Udostępnij za pośrednictwem


Security Control V2: Zarządzanie zasobami

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Usługa Asset Management obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami platformy Azure. Obejmuje to zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami dla usług i zasobów (spis, śledzenie i poprawianie).

Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Zabezpieczenia sieciowe

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
AM-1 1.1, 1.2 CM-8, PM-5

Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu Azure Security Center.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby oszacować potencjalne zagrożenie w organizacji do pojawiających się zagrożeń i jako dane wejściowe w celu ciągłego ulepszania zabezpieczeń.

Funkcja spisu Azure Security Center i usługa Azure Resource Graph mogą wysyłać zapytania o wszystkie zasoby w subskrypcjach i odnajdywać je, w tym usługi platformy Azure, aplikacje i zasoby sieciowe.

Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (Nazwa, Opis i Kategoria).

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
AM-3 2.3, 2.4 CM-7, CM-8

Usługa Azure Policy pozwala przeprowadzić inspekcję i ograniczyć liczbę usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

ZZ-4: zapewnienie bezpieczeństwa zarządzania cyklem życia zasobów

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Ustanów lub zaktualizuj zasady zabezpieczeń, które dotyczą procesów zarządzania cyklem życia zasobów w celu modyfikacji potencjalnie mających duży wpływ. Modyfikacje te obejmują zmiany w zakresie: dostawców tożsamości i dostępu, czułości danych, konfiguracji sieci i przypisywania uprawnień administracyjnych.

Usuń zasoby platformy Azure, gdy nie są już potrzebne.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

AM-5: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
AM-5 2.9 AC-3

Użyj Azure AD dostępu warunkowego, aby ograniczyć użytkownikom możliwość interakcji z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

AM-6: Używaj tylko zatwierdzonych aplikacji w zasobach obliczeniowych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Upewnij się, że jest wykonywane tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.

Użyj funkcji adaptacyjnego sterowania aplikacjami Azure Security Center, aby odnaleźć i wygenerować listę dozwolonych aplikacji. Możesz również użyć funkcji adaptacyjnego sterowania aplikacjami, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.

Użyj Azure Automation Śledzenie zmian i spis, aby zautomatyzować zbieranie informacji spisu z maszyn wirtualnych z systemem Windows i Linux. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać datę instalacji oprogramowania i inne informacje, włącz diagnostykę na poziomie gościa i przekierowuj dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

W zależności od typu skryptów można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć użytkownikom możliwość wykonywania skryptów w zasobach obliczeniowych platformy Azure.

Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):