Управление безопасностью: инвентаризация и управление ресурсами
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Рекомендации по инвентаризации и управлению и ресурсами касаются вопросов, связанных с управлением (инвентаризацией, отслеживанием и исправлением) всех ресурсов Azure. Основная цель — предоставлять доступ только авторизованным ресурсам, а несанкционированные и неуправляемые ресурсы идентифицировать и удалять.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Customer |
Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов, протоколов и т. д.) в ваших подписках. Убедитесь в том, что в вашем клиенте есть соответствующие разрешения (на чтение) и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.
Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы Azure Resource Manager.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.2 | 1.5 | Customer |
Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.3 | 1.6 | Customer |
При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочивать и отслеживать ресурсы. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.4 | 2.1 | Customer |
Проводите инвентаризацию утвержденных ресурсов Azure и утвержденного программного обеспечения для вычислительных ресурсов в соответствии с потребностями организации.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6,5 | 2.3, 2.4 | Customer |
С помощью Политик Azure ограничьте типы ресурсов, которые разрешено создавать в ваших подписках.
Используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках. Убедитесь в том, что все ресурсы Azure, представленные в среде, утверждены.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.6 | 2.3, 2.4 | Customer |
Используйте инвентаризацию виртуальных машин Azure, чтобы автоматизировать сбор сведений обо всех программах на виртуальных машинах. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.7 | 2.5 | Customer |
Используйте мониторинг целостности файлов (отслеживание изменений) и инвентаризацию виртуальных машин в Центре безопасности Azure, чтобы обнаружить все программы, установленные на виртуальных машинах. Вы можете реализовать собственный процесс удаления неавторизованного программного обеспечения. Кроме того, можно использовать стороннее решение для обнаружения неутвержденного программного обеспечения.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6,8 | 2.6 | Customer |
Используйте адаптивные элементы управления приложениями в Центре безопасности Azure, чтобы гарантировать выполнение только авторизованного программного обеспечения и блокировать запуск всех несанкционированных программ на виртуальных машинах Azure.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.9 | 2.6 | Customer |
Используйте Политику Azure, чтобы ограничить службы, запускаемые в вашей среде.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.10 | 2.7 | Customer |
Используйте адаптивные элементы управления приложениями в Центре безопасности Azure, чтобы указать, к каким типам файлов может применяться правило.
Реализуйте сторонние решения, если это не соответствует требованиям.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6.11 | 2,9 | Customer |
Используйте условный доступ Azure, чтобы ограничить взаимодействие пользователей с Azure Resources Manager. Для этого настройте "Блокировку доступа" для приложения "Управление Microsoft Azure".
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6,12 | 2,9 | Customer |
В зависимости от типа скрипта вы можете использовать определенные конфигурации операционной системы или сторонние ресурсы, чтобы ограничить пользователям запуск скриптов в вычислительных ресурсах Azure. Вы также можете использовать адаптивные элементы управления приложениями в Центре безопасности Azure, чтобы гарантировать выполнение только авторизованного программного обеспечения и блокировку выполнения всех несанкционированных программ на виртуальных машинах Azure.
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 6,13 | 2,9 | Customer |
Программное обеспечение, необходимое при работе предприятия и при этом несущее риск для организации, следует изолировать в рамках отдельной виртуальной машины и/или виртуальной сети и хорошо защитить с помощью Брандмауэра Azure или группы безопасности сети.
- См. подробнее о контроле безопасности: Безопасная конфигурация