
Usare i controlli applicazioni adattivi di Centro sicurezza di Azure per individuare e generare un elenco consentito di un'applicazione. È anche possibile usare i controlli applicazioni adattivi per assicurarsi che solo il software autorizzato e tutto il software non autorizzato sia bloccato dall'esecuzione in Azure Macchine virtuali.
Usare Automazione di Azure Rilevamento modifiche e inventario per automatizzare la raccolta di informazioni di inventario dalle macchine virtuali Windows e Linux. Il nome software, la versione, l'editore e l'ora di aggiornamento sono disponibili dalla portale di Azure. Per ottenere la data di installazione del software e altre informazioni, abilitare la diagnostica a livello di guest e indirizzare i log eventi di Windows all'area di lavoro Log Analytics.
A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script nelle risorse di calcolo di Azure.
È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.
Come usare Centro sicurezza di Azure controlli applicazioni adattivi
Informazioni Automazione di Azure Rilevamento modifiche e inventario
Come controllare l'esecuzione di script di PowerShell negli ambienti Windows
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):