Controle de Segurança: Gerenciamento de ativos
O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança sobre seus recursos, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, acompanhamento e correto).
AM-1: rastrear o inventário de ativos e seus riscos
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Princípio de segurança: acompanhe o inventário de ativos consultando e descubra todos os seus recursos de nuvem. Organize logicamente seus ativos marcando e agrupando seus ativos com base em sua natureza de serviço, localização ou outras características. Verifique se sua organização de segurança tem acesso a um inventário de ativos continuamente atualizado.
Verifique se sua organização de segurança pode monitorar os riscos para ativos de nuvem sempre tendo insights de segurança e riscos agregados centralmente.
Diretrizes do Azure: o recurso Microsoft Defender para inventário de nuvem e o Resource Graph do Azure podem consultar e descobrir todos os recursos em suas assinaturas, incluindo serviços, aplicativos e recursos de rede do Azure. Organize logicamente os ativos de acordo com a taxonomia da sua organização usando marcas, bem como outros metadados no Azure (Nome, Descrição e Categoria).
Verifique se as organizações de segurança tenham acesso a um inventário atualizado continuamente de ativos no Azure. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.
Verifique se as organizações de segurança receberam as permissões de Leitor de segurança no locatário e nas assinaturas do Azure, de modo que possam monitorar os riscos de segurança usando o Microsoft Defender para Nuvem. As permissões de Leitor de segurança podem ser aplicadas amplamente a um locatário inteiro (grupo de gerenciamento raiz) ou terem como escopo grupos de gerenciamento ou assinaturas específicas.
Observação: podem ser necessárias permissões adicionais a fim de obter visibilidade das cargas de trabalho e dos serviços.
Diretrizes do GCP: use o Inventário de Ativos do Google Cloud para fornecer serviços de inventário com base em um banco de dados de série temporal. Esse banco de dados mantém um histórico de cinco semanas de metadados de ativos do GCP. O serviço de exportação de Inventário de Ativos de Nuvem permite exportar todos os metadados de ativos em um determinado carimbo de data/hora ou exportar o histórico de alterações de eventos durante um período.
Além disso, o Centro de Comandos do Google Cloud Security dá suporte a uma convenção de nomenclatura diferente. Os ativos são recursos do Google Cloud de uma organização. As funções de IAM para o Centro de Comandos de Segurança podem ser concedidas no nível da organização, da pasta ou do projeto. Sua capacidade de exibir, criar ou atualizar descobertas, ativos e fontes de segurança depende do nível para o qual você recebe acesso.
Implementação do GCP e contexto adicional:
- Inventário de ativos de nuvem
- Introdução ao Inventário de Ativos de Nuvem
- Tipos de ativos com suporte no Centro de Comandos de Segurança
Implementação do Azure e contexto adicional:
- Como criar consultas com o Azure Resource Graph Explorer
- Gerenciamento de estoque de ativos do Microsoft Defender para Nuvem
- Para obter mais informações sobre como marcar ativos, confira o guia de decisão de nomenclatura e marcação de recursos
- Visão geral da função Leitor de segurança
Diretrizes da AWS: use o recurso inventário do AWS Systems Manager para consultar e descobrir todos os recursos em suas instâncias do EC2, incluindo detalhes no nível do aplicativo e no nível do sistema operacional. Além disso, use Grupos de Recursos do AWS – Editor de Marcas para procurar inventários de recursos da AWS.
Organize logicamente os ativos de acordo com a taxonomia da sua organização usando marcas, bem como outros metadados na AWS (Nome, Descrição e Categoria).
Verifique se as organizações de segurança têm acesso a um inventário de ativos atualizado continuamente na AWS. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.
Observação: podem ser necessárias permissões adicionais a fim de obter visibilidade das cargas de trabalho e dos serviços.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use o Google Cloud Organization Policy Service para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Você também pode usar o Monitoramento de Nuvem no Operations Suite e/ou a Política de Organização para criar regras para disparar alertas quando um serviço não aprovado é detectado.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
AM-2: usar apenas serviços aprovados
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Princípio de segurança: verifique se somente os serviços de nuvem aprovados podem ser usados, auditando e restringindo quais serviços os usuários podem provisionar no ambiente.
Diretrizes do Azure: use Azure Policy para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos dentro das assinaturas deles. Você também poderá usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado for detectado.
Implementação do Azure e contexto adicional:
- Configurar e gerenciar o Azure Policy
- Como negar um tipo de recurso específico com o Azure Policy
- Como criar consultas com o Azure Resource Graph Explorer
Diretrizes da AWS: use a Configuração do AWS para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use grupos de recursos da AWS para consultar e descobrir recursos em suas contas. Você também pode usar o CloudWatch e/ou a Configuração do AWS para criar regras para disparar alertas quando um serviço não aprovado é detectado.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: estabeleça ou atualize políticas/processos de segurança que abordam processos de gerenciamento do ciclo de vida de ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações em provedores de identidade e acesso, dados confidenciais, configuração de rede e avaliação de privilégio administrativo. Use o Centro de Comandos do Google Cloud Security e a guia Conformidade do marcar para ativos em risco.
Além disso, use a Limpeza Automatizada de Projetos do Google Cloud não utilizados e o serviço De recomendação de nuvem para fornecer recomendações e insights para usar recursos no Google Cloud. Essas recomendações e insights são por produto ou por serviço e são gerados com base em métodos heurísticos, aprendizado de máquina e uso atual de recursos.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
AM-3: garantir a segurança do gerenciamento do ciclo de vida dos ativos
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Princípio de segurança: verifique se os atributos de segurança ou as configurações dos ativos são sempre atualizados durante o ciclo de vida do ativo.
Diretrizes do Azure: estabeleça ou atualize políticas/processos de segurança que abordam processos de gerenciamento do ciclo de vida de ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações em provedores de identidade e acesso, nível de confidencialidade de dados, configuração de rede e atribuição de privilégio administrativo.
Identifique e remova os recursos do Azure quando eles não forem mais necessários.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: estabeleça ou atualize políticas/processos de segurança que abordam processos de gerenciamento do ciclo de vida de ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações em provedores de identidade e acesso, nível de confidencialidade de dados, configuração de rede e atribuição de privilégio administrativo.
Identifique e remova os recursos da AWS quando eles não forem mais necessários.
Implementação da AWS e contexto adicional:
- Como fazer marcar para recursos ativos que não preciso mais na minha conta da AWS?
- Como fazer encerrar recursos ativos que não preciso mais na minha conta da AWS?
Diretrizes do GCP: use o IAM (Gerenciamento de Identidade e Acesso) do Google Cloud para restringir o acesso a recursos específicos. Você pode especificar ações de permissão ou negação, bem como condições sob as quais as ações são disparadas. Você pode especificar uma condição ou métodos combinados de permissões de nível de recurso, políticas baseadas em recursos, autorização baseada em marca, credenciais temporárias ou funções vinculadas ao serviço para ter controles de acesso de controle fino para seus recursos.
Além disso, você pode usar controles de serviço VPC para proteger contra ações acidentais ou direcionadas por entidades externas ou entidades de insiders, o que ajuda a minimizar os riscos de exfiltração de dados injustificados dos serviços do Google Cloud. Você pode usar controles de serviço VPC para criar perímetros que protegem os recursos e dados de serviços especificados explicitamente.
Implementação do GCP e contexto adicional:
- IAM (Gerenciamento de Identidades e Acesso)
- Visão geral dos controles de serviço VPC
- Resource Manager
Stakeholders de segurança do cliente (Saiba mais):
- Segurança de infraestrutura e ponto de extremidade
- Gerenciamento de postura
- Gerenciamento de Conformidade de Segurança
AM-4: limitar o acesso ao gerenciamento de ativos
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/D |
Princípio de segurança: limite o acesso dos usuários aos recursos de gerenciamento de ativos, para evitar modificações acidentais ou mal-intencionadas dos ativos em sua nuvem.
Diretrizes do Azure: o Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Ele fornece uma camada de gerenciamento que lhe permite criar, atualizar e excluir recursos (ativos) no Azure. Use o acesso condicional do Azure Active Directory para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo de "Gerenciamento do Microsoft Azure".
Use o RBAC do Azure (Controle de Acesso baseado em função do Azure) para atribuir funções a identidades para controlar suas permissões e acesso aos recursos do Azure. Por exemplo, um usuário com apenas a função RBAC do Azure 'Leitor' pode exibir todos os recursos, mas não tem permissão para fazer nenhuma alteração.
Use bloqueios de recursos para evitar exclusões ou modificações em recursos. Os bloqueios de recursos também podem ser administrados por meio do Azure Blueprints.
Implementação do Azure e contexto adicional:
- Como configurar o acesso condicional para bloquear o acesso ao Azure Resource Manager
- Bloquear seus recursos para proteger sua infraestrutura
- Proteger recursos novos com bloqueios de recursos do Azure Blueprints
Diretrizes da AWS: use o AWS IAM para restringir o acesso a um recurso específico. Você pode especificar ações permitidas ou de negação, bem como as condições sob as quais as ações são disparadas. Você pode especificar uma condição ou combinar métodos de permissões de nível de recurso, políticas baseadas em recursos, autorização baseada em marca, credenciais temporárias ou funções vinculadas ao serviço para ter um controle de acesso de controle refinado para seus recursos.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use o Gerenciador de VMs do Google Cloud para descobrir os aplicativos instalados em instâncias de Mecanismos de Computação. O inventário do sistema operacional e o gerenciamento de configuração podem ser usados para garantir que o software não autorizado seja impedido de ser executado em instâncias do Mecanismo de Computação.
Você também pode usar uma solução terceirizada para descobrir e identificar softwares não aprovados.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
AM-5: usar apenas aplicativos aprovados na máquina virtual
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Princípio de segurança: verifique se somente o software autorizado é executado criando uma lista de permissões e impedindo a execução do software não autorizado em seu ambiente.
Diretrizes do Azure: use Microsoft Defender para controles de aplicativos adaptáveis de nuvem para descobrir e gerar uma lista de permissões do aplicativo. Você também pode usar controles de aplicativo adaptáveis do ASC para garantir que somente o software autorizado possa ser executado e que todos os softwares não autorizados sejam impedidos de serem executados no Azure Máquinas Virtuais.
Use o Controle de Alterações e Inventário do Automação do Azure para automatizar a coleta de informações de inventário em suas VMs do Windows e do Linux. As informações de nome, versão, editor e tempo de atualização do software estão disponíveis no portal do Azure. Para obter a data de instalação do software e outras informações, habilite a diagnóstico no nível do convidado e direcione os Logs de Eventos do Windows para um workspace do Log Analytics.
Dependendo do tipo dos scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts nos recursos de computação do Azure.
Você também pode usar uma solução terceirizada para descobrir e identificar softwares não aprovados.
Implementação do Azure e contexto adicional:
- Como usar os controles de aplicativos adaptáveis do Microsoft Defender para Nuvem
- Entenda o Controle de Alterações e Inventário da Automação do Azure
- Como controlar a execução de scripts do PowerShell em ambientes Windows
Diretrizes da AWS: use o recurso inventário do AWS Systems Manager para descobrir os aplicativos instalados em suas instâncias do EC2. Use regras de configuração do AWS para garantir que o software não autorizado seja impedido de ser executado em instâncias do EC2.
Você também pode usar uma solução terceirizada para descobrir e identificar softwares não aprovados.
Implementação da AWS e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):