Partilhar via


Controlo de Segurança: Gestão de Inventário e Ativos

Observação

O mais up-torecente Benchmark de Segurança do Azure está disponível aqui.

As recomendações de Gestão de Inventário e Ativos concentram-se na resolução de problemas relacionados com a gestão ativa (inventário, controlo e correção) de todos os recursos do Azure para que apenas os recursos autorizados tenham acesso e os recursos não autorizados e não geridos sejam identificados e removidos.

6.1: Use a solução automatizada de descoberta de ativos

Azure ID IDs do CIS Responsabilidade
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Cliente

Use o Azure Resource Graph para consultar/descobrir todos os recursos (como computação, armazenamento, rede, portas e protocolos, etc.) dentro da(s) sua(s) assinatura(s). Garanta as permissões apropriadas (de leitura) em seu locatário e enumere todas as assinaturas do Azure, bem como os recursos em suas assinaturas.

Embora os recursos clássicos do Azure possam ser descobertos por meio do Gráfico de Recursos, é altamente recomendável criar e usar recursos do Azure Resource Manager no futuro.

6.2: Manter metadados de ativos

Azure ID IDs do CIS Responsabilidade
6.2 1.5 Cliente

Aplique tags aos recursos do Azure fornecendo metadados para organizá-los logicamente em uma taxonomia.

6.3: Excluir recursos não autorizados do Azure

Azure ID IDs do CIS Responsabilidade
6.3 1.6 Cliente

Use marcação, grupos de gerenciamento e assinaturas separadas, quando apropriado, para organizar e controlar ativos. Reconcilie o inventário regularmente e garanta que recursos não autorizados sejam excluídos da assinatura em tempo hábil.

6.4: Definir e manter um inventário de recursos aprovados do Azure

Azure ID IDs do CIS Responsabilidade
6.4 2.1 Cliente

Crie um inventário de recursos aprovados do Azure e software aprovado para recursos de computação de acordo com as nossas necessidades organizacionais.

6.5: Monitorar recursos não aprovados do Azure

Azure ID IDs do CIS Responsabilidade
6.5 2.3, 2.4 Cliente

Use a Política do Azure para colocar restrições sobre o tipo de recursos que podem ser criados na(s) sua(s) assinatura(s).

Use o Azure Resource Graph para consultar/descobrir recursos em suas assinaturas. Certifique-se de que todos os recursos do Azure presentes no ambiente sejam aprovados.

6.6: Monitorar aplicativos de software não aprovados dentro de recursos de computação

Azure ID IDs do CIS Responsabilidade
6.6 2.3, 2.4 Cliente

Use o Inventário de máquinas virtuais do Azure para automatizar a coleta de informações sobre todos os softwares em Máquinas Virtuais. Nome do Software, Versão, Publicador e Tempo de Atualização estão disponíveis no portal do Azure. Para obter acesso à data de instalação e outras informações, ative o diagnóstico ao nível de convidado e transfira os Registros de Eventos do Windows para um Espaço de Trabalho de Análise de Logs.

6.7: Remover recursos e aplicativos de software não aprovados do Azure

Azure ID IDs do CIS Responsabilidade
6.7 2,5 Cliente

Use o Monitoramento de Integridade de Arquivos (Controle de Alterações) da Central de Segurança do Azure e o inventário de máquinas virtuais para identificar todo o software instalado em Máquinas Virtuais. Você pode implementar seu próprio processo para remover software não autorizado. Você também pode usar uma solução de terceiros para identificar software não aprovado.

6.8: Utilizar apenas aplicações aprovadas

Azure ID IDs do CIS Responsabilidade
6.8 2.6 Cliente

Use os Controles de Aplicativo Adaptáveis da Central de Segurança do Azure para garantir que apenas o software autorizado seja executado e que todo o software não autorizado seja impedido de ser executado nas Máquinas Virtuais do Azure.

6.9: Usar apenas serviços aprovados do Azure

Azure ID IDs do CIS Responsabilidade
6.9 2.6 Cliente

Use a Política do Azure para restringir quais serviços você pode provisionar em seu ambiente.

6.10: Manter um inventário de títulos de software aprovados

Azure ID IDs do CIS Responsabilidade
6.10 2,7 Cliente

Use os Controles de Aplicativo Adaptáveis da Central de Segurança do Azure para especificar a quais tipos de arquivo uma regra pode ou não se aplicar.

Implemente uma solução de terceiros se isso não atender ao requisito.

6.11: Limitar a capacidade dos utilizadores de interagir com o Azure Resource Manager

Azure ID IDs do CIS Responsabilidade
6.11 2.9 Cliente

Use o Acesso Condicional do Azure para limitar a capacidade dos usuários de interagir com o Gerenciador de Recursos do Azure configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".

6.12: Limitar a capacidade dos usuários de executar scripts dentro de recursos de computação

Azure ID IDs do CIS Responsabilidade
6.12 2.9 Cliente

Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts nos recursos de computação do Azure. Também pode tirar partido dos Controlos de Aplicação Adaptáveis do Centro de Segurança do Azure para garantir que apenas software autorizado é executado e que todo o software não autorizado é impedido de ser executado nas Máquinas Virtuais do Azure.

6.13: Separar física ou logicamente as aplicações de alto risco

Azure ID IDs do CIS Responsabilidade
6.13 2.9 Cliente

O software necessário para operações comerciais, mas que pode incorrer em maior risco para a organização, deve ser isolado em sua própria máquina virtual e/ou rede virtual e suficientemente protegido com um Firewall do Azure ou Grupo de Segurança de Rede.

Próximos passos