安全控制:资产管理

资产管理涵盖确保资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问以及管理对服务和资源的审批(清单、跟踪和更正)。

AM-1:跟踪资产库存及其风险

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8、PM-5 2.4

安全原则:通过查询跟踪资产清单并发现所有云资源。 按逻辑方式组织资产,方法是根据资产的服务性质、位置或其他特征标记和分组资产。 确保安全组织有权访问持续更新的资产清单。

通过始终集中聚合安全见解和风险,确保安全组织可以监视云资产的风险。


Azure 指南:Microsoft Defender for Cloud 清单功能和 Azure Resource Graph 可以查询和发现订阅中的所有资源,包括 Azure 服务、应用程序和网络资源。 使用标记以及 Azure 中的其他元数据(名称、说明和类别)根据组织的分类来逻辑组织资产。

确保安全组织有权访问 Azure 上持续更新的资产清单。 安全团队通常需要此清单来评估其组织可能面临新兴风险的风险,并作为持续安全改进的投入。

确保安全组织在 Azure 租户和订阅中被授予安全读取者权限,以便他们可以使用 Microsoft Defender for Cloud 监视安全风险。 安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。

注意:可能需要其他权限才能了解工作负荷和服务。


GCP 指南:使用 Google 云资产清单基于时序数据库提供库存服务。 此数据库保留 GCP 资产元数据的五周历史记录。 云资产清单导出服务允许在某个时间戳处导出所有资产元数据,或在时间范围内导出事件更改历史记录。

此外,Google Cloud Security 命令中心还支持不同的命名约定。 资产是组织的 Google 云资源。 可以在组织、文件夹或项目级别授予 Security Command Center 的 IAM 角色。 查看、创建或更新查找、资产和安全源的能力取决于你被授予访问权限的级别。

GCP 实现和其他上下文

Azure 实现和其他上下文


AWS 指南:使用 AWS Systems Manager 清单功能查询和发现 EC2 实例中的所有资源,包括应用程序级别和作系统级别详细信息。 此外,使用 AWS 资源组 - 标记编辑器浏览 AWS 资源清单。

根据组织的分类,使用 AWS(名称、说明和类别)中的标记和其他元数据以逻辑方式组织资产。

确保安全组织有权访问 AWS 上持续更新的资产清单。 安全团队通常需要此清单来评估其组织可能面临新兴风险的风险,并作为持续安全改进的投入。

注意:可能需要其他权限才能了解工作负荷和服务。

AWS 实现和其他上下文


GCP 指南:使用 Google 云组织策略服务审核和限制用户可以在你的环境中预配的服务。 还可以在 Operations Suite 和/或组织策略中使用云监视来创建规则,以在检测到未经批准的服务时触发警报。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

AM-2:仅使用已批准的服务

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8、PM-5 6.3

安全原则:通过审核和限制用户可以在环境中预配的服务,确保只能使用已批准的云服务。


Azure 指南:使用 Azure Policy 审核和限制用户可以在环境中预配的服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。

Azure 实现和其他上下文


AWS 指南:使用 AWS 配置审核和限制用户可以在你的环境中预配的服务。 使用 AWS 资源组查询和发现其帐户中的资源。 还可以使用 CloudWatch 和/或 AWS 配置创建规则,以在检测到未经批准的服务时触发警报。

AWS 实现和其他上下文


GCP 指南:建立或更新安全策略/过程,以处理资产生命周期管理过程,以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问、敏感数据、网络配置和管理特权评估的更改。 使用 Google Cloud Security 命令中心并检查风险资产的合规性选项卡。

此外,使用自动清理未使用的 Google 云项目和云推荐器服务来提供有关在 Google Cloud 上使用资源的建议和见解。 这些建议和见解按产品或按服务生成,基于启发方法、机器学习和当前资源使用情况生成。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

AM-3:确保资产生命周期管理的安全性

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
1.1, 2.1 CM-8、CM-7 2.4

安全原则:确保在资产生命周期内始终更新资产的安全属性或配置。


Azure 指南:建立或更新安全策略/流程,解决资产生命周期管理过程,以进行潜在的高影响修改。 这些修改包括对标识提供者和访问、数据敏感度级别、网络配置和管理特权分配的更改。

在不再需要 Azure 资源时标识和删除这些资源。

Azure 实现和其他上下文


AWS 指南:建立或更新安全策略/过程,以处理资产生命周期管理流程,以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问、数据敏感度级别、网络配置和管理特权分配的更改。

在不再需要 AWS 资源时识别和删除它们。

AWS 实现和其他上下文


GCP 指南:使用 Google Cloud Identity and Access Management (IAM) 限制对特定资源的访问。 可以指定允许或拒绝的操作以及触发这些操作的条件。 您可以指定一种条件或多种结合的方法,包括资源级权限、基于资源的策略、基于标记的授权、临时凭据或服务链接角色,以便对您的资源实现精细控制的访问权限。

此外,还可以使用VPC服务控件防止外部实体或内部实体的意外或有针对性的操作,从而尽可能减少来自Google云服务的不必要的数据外泄风险。 可以使用VPC服务控制创建周边区域,以保护您显式指定的服务的资源和数据。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

AM-4:限制对资产管理的访问

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.3 AC-3

安全原则:限制用户对资产管理功能的访问权限,以避免意外或恶意修改云中的资产。


Azure 指南:Azure 资源管理器是适用于 Azure 的部署和管理服务。 它提供一个管理层,可用于在 Azure 中创建、更新和删除资源(资产)。 使用 Azure AD 条件访问通过为“Microsoft Azure 管理”应用配置“阻止访问”来限制用户与 Azure 资源管理器交互的能力。

使用 Azure 基于角色的访问控制(Azure RBAC)将角色分配给标识,以控制其权限和对 Azure 资源的访问。 例如,只有“读者”Azure RBAC 角色的用户可以查看所有资源,但不允许进行任何更改。

使用资源锁防止删除或修改资源。 还可以通过 Azure 蓝图管理资源锁。

Azure 实现和其他上下文


AWS 指南:使用 AWS IAM 限制对特定资源的访问。 可以指定允许或拒绝的动作以及动作被触发的条件。 可以指定一个条件或结合资源级权限、基于资源的策略、基于标签的授权、临时凭证或服务链接角色的方法,以对您的资源进行精细的访问控制。

AWS 实现和其他上下文


GCP 指南:使用 Google Cloud VM Manager 发现在计算引擎实例上安装的应用程序。 可以使用 OS 清单和配置管理,确保阻止非授权软件在计算引擎实例上执行。

还可以使用第三方解决方案来发现和识别未经批准的软件。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

AM-5:仅在虚拟机中使用已批准的应用程序

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8、CM-7、CM-10、CM-11 6.3

安全原则:确保仅通过创建允许列表来执行授权软件,并阻止未经授权的软件在你的环境中执行。


Azure 指南:使用 Microsoft Defender for Cloud 自适应应用程序控制来发现和生成应用程序允许列表。 还可以使用 ASC 自适应应用程序控制来确保只有经过授权的软件才能执行,并且所有未经授权的软件都被阻止在 Azure 虚拟机上执行。

使用 Azure 自动化更改跟踪和清单自动收集 Windows 和 Linux VM 中的清单信息。 可以从 Azure 门户获取软件名称、版本、发布者和刷新时间信息。 若要获取软件安装日期和其他信息,请启用来宾级诊断并将 Windows 事件日志定向到 Log Analytics 工作区。

根据脚本的类型,可以使用特定于作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。

还可以使用第三方解决方案来发现和识别未经批准的软件。

Azure 实现和其他上下文


AWS 指南:使用 AWS Systems Manager 清单功能发现 EC2 实例中安装的应用程序。 使用 AWS 配置规则来确保阻止非授权软件在 EC2 实例上执行。

还可以使用第三方解决方案来发现和识别未经批准的软件。

AWS 实现和其他上下文


客户安全利益干系人(了解详细信息