Delen via


Beveiligingsbeheer: Assetbeheer

Asset Management omvat controles om de zichtbaarheid en governance van de beveiliging van uw resources te waarborgen, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, toegang tot assetinventarisatie en het beheren van goedkeuringen voor services en resources (inventarisatie, bijhouden en corrigeren).

AM-1: Inventaris van activa en hun risico's bijhouden

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS ID's v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2,4

Beveiligingsprincipe: houd uw assetinventaris bij door query's uit te voeren en al uw cloudresources te detecteren. U kunt uw assets logisch organiseren door uw assets te taggen en te groeperen op basis van hun service-aard, locatie of andere kenmerken. Zorg ervoor dat uw beveiligingsorganisatie toegang heeft tot een continu bijgewerkte inventaris van assets.

Zorg ervoor dat uw beveiligingsorganisatie de risico's voor cloudassets kan bewaken door altijd beveiligingsinzichten en risico's centraal te verzamelen.


Azure-richtlijnen: De microsoft Defender for Cloud-inventarisfunctie en Azure Resource Graph kunnen alle resources in uw abonnementen opvragen en detecteren, waaronder Azure-services, toepassingen en netwerkresources. Assets logisch ordenen op basis van de taxonomie van uw organisatie met behulp van tags en andere metagegevens in Azure (naam, beschrijving en categorie).

Zorg ervoor dat beveiligingsorganisaties toegang hebben tot een doorlopend bijgewerkte inventaris van assets in Azure. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen.

Zorg ervoor dat beveiligingsorganisaties machtigingen voor beveiligingslezers krijgen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud. Machtigingen voor beveiligingslezers kunnen breed worden toegepast op een hele tenant (hoofdbeheergroep) of binnen het bereik van beheergroepen of specifieke abonnementen.

Opmerking: er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.


GCP-richtlijnen: Google Cloud Asset Inventory gebruiken om inventarisservices te bieden op basis van een tijdreeksdatabase. Deze database houdt een geschiedenis van vijf weken bij van GCP-assetmetagegevens. Met de exportservice voor cloudassets kunt u alle metagegevens van assets op een bepaalde tijdstempel exporteren of de wijzigingsgeschiedenis van gebeurtenissen exporteren gedurende een bepaalde periode.

Daarnaast ondersteunt Google Cloud Security Command Center een andere naamconventie. Assets zijn de Google Cloud-resources van een organisatie. De IAM-rollen voor Security Command Center kunnen worden verleend op organisatie-, map- of projectniveau. De mogelijkheid om bevindingen, assets en beveiligingsbronnen weer te geven, te maken of bij te werken, is afhankelijk van het niveau waarvoor u toegang krijgt.

GCP-implementatie en aanvullende context:

Azure-implementatie en aanvullende context:


AWS-richtlijnen: Gebruik de aws Systems Manager-inventarisfunctie om alle resources in uw EC2-exemplaren op te vragen en te detecteren, inclusief details op toepassingsniveau en besturingssysteemniveau. Gebruik daarnaast AWS-resourcegroepen - Tag-editor om door AWS-resourceinventarisaties te bladeren.

Assets logisch organiseren op basis van de taxonomie van uw organisatie met behulp van tags en andere metagegevens in AWS (naam, beschrijving en categorie).

Zorg ervoor dat beveiligingsorganisaties toegang hebben tot een doorlopend bijgewerkte inventaris van assets op AWS. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen.

Opmerking: er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Google Cloud Organization Policy Service gebruiken om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. U kunt cloudbewaking ook gebruiken in Operations Suite en/of organisatiebeleid om regels te maken om waarschuwingen te activeren wanneer een niet-goedgekeurde service wordt gedetecteerd.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

AM-2: Alleen goedgekeurde services gebruiken

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS ID's v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Beveiligingsprincipe: zorg ervoor dat alleen goedgekeurde cloudservices kunnen worden gebruikt door te controleren en te beperken welke services gebruikers in de omgeving kunnen inrichten.


Azure-richtlijnen: Azure Policy gebruiken om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources in hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken om waarschuwingen te activeren wanneer er een niet-goedgekeurde service wordt gedetecteerd.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik AWS-configuratie om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik AWS-resourcegroepen om resources in hun accounts op te vragen en te detecteren. U kunt cloudwatch en/of AWS-configuratie ook gebruiken om regels te maken om waarschuwingen te activeren wanneer er een niet-goedgekeurde service wordt gedetecteerd.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Stel een beveiligingsbeleid in of werk deze bij dat betrekking heeft op processen voor levenscyclusbeheer van assets voor mogelijke aanpassingen met hoge impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, gevoelige gegevens, netwerkconfiguratie en evaluatie van beheerdersbevoegdheden. Gebruik Google Cloud Security Command Center en controleer het tabblad Naleving op assets die risico lopen.

Gebruik bovendien geautomatiseerd opschonen van ongebruikte Google Cloud Projects en cloudaanbevelingsservice om aanbevelingen en inzichten te bieden voor het gebruik van resources in Google Cloud. Deze aanbevelingen en inzichten zijn per product of per service en worden gegenereerd op basis van heuristische methoden, machine learning en huidig resourcegebruik.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

AM-3: Beveiliging van levenscyclusbeheer van assets garanderen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS ID's v3.2.1
1.1, 2.1 CM-8, CM-7 2,4

Beveiligingsprincipe: zorg ervoor dat beveiligingskenmerken of configuraties van de assets altijd worden bijgewerkt tijdens de levenscyclus van assets.


Azure-richtlijnen: Vaststellen of bijwerken van beveiligingsbeleid/processen die betrekking hebben op processen voor levenscyclusbeheer van assets, voor wijzigingen met mogelijk grote impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, vertrouwelijkheidsniveau van gegevens, netwerkconfiguratie en toewijzing van beheerdersbevoegdheden.

Azure-resources identificeren en verwijderen wanneer ze niet meer nodig zijn.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: Stel beveiligingsbeleid en -processen in of werk deze bij die betrekking hebben op het beheer van levenscycli van assets voor wijzigingen met mogelijk grote impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, vertrouwelijkheidsniveau van gegevens, netwerkconfiguratie en toewijzing van beheerdersbevoegdheden.

AWS-resources identificeren en verwijderen wanneer ze niet meer nodig zijn.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik Google Cloud Identity and Access Management (IAM) om de toegang tot specifieke resources te beperken. U kunt acties voor toestaan of weigeren en voorwaarden opgeven waaronder acties worden geactiveerd. U kunt één voorwaarde of gecombineerde methoden voor machtigingen op resourceniveau, op resources gebaseerde beleidsregels, autorisatie op basis van tags, tijdelijke referenties of service-gekoppelde rollen opgeven om gedetailleerde besturingselementen voor toegang te hebben voor uw resources.

Daarnaast kunt u VPC-servicebesturingselementen gebruiken om te beschermen tegen onbedoelde of gerichte actie door externe entiteiten of insiders-entiteiten, waarmee u onwarrante gegevensexfiltratierisico's van Google Cloud-services kunt minimaliseren. U kunt VPC-servicebesturingselementen gebruiken om perimeters te maken die de resources en gegevens van services beveiligen die u expliciet opgeeft.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

AM-4: Toegang tot assetbeheer beperken

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS ID's v3.2.1
3.3 AC-3 Niet van toepassing.

Beveiligingsprincipe: beperk de toegang van gebruikers tot assetbeheerfuncties om onbedoelde of schadelijke wijzigingen van de assets in uw cloud te voorkomen.


Azure-richtlijnen: Azure Resource Manager is de implementatie- en beheerservice voor Azure. Het biedt een beheerlaag waarmee u resources (assets) in Azure kunt maken, bijwerken en verwijderen. Gebruik voorwaardelijke toegang van Azure AD om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de Microsoft Azure Management-app.

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om rollen toe te wijzen aan identiteiten om hun machtigingen en toegang tot Azure-resources te beheren. Een gebruiker met alleen de Azure RBAC-rol Lezer kan bijvoorbeeld alle resources weergeven, maar mag geen wijzigingen aanbrengen.

Gebruik resourcevergrendelingen om verwijderingen of wijzigingen in resources te voorkomen. Resourcevergrendelingen kunnen ook worden beheerd via Azure Blueprints.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: AWS IAM gebruiken om de toegang tot een specifieke resource te beperken. U kunt toegestane of geweigerde acties en de voorwaarden opgeven waaronder acties worden geactiveerd. U kunt één voorwaarde opgeven of methoden voor machtigingen op resourceniveau, op resources gebaseerde beleidsregels, autorisatie op basis van tags, tijdelijke referenties of service-gekoppelde rollen combineren om een gedetailleerd toegangsbeheer voor uw resources te hebben.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik Google Cloud VM Manager om de toepassingen te detecteren die zijn geïnstalleerd op compute engines-exemplaren. Inventaris- en configuratiebeheer van het besturingssysteem kan worden gebruikt om ervoor te zorgen dat niet-geautoriseerde software niet kan worden uitgevoerd op Compute Engine-exemplaren.

U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS ID's v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Beveiligingsprincipe: Zorg ervoor dat alleen geautoriseerde software wordt uitgevoerd door een acceptatielijst te maken en te voorkomen dat niet-geautoriseerde software wordt uitgevoerd in uw omgeving.


Azure-richtlijnen: gebruik adaptieve toepassingsbesturingselementen van Microsoft Defender for Cloud om een acceptatielijst voor toepassingen te detecteren en genereren. U kunt ook adaptieve besturingselementen voor ASC-toepassingen gebruiken om ervoor te zorgen dat alleen geautoriseerde software kan worden uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd op virtuele Azure-machines.

Gebruik Azure Automation Wijzigingen bijhouden en Inventaris om het verzamelen van inventarisgegevens van uw Windows- en Linux-VM's te automatiseren. Informatie over softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar in Azure Portal. Als u de datum van de software-installatie en andere informatie wilt ophalen, schakelt u diagnostische gegevens op gastniveau in en stuurt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren in Azure-rekenresources te beperken.

U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik de functie AWS Systems Manager Inventory om de toepassingen te detecteren die zijn geïnstalleerd in uw EC2-exemplaren. Gebruik AWS-configuratieregels om ervoor te zorgen dat niet-geautoriseerde software niet kan worden uitgevoerd op EC2-exemplaren.

U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.

AWS-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):