Güvenlik Denetimi: Varlık yönetimi
Varlık Yönetimi; güvenlik personeli izinleri, varlık envanterine güvenlik erişimi ve hizmetler ve kaynaklar için onayları yönetme (envanter, izleme ve doğru) gibi kaynaklar üzerinde güvenlik görünürlüğünü ve idaresini sağlamaya yönelik denetimleri kapsar.
AM-1: Varlık envanterini ve risklerini izleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Güvenlik ilkesi: Sorguyla varlık envanterinizi izleyin ve tüm bulut kaynaklarınızı bulun. Varlıklarınızı hizmet özelliklerine, konumlarına veya diğer özelliklerine göre etiketleyip gruplandırarak varlıklarınızı mantıksal olarak düzenleyin. Güvenlik kuruluşunuzun sürekli güncelleştirilen varlık envanterine erişimi olduğundan emin olun.
Güvenlik kuruluşunuzun her zaman güvenlik içgörüleri ve riskleri merkezi olarak toplayarak bulut varlıklarına yönelik riskleri izleyebildiğinden emin olun.
Azure kılavuzu: Bulut envanteri için Microsoft Defender özelliği ve Azure Kaynak Grafı, Azure hizmetleri, uygulamaları ve ağ kaynakları dahil olmak üzere aboneliklerinizdeki tüm kaynakları sorgulayabilir ve bulabilir. Etiketlerin yanı sıra Azure'daki diğer meta verileri (Ad, Açıklama ve Kategori) kullanarak varlıkları kuruluşunuzun taksonomisine göre mantıksal olarak düzenleyin.
Güvenlik kuruluşlarının Azure'da sürekli güncelleştirilen varlık envanterine erişebildiğinden emin olun. Güvenlik ekipleri, kuruluşlarının yeni ortaya çıkan risklere maruz kalma olasılığını değerlendirmek ve sürekli güvenlik geliştirmeleri için giriş olarak bu envantere ihtiyaç duyar.
Bulut için Microsoft Defender kullanarak güvenlik risklerini izleyebilmeleri için Azure kiracınızda ve aboneliklerinizde güvenlik kuruluşlarına Güvenlik Okuyucusu izinleri verildiğini doğrulayın. Güvenlik Okuyucusu izinleri kiracının tamamına (Kök Yönetim Grubu) geniş kapsamlı olarak uygulanabileceği gibi, izinlerin kapsamı yönetim gruplarıyla veya belirli aboneliklerle de sınırlanabilir.
Not: İş yükleri ve hizmetlerin görünürlüğünü elde etmek için ek izinler gerekebilir.
GCP kılavuzu: Zaman serisi veritabanını temel alan envanter hizmetleri sağlamak için Google Cloud Asset Inventory'ı kullanın. Bu veritabanı GCP varlık meta verilerinin beş haftalık geçmişini tutar. Bulut Varlık Envanteri dışarı aktarma hizmeti, belirli bir zaman damgasında tüm varlık meta verilerini dışarı aktarmanıza veya bir zaman çerçevesi sırasında olay değişikliği geçmişini dışarı aktarmanıza olanak tanır.
Ayrıca, Google Cloud Security Komut Merkezi farklı bir adlandırma kuralını destekler. Varlıklar, kuruluşun Google Cloud kaynaklarıdır. Güvenlik Komut Merkezi için IAM rolleri kuruluş, klasör veya proje düzeyinde verilebilir. Bulguları, varlıkları ve güvenlik kaynaklarını görüntüleme, oluşturma veya güncelleştirme olanağınız size erişim verilen düzeye bağlıdır.
GCP uygulaması ve ek bağlam:
- Bulut Varlığı Envanteri
- Bulut Varlığı Envanterine Giriş
- Güvenlik Komut Merkezi'nde desteklenen varlık türleri
Azure uygulaması ve ek bağlam:
- Azure Kaynak Grafı Gezgini ile sorgu oluşturma
- Bulut varlık envanter yönetimi için Microsoft Defender
- Varlıkları etiketleme hakkında daha fazla bilgi için kaynak adlandırma ve etiketleme karar kılavuzuna bakın
- Güvenlik Okuyucusu Rolüne Genel Bakış
AWS kılavuzu: UYGULAMA düzeyi ve işletim sistemi düzeyi ayrıntıları dahil olmak üzere EC2 örneklerinizdeki tüm kaynakları sorgulamak ve bulmak için AWS Systems Manager Envanteri özelliğini kullanın. Ayrıca AWS Kaynak Grupları - Etiket Düzenleyicisi'ni kullanarak AWS kaynak envanterlerine göz atın.
Etiketlerin yanı sıra AWS'deki diğer meta verileri (Ad, Açıklama ve Kategori) kullanarak varlıkları kuruluşunuzun taksonomisine göre mantıksal olarak düzenleyin.
Güvenlik kuruluşlarının AWS'de sürekli güncelleştirilen varlık envanterine erişebildiğinden emin olun. Güvenlik ekipleri, kuruluşlarının yeni ortaya çıkan risklere maruz kalma olasılığını değerlendirmek ve sürekli güvenlik geliştirmeleri için giriş olarak bu envantere ihtiyaç duyar.
Not: İş yükleri ve hizmetlerin görünürlüğünü elde etmek için ek izinler gerekebilir.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğinizi denetlemek ve kısıtlamak için Google Cloud Kuruluş İlkesi Hizmeti'ni kullanın. Onaylanmamış bir hizmet algılandığında uyarıları tetikleyen kurallar oluşturmak için Operations Suite ve/veya Kuruluş İlkesi'nde Bulut İzleme'yi de kullanabilirsiniz.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
AM-2: Yalnızca onaylı hizmetleri kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Güvenlik ilkesi: Kullanıcıların ortamda hangi hizmetleri sağlayabileceğinizi denetleyerek ve kısıtlayarak yalnızca onaylı bulut hizmetlerinin kullanılabildiğinden emin olun.
Azure kılavuzu: Kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğinizi denetlemek ve kısıtlamak için Azure İlkesi kullanın. Abonelikler içindeki kaynakları sorgulamak ve bulmak için Azure Kaynak Grafı'nı kullanın. Ayrıca Azure İzleyici'yi kullanarak onaylanmamış hizmetler algılandığında uyarı tetikleme amacıyla kurallar oluşturabilirsiniz.
Azure uygulaması ve ek bağlam:
- Azure İlkesi yapılandırma ve yönetme
- Azure İlkesi ile belirli bir kaynak türünü reddetme
- Azure Kaynak Grafı Gezgini ile sorgu oluşturma
AWS kılavuzu: Kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğinizi denetlemek ve kısıtlamak için AWS Config'i kullanın. Hesaplarındaki kaynakları sorgulamak ve bulmak için AWS Kaynak Grupları'nı kullanın. Onaylanmamış bir hizmet algılandığında uyarıları tetikleyen kurallar oluşturmak için CloudWatch ve/veya AWS Config'i de kullanabilirsiniz.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Yüksek etkiye sahip olabilecek değişiklikler için varlık yaşam döngüsü yönetim süreçlerini ele alacak güvenlik ilkeleri/işlemleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcılarında ve erişimde yapılan değişiklikleri, hassas verileri, ağ yapılandırmasını ve yönetim ayrıcalık değerlendirmesini içerir. Google Cloud Security Komut Merkezi'ni kullanın ve risk altındaki varlıklar için Uyumluluk sekmesini denetleyin.
Ayrıca, Kullanılmayan Google Bulut Projelerinin Otomatik Temizleme özelliğini ve Google Cloud'da kaynakları kullanmaya yönelik öneriler ve içgörüler sağlamak için Cloud Recommender hizmetini kullanın. Bu öneriler ve içgörüler ürün veya hizmet başınadır ve buluşsal yöntemler, makine öğrenmesi ve geçerli kaynak kullanımı temel alınarak oluşturulur.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
AM-3: Varlık yaşam döngüsü yönetimi güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Güvenlik ilkesi: Varlıkların güvenlik özniteliklerinin veya yapılandırmalarının varlık yaşam döngüsü boyunca her zaman güncelleştirildiğinden emin olun.
Azure kılavuzu: Yüksek etkiye sahip olabilecek değişiklikler için varlık yaşam döngüsü yönetim süreçlerini ele alacak güvenlik ilkeleri/işlemleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcılarında ve erişimde yapılan değişiklikleri, veri duyarlılığı düzeyini, ağ yapılandırmasını ve yönetim ayrıcalık atamasını içerir.
Artık gerekli olmadığında Azure kaynaklarını belirleyin ve kaldırın.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: Yüksek etkiye sahip olabilecek değişiklikler için varlık yaşam döngüsü yönetim süreçlerini ele alacak güvenlik ilkeleri/işlemleri oluşturun veya güncelleştirin. Bu değişiklikler kimlik sağlayıcılarında ve erişimde yapılan değişiklikleri, veri duyarlılığı düzeyini, ağ yapılandırmasını ve yönetim ayrıcalık atamasını içerir.
Artık ihtiyaç duyulmadığında AWS kaynaklarını belirleyin ve kaldırın.
AWS uygulaması ve ek bağlam:
- AWS hesabımda artık ihtiyacım olmayan etkin kaynakları kontrol Nasıl yaparım??
- AWS hesabımda artık ihtiyacım olmayan etkin kaynakları sonlandırmak Nasıl yaparım??
GCP kılavuzu: Belirli bir kaynağa erişimi kısıtlamak için Google Cloud Identity and Access Management 'ı (IAM) kullanın. İzin verme veya reddetme eylemlerinin yanı sıra eylemlerin tetiklendiği koşulları da belirtebilirsiniz. Kaynaklarınız için ayrıntılı denetim erişim denetimlerine sahip olmak için kaynak düzeyi izinler, kaynak tabanlı ilkeler, etiket tabanlı yetkilendirme, geçici kimlik bilgileri veya hizmet bağlantılı rollerin tek koşulunu veya birleşik yöntemlerini belirtebilirsiniz.
Buna ek olarak, dış varlıklar veya insider varlıkları tarafından yapılan yanlışlıkla veya hedeflenen eylemlere karşı koruma sağlamak için VPC Hizmet Denetimlerini kullanabilirsiniz. Bu, Google Cloud hizmetlerinden istenmeyen veri sızdırma risklerini en aza indirmeye yardımcı olur. VPC Hizmet Denetimlerini kullanarak açıkça belirttiğiniz hizmetlerin kaynaklarını ve verilerini koruyan çevreler oluşturabilirsiniz.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
AM-4: Varlık yönetimine erişimi sınırlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Yok |
Güvenlik ilkesi: Buluttaki varlıkların yanlışlıkla veya kötü amaçlı olarak değiştirilmesini önlemek için kullanıcıların varlık yönetimi özelliklerine erişimini sınırlayın.
Azure kılavuzu: Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Azure'da kaynak (varlık) oluşturmanızı, güncelleştirmenizi ve silmenizi sağlayan bir yönetim katmanı sağlar. Kullanıcıların "Microsoft Azure Yönetimi" Uygulaması için "Erişimi engelle" yapılandırarak Azure Resource Manager ile etkileşim kurma becerisini sınırlamak için Azure AD Koşullu Erişim'i kullanın.
İzinlerini ve Azure kaynaklarına erişimi denetlemek üzere kimliklere rol atamak için Azure Rol tabanlı Access Control (Azure RBAC) kullanın. Örneğin, yalnızca 'Okuyucu' Azure RBAC rolüne sahip bir kullanıcı tüm kaynakları görüntüleyebilir, ancak herhangi bir değişiklik yapmasına izin verilmez.
Kaynaklarda silme veya değişiklik yapılmasını önlemek için Kaynak Kilitleri'ni kullanın. Kaynak Kilitleri, Azure Blueprints aracılığıyla da yönetilebilir.
Azure uygulaması ve ek bağlamı:
- Azure Resources Manager'a erişimi engellemek için Koşullu Erişimi yapılandırma
- Altyapınızı korumak için kaynaklarınızı kilitleyin
- Azure Blueprints kaynak kilitleriyle yeni kaynakları koruma
AWS kılavuzu: Belirli bir kaynağa erişimi kısıtlamak için AWS IAM'yi kullanın. İzin verilen veya reddedilen eylemlerin yanı sıra eylemlerin tetiklendiği koşulları da belirtebilirsiniz. Kaynaklarınız için ayrıntılı denetim erişim denetimine sahip olmak için tek bir koşul belirtebilir veya kaynak düzeyi izinler, kaynak tabanlı ilkeler, etiket tabanlı yetkilendirme, geçici kimlik bilgileri veya hizmet bağlantılı rollerin yöntemlerini birleştirebilirsiniz.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: İşlem Motorları örneklerinde yüklü uygulamaları bulmak için Google Cloud VM Manager'ı kullanın. İşletim sistemi envanteri ve yapılandırma yönetimi, yetkilendirilemeyen yazılımların İşlem Altyapısı örneklerinde yürütülmesinin engellendiğinden emin olmak için kullanılabilir.
Onaylanmamış yazılımları bulmak ve tanımlamak için üçüncü taraf bir çözüm de kullanabilirsiniz.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
AM-5: Sanal makinede yalnızca onaylanan uygulamaları kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Güvenlik ilkesi: İzin verenler listesi oluşturarak yalnızca yetkili yazılımların yürütülmesini sağlayın ve yetkisiz yazılımların ortamınızda yürütülmesini engelleyin.
Azure kılavuzu: Bir uygulama izin listesini bulmak ve oluşturmak için Bulut uyarlamalı uygulama denetimleri için Microsoft Defender kullanın. AsC uyarlamalı uygulama denetimlerini kullanarak yalnızca yetkili yazılımların yürütülebilmesini ve tüm yetkisiz yazılımların Azure Sanal Makineler üzerinde yürütülmesinin engellenmesini sağlayabilirsiniz.
Windows ve Linux VM'lerinizden envanter bilgilerinin toplanmasını otomatikleştirmek için Azure Otomasyonu Değişiklik İzleme ve Envanter kullanın. Yazılım adı, sürüm, yayımcı ve yenileme zamanı bilgileri Azure portal. Yazılım yükleme tarihini ve diğer bilgileri almak için konuk düzeyinde tanılamayı etkinleştirin ve Windows Olay Günlüklerini Log Analytics çalışma alanına yönlendirin.
Betiklerin türüne bağlı olarak, kullanıcıların Azure işlem kaynaklarında betik yürütme becerisini sınırlamak için işletim sistemine özgü yapılandırmaları veya üçüncü taraf kaynakları kullanabilirsiniz.
Onaylanmamış yazılımları bulmak ve tanımlamak için üçüncü taraf bir çözüm de kullanabilirsiniz.
Azure uygulaması ve ek bağlamı:
- Bulut uyarlamalı uygulama denetimleri için Microsoft Defender kullanma
- Azure Otomasyonu Değişiklik İzleme ve Envanter anlama
- Windows ortamlarında PowerShell betiği yürütmeyi denetleme
AWS kılavuzu: EC2 örneklerinizde yüklü uygulamaları bulmak için AWS Systems Manager Envanteri özelliğini kullanın. YETKILI olmayan yazılımların EC2 örneklerinde yürütülmesinin engellendiğinden emin olmak için AWS Yapılandırma kurallarını kullanın.
Onaylanmamış yazılımları bulmak ve tanımlamak için üçüncü taraf bir çözüm de kullanabilirsiniz.
AWS uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):