Управление безопасностью, v2: управление ресурсами

  • Статья

Примечание

Актуальная оценка системы безопасности Azure доступна здесь.

Управление ресурсами охватывает аспекты управления, касающиеся обеспечения видимости и контроля над ресурсами Azure. Сюда входят рекомендации по разрешениям для сотрудников служб безопасности, доступу к инвентаризации ресурсов и по управлению утверждениями для ресурсов и служб (инвентаризация, отслеживание и исправление).

Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Безопасность сети.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
AM-1 1.1, 1.2 CM-8, PM-5

Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Центра безопасности Azure.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Убедитесь, что группы безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности.

Функция инвентаризации Центра безопасности Azure и Azure Resource Graph могут запрашивать и обнаруживать все ресурсы в подписках, включая службы, приложения и сетевые ресурсы Azure.

Упорядочите ресурсы логически в соответствии с классификацией вашей компании, используя теги и другие метаданные в Azure (имя, описание и категорию).

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-3: использование только утвержденных служб Azure

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
AM-3 2.3, 2.4 CM-7, CM-8

Используйте политику Azure для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-4. Обеспечение безопасности для управления жизненным циклом ресурса

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Определите или обновите политики безопасности, которые относятся к процессам управления жизненным циклом ресурсов, чтобы внести изменения, которые могут иметь значительные последствия. Например, изменение поставщиков удостоверений и доступа, конфиденциальности данных, конфигурации сети и назначения прав администратора.

Удалите ресурсы Azure, если они больше не нужны.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-5: ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
AM-5 2,9 AC-3

Используйте условный доступ Azure AD, чтобы ограничить пользователям возможность взаимодействия с Azure Resource Manager, настроив блокировку доступа для приложения "Управление Microsoft Azure".

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Сделайте так, чтобы на Виртуальных машинах Azure выполнялось только разрешенное программное обеспечение, а неразрешенное блокировалось.

Используйте адаптивные элементы управления приложениями Центра безопасности Azure для обнаружения и создания списка разрешенных приложений. Адаптивные элементы управления приложениями также можно использовать, чтобы обеспечить выполнение только разрешенного ПО и заблокировать неразрешенное на Виртуальных машинах Azure.

Используйте функцию "Отслеживание изменений и инвентаризация" в службе автоматизации Azure, чтобы автоматизировать сбор данных учета с виртуальных машин Windows и Linux. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и направьте журналы событий Windows в рабочую область Log Analytics.

Вы можете использовать конфигурации для конкретных операционных систем или ресурсы сторонних производителей, чтобы ограничить пользователям запуск скриптов определенного типа в вычислительных ресурсах Azure.

Вы также можете использовать стороннее решение для обнаружения и идентификации неутвержденного ПО.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):