资产管理涵盖确保资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问以及管理对服务和资源的审批(清单、跟踪和更正)。
AM-1:跟踪资产库存及其风险
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8、PM-5 | 2.4 |
安全原则:通过查询跟踪资产清单并发现所有云资源。 按逻辑方式组织资产,方法是根据资产的服务性质、位置或其他特征标记和分组资产。 确保安全组织有权访问持续更新的资产清单。
通过始终集中聚合安全见解和风险,确保安全组织可以监视云资产的风险。
Azure 指南:Microsoft Defender for Cloud 清单功能和 Azure Resource Graph 可以查询和发现订阅中的所有资源,包括 Azure 服务、应用程序和网络资源。 使用标记以及 Azure 中的其他元数据(名称、说明和类别)根据组织的分类来逻辑组织资产。
确保安全组织有权访问 Azure 上持续更新的资产清单。 安全团队通常需要此清单来评估其组织可能面临新兴风险的风险,并作为持续安全改进的投入。
确保安全组织在 Azure 租户和订阅中被授予安全读取者权限,以便他们可以使用 Microsoft Defender for Cloud 监视安全风险。 安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。
注意:可能需要其他权限才能了解工作负荷和服务。
GCP 指南:使用 Google 云资产清单基于时序数据库提供库存服务。 此数据库保留 GCP 资产元数据的五周历史记录。 云资产清单导出服务允许在某个时间戳处导出所有资产元数据,或在时间范围内导出事件更改历史记录。
此外,Google Cloud Security 命令中心还支持不同的命名约定。 资产是组织的 Google 云资源。 可以在组织、文件夹或项目级别授予 Security Command Center 的 IAM 角色。 查看、创建或更新查找、资产和安全源的能力取决于你被授予访问权限的级别。
GCP 实现和其他上下文:
Azure 实现和其他上下文:
- 如何使用 Azure Resource Graph 资源管理器创建查询
- Microsoft Defender for Cloud 资产清单管理
- 有关标记资产的详细信息,请参阅资源命名和标记决策指南
- 安全读取者角色概述
AWS 指南:使用 AWS Systems Manager 清单功能查询和发现 EC2 实例中的所有资源,包括应用程序级别和作系统级别详细信息。 此外,使用 AWS 资源组 - 标记编辑器浏览 AWS 资源清单。
根据组织的分类,使用 AWS(名称、说明和类别)中的标记和其他元数据以逻辑方式组织资产。
确保安全组织有权访问 AWS 上持续更新的资产清单。 安全团队通常需要此清单来评估其组织可能面临新兴风险的风险,并作为持续安全改进的投入。
注意:可能需要其他权限才能了解工作负荷和服务。
AWS 实现和其他上下文:
GCP 指南:使用 Google 云组织策略服务审核和限制用户可以在你的环境中预配的服务。 还可以在 Operations Suite 和/或组织策略中使用云监视来创建规则,以在检测到未经批准的服务时触发警报。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-2:仅使用已批准的服务
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8、PM-5 | 6.3 |
安全原则:通过审核和限制用户可以在环境中预配的服务,确保只能使用已批准的云服务。
Azure 指南:使用 Azure Policy 审核和限制用户可以在环境中预配的服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 配置审核和限制用户可以在你的环境中预配的服务。 使用 AWS 资源组查询和发现其帐户中的资源。 还可以使用 CloudWatch 和/或 AWS 配置创建规则,以在检测到未经批准的服务时触发警报。
AWS 实现和其他上下文:
GCP 指南:建立或更新安全策略/过程,以处理资产生命周期管理过程,以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问、敏感数据、网络配置和管理特权评估的更改。 使用 Google Cloud Security 命令中心并检查风险资产的合规性选项卡。
此外,使用自动清理未使用的 Google 云项目和云推荐器服务来提供有关在 Google Cloud 上使用资源的建议和见解。 这些建议和见解按产品或按服务生成,基于启发方法、机器学习和当前资源使用情况生成。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-3:确保资产生命周期管理的安全性
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8、CM-7 | 2.4 |
安全原则:确保在资产生命周期内始终更新资产的安全属性或配置。
Azure 指南:建立或更新安全策略/流程,解决资产生命周期管理过程,以进行潜在的高影响修改。 这些修改包括对标识提供者和访问、数据敏感度级别、网络配置和管理特权分配的更改。
在不再需要 Azure 资源时标识和删除这些资源。
Azure 实现和其他上下文:
AWS 指南:建立或更新安全策略/过程,以处理资产生命周期管理流程,以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问、数据敏感度级别、网络配置和管理特权分配的更改。
在不再需要 AWS 资源时识别和删除它们。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud Identity and Access Management (IAM) 限制对特定资源的访问。 可以指定允许或拒绝的操作以及触发这些操作的条件。 您可以指定一种条件或多种结合的方法,包括资源级权限、基于资源的策略、基于标记的授权、临时凭据或服务链接角色,以便对您的资源实现精细控制的访问权限。
此外,还可以使用VPC服务控件防止外部实体或内部实体的意外或有针对性的操作,从而尽可能减少来自Google云服务的不必要的数据外泄风险。 可以使用VPC服务控制创建周边区域,以保护您显式指定的服务的资源和数据。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-4:限制对资产管理的访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 系列 | 无 |
安全原则:限制用户对资产管理功能的访问权限,以避免意外或恶意修改云中的资产。
Azure 指南:Azure 资源管理器是适用于 Azure 的部署和管理服务。 它提供一个管理层,可用于在 Azure 中创建、更新和删除资源(资产)。 使用 Azure AD 条件访问通过为“Microsoft Azure 管理”应用配置“阻止访问”来限制用户与 Azure 资源管理器交互的能力。
使用 Azure 基于角色的访问控制(Azure RBAC)将角色分配给标识,以控制其权限和对 Azure 资源的访问。 例如,只有“读者”Azure RBAC 角色的用户可以查看所有资源,但不允许进行任何更改。
使用资源锁防止删除或修改资源。 还可以通过 Azure 蓝图管理资源锁。
Azure 实现和其他上下文:
AWS 指南:使用 AWS IAM 限制对特定资源的访问。 可以指定允许或拒绝的动作以及动作被触发的条件。 可以指定一个条件或结合资源级权限、基于资源的策略、基于标签的授权、临时凭证或服务链接角色的方法,以对您的资源进行精细的访问控制。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud VM Manager 发现在计算引擎实例上安装的应用程序。 可以使用 OS 清单和配置管理,确保阻止非授权软件在计算引擎实例上执行。
还可以使用第三方解决方案来发现和识别未经批准的软件。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-5:仅在虚拟机中使用已批准的应用程序
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
安全原则:确保仅通过创建允许列表来执行授权软件,并阻止未经授权的软件在你的环境中执行。
Azure 指南:使用 Microsoft Defender for Cloud 自适应应用程序控制来发现和生成应用程序允许列表。 还可以使用 ASC 自适应应用程序控制来确保只有经过授权的软件才能执行,并且所有未经授权的软件都被阻止在 Azure 虚拟机上执行。
使用 Azure 自动化更改跟踪和清单自动收集 Windows 和 Linux VM 中的清单信息。 可以从 Azure 门户获取软件名称、版本、发布者和刷新时间信息。 若要获取软件安装日期和其他信息,请启用来宾级诊断并将 Windows 事件日志定向到 Log Analytics 工作区。
根据脚本的类型,可以使用特定于作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。
还可以使用第三方解决方案来发现和识别未经批准的软件。
Azure 实现和其他上下文:
AWS 指南:使用 AWS Systems Manager 清单功能发现 EC2 实例中安装的应用程序。 使用 AWS 配置规则来确保阻止非授权软件在 EC2 实例上执行。
还可以使用第三方解决方案来发现和识别未经批准的软件。
AWS 实现和其他上下文:
客户安全利益干系人(了解详细信息):