資產管理涉及控制措施,以確保對您的資源進行安全性可見度和治理,包括針對安全性人員的許可權建議、資產清單的安全存取權,以及管理服務和資源(清查、追蹤和修正)的核准。
AM-1:追蹤資產清查和其風險
CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
---|---|---|
1.1, 1.5, 2.1, 2.4 | CM-8、PM-5 | 2.4 |
安全性準則:依查詢追蹤您的資產清查,並探索您的所有雲端資源。 根據資產的服務性質、位置或其他特性來標記資產並將其分組,以邏輯方式組織您的資產。 請確定您的安全性組織可以存取持續更新的資產清查。
確保您的安全組織能夠藉由集中整合安全資訊和風險,隨時監視雲端資產的風險。
Azure 指引:適用於雲端清查功能的 Microsoft Defender 和 Azure Resource Graph 可以查詢和探索訂用帳戶中的所有資源,包括 Azure 服務、應用程式和網路資源。 根據貴組織的分類法,使用 Azure 中的標記和其他元數據,以邏輯方式組織資產(名稱、描述和類別)。
請確定安全性組織可以存取 Azure 上持續更新的資產清查。 安全性小組通常需要此清查來評估其組織可能暴露在新興風險的風險,並作為持續安全性改善的輸入。
請確保安全性組織在您的 Azure 租戶和訂閱中獲得了安全性查看者許可權,以便使用 Microsoft Defender for Cloud 來監控安全性風險。 安全性閱讀者許可權可以廣泛應用於整個租戶(根管理群組),或限定於管理群組或特定訂閱帳戶。
注意:可能需要其他許可權,才能瞭解工作負載和服務。
GCP指引:使用Google雲端資產清查,根據時間序列資料庫提供清查服務。 此資料庫會保留 GCP 資產元數據的五周歷程記錄。 雲端資產清查匯出服務可讓您在特定時間戳或匯出事件變更歷程記錄期間匯出所有資產元數據。
此外,Google Cloud Security 命令中心也支援不同的命名慣例。 資產是組織的Google Cloud資源。 安全性命令中心的 IAM 角色可以在組織、資料夾或專案層級授予。 您檢視、建立或更新結果、資產和安全性來源的能力取決於您獲得存取權的層級。
GCP 實作和其他內容:
Azure 實作和補充背景資訊:
- 如何使用 Azure Resource Graph 總管建立查詢
- 適用於雲端資產清查管理的 Microsoft Defender
- 如需標記資產的詳細資訊,請參閱資源命名和標記決策指南
- 安全性讀取者角色概觀
AWS指引:使用 AWS 系統管理員清查功能來查詢和探索 EC2 實例中的所有資源,包括應用層級和作系統層級詳細數據。 此外,使用 AWS 資源群組 - 標籤編輯器來流覽 AWS 資源清查。
根據貴組織的分類法,使用 AWS 中的標記和其他元數據,以邏輯方式組織資產(名稱、描述和類別)。
確保安全性組織能夠存取 AWS 上持續更新的資產清查。 安全性小組通常需要此清查來評估其組織可能暴露在新興風險的風險,並作為持續安全性改善的輸入。
注意:可能需要其他許可權,才能瞭解工作負載和服務。
AWS 實作和其他內容:
GCP指引:使用Google雲端組織原則服務來稽核及限制用戶可以在您的環境中布建的服務。 您也可以使用 Operations Suite 和/或組織原則中的雲端監視來建立規則,以在偵測到未核准的服務時觸發警示。
GCP 實作和其他內容:
- 組織原則服務 簡介
- 建立和管理組織原則
客戶安全利害關係人 (瞭解更多):
AM-2:僅使用已核准的服務
CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
---|---|---|
2.5, 2.6 , 2.7, 4.8 | CM-8、PM-5 | 6.3 |
安全性原則:藉由稽核及限制使用者可以在環境中布建的服務,確保只能使用已核准的雲端服務。
Azure 指引:使用 Azure 原則來稽核及限制使用者可以在您的環境中布建的服務。 使用 Azure Resource Graph 查詢和探索其訂用帳戶內的資源。 您也可以使用 Azure 監視器來建立規則,以在偵測到未核准的服務時觸發警示。
Azure 實作和補充背景資訊:
AWS指引:使用 AWS 設定來稽核及限制使用者可以在您的環境中布建的服務。 使用 AWS 資源群組來查詢和探索其帳戶內的資源。 您也可以使用 CloudWatch 和/或 AWS Config 來建立規則,以在偵測到未核准的服務時觸發警示。
AWS 實作和其他內容:
GCP指引:建立或更新安全策略/程式,以因應資產生命週期管理程序的潛在高影響修改。 這些修改包括身分識別提供者和存取權、敏感數據、網路設定和系統管理許可權評估的變更。 使用 Google Cloud Security 指揮中心,檢查 [合規] 分頁中的風險資產。
此外,使用自動清除未使用的 Google 雲端專案,以及雲端推薦服務來提供在 Google Cloud 上使用資源的建議和見解。 這些建議和洞察是針對各個產品或服務生成,並根據啟發式方法、機器學習和當前資源使用情況產生。
GCP 實作和其他內容:
客戶安全利害關係人 (瞭解更多):
AM-3:確保資產生命週期管理的安全性
CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
---|---|---|
1.1, 2.1 | CM-8、CM-7 | 2.4 |
安全性原則:確保資產的安全性屬性或組態一律會在資產生命週期期間更新。
Azure 指引:建立或更新安全策略/程式,以因應資產生命週期管理程式,以進行潛在的高影響修改。 這些修改包括身分識別提供者和存取權、數據敏感度層級、網路設定,以及系統管理許可權指派的變更。
識別並移除不再需要的 Azure 資源。
Azure 實作和補充背景資訊:
AWS指引:建立或更新安全政策/流程,以因應資產生命週期管理過程中可能產生的高影響修改。 這些修改包括身分識別提供者和存取權、數據敏感度層級、網路設定,以及系統管理許可權指派的變更。
識別並移除不再需要的 AWS 資源。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Identity and Access Management (IAM) 來限制對特定資源的存取。 您可以指定允許或拒絕動作,以及觸發動作的條件。 您可以指定一個條件或合併使用資源層級許可權、資源型政策、標籤型授權、臨時憑證或服務連結角色,以對資源進行更細緻的訪問控制。
此外,您可以使用VP服務控件來保護外部實體或內部實體的意外或目標動作,這有助於將Google Cloud服務中不必要的數據外泄風險降到最低。 您可以使用 VPC 服務控制來建立邊界,保護您明確指定的服務的資源和資料。
GCP 實作和其他內容:
客戶安全利害關係人 (瞭解更多):
AM-4:限制對資產管理的存取
CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
---|---|---|
3.3 | AC-3 | N/A |
安全性原則:限制使用者存取資產管理功能,以避免意外或惡意修改雲端中的資產。
Azure 指引:Azure Resource Manager 是適用於 Azure 的部署和管理服務。 它提供一個管理層,可讓您在 Azure 中建立、更新和刪除資源(資產)。 使用 Azure AD 條件式存取,藉由設定「Microsoft Azure 管理」應用程式的「封鎖存取」,限制使用者與 Azure Resource Manager 互動的能力。
使用 Azure 角色型存取控制(Azure RBAC)將角色指派給身分識別,以控制其對 Azure 資源的許可權和存取權。 例如,只有 「讀取者」Azure RBAC 角色的使用者可以檢視所有資源,但不允許進行任何變更。
使用資源鎖定來防止刪除或修改資源。 您也可以透過 Azure 藍圖管理資源鎖定。
Azure 實作和補充背景資訊:
AWS指引:使用 AWS IAM 來限制對特定資源的存取。 您可以指定允許或拒絕動作,以及觸發動作的條件。 您可以指定一個條件,或結合資源層級許可權、資源型原則、標籤授權、暫存認證或服務連結角色的方法,為您的資源提供更細緻的控制訪問控制。
AWS 實作和其他內容:
GCP指引:使用 Google Cloud VM Manager 來探索安裝在計算引擎實例上的應用程式。 您可以使用 OS 清查和組態管理,確保未授權的軟體無法在計算引擎實例上執行。
您也可以使用第三方解決方案來探索和識別未核准的軟體。
GCP 實作和其他內容:
客戶安全利害關係人 (瞭解更多):
AM-5:只在虛擬機中使用已核准的應用程式
CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
---|---|---|
2.5, 2.6, 2.7, 4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
安全性原則:請確定只有授權的軟體會藉由建立允許清單來執行,並封鎖未經授權的軟體在您的環境中執行。
Azure 指引:使用 Microsoft Defender for Cloud 的自適應應用程式控制來探索並產生應用程式允許清單。 您也可以使用 ASC 自適性應用程控來確保只有授權的軟體可以執行,而且所有未經授權的軟體都會封鎖在 Azure 虛擬機上執行。
使用 Azure 自動化變更追蹤和清查,自動收集來自 Windows 和 Linux VM 的清查資訊。 您可以從 Azure 入口網站取得軟體名稱、版本、發行者和重新整理時間資訊。 若要取得軟體安裝日期和其他資訊,請啟用客體層級診斷,並將 Windows 事件記錄導向 Log Analytics 工作區。
視腳本類型而定,您可以使用作系統特定的組態或第三方資源來限制使用者在 Azure 計算資源中執行腳本的能力。
您也可以使用第三方解決方案來探索和識別未核准的軟體。
Azure 實作和補充背景資訊:
AWS指引:使用 AWS 系統管理員清查功能來探索安裝在 EC2 實例中的應用程式。 使用 AWS 設定規則來確保未授權的軟體無法在 EC2 實例上執行。
您也可以使用第三方解決方案來探索和識別未核准的軟體。
AWS 實作和其他內容:
客戶安全利害關係人 (瞭解更多):