安全性控制:資產管理
資產管理涵蓋確保資源的安全性可見度和治理控制措施,包括安全性人員許可權的建議、資產清查的安全性存取權,以及管理服務和資源核准, (清查、追蹤及更正) 。
AM-1:追蹤資產清查及其風險
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8、PM-5 | 2.4 |
安全性準則:依查詢追蹤資產清查,並探索所有雲端資源。 根據資產的服務本質、位置或其他特性來標記和分組資產,以邏輯方式組織您的資產。 請確定您的安全性組織能夠存取持續更新的資產清查。
請確定您的安全性組織一律會集中匯總安全性見解和風險,以監視雲端資產的風險。
Azure 指引:雲端清查功能和 Azure Resource Graph Microsoft Defender可以查詢和探索訂用帳戶中的所有資源,包括 Azure 服務、應用程式和網路資源。 使用標記,以及 Azure (名稱、描述和類別) 中的其他中繼資料,以邏輯方式組織資產。
確定安全性組織可以存取 Azure 上持續更新的資產清查。 安全性小組通常需要此清查來評估其組織對新興風險的潛在暴露度,並作為持續安全性改善的輸入。
請確定安全性組織已獲授與 Azure 租使用者和訂用帳戶中的安全性讀取者許可權,讓他們可以使用雲端Microsoft Defender來監視安全性風險。 「安全性讀取者」權限可以廣泛套用至整個租用戶 (根管理群組),或將範圍限定於管理群組或特定訂用帳戶。
注意:若要取得工作負載和服務的可見度,可能需要其他權限。
GCP 指引:使用 Google 雲端資產清查,根據時間序列資料庫提供清查服務。 此資料庫會保留 GCP 資產中繼資料的五周歷程記錄。 雲端資產清查匯出服務可讓您在特定時間戳記匯出所有資產中繼資料,或在時間範圍內匯出事件變更歷程記錄。
此外,Google Cloud Security Command Center 也支援不同的命名慣例。 資產是組織的 Google Cloud 資源。 資訊安全命令中心的 IAM 角色可以在組織、資料夾或專案層級授與。 您檢視、建立或更新結果、資產和安全性來源的能力,取決於您被授與存取權的層級。
GCP 實作和其他內容:
Azure 實作和其他內容:
- 如何使用 Azure Resource Graph Explorer 建立查詢
- 雲端資產清查管理的Microsoft Defender
- 如需標記資產的詳細資訊,請參閱資源命名和標記決策指南
- 安全性讀取者角色概觀
AWS 指引:使用 AWS 系統管理員清查功能來查詢和探索 EC2 實例中的所有資源,包括應用層級和作業系統層級詳細資料。 此外,使用 AWS 資源群組 - 標籤編輯器來流覽 AWS 資源清查。
使用標記,以及 AWS (名稱、描述和類別) 中的其他中繼資料,以邏輯方式組織資產。
確保安全性組織能夠存取 AWS 上持續更新的資產清查。 安全性小組通常需要此清查來評估其組織對新興風險的潛在暴露度,並作為持續安全性改善的輸入。
注意:若要取得工作負載和服務的可見度,可能需要其他權限。
AWS 實作和其他內容:
GCP 指引:使用 Google 雲端組織原則服務來稽核及限制哪些服務使用者可以在您的環境中布建。 您也可以在 Operations Suite 和/或組織原則中使用雲端監視來建立規則,以在偵測到未核准的服務時觸發警示。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
AM-2:僅使用已核准的服務
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8、PM-5 | 6.3 |
安全性準則:稽核及限制使用者可以在環境中布建的服務,以確保只能使用已核准的雲端服務。
Azure 指引:使用Azure 原則來稽核及限制哪些服務使用者可以在您的環境中布建。 使用 Azure Resource Graph 則可查詢及探索其訂用帳戶內的資源。 您也可以使用 Azure 監視器來建立規則,以在偵測到未核准的服務時觸發警示。
Azure 實作和其他內容:
AWS 指引:使用 AWS 設定來稽核及限制哪些服務使用者可以在您的環境中布建。 使用 AWS 資源群組來查詢和探索其帳戶內的資源。 您也可以使用 CloudWatch 和/或 AWS 設定來建立規則,以在偵測到未核准的服務時觸發警示。
AWS 實作和其他內容:
GCP 指引:建立或更新安全性原則/程式,以解決資產生命週期管理程式,以取得潛在的高影響修改。 這些修改包括身分識別提供者和存取權、敏感性資料、網路設定及系統管理許可權評估的變更。 使用 Google Cloud Security Command Center 並檢查風險資產的 [合規性] 索引標籤。
此外,使用自動清除未使用的 Google Cloud Projects 和 Cloud Recommender 服務來提供在 Google Cloud 上使用資源的建議和見解。 這些建議和深入解析是每一產品或個別服務,並根據啟發學習方法、機器學習和目前的資源使用量產生。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
AM-3:確保資產生命週期管理的安全性
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8、CM-7 | 2.4 |
安全性準則:確保資產的安全性屬性或組態一律會在資產生命週期期間更新。
Azure 指引:建立或更新安全性原則/程式,以解決資產生命週期管理程式,以取得潛在的高影響修改。 這些修改包括身分識別提供者和存取權的變更、資料敏感度層級、網路設定,以及系統管理許可權指派。
識別並移除不再需要的 Azure 資源。
Azure 實作和其他內容:
AWS 指引:建立或更新安全性原則/程式,以解決資產生命週期管理程式,以取得潛在高影響修改。 這些修改包括身分識別提供者和存取權的變更、資料敏感度層級、網路設定,以及系統管理許可權指派。
當不再需要 AWS 資源時,請加以識別和移除。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Identity and Access Management (IAM) 來限制特定資源的存取。 您可以指定允許或拒絕動作,以及觸發動作的條件。 您可以指定資源層級許可權、資源型原則、標籤型授權、暫存認證或服務連結角色的一個條件或合併方法,以更精細地控制資源的存取控制。
此外,您也可以使用[API 服務控制項] 來防止外部實體或測試人員實體意外或鎖定的動作,這有助於將不想要的資料從 Google 雲端服務外泄風險降到最低。 您可以使用「XML 服務控制項」來建立周邊,以保護您明確指定之服務的資源和資料。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
AM-4:限制對資產管理的存取
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/A |
安全性準則:限制使用者存取資產管理功能,以避免意外或惡意修改雲端中的資產。
Azure 指引:Azure Resource Manager是 Azure 的部署和管理服務。 它提供一個管理層,可讓您在 Azure 中建立、更新和刪除資源 (資產) 。 使用 Azure AD 條件式存取,藉由設定「Microsoft Azure 管理」應用程式的「封鎖存取」,來限制使用者與 Azure Resource Manager互動的能力。
使用 Azure 角色型存取控制 (Azure RBAC) ,將角色指派給身分識別,以控制其許可權和 Azure 資源的存取權。 例如,只有「讀者」Azure RBAC 角色的使用者可以檢視所有資源,但不允許進行任何變更。
使用資源鎖定來防止刪除或修改資源。 您也可以透過 Azure 藍圖來管理資源鎖定。
Azure 實作和其他內容:
AWS 指引:使用 AWS IAM 來限制特定資源的存取。 您可以指定允許或拒絕動作,以及觸發動作的條件。 您可以指定一個條件或結合資源層級許可權、資源型原則、標籤型授權、暫存認證或服務連結角色的方法,以更精細地控制資源的存取控制。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud VM Manager 來探索安裝在計算引擎實例上的應用程式。 您可以使用 OS 清查和組態管理,確保未授權的軟體無法在計算引擎實例上執行。
您也可以使用協力廠商解決方案來探索及識別未核准的軟體。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
AM-5:只在虛擬機器中使用已核准的應用程式
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
安全性準則:確定只有授權的軟體會藉由建立允許清單來執行,並封鎖未經授權的軟體在您的環境中執行。
Azure 指引:針對雲端自適性應用程式控制使用Microsoft Defender來探索和產生應用程式允許清單。 您也可以使用 ASC 自適性應用程式控制來確保只有授權的軟體可以執行,而且所有未經授權的軟體都會遭到封鎖,而無法在 Azure 虛擬機器上執行。
使用Azure 自動化 變更追蹤和清查自動收集來自 Windows 和 Linux VM 的清查資訊。 軟體名稱、版本、發行者和重新整理時間資訊可從Azure 入口網站取得。 若要取得軟體安裝日期和其他資訊,請啟用客體層級診斷,並將 Windows 事件記錄導向 Log Analytics 工作區。
視腳本類型而定,您可以使用作業系統特定的設定或協力廠商資源來限制使用者在 Azure 計算資源中執行腳本的能力。
您也可以使用協力廠商解決方案來探索及識別未核准的軟體。
Azure 實作和其他內容:
AWS 指引:使用 AWS 系統管理員清查功能來探索 EC2 實例中安裝的應用程式。 使用 AWS 設定規則來確保未授權的軟體無法在 EC2 實例上執行。
您也可以使用協力廠商解決方案來探索及識別未核准的軟體。
AWS 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :