Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança sobre seus recursos, incluindo recomendações sobre permissões para o pessoal de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações de serviços e recursos (inventário, rastreamento e correção).
AM-1: Rastreie o inventário de ativos e seus riscos
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Princípio de segurança: Acompanhe seu inventário de ativos por consulta e descubra todos os seus recursos de nuvem. Organize logicamente seus ativos marcando e agrupando seus ativos com base em sua natureza de serviço, localização ou outras características. Certifique-se de que sua organização de segurança tenha acesso a um inventário de ativos atualizado continuamente.
Certifique-se de que sua organização de segurança possa monitorar os riscos para os ativos de nuvem, sempre tendo insights de segurança e riscos agregados centralmente.
Orientação do Azure: o recurso de inventário do Microsoft Defender for Cloud e o Azure Resource Graph podem consultar e descobrir todos os recursos em suas assinaturas, incluindo serviços, aplicativos e recursos de rede do Azure. Organize logicamente os ativos de acordo com a taxonomia da sua organização usando tags e outros metadados no Azure (Nome, Descrição e Categoria).
Certifique-se de que as organizações de segurança tenham acesso a um inventário continuamente atualizado de ativos no Azure. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.
Certifique-se de que as organizações de segurança recebem permissões do Leitor de Segurança em seu locatário e assinaturas do Azure para que possam monitorar riscos de segurança usando o Microsoft Defender for Cloud. As permissões do Leitor de Segurança podem ser aplicadas amplamente a um locatário inteiro (Grupo de Gerenciamento Raiz) ou com escopo para grupos de gerenciamento ou assinaturas específicas.
Nota: Permissões adicionais podem ser necessárias para obter visibilidade sobre cargas de trabalho e serviços.
Orientação do GCP: use o Google Cloud Asset Inventory para fornecer serviços de inventário com base em um banco de dados de séries temporais. Esse banco de dados mantém um histórico de cinco semanas dos metadados de ativos do GCP. O serviço de exportação do Cloud Asset Inventory permite exportar todos os metadados de ativos em um determinado carimbo de data/hora ou exportar o histórico de alterações de eventos durante um período de tempo.
Além disso, o Google Cloud Security Command Center é compatível com uma convenção de nomenclatura diferente. Os ativos são os recursos do Google Cloud de uma organização. As funções do IAM para o Security Command Center podem ser concedidas no nível da organização, pasta ou projeto. Sua capacidade de exibir, criar ou atualizar descobertas, ativos e fontes de segurança depende do nível para o qual você recebe acesso.
Implementação do GCP e contexto adicional:
- de inventário de ativos na nuvem
- Introdução ao Cloud Asset Inventory
- Tipos de ativos suportados no Centro de Comando de Segurança
Implementação do Azure e contexto adicional:
- Como criar consultas com o Azure Resource Graph Explorer
- de gerenciamento de inventário de ativos do Microsoft Defender for Cloud
- Para obter mais informações sobre como marcar ativos, consulte o guia de decisão de nomeação e marcação de recursos
- Visão geral da função de leitor de segurança
Orientação da AWS: use o recurso AWS Systems Manager Inventory para consultar e descobrir todos os recursos em suas instâncias do EC2, incluindo detalhes no nível do aplicativo e do sistema operacional. Além disso, use o AWS Resource Groups - Tag Editor para pesquisar inventários de recursos da AWS.
Organize logicamente os ativos de acordo com a taxonomia da sua organização usando tags e outros metadados na AWS (nome, descrição e categoria).
Garanta que as organizações de segurança tenham acesso a um inventário continuamente atualizado de ativos na AWS. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.
Nota: Permissões adicionais podem ser necessárias para obter visibilidade sobre cargas de trabalho e serviços.
Implementação da AWS e contexto adicional:
Orientação do GCP: use o Google Cloud Organization Policy Service para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Você também pode usar o Monitoramento de Nuvem no Operations Suite e/ou na Política da Organização para criar regras para disparar alertas quando um serviço não aprovado for detetado.
Implementação do GCP e contexto adicional:
- Introdução ao Serviço de Política da Organização
- Criação e gerenciamento de políticas organizacionais
Intervenientes na segurança do cliente (Saiba mais):
AM-2: Utilizar apenas serviços aprovados
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Princípio de segurança: garantir que apenas serviços de nuvem aprovados possam ser usados, auditando e restringindo quais serviços os usuários podem fornecer no ambiente.
Orientação do Azure: use a Política do Azure para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em suas assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado é detetado.
Implementação do Azure e contexto adicional:
- Configurar e gerenciar a Política do Azure
- Como negar um tipo de recurso específico com a Política do Azure
- Como criar consultas com o Azure Resource Graph Explorer
Orientação da AWS: use o AWS Config para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o AWS Resource Groups para consultar e descobrir recursos em suas contas. Você também pode usar o CloudWatch e/ou o AWS Config para criar regras para disparar alertas quando um serviço não aprovado for detetado.
Implementação da AWS e contexto adicional:
Orientação do GCP: estabeleça ou atualize políticas/processos de segurança que abordem os processos de gerenciamento do ciclo de vida dos ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações em provedores de identidade e acesso, dados confidenciais, configuração de rede e avaliação de privilégios administrativos. Use o Centro de Comando do Google Cloud Security e verifique a guia Conformidade para ativos em risco.
Além disso, use a Limpeza automatizada de projetos do Google Cloud não utilizados e o serviço Cloud Recommender para fornecer recomendações e informações sobre o uso de recursos no Google Cloud. Essas recomendações e perceções são por produto ou por serviço e são geradas com base em métodos heurísticos, aprendizado de máquina e uso atual de recursos.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
AM-3: Garanta a segurança do gerenciamento do ciclo de vida dos ativos
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Princípio de segurança: Garanta que os atributos ou configurações de segurança dos ativos estejam sempre atualizados durante o ciclo de vida dos ativos.
Orientação do Azure: estabeleça ou atualize políticas/processos de segurança que abordem os processos de gerenciamento do ciclo de vida dos ativos para modificações de impacto potencialmente alto. Essas modificações incluem alterações nos provedores de identidade e acesso, nível de sensibilidade de dados, configuração de rede e atribuição de privilégios administrativos.
Identifique e remova os recursos do Azure quando eles não forem mais necessários.
Implementação do Azure e contexto adicional:
Orientação da AWS: estabeleça ou atualize políticas/processos de segurança que abordem os processos de gerenciamento do ciclo de vida dos ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações nos provedores de identidade e acesso, nível de sensibilidade de dados, configuração de rede e atribuição de privilégios administrativos.
Identifique e remova os recursos da AWS quando eles não forem mais necessários.
Implementação da AWS e contexto adicional:
- Como faço para verificar se há recursos ativos que não preciso mais na minha conta da AWS?
- Como faço para encerrar recursos ativos que não preciso mais na minha conta da AWS?
Orientação do GCP: use o Google Cloud Identity and Access Management (IAM) para limitar o acesso a um recurso específico. Você pode especificar ações de permissão ou negação, bem como as condições sob as quais as ações são acionadas. Você pode especificar uma condição ou métodos combinados de permissões de nível de recurso, políticas baseadas em recursos, autorização baseada em tags, credenciais temporárias ou funções vinculadas a serviços para ter controles de acesso de controle refinados para seus recursos.
Além disso, você pode usar os Controles de Serviço da VPC para proteger contra ações acidentais ou direcionadas de entidades externas ou entidades internas, o que ajuda a minimizar os riscos injustificados de exfiltração de dados dos serviços do Google Cloud. Você pode usar os VPC Service Controls para criar perímetros que protejam os recursos e os dados dos serviços que você especificar explicitamente.
Implementação do GCP e contexto adicional:
- Gerenciamento de identidade e acesso (IAM)
- Visão geral dos controles de serviço da VPC
- Gestor de Recursos
Intervenientes na segurança do cliente (Saiba mais):
AM-4: Limitar o acesso à gestão de ativos
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/A |
Princípio de segurança: Limite o acesso dos usuários aos recursos de gerenciamento de ativos, para evitar modificações acidentais ou maliciosas dos ativos em sua nuvem.
Orientação do Azure: o Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Ele fornece uma camada de gerenciamento que permite criar, atualizar e excluir recursos (ativos) no Azure. Use o Acesso Condicional do Azure AD para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".
Use o Controle de Acesso Baseado em Função do Azure (Azure RBAC) para atribuir funções a identidades para controlar suas permissões e acesso aos recursos do Azure. Por exemplo, um usuário com apenas a função RBAC do Azure 'Leitor' pode exibir todos os recursos, mas não tem permissão para fazer alterações.
Use os Bloqueios de Recursos para evitar exclusões ou modificações nos recursos. Os Bloqueios de Recursos também podem ser administrados por meio de Plantas do Azure.
Implementação do Azure e contexto adicional:
- Como configurar o Acesso Condicional para bloquear o acesso ao Azure Resources Manager
- Bloqueie seus recursos para proteger sua infraestrutura
- Proteja novos recursos com bloqueios de recursos do Azure Blueprints
Orientação da AWS: use o AWS IAM para restringir o acesso a um recurso específico. Você pode especificar ações permitidas ou negadas, bem como as condições sob as quais as ações são acionadas. Você pode especificar uma condição ou combinar métodos de permissões de nível de recurso, políticas baseadas em recursos, autorização baseada em tags, credenciais temporárias ou funções vinculadas a serviços para ter um controle de acesso refinado para seus recursos.
Implementação da AWS e contexto adicional:
Orientação do GCP: use o Google Cloud VM Manager para identificar as aplicações instaladas em instâncias do Google Compute Engine. O inventário do SO e o gerenciamento de configuração podem ser usados para garantir que o software não autorizado seja impedido de ser executado em instâncias do Compute Engine.
Você também pode usar uma solução de terceiros para descobrir e identificar software não aprovado.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
AM-5: Use apenas aplicativos aprovados na máquina virtual
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Princípio de segurança: Certifique-se de que apenas o software autorizado é executado criando uma lista de permissões e bloqueie a execução do software não autorizado em seu ambiente.
Orientação do Azure: use os controles de aplicativo adaptáveis do Microsoft Defender for Cloud para descobrir e gerar uma lista de permissões de aplicativos. Você também pode usar controles de aplicativo adaptáveis ASC para garantir que apenas software autorizado possa ser executado e que todo software não autorizado seja impedido de ser executado em Máquinas Virtuais do Azure.
Use o Azure Automation Change Tracking and Inventory para automatizar a coleta de informações de inventário de suas VMs Windows e Linux. As informações de nome, versão, editor e tempo de atualização do software estão disponíveis no portal do Azure. Para obter a data de instalação do software e outras informações, habilite o diagnóstico no nível de convidado e direcione os Logs de Eventos do Windows para um espaço de trabalho do Log Analytics.
Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts nos recursos de computação do Azure.
Você também pode usar uma solução de terceiros para descobrir e identificar software não aprovado.
Implementação do Azure e contexto adicional:
- Como usar os controles de aplicativos adaptáveis do Microsoft Defender for Cloud
- Compreender o Controlo de Alterações e o Inventário da Automação do Azure
- Como controlar a execução de scripts do PowerShell em ambientes Windows
Orientação da AWS: use o recurso AWS Systems Manager Inventory para descobrir os aplicativos instalados em suas instâncias do EC2. Use as regras do AWS Config para garantir que softwares não autorizados sejam impedidos de serem executados em instâncias do EC2.
Você também pode usar uma solução de terceiros para descobrir e identificar software não aprovado.
Implementação da AWS e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):