Freigeben über

Sicherheitskontrolle V2: Asset Management

Hinweis

Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.

Das Asset-Management umfasst Steuerungen zur Sicherstellung der Sicherheitssichtbarkeit und Governance über Azure-Ressourcen. Dies umfasst Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugriff auf Bestandsbestand und Verwalten von Genehmigungen für Dienste und Ressourcen (Bestand, Nachverfolgen und Korrigieren).

Informationen zur anwendbaren integrierten Azure-Richtlinie finden Sie unter Details der integrierten Azure Security Benchmark Regulatory Compliance-Initiative: Netzwerksicherheit

AM-1: Sicherstellen, dass das Sicherheitsteam Einblicke in Risiken für Ressourcen hat

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
AM-1 1.1, 1.2 CM-8, PM-5

Stellen Sie sicher, dass Sicherheitsteams Sicherheitsleserberechtigungen in Ihrem Azure-Mandanten und -Abonnements erhalten, damit sie sicherheitsrisiken mithilfe von Azure Security Center überwachen können.

Je nachdem, wie die Verantwortlichkeiten des Sicherheitsteams strukturiert sind, kann die Überwachung auf Sicherheitsrisiken die Verantwortung eines zentralen Sicherheitsteams oder eines lokalen Teams sein. Das heißt, Sicherheitserkenntnisse und Risiken müssen immer zentral in einer Organisation aggregiert werden.

Berechtigungen für den Sicherheitsleser können allgemein auf einen gesamten Mandanten (Stammverwaltungsgruppe) oder auf Verwaltungsgruppen oder bestimmte Abonnements angewendet werden.

Hinweis: Möglicherweise sind zusätzliche Berechtigungen erforderlich, um Einblicke in Workloads und Dienste zu erhalten.

Verantwortung: Kunde

Kundensicherheitsbeteiligte (Weitere Informationen):

AM-2: Sicherstellen, dass das Sicherheitsteam Zugriff auf Bestandsbestand und Metadaten hat

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Stellen Sie sicher, dass Sicherheitsteams Zugriff auf einen kontinuierlich aktualisierten Bestand von Ressourcen in Azure haben. Sicherheitsteams benötigen dieses Inventar häufig, um das potenzielle Risiko ihrer Organisation gegenüber neuen Risiken zu bewerten, und als Eingabe für kontinuierliche Sicherheitsverbesserungen.

Das Azure Security Center-Bestandsfeature und Azure Resource Graph können alle Ressourcen in Ihren Abonnements abfragen und ermitteln, einschließlich Azure-Dienste, Anwendungen und Netzwerkressourcen.

Ordnen Sie Ressourcen logisch gemäß der Taxonomie Ihrer Organisation mithilfe von Tags und anderen Metadaten in Azure (Name, Beschreibung und Kategorie) an.

Verantwortung: Kunde

Kundensicherheitsbeteiligte (Weitere Informationen):

AM-3: Nur genehmigte Azure-Dienste verwenden

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
AM-3 2.3, 2.4 CM-7, CM-8

Verwenden Sie Azure-Richtlinie, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Verwenden Sie Azure Resource Graph, um Ressourcen in ihren Abonnements abzufragen und zu ermitteln. Sie können azure Monitor auch verwenden, um Regeln zu erstellen, um Warnungen auszulösen, wenn ein nicht genehmigter Dienst erkannt wird.

Verantwortung: Kunde

Kundensicherheitsbeteiligte (Weitere Informationen):

AM-4: Sicherstellen der Sicherheit der Verwaltung des Ressourcenlebenszyklus

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Einrichten oder Aktualisieren von Sicherheitsrichtlinien, die Managementprozesse des Lebenszyklus von Vermögenswerten für potenziell hochwirksame Änderungen adressieren. Zu diesen Änderungen gehören Änderungen an: Identitätsanbieter und Zugriff, Datenempfindlichkeit, Netzwerkkonfiguration und Administratorrechtezuweisung.

Entfernen Sie Azure-Ressourcen, wenn sie nicht mehr benötigt werden.

Verantwortung: Kunde

Kundensicherheitsbeteiligte (Weitere Informationen):

AM-5: Einschränken der Fähigkeit der Benutzer zur Interaktion mit Azure Resource Manager

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
AM-5 2,9 Wechselstrom-3

Verwenden Sie den bedingten Azure AD-Zugriff, um die Interaktion von Benutzern mit Azure Resource Manager zu beschränken, indem Sie "Zugriff blockieren" für die "Microsoft Azure Management"-App konfigurieren.

Verantwortung: Kunde

Kundensicherheitsbeteiligte (Weitere Informationen):

AM-6: Nur genehmigte Anwendungen in Computeressourcen verwenden

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Stellen Sie sicher, dass nur autorisierte Software ausgeführt wird und alle nicht autorisierten Software auf virtuellen Azure-Computern nicht ausgeführt wird.

Verwenden Sie die adaptiven Anwendungssteuerelemente von Azure Security Center, um eine Zulassungsliste für Anwendungen zu ermitteln und zu generieren. Sie können auch die adaptiven Anwendungssteuerelemente verwenden, um sicherzustellen, dass nur autorisierte Software ausgeführt wird und alle nicht autorisierten Software auf virtuellen Azure-Computern nicht ausgeführt wird.

Verwenden Sie azure Automation Change Tracking und Inventory, um die Sammlung von Bestandsinformationen von Ihren Windows- und Linux-VMs zu automatisieren. Softwarename, Version, Herausgeber und Aktualisierungszeit sind über das Azure-Portal verfügbar. Um das Datum der Softwareinstallation und andere Informationen zu erhalten, aktivieren Sie die Diagnose auf Gastebene, und leiten Sie die Windows-Ereignisprotokolle in den Log Analytics-Arbeitsbereich.

Je nach Typ von Skripts können Sie betriebssystemspezifische Konfigurationen oder Ressourcen von Drittanbietern verwenden, um die Fähigkeit der Benutzer zum Ausführen von Skripts in Azure-Computeressourcen einzuschränken.

Sie können auch eine Drittanbieterlösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.

Verantwortung: Kunde

Kundensicherheitsbeteiligte (Weitere Informationen):

  • Last updated on