Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Varlık Yönetimi, güvenlik personeline yönelik izinler, varlık envanterine güvenlik erişimi ve hizmetler ve kaynaklar için onayları yönetme (envanter, izleme ve doğru) gibi kaynaklar üzerinde güvenlik görünürlüğünü ve idaresini sağlamaya yönelik denetimleri kapsar.
-1: Varlık envanterini ve risklerini izleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Güvenlik ilkesi: Sorguyla varlık envanterinizi izleyin ve tüm bulut kaynaklarınızı bulun. Varlıklarınızı hizmet özelliklerine, konumlarına veya diğer özelliklerine göre etiketleyip gruplandırarak varlıklarınızı mantıksal olarak düzenleyin. Güvenlik kuruluşunuzun sürekli güncelleştirilen varlık envanterine erişimi olduğundan emin olun.
Güvenlik içgörüleri ve riskler her zaman merkezi olarak toplanarak güvenlik kuruluşunuzun bulut varlıklarına yönelik riskleri izleyebildiğinden emin olun.
Azure kılavuzu: Bulut için Microsoft Defender envanteri özelliği ve Azure Kaynak Grafı, Azure hizmetleri, uygulamalar ve ağ kaynakları dahil olmak üzere aboneliklerinizdeki tüm kaynakları sorgulayabilir ve bulabilir. Etiketlerin yanı sıra Azure'daki diğer meta verileri (Ad, Açıklama ve Kategori) kullanarak varlıkları kuruluşunuzun taksonomisine göre mantıksal olarak düzenleyin.
Güvenlik kuruluşlarının Azure'da sürekli güncelleştirilen varlık envanterine erişebildiğinden emin olun. Güvenlik ekipleri, kuruluşlarının yeni ortaya çıkan risklere maruz kalma olasılığını değerlendirmek ve sürekli güvenlik geliştirmeleri için giriş olarak bu envantere ihtiyaç duyar.
Bulut için Microsoft Defender'ı kullanarak güvenlik risklerini izleyebilmeleri için Azure kiracınızda ve aboneliklerinizde güvenlik kuruluşlarına Güvenlik Okuyucusu izinleri verildiğinden emin olun. Güvenlik Okuyucusu izinleri, kiracının tamamına (Kök Yönetim Grubu) kapsamlı olarak uygulanabilir veya kapsamı yönetim grupları veya belirli abonelikler olarak ayarlanabilir.
Not: İş yükleri ve hizmetlere görünürlük sağlamak için ek izinler gerekebilir.
GCP kılavuzu: Zaman serisi veritabanına dayalı envanter hizmetleri sağlamak için Google Cloud Asset Inventory'ı kullanın. Bu veritabanı GCP varlık meta verilerinin beş haftalık geçmişini tutar. Bulut Varlık Envanteri dışarı aktarma hizmeti, belirli bir zaman damgasında tüm varlık meta verilerini dışarı aktarmanıza veya bir zaman çerçevesi boyunca olay değişikliği geçmişini dışarı aktarmanıza olanak tanır.
Ayrıca, Google Cloud Security Komut Merkezi farklı bir adlandırma kuralını destekler. Varlıklar bir kuruluşun Google Bulut kaynaklarıdır. Güvenlik Komut Merkezi için IAM rolleri kuruluş, klasör veya proje düzeyinde verilebilir. Bulguları, varlıkları ve güvenlik kaynaklarını görüntüleme, oluşturma veya güncelleştirme olanağınız size erişim verilen düzeye bağlıdır.
GCP uygulaması ve ek bağlam:
- Bulut Varlığı Envanteri
- Bulut Varlığı Envanterine Giriş
- Güvenlik Komut Merkezi'nde desteklenen varlık türleri
Azure uygulaması ve ek bağlam:
- Azure Kaynak Grafı Gezgini ile sorgu oluşturma
- Bulut için Microsoft Defender varlık envanter yönetimi
- Varlıkları etiketleme hakkında daha fazla bilgi için kaynak adlandırma ve etiketleme karar kılavuzuna bakın
- Güvenlik Okuyucusu Rolü Genel Bakış
AWS kılavuzu: UYGULAMA düzeyi ve işletim sistemi düzeyi ayrıntıları da dahil olmak üzere EC2 örneklerinizdeki tüm kaynakları sorgulamak ve bulmak için AWS Systems Manager Envanteri özelliğini kullanın. Ayrıca AWS kaynak envanterlerine göz atmak için AWS Kaynak Grupları - Etiket Düzenleyicisi'ni kullanın.
Aws'deki diğer meta verilerin (Ad, Açıklama ve Kategori) yanı sıra etiketleri kullanarak varlıkları kuruluşunuzun taksonomisine göre mantıksal olarak düzenleyin.
Güvenlik kuruluşlarının AWS'de sürekli güncelleştirilen varlık envanterine erişebildiğinden emin olun. Güvenlik ekipleri, kuruluşlarının yeni ortaya çıkan risklere maruz kalma olasılığını değerlendirmek ve sürekli güvenlik geliştirmeleri için giriş olarak bu envantere ihtiyaç duyar.
Not: İş yükleri ve hizmetlere görünürlük sağlamak için ek izinler gerekebilir.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğinizi denetlemek ve kısıtlamak için Google Cloud Kuruluş İlkesi Hizmeti'ni kullanın. Onaylanmamış bir hizmet algılandığında uyarıları tetikleyen kurallar oluşturmak için Operations Suite ve/veya Kuruluş İlkesi'nde Bulut İzleme'yi de kullanabilirsiniz.
GCP uygulaması ve ek bağlam:
- kuruluş ilkesi hizmeti giriş
- Kuruluş ilkelerini oluşturma ve yönetme
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
-2: Yalnızca onaylanan hizmetleri kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Güvenlik ilkesi: Kullanıcıların ortamda hangi hizmetleri sağlayabileceğinizi denetleyerek ve kısıtlayarak yalnızca onaylı bulut hizmetlerinin kullanılabildiğinden emin olun.
Azure kılavuzu: Kullanıcıların ortamınızda sağlayabileceğiniz hizmetleri denetlemek ve kısıtlamak için Azure İlkesi'ni kullanın. Abonelikleri içindeki kaynakları sorgulamak ve bulmak için Azure Kaynak Grafı kullanın. Onaylanmamış bir hizmet algılandığında uyarıları tetikleyen kurallar oluşturmak için Azure İzleyici'yi de kullanabilirsiniz.
Azure uygulaması ve ek bağlam:
- Azure İlkesi'ni yapılandırma ve yönetme
- Azure İlkesi ile belirli bir kaynak türünü reddetme
- Azure Kaynak Grafı Gezgini ile sorgu oluşturma
AWS kılavuzu: Aws Config'i kullanarak kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğinizi denetleyin ve kısıtlayın. Hesaplarındaki kaynakları sorgulamak ve bulmak için AWS Kaynak Grupları'nı kullanın. Onaylanmamış bir hizmet algılandığında uyarıları tetikleyen kurallar oluşturmak için CloudWatch ve/veya AWS Yapılandırması'nı da kullanabilirsiniz.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Yüksek etkiye sahip olabilecek değişiklikler için varlık yaşam döngüsü yönetim süreçlerini ele alacak güvenlik ilkeleri/işlemleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcılarında ve erişimde yapılan değişiklikleri, hassas verileri, ağ yapılandırmasını ve yönetim ayrıcalık değerlendirmesini içerir. Google Cloud Security Komut Merkezi'ni kullanın ve risk altındaki varlıklar için Uyumluluk sekmesine bakın.
Ayrıca, Kullanılmayan Google Bulut Projelerinin Otomatik Temizlemesini ve Google Cloud'da kaynakları kullanmaya yönelik öneriler ve içgörüler sağlamak için Bulut Önericisi hizmetini kullanın. Bu öneriler ve içgörüler ürün veya hizmet başınadır ve buluşsal yöntemler, makine öğrenmesi ve geçerli kaynak kullanımı temelinde oluşturulur.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
-3: Varlık yaşam döngüsü yönetiminin güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Güvenlik ilkesi: Varlık yaşam döngüsü sırasında varlıkların güvenlik özniteliklerinin veya yapılandırmalarının her zaman güncelleştirildiğinden emin olun.
Azure kılavuzu: Yüksek etkiye sahip olabilecek değişiklikler için varlık yaşam döngüsü yönetim süreçlerini ele alacak güvenlik ilkeleri/işlemleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcılarında ve erişimde yapılan değişiklikleri, veri duyarlılığı düzeyini, ağ yapılandırmasını ve yönetim ayrıcalık atamasını içerir.
Artık gerekli olmadığında Azure kaynaklarını belirleyin ve kaldırın.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: Olası yüksek etkiye sahip değişiklikler için varlık yaşam döngüsü yönetim süreçlerini ele alacak güvenlik ilkeleri/işlemleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcılarında ve erişimde yapılan değişiklikleri, veri duyarlılığı düzeyini, ağ yapılandırmasını ve yönetim ayrıcalık atamasını içerir.
Artık ihtiyaç duyulmadığında AWS kaynaklarını belirleyin ve kaldırın.
"AWS uygulaması ve ek bağlam için :"
- AWS hesabımda artık ihtiyacım olmayan etkin kaynakları nasıl denetleyebilirim?
- AWS hesabımda artık ihtiyacım olmayan etkin kaynakları nasıl sonlandıracağım?
GCP kılavuzu: Belirli bir kaynağa erişimi kısıtlamak için Google Cloud Identity and Access Management (IAM) kullanın. İzin verme veya reddetme eylemlerinin yanı sıra eylemlerin tetiklendiği koşulları belirtebilirsiniz. Kaynaklarınız için ayrıntılı denetim erişim denetimlerine sahip olmak için kaynak düzeyi izinlerinin, kaynak tabanlı ilkelerin, etiket tabanlı yetkilendirmenin, geçici kimlik bilgilerinin veya hizmet bağlantılı rollerin tek koşulunu veya birleşik yöntemlerini belirtebilirsiniz.
Ayrıca, dış varlıklar veya insider varlıkları tarafından yapılan yanlışlıkla veya hedeflenen eylemlere karşı koruma sağlamak için VPC Hizmet Denetimlerini kullanabilirsiniz. Bu, Google Cloud hizmetlerinden gelen istenmeyen veri sızdırma risklerini en aza indirmeye yardımcı olur. VPC Hizmet Denetimlerini kullanarak açıkça belirttiğiniz hizmetlerin kaynaklarını ve verilerini koruyan çevreler oluşturabilirsiniz.
GCP uygulaması ve ek bağlam:
- kimlik ve erişim yönetimi (IAM)
- VPC Hizmet Denetimleri Genel Bakış
- Resource Manager
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
AM-4: Varlık yönetimine erişimi sınırlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Mevcut Değil |
Güvenlik ilkesi: Bulutunuzda varlıkların yanlışlıkla veya kötü amaçlı olarak değiştirilmesini önlemek için kullanıcıların varlık yönetimi özelliklerine erişimini sınırlayın.
Azure kılavuzu: Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Azure'da kaynakları (varlıkları) oluşturmanızı, güncelleştirmenizi ve silmenizi sağlayan bir yönetim katmanı sağlar. "Microsoft Azure Yönetimi" Uygulaması için "Erişimi engelle" yapılandırarak kullanıcıların Azure Resource Manager ile etkileşim kurma becerisini sınırlamak için Azure AD Koşullu Erişim'i kullanın.
İzinlerini ve Azure kaynaklarına erişimi denetlemek üzere kimliklere rol atamak için Azure Rol Tabanlı Erişim Denetimi'ni (Azure RBAC) kullanın. Örneğin, yalnızca 'Okuyucu' Azure RBAC rolüne sahip bir kullanıcı tüm kaynakları görüntüleyebilir, ancak herhangi bir değişiklik yapmasına izin verilmez.
Kaynaklarda silme veya değişiklik yapılmasını önlemek için Kaynak Kilitleri'ni kullanın. Kaynak Kilitleri, Azure Blueprints aracılığıyla da yönetilebilir.
Azure uygulaması ve ek bağlam:
- Azure Resources Manager'a erişimi engellemek için Koşullu Erişimi yapılandırma
- Altyapınızı korumak için kaynaklarınızı kilitleme
- Azure Blueprints kaynak kilitleriyle yeni kaynakları koruma
AWS kılavuzu: Belirli bir kaynağa erişimi kısıtlamak için AWS IAM'yi kullanın. İzin verilen veya reddedilen eylemlerin yanı sıra eylemlerin tetiklendiği koşulları belirtebilirsiniz. Kaynaklarınız için ayrıntılı denetim erişim denetimine sahip olmak için tek bir koşul belirtebilir veya kaynak düzeyi izin yöntemlerini, kaynak tabanlı ilkeleri, etiket tabanlı yetkilendirmeyi, geçici kimlik bilgilerini veya hizmet bağlantılı rolleri birleştirebilirsiniz.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: İşlem Motorları örneklerinde yüklü uygulamaları bulmak için Google Cloud VM Manager'ı kullanın. İşletim sistemi envanteri ve yapılandırma yönetimi, yetkilendirilemeyen yazılımların İşlem Altyapısı örneklerinde yürütülmesinin engellendiğinden emin olmak için kullanılabilir.
Onaylanmamış yazılımları bulmak ve tanımlamak için bir üçüncü taraf çözümü de kullanabilirsiniz.
GCP uygulaması ve ek bağlam:
- VM Manager
- İşletim sistemi yapılandırma yönetimi
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
-5: Sanal makinede yalnızca onaylı uygulamaları kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Güvenlik ilkesi: İzin verenler listesi oluşturarak yalnızca yetkili yazılımların yürütülmesini sağlayın ve yetkisiz yazılımın ortamınızda yürütülmesini engelleyin.
Azure kılavuzu: Bir uygulama izin listesini bulmak ve oluşturmak için Bulut için Microsoft Defender uyarlamalı uygulama denetimlerini kullanın. AsC uyarlamalı uygulama denetimlerini kullanarak yalnızca yetkili yazılımların yürütülebilmesini ve yetkisiz tüm yazılımların Azure Sanal Makineler'de yürütülmesinin engellenmesini sağlayabilirsiniz.
Windows ve Linux VM'lerinizden envanter bilgilerinin toplanmasını otomatikleştirmek için Azure Otomasyonu Değişiklik İzleme ve Envanter'i kullanın. Yazılım adı, sürüm, yayımcı ve yenileme zamanı bilgileri Azure portalından edinilebilir. Yazılım yükleme tarihini ve diğer bilgileri almak için konuk düzeyinde tanılamayı etkinleştirin ve Windows Olay Günlüklerini bir Log Analytics çalışma alanına yönlendirin.
Betiklerin türüne bağlı olarak, kullanıcıların Azure işlem kaynaklarında betik yürütme becerisini sınırlamak için işletim sistemine özgü yapılandırmaları veya üçüncü taraf kaynaklarını kullanabilirsiniz.
Onaylanmamış yazılımları bulmak ve tanımlamak için bir üçüncü taraf çözümü de kullanabilirsiniz.
Azure uygulaması ve ek bağlam:
- Bulut için Microsoft Defender uyarlamalı uygulama denetimlerini nasıl kullanılır
- Azure Otomasyonu Değişiklik İzleme ve Envanteri Anlama
- Windows ortamlarında PowerShell betiği yürütmeyi denetleme
AWS kılavuzu: EC2 örneklerinizde yüklü uygulamaları keşfetmek için AWS Systems Manager Envanteri özelliğini kullanın. YETKILI olmayan yazılımların EC2 örneklerinde yürütülmesinin engellendiğinden emin olmak için AWS Yapılandırma kurallarını kullanın.
Onaylanmamış yazılımları bulmak ve tanımlamak için bir üçüncü taraf çözümü de kullanabilirsiniz.
"AWS uygulaması ve ek bağlam için :"
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):