Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
As recomendações de Inventário e Gerenciamento de Ativos se concentram em resolver problemas relacionados ao gerenciamento ativamente (inventário, controle e correto) de todos os recursos do Azure para que apenas recursos autorizados tenham acesso e recursos não autorizados e não gerenciados sejam identificados e removidos.
6.1: Usar a solução automatizada de Descoberta de Ativos
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Cliente |
Use o Azure Resource Graph para consultar/descobrir todos os recursos (como computação, armazenamento, rede, portas e protocolos etc.) em suas assinaturas. Verifique as permissões apropriadas (leitura) em seu locatário e enumera todas as assinaturas do Azure, bem como os recursos em suas assinaturas.
Embora os recursos clássicos do Azure possam ser descobertos por meio do Resource Graph, é altamente recomendável criar e usar recursos do Azure Resource Manager daqui para frente.
6.2: Manter metadados de ativo
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.2 | 1.5 | Cliente |
Aplique marcas aos recursos do Azure que dão metadados para organizá-las logicamente em uma taxonomia.
6.3: Excluir recursos do Azure não autorizados
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.3 | 1.6 | Cliente |
Use marcação, grupos de gerenciamento e assinaturas separadas, sempre que apropriado, para organizar e acompanhar ativos. Reconciliar o inventário regularmente e garantir que os recursos não autorizados sejam excluídos da assinatura em tempo hábil.
6.4: Definir e manter um inventário de recursos aprovados do Azure
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.4 | 2.1 | Cliente |
Crie um inventário de recursos aprovados do Azure e software aprovado para recursos de computação de acordo com nossas necessidades organizacionais.
6.5: Monitorar recursos do Azure não aprovados
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.5 | 2.3, 2.4 | Cliente |
Use o Azure Policy para colocar restrições ao tipo de recursos que podem ser criados em suas assinaturas.
Use o Azure Resource Graph para consultar/descobrir recursos em suas assinaturas. Verifique se todos os recursos do Azure presentes no ambiente são aprovados.
6.6: Monitorar aplicativos de software não aprovados em recursos de computação
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.6 | 2.3, 2.4 | Cliente |
Use o Inventário de máquinas virtuais do Azure para automatizar a coleção de informações sobre todos os softwares em Máquinas Virtuais. O nome do software, a versão, o publicador e a hora de atualização estão disponíveis no portal do Azure. Para obter acesso à data de instalação e outras informações, habilite os diagnósticos a nível de convidado e traga os Logs de Eventos do Windows para o Espaço de Trabalho do Log Analytics.
6.7: Remover recursos não aprovados do Azure e aplicativos de software
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.7 | 2,5 | Cliente |
Use o Monitoramento de Integridade de Arquivos (Controle de Alterações) da Central de Segurança do Azure e o inventário de máquinas virtuais para identificar todos os softwares instalados em Máquinas Virtuais. Você pode implementar seu próprio processo para remover software não autorizado. Você também pode usar uma solução de terceiros para identificar software não aprovado.
6.8: Usar somente aplicativos aprovados
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6,8 | 2.6 | Cliente |
Use os Controles de Aplicativos Adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.
6.9: Usar apenas serviços aprovados do Azure
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.9 | 2.6 | Cliente |
Use o Azure Policy para restringir quais serviços você pode provisionar em seu ambiente.
6.10: Manter um inventário de títulos de software aprovados
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.10 | 2.7 | Cliente |
Use controles de aplicativo adaptáveis da Central de Segurança do Azure para especificar a quais tipos de arquivo uma regra pode ou não se aplicar.
Implemente uma solução de terceiros se isso não atender ao requisito.
6.11: Limitar a capacidade dos usuários de interagir com o Azure Resource Manager
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.11 | 2,9 | Cliente |
Use o Acesso Condicional do Azure para limitar a capacidade dos usuários de interagir com o Azure Resources Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".
6.12: Limitar a capacidade dos usuários de executar scripts dentro de recursos de computação
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.12 | 2,9 | Cliente |
Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts em recursos de computação do Azure. Você também pode aproveitar os Controles de Aplicativos Adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.
Como controlar a execução de script do PowerShell em Ambientes do Windows
Como usar controles de aplicativo adaptáveis da Central de Segurança do Azure
6.13: Segregar aplicativos de alto risco física ou logicamente
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 6.13 | 2,9 | Cliente |
O software necessário para operações de negócios, mas que pode incorrer em maior risco para a organização, deve ser isolado em sua própria máquina virtual e/ou rede virtual e suficientemente protegido com um Firewall do Azure ou um Grupo de Segurança de Rede.
Próximas etapas
- Confira o próximo Controle de Segurança: Configuração Segura