Controllo di sicurezza V2: gestione di asset

  • Articolo

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

Gestione asset copre i controlli per garantire visibilità e governance della sicurezza sulle risorse di Azure. Sono inclusi consigli sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per i servizi e le risorse (inventario, traccia e correzione).

Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Sicurezza di rete

AM-1: assicurarsi che il team di sicurezza abbia visibilità dei rischi per gli asset

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
AM-1 1.1, 1.2 CM-8, PM-5

Assicurarsi che i team di sicurezza abbiano le autorizzazioni di lettura della sicurezza nel tenant e nelle sottoscrizioni di Azure in modo che possano monitorare i rischi per la sicurezza usando Centro sicurezza di Azure.

A seconda del modo in cui le responsabilità del team di sicurezza sono strutturate, il monitoraggio per i rischi per la sicurezza potrebbe essere la responsabilità di un team di sicurezza centrale o di un team locale. Fatta questa premessa, le informazioni e i rischi per la sicurezza devono sempre essere aggregati in una posizione centralizzata all'interno di un'organizzazione.

Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) oppure a gruppi di gestione o a sottoscrizioni specifiche.

Nota: potrebbero essere necessarie anche altre autorizzazioni per ottenere visibilità sui carichi di lavoro e i servizi.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

AM-2: Assicurarsi che il team di sicurezza abbia accesso all'inventario degli asset e ai metadati

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Assicurarsi che i team di sicurezza abbiano accesso a un inventario aggiornato continuo degli asset in Azure. I team di sicurezza spesso necessitano di questo inventario per valutare la potenziale esposizione dell'organizzazione ai rischi emergenti e come input per miglioramenti continui della sicurezza.

La funzionalità di inventario Centro sicurezza di Azure e Azure Resource Graph può eseguire query per e individuare tutte le risorse nelle sottoscrizioni, inclusi i servizi, le applicazioni e le risorse di rete di Azure.

Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in Azure (Nome, Descrizione e Categoria).

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

AM-3: Usare solo i servizi di Azure approvati

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
AM-3 2.3, 2.4 CM-7, CM-8

Usare Criteri di Azure per controllare e limitare i servizi di cui gli utenti possono eseguire il provisioning nell'ambiente. Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. È anche possibile usare Monitoraggio di Azure per creare regole per attivare gli avvisi quando viene rilevato un servizio non approvato.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

4\. Garantire la sicurezza della gestione del ciclo di vita delle risorse

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Stabilire o aggiornare i criteri di sicurezza che indirizzano i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente elevate. come ad esempio modifiche a: provider di identità e accessi, sensibilità dei dati, configurazione della rete e assegnazione dei privilegi amministrativi.

Rimuovere le risorse di Azure quando non sono più necessarie.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

AM-5: limitare la capacità degli utenti di interagire con Azure Resource Manager

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
AM-5 2,9 AC-3

Usare l'accesso condizionale di Azure AD per limitare la capacità degli utenti di interagire con Azure Resource Manager configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure".

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

AM-6: usare solo applicazioni approvate nelle risorse di calcolo

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Assicurarsi che venga eseguito solo il software autorizzato e che tutti i software non autorizzati vengano eseguiti in Azure Macchine virtuali.

Usare i controlli applicazioni adattivi di Centro sicurezza di Azure per individuare e generare un elenco consentito di un'applicazione. È anche possibile usare i controlli applicazioni adattivi per assicurarsi che solo il software autorizzato e tutto il software non autorizzato sia bloccato dall'esecuzione in Azure Macchine virtuali.

Usare Automazione di Azure Rilevamento modifiche e inventario per automatizzare la raccolta di informazioni di inventario dalle macchine virtuali Windows e Linux. Il nome software, la versione, l'editore e l'ora di aggiornamento sono disponibili dalla portale di Azure. Per ottenere la data di installazione del software e altre informazioni, abilitare la diagnostica a livello di guest e indirizzare i log eventi di Windows all'area di lavoro Log Analytics.

A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script nelle risorse di calcolo di Azure.

È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):