Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione asset copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse, incluse le raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario degli asset e la gestione delle approvazioni per servizi e risorse (inventario, rilevamento e correzione).
AM-1: Tenere traccia dell'inventario delle risorse e dei relativi rischi
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Principio di sicurezza: tenere traccia dell'inventario degli asset eseguendo una query e individuare tutte le risorse cloud. Organizzare logicamente gli asset contrassegnando e raggruppando gli asset in base alla natura del servizio, alla posizione o ad altre caratteristiche. Assicurarsi che l'organizzazione della sicurezza abbia accesso a un inventario aggiornato continuamente degli asset.
Assicurarsi che l'organizzazione della sicurezza possa monitorare i rischi per gli asset cloud avendo sempre informazioni dettagliate sulla sicurezza e rischi aggregati centralmente.
Indicazioni su Azure: la funzionalità di inventario di Microsoft Defender for Cloud e Azure Resource Graph può eseguire query per individuare tutte le risorse nei tuoi abbonamenti, inclusi servizi, applicazioni e risorse di rete di Azure. Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in Azure (Nome, Descrizione e Categoria).
Assicurarsi che le organizzazioni di sicurezza abbiano accesso a un inventario aggiornato continuamente degli asset in Azure. I team di sicurezza hanno spesso bisogno di questo inventario per valutare il potenziale esposizione dell'organizzazione ai rischi emergenti e come input per i miglioramenti continui della sicurezza.
Assicurarsi che alle organizzazioni di sicurezza siano concesse autorizzazioni di lettura per la sicurezza nel tenant e nelle sottoscrizioni di Azure in modo che possano monitorare i rischi per la sicurezza usando Microsoft Defender for Cloud. Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) o con ambito a gruppi di gestione o sottoscrizioni specifiche.
Nota: potrebbero essere necessarie autorizzazioni aggiuntive per ottenere visibilità su carichi di lavoro e servizi.
Indicazioni per GCP: usare Google Cloud Asset Inventory per fornire servizi di inventario basati su un database time series. Questo database mantiene una cronologia di cinque settimane dei metadati degli asset GCP. Il servizio di esportazione inventario asset cloud consente di esportare tutti i metadati degli asset in un determinato timestamp o di esportare la cronologia delle modifiche degli eventi durante un intervallo di tempo.
Inoltre, Google Cloud Security Command Center supporta una convenzione di denominazione diversa. Gli asset sono le risorse di Google Cloud di un'organizzazione. I ruoli IAM per il Centro comandi di sicurezza possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, creare o aggiornare i risultati, gli asset e le origini di sicurezza dipende dal livello per cui si ha accesso.
Implementazione di GCP e contesto aggiuntivo:
- inventario delle risorse cloud
- Introduzione all'inventario delle risorse cloud
- Tipi di asset supportati nel Centro comandi di sicurezza
Implementazione di Azure e contesto aggiuntivo:
- Come creare query con Azure Resource Graph Explorer
- di gestione dell'inventario delle risorse di Microsoft Defender for Cloud
- Per altre informazioni sull'assegnazione di tag agli asset, vedere la guida alle decisioni per la denominazione e l'assegnazione di tag alle risorse
- Panoramica del ruolo di lettore sicurezza
Indicazioni su AWS: usare la funzionalità di inventario di AWS Systems Manager per eseguire query e individuare tutte le risorse nelle istanze EC2, inclusi i dettagli a livello di applicazione e a livello di sistema operativo. Usare anche i gruppi di risorse AWS - Editor tag per esplorare gli inventari delle risorse AWS.
Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in AWS (Nome, Descrizione e Categoria).
Assicurarsi che le organizzazioni di sicurezza abbiano accesso a un inventario aggiornato continuamente degli asset in AWS. I team di sicurezza hanno spesso bisogno di questo inventario per valutare il potenziale esposizione dell'organizzazione ai rischi emergenti e come input per i miglioramenti continui della sicurezza.
Nota: potrebbero essere necessarie autorizzazioni aggiuntive per ottenere visibilità su carichi di lavoro e servizi.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: Usare Google Cloud Organization Policy Service per controllare e limitare quali servizi gli utenti possono attivare nel tuo ambiente. È anche possibile usare Monitoraggio cloud in Operations Suite e/o Criteri dell'organizzazione per creare regole per attivare avvisi quando viene rilevato un servizio non approvato.
Implementazione di GCP e contesto aggiuntivo:
Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):
AM-2: Usare solo i servizi approvati
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Principio di sicurezza: assicurarsi che sia possibile usare solo i servizi cloud approvati, controllando e limitando i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente.
Linee guida di Azure: usare Criteri di Azure per controllare e limitare i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente. Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. È anche possibile usare Monitoraggio di Azure per creare regole per attivare avvisi quando viene rilevato un servizio non approvato.
Implementazione di Azure e contesto aggiuntivo:
- Configurare e gestire Criteri di Azure
- Come negare un tipo di risorsa specifico con Criteri di Azure
- Come creare query con Azure Resource Graph Explorer
Indicazioni su AWS: usare AWS Config per controllare e limitare i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente. Usare i gruppi di risorse AWS per eseguire query e individuare le risorse all'interno degli account. È anche possibile usare CloudWatch e/o AWS Config per creare regole per attivare avvisi quando viene rilevato un servizio non approvato.
Implementazione di AWS e contesto aggiuntivo:
Linee guida GCP: stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche ai provider di identità e all'accesso, ai dati sensibili, alla configurazione di rete e alla valutazione dei privilegi amministrativi. Usare Il Centro comandi di Google Cloud Security e controllare la scheda Conformità per gli asset a rischio.
Inoltre, usare la pulizia automatica dei progetti Google Cloud inutilizzati e il servizio Cloud Recommender per fornire consigli e informazioni dettagliate per l'uso delle risorse in Google Cloud. Queste raccomandazioni e informazioni dettagliate sono per prodotto o per servizio e vengono generate in base ai metodi euristici, all'apprendimento automatico e all'utilizzo corrente delle risorse.
Implementazione di GCP e contesto aggiuntivo:
- Cloud Recommender
- Pulizia automatica dei progetti Google Cloud inutilizzati.
Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):
AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Principio di sicurezza: assicurarsi che gli attributi di sicurezza o le configurazioni degli asset vengano sempre aggiornati durante il ciclo di vita dell'asset.
Linee guida di Azure: stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche ai provider di identità e all'accesso, al livello di riservatezza dei dati, alla configurazione di rete e all'assegnazione dei privilegi amministrativi.
Identificare e rimuovere le risorse di Azure quando non sono più necessarie.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche ai provider di identità e all'accesso, al livello di riservatezza dei dati, alla configurazione di rete e all'assegnazione dei privilegi amministrativi.
Identificare e rimuovere le risorse AWS quando non sono più necessarie.
Implementazione di AWS e contesto aggiuntivo:
- Come si controlla la presenza di risorse attive che non sono più necessarie nell'account AWS?
- Come si terminano le risorse attive che non sono più necessarie nell'account AWS?
Indicazioni per GCP: usare Google Cloud Identity and Access Management (IAM) per limitare l'accesso a risorse specifiche. È possibile specificare azioni di autorizzazione o negazione, nonché condizioni in cui vengono attivate le azioni. È possibile specificare una condizione o metodi combinati di autorizzazioni a livello di risorsa, criteri basati su risorse, autorizzazione basata su tag, credenziali temporanee o ruoli collegati al servizio per avere controlli di accesso granulari per le risorse.
Inoltre, è possibile usare i controlli del servizio VPC per proteggersi da azioni accidentali o mirate da entità esterne o entità insider, che consentono di ridurre al minimo i rischi di esfiltrazione di dati non corretti dai servizi Google Cloud. È possibile usare i controlli del servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi specificati in modo esplicito.
Implementazione di GCP e contesto aggiuntivo:
- Gestione delle identità e degli accessi (IAM)
- Panoramica dei controlli del servizio VPC
- Resource Manager
Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Gestione del comportamento
- Gestione della conformità alla sicurezza
AM-4: Limitare l'accesso alla gestione degli asset
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Non disponibile |
Principio di sicurezza: limitare l'accesso degli utenti alle funzionalità di gestione degli asset, per evitare modifiche accidentali o dannose degli asset nel cloud.
Indicazioni di Azure: Azure Resource Manager è il servizio di distribuzione e gestione per Azure. Fornisce un livello di gestione che consente di creare, aggiornare ed eliminare risorse (asset) in Azure. Usare l'accesso condizionale di Azure AD per limitare la capacità degli utenti di interagire con Azure Resource Manager configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure".
Usare il controllo degli accessi in base al ruolo di Azure per assegnare ruoli alle identità per controllare le autorizzazioni e l'accesso alle risorse di Azure. Ad esempio, un utente con solo il ruolo controllo degli accessi in base al ruolo di Azure "Lettore" può visualizzare tutte le risorse, ma non può apportare modifiche.
Usare Blocchi risorse per impedire eliminazioni o modifiche alle risorse. I blocchi delle risorse possono anche essere amministrati tramite Azure Blueprints.
Implementazione di Azure e contesto aggiuntivo:
- Come configurare l'accesso condizionale per bloccare l'accesso a Gestione risorse di Azure
- Bloccare le risorse per proteggere l'infrastruttura
- Proteggere le nuove risorse con i blocchi delle risorse di Azure Blueprints
Indicazioni su AWS: usare AWS IAM per limitare l'accesso a una risorsa specifica. È possibile specificare azioni consentite o negate, nonché le condizioni in cui vengono attivate le azioni. È possibile specificare una condizione o combinare metodi di autorizzazioni a livello di risorsa, criteri basati su risorse, autorizzazione basata su tag, credenziali temporanee o ruoli collegati al servizio per avere un controllo di accesso granulare per le risorse.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: usare Google Cloud VM Manager per individuare le applicazioni installate nelle istanze dei motori di calcolo. La gestione dell'inventario e della configurazione del sistema operativo può essere usata per garantire che il software non autorizzato venga eseguito nelle istanze del motore di calcolo.
È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.
Implementazione di GCP e contesto aggiuntivo:
- di Gestione macchine virtuali
- di gestione della configurazione del sistema operativo
Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):
AM-5: usare solo le applicazioni approvate nella macchina virtuale
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Principio di sicurezza: assicurarsi che solo il software autorizzato venga eseguito creando un elenco di elementi consentiti e bloccando l'esecuzione del software non autorizzato nell'ambiente.
Indicazioni su Azure: usare i controlli delle applicazioni adattivi di Microsoft Defender for Cloud per individuare e generare un elenco di elementi consentiti dell'applicazione. È anche possibile usare i controlli applicazioni adattivi del Centro sicurezza di Azure per assicurarsi che solo il software autorizzato possa essere eseguito e che tutto il software non autorizzato sia bloccato dall'esecuzione in macchine virtuali di Azure.
Usare Rilevamento modifiche e inventario di Automazione di Azure per automatizzare la raccolta di informazioni di inventario dalle macchine virtuali Windows e Linux. Le informazioni relative al nome software, alla versione, all'editore e all'ora di aggiornamento sono disponibili nel portale di Azure. Per ottenere la data di installazione del software e altre informazioni, abilitare la diagnostica a livello di guest e indirizzare i registri eventi di Windows a un'area di lavoro Log Analytics.
A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script nelle risorse di calcolo di Azure.
È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.
Implementazione di Azure e contesto aggiuntivo:
- Come usare i controlli applicazioni adattivi di Microsoft Defender for Cloud
- Comprendere Monitoraggio delle Modifiche e Inventario di Azure Automation
- Come controllare l'esecuzione di script di PowerShell negli ambienti Windows
Indicazioni su AWS: usare la funzionalità di inventario di AWS Systems Manager per individuare le applicazioni installate nelle istanze EC2. Usare le regole di configurazione di AWS per assicurarsi che il software non autorizzato sia bloccato dall'esecuzione in istanze EC2.
È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.
Implementazione di AWS e contesto aggiuntivo:
Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):