Delen via

Beveiligingsbeheer V2: Asset Management

  • Artikel

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Asset Management bevat besturingselementen om de zichtbaarheid en governance van beveiliging over Azure-resources te garanderen. Dit omvat aanbevelingen voor machtigingen voor beveiligingspersoneel, beveiligingstoegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en corrigeren).

Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving in Azure Security Benchmark: Netwerkbeveiliging

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
AM-1 1.1, 1.2 CM-8, PM-5

Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Azure Security Center.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure. Beveiligingsteams hebben deze inventaris vaak nodig om de mogelijke blootstelling van hun organisatie aan toekomstige risico's te evalueren, en willen deze inventaris gebruiken als invoer waarmee ze de beveiliging constant kunnen verbeteren.

De Azure Security Center inventarisfunctie en Azure Resource Graph kunnen alle resources in uw abonnementen doorzoeken en detecteren, waaronder Azure-services, toepassingen en netwerkbronnen.

Assets logisch ordenen op basis van de taxonomie van uw organisatie met behulp van tags en andere metagegevens in Azure (naam, beschrijving en categorie).

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

AM-3: Gebruik alleen goedgekeurde Azure-Services

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
AM-3 2.3, 2.4 CM-7, CM-8

Gebruik Azure Policy om te controleren welke services gebruikers in uw omgeving kunnen inrichten en beperken. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

AM-4: Beveiliging van levenscyclusbeheer van assets garanderen

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Beveiligingsbeleid opstellen of bijwerken dat betrekking heeft op processen voor levenscyclusbeheer van assets voor mogelijk hoge impact. Het betreft hier bijvoorbeeld aanpassingen van: id-providers en toegang, gegevensgevoeligheid, netwerkconfiguratie en toewijzing van beheerdersbevoegdheden.

Verwijder Azure-resources wanneer deze ze niet meer nodig zijn.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

AM-5: de mogelijkheid van gebruikers beperken om te communiceren met Azure Resource Manager

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
AM-5 2.9 AC-3

Gebruik Azure AD voorwaardelijke toegang om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de App Microsoft Azure Management.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Azure-id CIS Controls v7.1 ID(s) NIST SP 800-53 r4 ID(s)
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Zorg ervoor dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd in Azure Virtual Machines.

Gebruik Azure Security Center adaptieve toepassingsbesturingselementen om een acceptatielijst voor toepassingen te detecteren en genereren. U kunt ook de besturingselementen voor adaptieve toepassingen gebruiken om ervoor te zorgen dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd in Azure Virtual Machines.

Gebruik Azure Automation Wijzigingen bijhouden en inventaris om het verzamelen van inventarisgegevens van uw Windows- en Linux-VM's te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u de datum van de software-installatie en andere informatie wilt ophalen, schakelt u diagnostische gegevens op gastniveau in en stuurt u de Windows-gebeurtenislogboeken naar de Log Analytics-werkruimte.

Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren in Azure-rekenresources te beperken.

U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):