Управление безопасностью: инвентаризация и управление активами

Рекомендации по управлению запасами и активами сосредоточены на решении проблем, связанных с активным управлением (инвентаризацией, отслеживанием и исправлением) всех ресурсов Azure, чтобы получать доступ только авторизованные ресурсы, а также несанкционированный и неуправляемый ресурс идентифицируются и удаляются.

6.1. Использование автоматического решения обнаружения активов

Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (таких как вычисления, хранилище, сеть, порты и протоколы и т. д.) в подписках. Убедитесь, что у вас есть соответствующие разрешения на чтение в вашем клиенте. Перечислите все подписки Azure, а также ресурсы, находящиеся в этих подписках.

Хотя классические ресурсы Azure могут быть обнаружены с помощью Resource Graph, настоятельно рекомендуется создавать и использовать ресурсы Azure Resource Manager.

• Создание запросов с помощью Azure Resource Graph

• Просмотр подписок Azure

• Общие сведения о azure RBAC

6.2. Обслуживание метаданных ресурса

Примените теги к ресурсам Azure, предоставляя метаданные для логического упорядочивания в таксономию.

• Создание и использование тегов

6.3. Удаление несанкционированных ресурсов Azure

При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочивать и отслеживать ресурсы. Сверяйте складские запасы на регулярной основе и убедитесь, что несанкционированные ресурсы удаляются из подписки своевременно.

• Создание дополнительных подписок Azure

• Создание групп управления

• Создание и использование тегов

6.4. Определение и обслуживание инвентаризации утвержденных ресурсов Azure

Создайте инвентаризацию утвержденных ресурсов Azure и утвержденного программного обеспечения для вычислительных ресурсов в соответствии с потребностями организации.

6.5. Мониторинг неутвержденных ресурсов Azure

Используйте политику Azure для ограничения типа ресурсов, которые можно создать в подписках.

Используйте Azure Resource Graph для запроса и обнаружения ресурсов в подписках. Убедитесь, что все ресурсы Azure, присутствующих в среде, утверждены.

• Настройка и управление политикой Azure

• Создание запросов с помощью Azure Graph

6.6. Мониторинг неутвержденных приложений программного обеспечения в вычислительных ресурсах

Используйте инвентаризацию виртуальных машин Azure для автоматизации сбора сведений обо всех программном обеспечении на виртуальных машинах. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и доведите журналы событий Windows в рабочую область Log Analytics.

• Включение инвентаризации виртуальных машин Azure

6.7. Удаление неутвержденных ресурсов и приложений программного обеспечения Azure

Используйте мониторинг целостности файлов Центра безопасности Azure (отслеживание изменений) и инвентаризацию виртуальных машин, чтобы определить все программное обеспечение, установленное на виртуальных машинах. Вы можете реализовать собственный процесс удаления несанкционированного программного обеспечения. Вы также можете использовать стороннее решение для идентификации неодобренного программного обеспечения.

• Использование мониторинга целостности файлов

• Общие сведения об отслеживании изменений Azure

• Включение инвентаризации виртуальных машин Azure

6.8. Использование только утвержденных приложений

Используйте адаптивные элементы управления приложениями Центра безопасности Azure, чтобы гарантировать, что на виртуальных машинах Azure не выполняется только авторизованное программное обеспечение, и все несанкционированное программное обеспечение заблокировано.

• Использование адаптивных элементов управления приложениями в Центре безопасности Azure

6.9. Использование только утвержденных служб Azure

Используйте политику Azure, чтобы ограничить, какие службы можно подготовить в вашей среде.

• Настройка и управление политикой Azure

• Как запретить определенный тип ресурса с помощью политики Azure

6.10. Вести учёт утвержденных программного обеспечения

Используйте адаптивные элементы управления приложениями Центра безопасности Azure, чтобы указать, к каким типам файлов может применяться правило.

Реализуйте стороннее решение, если это не соответствует требованию.

• Использование адаптивных элементов управления приложениями в Центре безопасности Azure

6.11. Ограничение возможностей пользователей для взаимодействия с Azure Resource Manager

Используйте условный доступ Azure, чтобы ограничить возможность взаимодействия пользователей с Azure Resources Manager, настроив "Блокировать доступ" для приложения "Управление Microsoft Azure".

• Настройка условного доступа для блокировки доступа к Azure Resources Manager

6.12. Ограничение возможностей пользователей выполнять скрипты в вычислительных ресурсах

В зависимости от типа скриптов можно использовать определенные конфигурации операционной системы или сторонние ресурсы, чтобы ограничить возможность пользователей выполнять скрипты в вычислительных ресурсах Azure. Вы также можете использовать адаптивные элементы управления приложениями Центра безопасности Azure, чтобы гарантировать, что на виртуальных машинах Azure не выполняется только авторизованное программное обеспечение, а все несанкционированное программное обеспечение заблокировано.

• Управление выполнением скриптов PowerShell в средах Windows

• Использование адаптивных элементов управления приложениями в Центре безопасности Azure

6.13. Физическое или логическое разделение приложений с высоким уровнем риска

Программное обеспечение, необходимое для бизнес-операций, но может привести к более высокому риску для организации, должно быть изолировано в пределах собственной виртуальной машины и (или) виртуальной сети и достаточно защищенной с помощью брандмауэра Azure или группы безопасности сети.

• Создание виртуальной сети

• Как создать NSG с конфигурацией безопасности

Дальнейшие шаги

• См. следующий элемент управления безопасностью: безопасная конфигурация