安全性控制 V2：資產管理

注意

這裡 提供最新的Azure 安全性效能評定。

資產管理涵蓋控制項，以確保 Azure 資源的安全性可見度和治理。 這包括安全性人員的許可權、資產清查的安全性存取，以及管理服務和資源核准的建議， (清查、追蹤和更正) 。

若要查看適用的內建Azure 原則，請參閱Azure 安全性基準法規合規性內建方案的詳細資料：網路安全性

AM-1：確保安全性小組能夠看到資產的風險

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
AM-1	1.1, 1.2	CM-8、PM-5

請確定安全性小組已獲授與 Azure 租使用者和訂用帳戶中的安全性讀取者許可權，讓他們可以使用Azure 資訊安全中心來監視安全性風險。

根據安全性小組責任的結構，監視安全性風險可能是中央安全性小組或本機小組的責任。 然而，安全性見解和風險務必要在組織內部集中彙總。

「安全性讀取者」權限可以廣泛套用至整個租用戶 (根管理群組)，或將範圍限定於管理群組或特定訂用帳戶。

注意：若要取得工作負載和服務的可見度，可能需要其他權限。

• 安全性讀取者角色概觀

• Azure 管理群組概觀

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性

• 安全性合規性管理

AM-2：確保安全性小組可以存取資產清查和中繼資料

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
AM-2	1.1, 1.2, 1.4, 1.5, 9.1, 12.1	CM-8、PM-5

請確定安全性小組可以存取 Azure 上持續更新的資產清查。 安全性小組通常需要進行這項清查，以評估其組織對新興風險的潛在暴露程度，並作為持續安全性改進的輸入。

Azure 資訊安全中心清查功能和 Azure Resource Graph可以查詢並探索訂用帳戶中的所有資源，包括 Azure 服務、應用程式和網路資源。

使用標籤，以及 Azure (名稱、描述和類別) 中的其他中繼資料，以邏輯方式組織資產。

• 如何使用 Azure Resource Graph Explorer 建立查詢

• Azure 資訊安全中心資產清查管理

• 如需標記資產的詳細資訊，請參閱資源命名和標記決策指南

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性

• 安全性合規性管理

AM-3：僅使用已核准的 Azure 服務

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
AM-3	2.3、2.4	CM-7、CM-8

使用 Azure 原則可稽核及限制使用者能夠在環境中佈建的服務。 使用 Azure Resource Graph 則可查詢及探索其訂用帳戶內的資源。 您也可以使用 Azure 監視器來建立規則，以在偵測到未核准的服務時觸發警示。

• 設定與管理 Azure 原則

• 如何使用 Azure 原則拒絕特定的資源類型

• 如何使用 Azure Resource Graph Explorer 建立查詢

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 安全性合規性管理

• 狀態管理

AM-4：確保資產生命週期管理的安全性

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
AM-4	2.3, 2.4, 2.5	CM-7、CM-8、CM-10、CM-11

建立或更新安全性原則，以因應資產生命週期管理程式，以取得潛在的高影響修改。 這些修改包括對下列項目的變更：識別提供者和存取、資料敏感度、網路設定和系統管理權限指派。

不再需要 Azure 資源時，請將其移除。

• 刪除 Azure 資源群組和資源

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性

• 狀態管理

• 安全性合規性管理

AM-5：限制使用者與 Azure Resource Manager互動的能力

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
AM-5	2.9	AC-3

使用 Azure AD 條件式存取，藉由設定「Microsoft Azure 管理」應用程式的「封鎖存取」，來限制使用者與 Azure Resource Manager互動的能力。

• 如何設定條件式存取來封鎖對 Azure Resources Manager 的存取

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 狀態管理

• 基礎結構和端點安全性

AM-6：只在計算資源中使用已核准的應用程式

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
AM-6	2.6, 2.7	AC-3、CM-7、CM-8、CM-10、CM-11

請確定只有授權的軟體執行，且所有未經授權的軟體都無法執行于 Azure 虛擬機器。

使用Azure 資訊安全中心的自適性應用程式控制來探索及產生應用程式允許清單。 您也可以使用調適型應用程式控制，以確保只有授權的軟體執行，且所有未經授權的軟體都會遭到封鎖，而無法在 Azure 虛擬機器上執行。

使用Azure 自動化 變更追蹤和清查自動收集來自 Windows 和 Linux VM 的清查資訊。 軟體名稱、版本、發行者和重新整理時間可從Azure 入口網站取得。 若要取得軟體安裝日期和其他資訊，請啟用客體層級診斷，並將 Windows 事件記錄導向 Log Analytics 工作區。

視腳本類型而定，您可以使用作業系統特定的設定或協力廠商資源來限制使用者在 Azure 計算資源中執行腳本的能力。

您也可以使用協力廠商解決方案來探索及識別未核准的軟體。

• 如何使用Azure 資訊安全中心調適型應用程式控制

• 瞭解Azure 自動化 變更追蹤和清查

• 如何在 Windows 環境中控制 PowerShell 腳本執行

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性

• 狀態管理

• 安全性合規性管理