Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление ресурсами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление).
AM-1: Отслеживание инвентаризации ресурсов и их рисков
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Принцип безопасности. Отслеживание инвентаризации активов по запросу и обнаружение всех облачных ресурсов. Логически упорядочьте ваши ресурсы путем тегирования и группировки на основе характера обслуживания, расположения или других характеристик. Убедитесь, что ваша организация безопасности имеет доступ к постоянно обновляемой инвентаризации активов.
Убедитесь, что ваша организация безопасности может отслеживать риски для облачных ресурсов, всегда имея аналитические сведения и риски, агрегированные централизованно.
Руководство по Azure. Функция инвентаризации Microsoft Defender для облака и Azure Resource Graph могут запрашивать и обнаруживать все ресурсы в подписках, включая службы Azure, приложения и сетевые ресурсы. Логически упорядочивайте ресурсы в соответствии с таксономией вашей организации с помощью тегов, а также других метаданных в Azure (имя, описание и категория).
Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этом инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.
Убедитесь, что организациям безопасности предоставлены разрешения читателя безопасности в клиенте и подписках Azure, чтобы они могли отслеживать риски безопасности с помощью «Microsoft Defender for Cloud». Разрешения "Security Reader" можно применять ко всему клиенту (корневой группе управления) или настраивать их для групп управления или конкретных подписок.
Примечание. Для получения видимости рабочих нагрузок и служб может потребоваться дополнительное разрешение.
Руководство по GCP: Используйте Google Cloud Asset Inventory для предоставления сервисов инвентаризации на базе базы данных временных рядов. Эта база данных сохраняет пятинедельную историю метаданных ресурса GCP. Служба экспорта инвентаризации облачных активов позволяет экспортировать все метаданные активов в определенный период времени или экспортировать журнал изменений событий.
Кроме того, Центр управления Google Cloud Security поддерживает другое соглашение об именовании. Активы — это ресурсы Google Cloud организации. Роли IAM для Центра управления безопасностью можно предоставить на уровне организации, папки или проекта. Возможность просматривать, создавать или обновлять результаты, ресурсы и источники безопасности зависит от уровня предоставления доступа.
Реализация GCP и дополнительный контекст:
- Инвентаризация облачных активов
- Общие сведения о инвентаризации облачных активов
- Поддерживаемые типы ресурсов в Центре управления безопасностью
Реализация Azure и дополнительный контекст:
- Создание запросов с помощью обозревателя Azure Resource Graph
- Управление инвентаризацией активов в Microsoft Defender для облака
- Дополнительные сведения о тегах ресурсов см. в руководстве по именованию ресурсов и добавлению тегов
- Обзор роли Security Reader
Руководство по AWS. Используйте функцию инвентаризации AWS Systems Manager для запроса и обнаружения всех ресурсов в экземплярах EC2, включая сведения об уровне приложения и уровне операционной системы. Кроме того, используйте группы ресурсов AWS — редактор тегов для просмотра запасов ресурсов AWS.
Логически упорядочивайте ресурсы в соответствии с таксономией вашей организации с помощью тегов, а также других метаданных в AWS (имя, описание и категория).
Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации активов в AWS. Группы безопасности часто нуждаются в этом инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.
Примечание. Для получения видимости рабочих нагрузок и служб может потребоваться дополнительное разрешение.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Используйте службу политики Google Cloud Organization для аудита и ограничения того, какие службы пользователи могут подготавливать в вашей среде. Вы также можете использовать облачный мониторинг в Operations Suite и /или политике организации для создания правил для активации оповещений при обнаружении не утвержденной службы.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
AM-2. Использование только утвержденных служб
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Принцип безопасности. Убедитесь, что можно использовать только утвержденные облачные службы, проверяя и ограничивая, какие службы пользователи могут подготавливать в среде.
Руководство по Azure: Используйте политику Azure для аудита и ограничения служб, которые пользователи могут развертывать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в подписках. Вы также можете использовать Azure Monitor для создания правил для активации оповещений при обнаружении не утвержденной службы.
Реализация Azure и дополнительный контекст:
- Настройка политики Azure и управление ими
- Как запретить определенный тип ресурса с помощью политики Azure
- Создание запросов с помощью обозревателя Azure Resource Graph
Руководство по AWS. Используйте AWS Config для аудита и ограничения того, какие службы пользователи могут подготавливать в вашей среде. Используйте группы ресурсов AWS для запроса и обнаружения ресурсов в своих учетных записях. Вы также можете использовать CloudWatch и (или) AWS Config для создания правил для активации оповещений при обнаружении не утвержденной службы.
Реализация AWS и дополнительный контекст:
Руководство по GCP: Установление или обновление политик безопасности/процессов, которые охватывают управление жизненным циклом активов при потенциально значительных изменениях. Эти изменения включают изменения поставщиков удостоверений и доступа, конфиденциальных данных, конфигурации сети и оценки прав администратора. Используйте Центр командной строки Google Cloud Security и проверьте вкладку соответствия требованиям для активов, подверженных риску.
Кроме того, используйте автоматическую очистку неиспользуемых проектов Google Cloud и службу "Облачная рекомендация" для предоставления рекомендаций и аналитических сведений об использовании ресурсов в Google Cloud. Эти рекомендации и аналитические сведения предназначены для каждого продукта или службы и создаются на основе эвристических методов, машинного обучения и текущего использования ресурсов.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
AM-3: обеспечение безопасности управления жизненным циклом
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Принцип безопасности. Убедитесь, что атрибуты безопасности или конфигурации ресурсов всегда обновляются во время жизненного цикла активов.
Руководство по Azure: Установите или обновите политику/процесс безопасности, который описывает управление жизненным циклом активов для потенциально значительных изменений. Эти изменения включают изменения поставщиков удостоверений и доступа, уровня конфиденциальности данных, конфигурации сети и назначения прав администратора.
Определите и удалите ресурсы Azure, когда они больше не нужны.
Реализация Azure и дополнительный контекст:
Руководство по AWS: Установка или обновление политик безопасности или процессов, касающихся управления жизненным циклом активов для потенциально значительных изменений. Эти изменения включают изменения поставщиков удостоверений и доступа, уровня конфиденциальности данных, конфигурации сети и назначения прав администратора.
Определите и удалите ресурсы AWS, когда они больше не нужны.
Реализация AWS и дополнительный контекст:
- Как проверить наличие активных ресурсов, которые больше не требуются для учетной записи AWS?
- Как завершить активные ресурсы, которые больше не нужны для учетной записи AWS?
Руководство по GCP. Использование Google Cloud Identity and Access Management (IAM) позволяет ограничить доступ к конкретному ресурсу. Вы можете указать действия с разрешением или запретом, а также условия, в которых активируются действия. Вы можете указать одно условие или объединенные методы разрешений на уровне ресурсов, политики на основе ресурсов, авторизацию на основе тегов, временные учетные данные или связанные с службой роли, чтобы обеспечить точное управление доступом для ваших ресурсов.
Кроме того, вы можете использовать Контроль сервисов VPC для защиты от случайных или целенаправленных действий внешних или внутренних сотрудников, что помогает свести к минимуму необоснованные риски утечки данных из сервисов Google Cloud. Элементы управления службами VPC можно использовать для создания периметров, которые защищают ресурсы и данные служб, которые вы явно указали.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность инфраструктуры и конечной точки
- Управление осанкой
- Управление соответствием требованиям безопасности
AM-4: ограничение доступа к управлению ресурсами
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3,3 | АС-3 | Не применимо |
Принцип безопасности. Ограничение доступа пользователей к функциям управления активами, чтобы избежать случайного или вредоносного изменения ресурсов в облаке.
Руководство по Azure. Azure Resource Manager — это служба развертывания и управления для Azure. Он предоставляет уровень управления, позволяющий создавать, обновлять и удалять ресурсы (ресурсы) в Azure. Используйте условный доступ Azure AD, чтобы ограничить возможность взаимодействия пользователей с Azure Resource Manager, настроив "Блокировать доступ" для приложения "Управление Microsoft Azure".
Используйте ролевое управление доступом Azure (Azure RBAC) для назначения ролей удостоверениям, чтобы контролировать их разрешения и доступ к ресурсам Azure. Например, пользователь с ролью "Читатель" Azure RBAC может просматривать все ресурсы, но ему не разрешено вносить изменения.
Используйте блокировки ресурсов, чтобы предотвратить удаление или изменение ресурсов. Блокировки ресурсов также могут администрироваться с помощью azure Blueprints.
Реализация Azure и дополнительный контекст:
- Настройка условного доступа для блокировки доступа к Azure Resources Manager
- Блокировка ресурсов для защиты инфраструктуры
- Защита новых ресурсов с помощью блокировок ресурсов Azure Blueprints
Руководство по AWS. Использование AWS IAM для ограничения доступа к конкретному ресурсу. Можно указать разрешенные или запрещенные действия, а также условия, в которых активируются действия. Вы можете указать одно условие или объединить методы разрешений на уровне ресурсов, политик на основе ресурсов, авторизации на основе тегов, временных учетных данных или связанных с службой ролей, чтобы обеспечить точное управление доступом для ваших ресурсов.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Используйте Google Cloud VM Manager для обнаружения приложений, установленных в экземплярах вычислительных подсистем. Управление инвентаризацией и конфигурацией ОС можно использовать, чтобы неавторизированное программное обеспечение не выполнялось в экземплярах вычислительного ядра.
Вы также можете использовать стороннее решение для обнаружения и идентификации неутвержденного программного обеспечения.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
AM-5. Использование только утвержденных приложений в виртуальной машине
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Принцип безопасности. Убедитесь, что только авторизованное программное обеспечение выполняется путем создания списка разрешений и блокирования несанкционированного программного обеспечения от выполнения в вашей среде.
Руководство по Azure. Использование элементов управления адаптивными приложениями в Microsoft Defender для облака для обнаружения и создания списка разрешений приложения. Вы также можете использовать адаптивные элементы управления приложениями ASC, чтобы обеспечить выполнение только авторизованного программного обеспечения, и все несанкционированное программное обеспечение заблокировано выполнять на виртуальных машинах Azure.
Отслеживание изменений и инвентаризация службы автоматизации Azure позволяет автоматизировать сбор данных инвентаризации из виртуальных машин Windows и Linux. Сведения о названии программного обеспечения, версии, издателе и времени обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и перенаправите журналы событий Windows в рабочую область Log Analytics.
В зависимости от типа скриптов можно использовать конфигурации для конкретной операционной системы или сторонние ресурсы, чтобы ограничить возможность пользователей выполнять скрипты в вычислительных ресурсах Azure.
Вы также можете использовать стороннее решение для обнаружения и идентификации неутвержденного программного обеспечения.
Реализация Azure и дополнительный контекст:
- Как использовать адаптивные элементы управления приложениями в Microsoft Defender для облака
- Общие сведения об отслеживании изменений и инвентаризации в Azure Automation
- Управление выполнением скрипта PowerShell в средах Windows
Руководство по AWS. Используйте функцию инвентаризации AWS Systems Manager для обнаружения приложений, установленных в экземплярах EC2. Используйте правила AWS Config, чтобы убедиться, что неавторизированное программное обеспечение заблокировано выполнять в экземплярах EC2.
Вы также можете использовать стороннее решение для обнаружения и идентификации неутвержденного программного обеспечения.
Реализация AWS и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):