Beveiligingsbeheer: assetbeheer
Asset management omvat controles om de zichtbaarheid en governance van uw resources te garanderen, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, beveiligingstoegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en corrigeren).
AM-1: Inventaris van activa en hun risico's bijhouden
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Beveiligingsprincipe: Houd uw assetvoorraad bij op basis van query's en ontdek al uw cloudresources. Organiseer uw assets logisch door uw assets te taggen en te groeperen op basis van hun serviceaard, locatie of andere kenmerken. Zorg ervoor dat uw beveiligingsorganisatie toegang heeft tot een continu bijgewerkte inventaris van assets.
Zorg ervoor dat uw beveiligingsorganisatie de risico's voor cloudassets kan bewaken door altijd beveiligings- en risico's centraal te aggregeren.
Azure-richtlijnen: de functie Microsoft Defender voor cloudinventaris en Azure Resource Graph kunt alle resources in uw abonnementen doorzoeken en detecteren, inclusief Azure-services, -toepassingen en -netwerkresources. Organiseer assets logisch op basis van de taxonomie van uw organisatie met behulp van tags en andere metagegevens in Azure (Naam, Beschrijving en Categorie).
Zorg ervoor dat beveiligingsorganisaties toegang hebben tot een continu bijgewerkte inventaris van assets in Azure. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als input voor continue beveiligingsverbeteringen.
Zorg ervoor dat beveiligingsorganisaties beveiligingslezermachtigingen krijgen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor cloud. De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.
Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.
GCP-richtlijnen: Gebruik Google Cloud Asset Inventory om inventarisservices te bieden op basis van een tijdreeksdatabase. In deze database wordt een geschiedenis van vijf weken van de metagegevens van GCP-assets bijgehouden. Met de exportservice Cloud Asset Inventory kunt u alle metagegevens van assets exporteren met een bepaalde tijdstempel of gebeurteniswijzigingsgeschiedenis exporteren gedurende een bepaalde periode.
Daarnaast ondersteunt Google Cloud Security Command Center een andere naamconventie. Assets zijn de Google Cloud-resources van een organisatie. De IAM-rollen voor Security Command Center kunnen worden verleend op organisatie-, map- of projectniveau. De mogelijkheid om bevindingen, assets en beveiligingsbronnen weer te geven, te maken of bij te werken, is afhankelijk van het niveau waarvoor u toegang krijgt.
GCP-implementatie en aanvullende context:
- Inventaris van cloudactiva
- Inleiding tot inventaris van cloudactiva
- Ondersteunde assettypen in Security Command Center
Azure-implementatie en aanvullende context:
- Query's maken met Azure Resource Graph Explorer
- Microsoft Defender voor voorraadbeheer van cloudactiva
- Zie de handleiding voor het benoemen en taggen van resources voor meer informatie over het taggen van assets
- Overzicht van rol Beveiligingslezer
AWS-richtlijnen: gebruik de aws Systems Manager Inventory-functie om alle resources in uw EC2-exemplaren op te vragen en te detecteren, inclusief details op toepassingsniveau en besturingssysteemniveau. Gebruik daarnaast AWS-resourcegroepen - Tag-editor om door AWS-resource-inventarissen te bladeren.
Organiseer assets logisch volgens de taxonomie van uw organisatie met behulp van tags en andere metagegevens in AWS (Naam, Beschrijving en Categorie).
Zorg ervoor dat beveiligingsorganisaties toegang hebben tot een continu bijgewerkte inventaris van assets op AWS. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als input voor continue beveiligingsverbeteringen.
Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik Google Cloud Organization Policy Service om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. U kunt cloudbewaking in Operations Suite en/of organisatiebeleid ook gebruiken om regels te maken om waarschuwingen te activeren wanneer een niet-goedgekeurde service wordt gedetecteerd.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
AM-2: Alleen goedgekeurde services gebruiken
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Beveiligingsprincipe: zorg ervoor dat alleen goedgekeurde cloudservices kunnen worden gebruikt door te controleren en te beperken welke services gebruikers in de omgeving kunnen inrichten.
Azure-richtlijnen: gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.
Azure-implementatie en aanvullende context:
- Azure Policy configureren en beheren
- Een specifiek resourcetype weigeren met Azure Policy
- Query's maken met Azure Resource Graph Explorer
AWS-richtlijnen: gebruik AWS-configuratie om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik AWS-resourcegroepen om resources in hun accounts op te vragen en te detecteren. U kunt ook CloudWatch en/of AWS Config gebruiken om regels te maken om waarschuwingen te activeren wanneer een niet-goedgekeurde service wordt gedetecteerd.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: beveiligingsbeleid/-proces instellen of bijwerken dat betrekking heeft op levenscyclusbeheerprocessen voor activa voor wijzigingen met een mogelijk hoge impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, gevoelige gegevens, netwerkconfiguratie en evaluatie van beheerdersbevoegdheden. Gebruik Google Cloud Security Command Center en controleer het tabblad Naleving op assets die risico lopen.
Gebruik daarnaast Geautomatiseerd opschonen van ongebruikte Google Cloud-projecten en de Cloud Recommender-service om aanbevelingen en inzichten te bieden voor het gebruik van resources in Google Cloud. Deze aanbevelingen en inzichten zijn per product of per service en worden gegenereerd op basis van heuristische methoden, machine learning en het huidige resourcegebruik.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
AM-3: Beveiliging van levenscyclusbeheer van activa garanderen
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Beveiligingsprincipe: zorg ervoor dat beveiligingskenmerken of configuraties van de assets altijd worden bijgewerkt tijdens de levenscyclus van de activa.
Azure-richtlijnen: beveiligingsbeleid/-proces opstellen of bijwerken dat betrekking heeft op processen voor het beheer van de levenscyclus van activa voor wijzigingen met een mogelijk hoge impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, vertrouwelijkheidsniveau van gegevens, netwerkconfiguratie en toewijzing van beheerdersbevoegdheden.
Azure-resources identificeren en verwijderen wanneer ze niet meer nodig zijn.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: beveiligingsbeleid/-proces opstellen of bijwerken dat betrekking heeft op levenscyclusbeheerprocessen voor activa voor wijzigingen met een mogelijk hoge impact. Deze wijzigingen omvatten wijzigingen in id-providers en toegang, vertrouwelijkheidsniveau van gegevens, netwerkconfiguratie en toewijzing van beheerdersbevoegdheden.
AWS-resources identificeren en verwijderen wanneer ze niet meer nodig zijn.
AWS-implementatie en aanvullende context:
- Hoe kan ik controleren op actieve resources die ik niet meer nodig heb in mijn AWS-account?
- Hoe kan ik actieve resources beëindigen die ik niet meer nodig heb voor mijn AWS-account?
GCP-richtlijnen: Gebruik Google Cloud Identity and Access Management (IAM) om de toegang tot specifieke resources te beperken. U kunt acties toestaan of weigeren en voorwaarden opgeven waaronder acties worden geactiveerd. U kunt één voorwaarde of gecombineerde methoden opgeven voor machtigingen op resourceniveau, beleid op basis van resources, autorisatie op basis van tags, tijdelijke referenties of aan de service gekoppelde rollen om nauwkeurige toegangsbeheer voor uw resources te hebben.
Daarnaast kunt u VPC-servicebesturingselementen gebruiken om u te beschermen tegen onbedoelde of gerichte actie van externe entiteiten of insiders-entiteiten, waardoor u de risico's van ongerechtvaardigde gegevensexfiltratie van Google Cloud-services kunt minimaliseren. U kunt VPC-servicebesturingselementen gebruiken om perimeters te maken die de resources en gegevens beveiligen van services die u expliciet opgeeft.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
AM-4: Toegang tot assetbeheer beperken
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3,3 | AC-3 | N.v.t. |
Beveiligingsprincipe: beperk de toegang van gebruikers tot functies voor assetbeheer om onbedoelde of kwaadwillende wijzigingen van de assets in uw cloud te voorkomen.
Azure-richtlijnen: Azure Resource Manager is de implementatie- en beheerservice voor Azure. Het biedt een beheerlaag waarmee u resources (assets) in Azure kunt maken, bijwerken en verwijderen. Gebruik Azure AD voorwaardelijke toegang om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door toegang blokkeren te configureren voor de app Microsoft Azure Management.
Gebruik op rollen gebaseerde Access Control (Azure RBAC) om rollen toe te wijzen aan identiteiten om hun machtigingen en toegang tot Azure-resources te beheren. Een gebruiker met alleen de Azure RBAC-rol Lezer kan bijvoorbeeld alle resources weergeven, maar mag geen wijzigingen aanbrengen.
Gebruik Resourcevergrendelingen om verwijderingen of wijzigingen in resources te voorkomen. Resourcevergrendelingen kunnen ook worden beheerd via Azure Blueprints.
Azure-implementatie en aanvullende context:
- Voorwaardelijke toegang configureren om de toegang tot Azure Resources Manager te blokkeren
- Uw resources vergrendelen om uw infrastructuur te beveiligen
- Nieuwe resources beveiligen met Azure Blueprints-resourcevergrendelingen
AWS-richtlijnen: gebruik AWS IAM om de toegang tot een specifieke resource te beperken. U kunt toegestane of geweigerde acties opgeven, evenals de voorwaarden waaronder acties worden geactiveerd. U kunt één voorwaarde opgeven of methoden van machtigingen op resourceniveau, op resources gebaseerd beleid, autorisatie op basis van tags, tijdelijke referenties of service-gekoppelde rollen combineren om een fijnmazig toegangsbeheer voor uw resources te hebben.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik Google Cloud VM Manager om de toepassingen te detecteren die zijn geïnstalleerd op compute-engines-exemplaren. Inventaris- en configuratiebeheer van het besturingssysteem kan worden gebruikt om ervoor te zorgen dat niet-geautoriseerde software wordt geblokkeerd voor uitvoering op compute-engine-exemplaren.
U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
AM-5: Alleen goedgekeurde toepassingen in virtuele machine gebruiken
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Beveiligingsprincipe: zorg ervoor dat alleen geautoriseerde software wordt uitgevoerd door een acceptatielijst te maken en te voorkomen dat niet-geautoriseerde software wordt uitgevoerd in uw omgeving.
Azure-richtlijnen: gebruik Microsoft Defender voor besturingselementen voor adaptieve cloudtoepassingen om een acceptatielijst voor toepassingen te detecteren en te genereren. U kunt ook adaptieve ASC-toepassingsregelaars gebruiken om ervoor te zorgen dat alleen geautoriseerde software kan worden uitgevoerd en dat alle niet-geautoriseerde software wordt geblokkeerd voor uitvoering op Azure Virtual Machines.
Gebruik Azure Automation Wijzigingen bijhouden en inventaris om het verzamelen van inventarisgegevens van uw Windows- en Linux-VM's te automatiseren. Informatie over softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar in de Azure Portal. Als u de software-installatiedatum en andere informatie wilt ophalen, schakelt u diagnostische gegevens op gastniveau in en stuurt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.
Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren in Azure-rekenresources te beperken.
U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.
Azure-implementatie en aanvullende context:
- Microsoft Defender gebruiken voor besturingselementen voor adaptieve cloudtoepassingen
- Inzicht in Azure Automation Wijzigingen bijhouden en inventaris
- De uitvoering van PowerShell-scripts beheren in Windows-omgevingen
AWS-richtlijnen: gebruik de functie AWS Systems Manager Inventory om de toepassingen te detecteren die zijn geïnstalleerd in uw EC2-exemplaren. Gebruik AWS-configuratieregels om ervoor te zorgen dat niet-geautoriseerde software wordt geblokkeerd voor uitvoering op EC2-exemplaren.
U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te detecteren en te identificeren.
AWS-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):