Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej aktualny up-tostandard zabezpieczeń platformy Azure jest dostępny tutaj.
Zarządzanie zasobami obejmuje mechanizmy kontroli w celu zapewnienia widoczności zabezpieczeń i nadzoru nad zasobami platformy Azure. Obejmuje to zalecenia dotyczące uprawnień personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie).
Aby wyświetlić odpowiednie wbudowane zasady usługi Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Zabezpieczenia sieciowe
AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w zagrożenia dla zasobów
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Upewnij się, że zespoły ds. bezpieczeństwa posiadają uprawnienia do roli Security Reader w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa za pomocą Azure Security Center.
W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Oznacza to, że szczegółowe informacje o zabezpieczeniach i zagrożenia muszą być zawsze agregowane centralnie w organizacji.
Uprawnienia czytelnika zabezpieczeń można stosować szeroko do całej dzierżawy (głównej grupy zarządzania) lub do grup zarządzania lub określonych subskrypcji.
Uwaga: Aby uzyskać wgląd w obciążenia i usługi, może być wymagane dodatkowe uprawnienia.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu zasobów i metadanych
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń.
Funkcja spisu usługi Azure Security Center i usługa Azure Resource Graph mogą wysyłać zapytania o wszystkie zasoby w subskrypcjach i odnajdywać je, w tym usługi platformy Azure, aplikacje i zasoby sieciowe.
Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (Nazwa, Opis i Kategoria).
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-3: Używanie tylko zatwierdzonych usług platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Użyj usługi Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można również tworzyć reguły wyzwalania alertów po wykryciu niezatwierdzonej usługi.
Jak odmówić określonego typu zasobu za pomocą usługi Azure Policy
Jak tworzyć zapytania za pomocą Eksploratora usługi Azure Resource Graph
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-4: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Samolot AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Ustanów lub zaktualizuj zasady zabezpieczeń, które dotyczą procesów zarządzania cyklem życia zasobów w przypadku modyfikacji o potencjalnie wysokim wpływie. Te modyfikacje obejmują zmiany w zakresie: dostawców tożsamości i dostępu, poufności danych, konfiguracji sieci i przypisywania uprawnień administracyjnych.
Usuń zasoby platformy Azure, gdy nie są już potrzebne.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-5: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Użyj dostępu warunkowego usługi Azure AD, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager, konfigurując pozycję "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
AM-6: Używaj tylko zatwierdzonych aplikacji w zasobach obliczeniowych
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Upewnij się, że jest wykonywane tylko autoryzowane oprogramowanie, a wszystkie nieautoryzowane oprogramowanie jest blokowane do wykonywania na maszynach wirtualnych platformy Azure.
Używanie funkcji adaptacyjnego sterowania aplikacjami usługi Azure Security Center do odnajdywania i generowania listy dozwolonych aplikacji. Możesz również użyć funkcji adaptacyjnego sterowania aplikacjami, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych oprogramowania na maszynach wirtualnych platformy Azure jest zablokowane.
Użyj usługi Azure Automation Change Tracking and Inventory, aby zautomatyzować zbieranie informacji spisu z maszyn wirtualnych z systemem Windows i Linux. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w witrynie Azure Portal. Aby uzyskać datę instalacji oprogramowania i inne informacje, włącz diagnostykę na poziomie gościa i przekierowuj dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.
W zależności od typu skryptów można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów w zasobach obliczeniowych platformy Azure przez użytkowników.
Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.
Jak używać funkcji adaptacyjnego sterowania aplikacjami usługi Azure Security Center
Zrozumienie śledzenia zmian i inwentaryzacji w usłudze Azure Automation
Jak kontrolować wykonywanie skryptów programu PowerShell w środowiskach systemu Windows
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):