资产资产管理涵盖确保对 Azure 资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问以及管理对服务和资源的审批(库存、跟踪和更正)。
AM-1:跟踪资产库存及其风险
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8、PM-5 | 2.4 |
安全原则: 通过查询跟踪资产清单并发现所有云资源。 按逻辑方式组织资产,方法是根据资产的服务性质、位置或其他特征标记和分组资产。 确保安全组织有权访问持续更新的资产清单。
通过始终在中央聚合安全见解和风险,确保您的安全组织能够监控云资产的风险。
Azure 指南: Microsoft Defender for Cloud 清单功能和 Azure Resource Graph 可以查询和发现订阅中的所有资源,包括 Azure 服务、应用程序和网络资源。 根据组织的分类,使用标记以及 Azure 中的其他元数据(名称、说明和类别)以逻辑方式组织资产。
确保安全组织有权访问 Azure 上持续更新的资产清单。 安全团队通常需要此清单来评估组织可能面临新兴风险的风险,并作为持续安全改进的投入。
确保安全组织在 Azure 租户和订阅中被授予安全读取者权限,以便他们可以使用 Microsoft Defender for Cloud 监视安全风险。 安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。
注意:可能需要其他权限才能了解工作负荷和服务。
实现和其他上下文:
- 如何使用 Azure Resource Graph 资源管理器创建查询
- Microsoft Defender for Cloud 资产清单管理
- 有关标记资产的详细信息,请参阅资源命名和标记决策指南
- 安全读取者角色概述
客户安全利益干系人(了解详细信息):
AM-2:仅使用已批准的服务
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8、PM-5 | 6.3 |
安全原则: 通过审核和限制用户可以在环境中预配的服务,确保只能使用已批准的云服务。
Azure 指南: 使用 Azure Policy 审核和限制用户可以在环境中预配的服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-3:确保资产生命周期管理的安全性
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8、CM-7 | 2.4 |
安全原则: 确保在资产生命周期内始终更新资产的安全属性或配置。
Azure 指南: 建立或更新安全策略/过程,以处理资产生命周期管理过程,以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问、数据敏感度、网络配置和管理权限分配的更改。
不再需要 Azure 资源时,请将其删除。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-4:限制对资产管理的访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | 无 |
安全原则: 限制用户访问资产管理功能,以避免意外或恶意修改云中的资产。
Azure 指南: Azure 资源管理器是 Azure 的部署和管理服务。 它提供一个管理层,可用于在 Azure 中创建、更新和删除资源(资产)。 使用 Azure AD 条件访问通过为“Microsoft Azure 管理”应用配置“阻止访问”来限制用户与 Azure 资源管理器交互的能力。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
AM-5:仅在虚拟机中使用已批准的应用程序
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
安全原则: 确保仅通过创建允许列表来执行授权软件,并阻止未经授权的软件在你的环境中执行。
Azure 指南: 使用 Microsoft Defender for Cloud 自适应应用程序控制来发现和生成应用程序允许列表。 还可以使用 ASC 自适应应用程序控制来确保仅执行授权的软件,并且阻止所有未经授权的软件在 Azure 虚拟机上执行。
使用 Azure 自动化更改跟踪和清单自动收集 Windows 和 Linux VM 中的清单信息。 可以从 Azure 门户获取软件名称、版本、发布者和刷新时间。 若要获取软件安装日期和其他信息,请启用来宾级诊断并将 Windows 事件日志定向到 Log Analytics 工作区。
根据脚本的类型,可以使用特定于作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。
还可以使用第三方解决方案来发现和识别未经批准的软件。
实现和其他上下文:
客户安全利益干系人(了解详细信息):