安全控制：资产管理

资产管理涵盖确保资源安全可见性和治理的控制措施，包括有关安全人员权限的建议、对资产清单的安全访问，以及管理服务和资源的审批 (清单、跟踪和更正) 。

AM-1：跟踪资产清单及其风险

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
1.1、1.5、2.1、2.4	CM-8、PM-5	2.4

安全原则：通过查询来跟踪资产清单，并发现所有云资源。 根据资产的服务性质、位置或其他特征，对资产进行标记和分组，以便从逻辑上组织资产。 确保安全组织能够访问不断更新的资产清单。

通过始终集中聚合安全见解和风险，确保安全组织可以监视云资产的风险。

---

Azure 指南：Microsoft Defender for Cloud 清单功能和 Azure Resource Graph可以查询和发现订阅中的所有资源，包括 Azure 服务、应用程序和网络资源。 使用 Azure 中的标记和其他元数据，根据组织的分类以逻辑方式组织资产， (名称、说明和类别) 。

确保安全组织有权访问 Azure 上持续更新的资产清单。 安全团队通常需要此清单来评估其组织可能面临的新风险，并作为持续安全改进的输入。

确保在 Azure 租户和订阅中向安全组织授予安全读取者权限，以便他们可以使用 Microsoft Defender for Cloud 监视安全风险。 安全读取者权限可以广泛应用于整个租户（根管理组），也可以限制到管理组或特定订阅。

注意：若要了解工作负载和服务，可能需要更多权限。

---

GCP 指南：使用 Google Cloud Asset Inventory 基于时序数据库提供清单服务。 此数据库保留 GCP 资产元数据的五周历史记录。 云资产清单导出服务允许导出特定时间戳的所有资产元数据或导出时间范围内的事件更改历史记录。

此外，Google Cloud 安全命令中心支持不同的命名约定。 资产是组织的 Google Cloud 资源。 可以在组织、文件夹或项目级别授予安全命令中心的 IAM 角色。 你查看、创建或更新发现、资产和安全源的能力取决于你被授予访问权限的级别。

GCP 实现和其他上下文：

• 云资产清单
• 云资产清单简介
• 安全命令中心支持的资产类型

Azure 实现和其他上下文：

• 如何使用 Azure Resource Graph 浏览器创建查询
• Microsoft Defender for Cloud 资产清单管理
• 有关标记资产的详细信息，请参阅资源命名和标记决策指南
• 安全读取者角色概述

---

AWS 指南：使用 AWS 系统管理器清单功能查询和发现 EC2 实例中的所有资源，包括应用程序级别和操作系统级别详细信息。 此外，使用 AWS 资源组 - 标记编辑器浏览 AWS 资源清单。

使用 AWS 中的标记和其他元数据，根据组织的分类以逻辑方式组织资产， (名称、说明和类别) 。

确保安全组织有权访问 AWS 上不断更新的资产清单。 安全团队通常需要此清单来评估其组织可能面临的新风险，并作为持续安全改进的输入。

注意：若要了解工作负载和服务，可能需要更多权限。

AWS 实现和其他上下文：

• AWS Systems Manager 清单
• AWS 资源组和标记

---

GCP 指南：使用 Google Cloud Organization Policy Service 审核和限制用户可以在你的环境中预配的服务。 还可以使用 Operations Suite 和/或组织策略中的云监视来创建规则，以在检测到未批准的服务时触发警报。

GCP 实现和其他上下文：

• 组织策略服务简介
• 创建和管理组织策略

---

客户安全利益干系人 (了解) 的详细信息：

• 基础结构和终结点安全性
• 安全合规性管理

AM-2：仅使用已获批准的服务

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
2.5、2.6、2.7、4.8	CM-8、PM-5	6.3

安全原则：通过审核和限制用户可以在环境中预配的服务，确保只能使用已批准的云服务。

---

Azure 指南：使用 Azure Policy 审核和限制用户可以在你的环境中预配的服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则，以便在检测到未经批准的服务时触发警报。

Azure 实现和其他上下文：

• 配置和管理 Azure Policy
• 如何使用 Azure Policy 拒绝特定的资源类型
• 如何使用 Azure Resource Graph 浏览器创建查询

---

AWS 指南：使用 AWS 配置来审核和限制用户可以在你的环境中预配的服务。 使用 AWS 资源组查询和发现其帐户中的资源。 还可以使用 CloudWatch 和/或 AWS Config 创建规则，以在检测到未批准的服务时触发警报。

AWS 实现和其他上下文：

• AWS 资源组

---

GCP 指南：建立或更新安全策略/流程，以解决资产生命周期管理过程，以应对潜在影响巨大的修改。 这些修改包括对标识提供者和访问、敏感数据、网络配置和管理权限评估的更改。 对有风险的资产使用 Google Cloud 安全命令中心和检查合规性选项卡。

此外，使用自动清理未使用的 Google Cloud 项目和云推荐器服务来提供有关使用 Google Cloud 上资源的建议和见解。 这些建议和见解是按产品或按服务生成的，是基于启发式方法、机器学习和当前资源使用情况生成的。

GCP 实现和其他上下文：

• 云推荐器
• 自动清理未使用的 Google Cloud 项目。

---

客户安全利益干系人 (了解) 的详细信息：

• 安全合规性管理
• 状况管理

AM-3：确保资产生命周期管理的安全

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
1.1、2.1	CM-8、CM-7	2.4

安全原则：确保在资产生命周期内始终更新资产的安全属性或配置。

---

Azure 指南：建立或更新安全策略/流程，以解决资产生命周期管理过程，以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问权限、数据敏感度级别、网络配置和管理权限分配的更改。

识别并删除不再需要的 Azure 资源。

Azure 实现和其他上下文：

• 删除 Azure 资源组和资源

---

AWS 指南：建立或更新安全策略/流程，以解决资产生命周期管理过程，以应对潜在影响巨大的修改。 这些修改包括对标识提供者和访问权限、数据敏感度级别、网络配置和管理权限分配的更改。

识别并删除不再需要的 AWS 资源。

AWS 实现和其他上下文：

• 如何实现 检查 AWS 帐户上不再需要的活动资源？
• 如何实现终止 AWS 帐户上不再需要的活动资源？

---

GCP 指南：使用 Google Cloud Identity and Access Management (IAM) 来限制对特定资源的访问。 可以指定允许或拒绝操作以及触发操作的条件。 可以指定资源级权限、基于资源的策略、基于标记的授权、临时凭据或服务链接角色的一个条件或组合方法，以便对资源进行精细控制访问控制。

此外，还可以使用 VPC 服务控制来防止外部实体或预览体验成员实体的意外或有针对性的操作，这有助于最大程度地降低 Google 云服务中不必要的数据外泄风险。 可以使用 VPC 服务控制来创建外围，以保护显式指定的服务的资源和数据。

GCP 实现和其他上下文：

• Identity and Access Management (IAM)
• VPC 服务控制概述
• 资源管理器

---

客户安全利益干系人 (了解) 的详细信息：

• 基础结构和终结点安全性
• 状况管理
• 安全合规性管理

AM-4：限制对资产管理的访问

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
3.3	AC-3	空值

安全原则：限制用户访问资产管理功能，以避免意外或恶意修改云中的资产。

---

Azure 指南：Azure 资源管理器 是 Azure 的部署和管理服务。 它提供了一个管理层，用于在 Azure 中创建、更新和删除资源（资产）。 使用 Azure AD 条件访问可通过为“Microsoft Azure 管理”应用配置“阻止访问”，限制用户与 Azure 资源管理器进行交互的能力。

使用 Azure 基于角色访问控制 (Azure RBAC) 将角色分配给标识，以控制其权限和对 Azure 资源的访问权限。 例如，仅具有“读取者”Azure RBAC 角色的用户可以查看所有资源，但不允许进行任何更改。

使用资源锁来防止删除或修改资源。 还可以通过 Azure 蓝图管理资源锁。

Azure 实现和其他上下文：

• 如何配置条件访问来阻止对 Azure 资源管理器的访问
• 锁定资源以保护基础结构
• 使用 Azure 蓝图资源锁保护新资源

---

AWS 指南：使用 AWS IAM 限制对特定资源的访问。 可以指定允许或拒绝操作以及触发操作的条件。 可以指定一个条件或组合资源级权限、基于资源的策略、基于标记的授权、临时凭据或服务链接角色的方法，以便对资源进行精细的控制访问控制。

AWS 实现和其他上下文：

• 使用 IAM 的 AWS 服务

---

GCP 指南：使用 Google Cloud VM Manager 发现安装在 Compute Engines 实例上的应用程序。 可以使用 OS 清单和配置管理，确保阻止未授权的软件在计算引擎实例上执行。

也可以使用第三方解决方案来发现和标识未经批准的软件。

GCP 实现和其他上下文：

• VM 管理器
• OS 配置管理

---

客户安全利益干系人 (了解) 的详细信息：

• 状况管理
• 基础结构和终结点安全性

AM-5：仅在虚拟机中使用已获批准的应用程序

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
2.5、2.6、2.7、4.8	CM-8、CM-7、CM-10、CM-11	6.3

安全原则：通过创建允许列表，确保只有授权软件才能执行，并阻止未经授权的软件在你的环境中执行。

---

Azure 指南：使用 Microsoft Defender for Cloud 自适应应用程序控制发现并生成应用程序允许列表。 还可以使用 ASC 自适应应用程序控制来确保只有授权软件才能执行，并且阻止所有未经授权的软件在 Azure 虚拟机上执行。

请使用 Azure 自动化更改跟踪和清单来自动收集 Windows 和 Linux VM 中的清单信息。 可从Azure 门户获取软件名称、版本、发布者和刷新时间信息。 若要获取软件安装日期和其他信息，请启用来宾级诊断并将 Windows 事件日志定向到 Log Analytics 工作区。

根据脚本类型的不同，可以使用特定于操作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。

也可以使用第三方解决方案来发现和标识未经批准的软件。

Azure 实现和其他上下文：

• 如何使用 Microsoft Defender for Cloud 自适应应用程序控制
• 了解 Azure 自动化更改跟踪和库存
• 如何在 Windows 环境中控制 PowerShell 脚本的执行

---

AWS 指南：使用 AWS Systems Manager 清单功能发现安装在 EC2 实例中的应用程序。 使用 AWS 配置规则确保阻止未授权的软件在 EC2 实例上执行。

也可以使用第三方解决方案来发现和标识未经批准的软件。

AWS 实现和其他上下文：

• 使用 AWS Systems Manager 和 AWS Config 阻止被禁止的应用程序

---

客户安全利益干系人 (了解) 的详细信息：

• 基础结构和终结点安全性
• 状况管理
• 安全合规性管理