Säkerhetskontroll V2: Tillgångshantering
Anteckning
Det senaste Azure Security Benchmark finns här.
Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över Azure-resurser. Detta inkluderar rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt).
AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Azure Security Center.
Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.
Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.
Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Se till att säkerhetsteamen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure. Säkerhetsteamet behöver den här inventeringen till att utvärdera organisationens potentiella exponering för nya risker samt som indata till löpande förbättringar av säkerheten.
Inventeringsfunktionen Azure Security Center och Azure Resource Graph kan fråga efter och identifiera alla resurser i dina prenumerationer, inklusive Azure-tjänster, program och nätverksresurser.
Organisera tillgångar logiskt enligt organisationens taxonomi med hjälp av taggar samt andra metadata i Azure (namn, beskrivning och kategori).
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
AM-3: Använd bara godkända Azure-tjänster
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Använd Azure Policy till att granska och begränsa vilka tjänster användarna kan etablera i miljön. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
AM-4: Garantera säker livscykelhantering för tillgångar
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Upprätta eller uppdatera säkerhetsprinciper som hanterar processer för livscykelhantering av tillgångar för ändringar med potentiellt stor påverkan. Sådana ändringar kan till exempel avse: identitetsleverantörer och åtkomst, datakänslighet, nätverkskonfiguration och tilldelning av administrativa privilegier.
Ta bort Azure-resurser när de inte längre behövs.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
AM-5: Begränsa användarnas möjlighet att interagera med Azure Resource Manager
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Använd Azure AD villkorlig åtkomst för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
AM-6: Använd endast godkända program i beräkningsresurser
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Se till att endast auktoriserad programvara körs och att all obehörig programvara blockeras från att köras på Azure Virtual Machines.
Använd Azure Security Center anpassningsbara programkontroller för att identifiera och generera en lista över tillåtna program. Du kan också använda de anpassningsbara programkontrollerna för att säkerställa att endast auktoriserad programvara körs och att all obehörig programvara blockeras från att köras på Azure Virtual Machines.
Använd Azure Automation Ändringsspårning och inventering för att automatisera insamlingen av inventeringsinformation från dina virtuella Windows- och Linux-datorer. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill hämta programinstallationsdatumet och annan information aktiverar du diagnostik på gästnivå och dirigerar Windows-händelseloggarna till Log Analytics-arbetsytan.
Beroende på typen av skript kan du använda operativsystemspecifika konfigurationer eller resurser från tredje part för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser.
Du kan också använda en tredjepartslösning för att identifiera och identifiera icke-godkänd programvara.
Så här använder du Azure Security Center anpassningsbara programkontroller
Så här styr du Körning av PowerShell-skript i Windows-miljöer
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):