Контроль безопасности версия 3: Управление активами

Управление активами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами Azure, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление).

AM-1: Отслеживание инвентаризации ресурсов и их рисков

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Принцип безопасности: Отслеживайте инвентаризацию активов по запросу и обнаруживайте все облачные ресурсы. Логически упорядочьте ваши ресурсы путем тегирования и группировки на основе характера обслуживания, расположения или других характеристик. Убедитесь, что ваша организация безопасности имеет доступ к постоянно обновляемой инвентаризации активов.

Убедитесь, что ваша организация безопасности может отслеживать риски облачных активов, всегда имея аналитические сведения и риски, агрегированные централизованно

Руководство по Azure: Функция инвентаризации Microsoft Defender для облака и Azure Resource Graph может запрашивать и обнаруживать все ресурсы в подписках, включая службы Azure, приложения и сетевые ресурсы. Логически упорядочивайте ресурсы в соответствии с таксономией вашей организации с помощью тегов, а также других метаданных в Azure (имя, описание и категория).

Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этом инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.

Убедитесь, что организациям безопасности предоставлены разрешения читателя безопасности в клиенте и подписках Azure, чтобы они могли отслеживать риски безопасности с помощью «Microsoft Defender for Cloud». Разрешения "Security Reader" можно применять ко всему клиенту (корневой группе управления) или настраивать их для групп управления или конкретных подписок.

Примечание. Для получения видимости рабочих нагрузок и служб может потребоваться дополнительное разрешение.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-2. Использование только утвержденных служб

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Принцип безопасности: Убедитесь, что можно использовать только утвержденные облачные службы, проверяя и ограничивая, какие службы пользователи могут подготавливать в среде.

Руководство по Azure: Используйте политику Azure для проверки и ограничения того, какие услуги пользователи могут развертывать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в подписках. Вы также можете использовать Azure Monitor для создания правил для активации оповещений при обнаружении не утвержденной службы.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-3: обеспечение безопасности управления жизненным циклом

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Принцип безопасности: Убедитесь, что атрибуты безопасности или конфигурации ресурсов всегда обновляются во время жизненного цикла активов.

Руководство по Azure: Установите или обновите политики и процессы безопасности, которые охватывают управление жизненным циклом активов при изменениях, которые могут значительно повлиять на результат. Эти изменения включают изменения поставщиков удостоверений и доступа, конфиденциальности данных, конфигурации сети и назначения прав администратора.

Удалите ресурсы Azure, если они больше не нужны.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-4: ограничение доступа к управлению ресурсами

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
3,3 AC-3 Не применимо

Принцип безопасности: Ограничить доступ пользователей к функциям управления активами, чтобы избежать случайного или вредоносного изменения ресурсов в облаке.

Руководство по Azure: Azure Resource Manager — это служба развертывания и управления для Azure. Он предоставляет уровень управления, позволяющий создавать, обновлять и удалять ресурсы (ресурсы) в Azure. Используйте условный доступ Azure AD, чтобы ограничить возможность взаимодействия пользователей с Azure Resource Manager, настроив "Блокировать доступ" для приложения "Управление Microsoft Azure".

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

AM-5. Использование только утвержденных приложений в виртуальной машине

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Принцип безопасности: Убедитесь, что только авторизованное программное обеспечение выполняется путем создания списка разрешений и блокирования несанкционированного программного обеспечения от выполнения в вашей среде.

Руководство по Azure: Используйте элементы управления адаптивными приложениями в Microsoft Defender для облака для обнаружения и создания списка разрешений приложения. Вы также можете использовать адаптивные элементы управления приложениями ASC, чтобы обеспечить выполнение только авторизованного программного обеспечения, и все несанкционированное программное обеспечение заблокировано выполнять на виртуальных машинах Azure.

Отслеживание изменений и инвентаризация службы автоматизации Azure позволяет автоматизировать сбор данных инвентаризации из виртуальных машин Windows и Linux. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и перенаправите журналы событий Windows в рабочую область Log Analytics.

В зависимости от типа скриптов можно использовать конфигурации для конкретной операционной системы или сторонние ресурсы, чтобы ограничить возможность пользователей выполнять скрипты в вычислительных ресурсах Azure.

Вы также можете использовать стороннее решение для обнаружения и идентификации неутвержденного программного обеспечения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):