Controle de Segurança V2: gerenciamento de ativos

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

O gerenciamento de ativos abrange controles para garantir a visibilidade e a governança de segurança sobre os recursos do Azure. Isso inclui recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações de serviços e recursos (inventário, acompanhamento e correção).

Para ver as informações internas aplicáveis do Azure Policy, confira Detalhes da iniciativa interna de conformidade regulatória do Azure Security Benchmark: segurança de rede

AM-1: garantir que a equipe de segurança tenha visibilidade dos riscos de ativos

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-1 1.1, 1.2 CM-8, PM-5

verifique se as equipes de segurança receberam as permissões Leitor de segurança no seu locatário e nas suas assinaturas do Azure, de modo que possam monitorar os riscos de segurança usando a Central de Segurança do Azure.

Dependendo de como as responsabilidades da equipe de segurança são estruturadas, o monitoramento dos riscos de segurança pode ser a responsabilidade de uma equipe de segurança central ou de uma equipe local. Dito isso, os insights e os riscos de segurança sempre precisam ser agregados de maneira centralizada em uma organização.

As permissões de Leitor de segurança podem ser aplicadas amplamente a um locatário inteiro (grupo de gerenciamento raiz) ou terem como escopo grupos de gerenciamento ou assinaturas específicas.

Observação: podem ser necessárias permissões adicionais a fim de obter visibilidade das cargas de trabalho e dos serviços.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

AM-2: verificar se a equipe de segurança tem acesso ao inventário de ativos e metadados

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Verifique se as equipes de segurança têm acesso a um inventário atualizado continuamente de ativos no Azure. As equipes de segurança geralmente precisam desse inventário para avaliar a potencial exposição da organização delas a riscos emergentes e como uma entrada para aprimoramentos de segurança contínuos.

O recurso de inventário da Central de Segurança do Azure e o Azure Resource Graph podem consultar e descobrir todos os recursos nas suas assinaturas, inclusive serviços, aplicativos e recursos de rede do Azure.

Organize logicamente os ativos de acordo com a taxonomia de sua organização usando marcas e outros metadados no Azure (nome, descrição e categoria).

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

AM-3: usar somente serviços do Azure aprovados

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-3 2.3, 2.4 CM-7, CM-8

Use o Azure Policy para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos dentro das assinaturas deles. Você também poderá usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado for detectado.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

AM-4: garantir a segurança do gerenciamento do ciclo de vida dos ativos

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

estabeleça ou atualize as políticas de segurança que atendem aos processos de gerenciamento do ciclo de vida de ativos em relação a modificações que, potencialmente, sejam de alto impacto. Essas modificações incluem alterações em: provedores de identidade e acesso, confidencialidade de dados, configuração de rede e atribuição de privilégio administrativo.

Remova os recursos do Azure quando eles não forem mais necessários.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

AM-5: limitar a capacidade de interação dos usuários com o Azure Resource Manager

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-5 2,9 AC-3

Use o acesso condicional do Azure AD para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" no aplicativo "Gerenciamento do Microsoft Azure".

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

AM-6: usar apenas aplicativos aprovados em recursos de computação

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Verifique se apenas o software autorizado é executado e se todos os softwares não autorizados estão impedidos de ser executados nas Máquinas Virtuais do Microsoft Azure.

Use os controles de aplicativos adaptáveis da Central de Segurança do Azure para descobrir e gerar uma lista de permissão de aplicativos. Você também pode usar controles de aplicativos adaptáveis para garantir que apenas o software autorizado seja executado e que a execução dos softwares não autorizados seja impedida nas Máquinas Virtuais do Microsoft Azure.

Use o Controle de Alterações e Inventário do Automação do Azure para automatizar a coleta de informações de inventário em suas VMs do Windows e do Linux. O nome, a versão, o distribuidor e o tempo de atualização do software estão disponíveis no portal do Azure. Para obter acesso à data de instalação e outras informações sobre o software, habilite o diagnóstico no nível de convidado e direcione os Logs de Eventos do Windows para um espaço de trabalho do Log Analytics.

Dependendo do tipo dos scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts nos recursos de computação do Azure.

Você também pode usar uma solução terceirizada para descobrir e identificar softwares não aprovados.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):