Compartilhar via


Controle de segurança: inventário e gerenciamento de ativos

Observação

O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.

As recomendações de Inventário e Gerenciamento de Ativos se concentram em resolver problemas relacionados ao gerenciamento ativamente (inventário, controle e correto) de todos os recursos do Azure para que apenas recursos autorizados tenham acesso e recursos não autorizados e não gerenciados sejam identificados e removidos.

6.1: Usar a solução automatizada de Descoberta de Ativos

Azure ID IDs de CIS Responsabilidade
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Cliente

Use o Azure Resource Graph para consultar/descobrir todos os recursos (como computação, armazenamento, rede, portas e protocolos etc.) em suas assinaturas. Verifique as permissões apropriadas (leitura) em seu locatário e enumera todas as assinaturas do Azure, bem como os recursos em suas assinaturas.

Embora os recursos clássicos do Azure possam ser descobertos por meio do Resource Graph, é altamente recomendável criar e usar recursos do Azure Resource Manager daqui para frente.

6.2: Manter metadados de ativo

Azure ID IDs de CIS Responsabilidade
6.2 1.5 Cliente

Aplique marcas aos recursos do Azure que dão metadados para organizá-las logicamente em uma taxonomia.

6.3: Excluir recursos do Azure não autorizados

Azure ID IDs de CIS Responsabilidade
6.3 1.6 Cliente

Use marcação, grupos de gerenciamento e assinaturas separadas, sempre que apropriado, para organizar e acompanhar ativos. Reconciliar o inventário regularmente e garantir que os recursos não autorizados sejam excluídos da assinatura em tempo hábil.

6.4: Definir e manter um inventário de recursos aprovados do Azure

Azure ID IDs de CIS Responsabilidade
6.4 2.1 Cliente

Crie um inventário de recursos aprovados do Azure e software aprovado para recursos de computação de acordo com nossas necessidades organizacionais.

6.5: Monitorar recursos do Azure não aprovados

Azure ID IDs de CIS Responsabilidade
6.5 2.3, 2.4 Cliente

Use o Azure Policy para colocar restrições ao tipo de recursos que podem ser criados em suas assinaturas.

Use o Azure Resource Graph para consultar/descobrir recursos em suas assinaturas. Verifique se todos os recursos do Azure presentes no ambiente são aprovados.

6.6: Monitorar aplicativos de software não aprovados em recursos de computação

Azure ID IDs de CIS Responsabilidade
6.6 2.3, 2.4 Cliente

Use o Inventário de máquinas virtuais do Azure para automatizar a coleção de informações sobre todos os softwares em Máquinas Virtuais. O nome do software, a versão, o publicador e a hora de atualização estão disponíveis no portal do Azure. Para obter acesso à data de instalação e outras informações, habilite os diagnósticos a nível de convidado e traga os Logs de Eventos do Windows para o Espaço de Trabalho do Log Analytics.

6.7: Remover recursos não aprovados do Azure e aplicativos de software

Azure ID IDs de CIS Responsabilidade
6.7 2,5 Cliente

Use o Monitoramento de Integridade de Arquivos (Controle de Alterações) da Central de Segurança do Azure e o inventário de máquinas virtuais para identificar todos os softwares instalados em Máquinas Virtuais. Você pode implementar seu próprio processo para remover software não autorizado. Você também pode usar uma solução de terceiros para identificar software não aprovado.

6.8: Usar somente aplicativos aprovados

Azure ID IDs de CIS Responsabilidade
6,8 2.6 Cliente

Use os Controles de Aplicativos Adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.

6.9: Usar apenas serviços aprovados do Azure

Azure ID IDs de CIS Responsabilidade
6.9 2.6 Cliente

Use o Azure Policy para restringir quais serviços você pode provisionar em seu ambiente.

6.10: Manter um inventário de títulos de software aprovados

Azure ID IDs de CIS Responsabilidade
6.10 2.7 Cliente

Use controles de aplicativo adaptáveis da Central de Segurança do Azure para especificar a quais tipos de arquivo uma regra pode ou não se aplicar.

Implemente uma solução de terceiros se isso não atender ao requisito.

6.11: Limitar a capacidade dos usuários de interagir com o Azure Resource Manager

Azure ID IDs de CIS Responsabilidade
6.11 2,9 Cliente

Use o Acesso Condicional do Azure para limitar a capacidade dos usuários de interagir com o Azure Resources Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".

6.12: Limitar a capacidade dos usuários de executar scripts dentro de recursos de computação

Azure ID IDs de CIS Responsabilidade
6.12 2,9 Cliente

Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts em recursos de computação do Azure. Você também pode aproveitar os Controles de Aplicativos Adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.

6.13: Segregar aplicativos de alto risco física ou logicamente

Azure ID IDs de CIS Responsabilidade
6.13 2,9 Cliente

O software necessário para operações de negócios, mas que pode incorrer em maior risco para a organização, deve ser isolado em sua própria máquina virtual e/ou rede virtual e suficientemente protegido com um Firewall do Azure ou um Grupo de Segurança de Rede.

Próximas etapas