Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Aanbevelingen voor inventaris- en assetbeheer zijn gericht op het oplossen van problemen met betrekking tot het actief beheren (inventaris, bijhouden en corrigeren) van alle Azure-resources, zodat alleen geautoriseerde resources toegang krijgen en niet-geautoriseerde en niet-beheerde resources worden geïdentificeerd en verwijderd.
6.1: Geautomatiseerde assetdetectieoplossing gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Klant |
Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnement(en). Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en -resources binnen uw abonnementen.
Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, is het raadzaam om azure Resource Manager-resources in de toekomst te maken en te gebruiken.
6.2: Metagegevens van assets onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.2 | 1.5 | Klant |
Pas tags toe op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.
6.3: Niet-geautoriseerde Azure-resources verwijderen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.3 | 1.6 | Klant |
Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om assets te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.
6.4: Een inventaris van goedgekeurde Azure-resources definiëren en onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.4 | 2.1 | Klant |
Maak een inventaris van goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de behoeften van onze organisatie.
6.5: Controleren op niet-goedgekeurde Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.5 | 2.3, 2.4 | Klant |
Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat in uw abonnement(en) kan worden gemaakt.
Gebruik Azure Resource Graph om resources in hun abonnement(en) op te vragen/te ontdekken. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd.
6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.6 | 2.3, 2.4 | Klant |
Gebruik Inventaris van virtuele Azure-machines om het verzamelen van informatie over alle software op virtuele machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via De Azure-portal. Als u toegang wilt krijgen tot de installatiedatum en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.
6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.7 | 2,5 | Klant |
Gebruik de bewaking van bestandsintegriteit van Azure Security Center (Wijzigingen bijhouden) en inventaris van virtuele machines om alle software te identificeren die op virtuele machines is geïnstalleerd. U kunt uw eigen proces implementeren voor het verwijderen van niet-geautoriseerde software. U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te identificeren.
6.8: Alleen goedgekeurde toepassingen gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.8 | 2.6 | Klant |
Gebruik Adaptieve toepassingsbesturingselementen van Azure Security Center om ervoor te zorgen dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd op virtuele Azure-machines.
6.9: Alleen goedgekeurde Azure-services gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.9 | 2.6 | Klant |
Gebruik Azure Policy om te beperken welke services u in uw omgeving kunt inrichten.
6.10: Een inventaris van goedgekeurde softwaretitels onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.10 | 2.7 | Klant |
Gebruik Adaptieve toepassingsbesturingselementen van Azure Security Center om op te geven op welke bestandstypen een regel al dan niet van toepassing is.
Implementeer een oplossing van derden als dit niet voldoet aan de vereiste.
6.11: De mogelijkheid van gebruikers beperken om te communiceren met Azure Resource Manager
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.11 | 2.9 | Klant |
Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers te beperken om te communiceren met Azure Resources Manager door 'Toegang blokkeren' te configureren voor de Microsoft Azure Management-app.
6.12: Beperk de mogelijkheid van gebruikers om scripts uit te voeren binnen rekenresources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.12 | 2.9 | Klant |
Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren in Azure-rekenresources te beperken. U kunt ook gebruikmaken van Adaptieve toepassingsbesturingselementen van Azure Security Center om ervoor te zorgen dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd op virtuele Azure-machines.
6.13: Toepassingen met een hoog risico fysiek of logisch scheiden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.13 | 2.9 | Klant |
Software die vereist is voor bedrijfsactiviteiten, maar kan een hoger risico voor de organisatie met zich meebrengen, moet worden geïsoleerd binnen een eigen virtuele machine en/of virtueel netwerk en voldoende beveiligd met een Azure Firewall of netwerkbeveiligingsgroep.
Volgende stappen
- Zie het volgende beveiligingsbeheer: beveiligde configuratie