Compartilhar via

Controle de segurança V2: Gerenciamento de Ativos

Observação

O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.

O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança em relação aos recursos do Azure. Isso inclui recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventariar, acompanhar e corrigir).

Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Segurança de Rede

AM-1: garantir que a equipe de segurança tenha visibilidade dos riscos de ativos

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-1 1.1, 1.2 CM-8, PM-5

Certifique-se de que as equipes de segurança tenham permissões de Leitor de Segurança em seu tenant e assinaturas do Azure para que possam monitorar os riscos de segurança usando o Centro de Segurança do Azure.

Dependendo de como as responsabilidades da equipe de segurança são estruturadas, o monitoramento de riscos de segurança pode ser responsabilidade de uma equipe de segurança central ou de uma equipe local. Dito isto, os insights de segurança e os riscos devem ser sempre agregados centralmente dentro de uma organização.

As permissões de Leitor de Segurança podem ser aplicadas amplamente a um locatário inteiro (Grupo de Gerenciamento Raiz) ou com escopo para grupos de gerenciamento ou assinaturas específicas.

Observação: permissões adicionais podem ser necessárias para obter visibilidade de cargas de trabalho e serviços.

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

AM-2: Garanta que a equipe de segurança tenha acesso ao inventário de ativos e metadados

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Verifique se as equipes de segurança têm acesso a um inventário de ativos atualizado continuamente no Azure. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.

O recurso de inventário da Central de Segurança do Azure e o Azure Resource Graph podem consultar e descobrir todos os recursos em suas assinaturas, incluindo serviços, aplicativos e recursos de rede do Azure.

Organize logicamente os ativos de acordo com a taxonomia da sua organização, usando Tags e outros metadados no Azure (Nome, Descrição e Categoria).

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

AM-3: Usar apenas serviços aprovados do Azure

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-3 2.3, 2.4 CM-7, CM-8

Use o Azure Policy para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em suas assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado é detectado.

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

AM-4: garantir a segurança do gerenciamento do ciclo de vida do ativo

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Estabeleça ou atualize políticas de segurança que abordam processos de gerenciamento de ciclo de vida de ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações em: provedores de identidade e acesso, confidencialidade de dados, configuração de rede e atribuição de privilégio administrativo.

Remova os recursos do Azure quando eles não forem mais necessários.

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

AM-5: limitar a capacidade dos usuários de interagir com o Azure Resource Manager

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-5 2,9 AC-3

Use o Acesso Condicional do Azure AD para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

AM-6: usar somente aplicativos aprovados em recursos de computação

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Verifique se somente o software autorizado é executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.

Use os controles de aplicativo adaptáveis da Central de Segurança do Azure para descobrir e gerar uma lista de permissões do aplicativo. Você também pode usar os controles de aplicativo adaptáveis para garantir que apenas o software autorizado seja executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.

Use o Controle de Alterações e Inventário da Automação do Azure para automatizar a coleta de informações de inventário de suas VMs Windows e Linux. O nome do software, a versão, o editor e a hora de atualização estão disponíveis no portal do Azure. Para obter a data de instalação do software e outras informações, habilite o diagnóstico em nível de convidado e direcione os Logs de Eventos do Windows para o espaço de trabalho do Log Analytics.

Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts em recursos de computação do Azure.

Você também pode usar uma solução de terceiros para descobrir e identificar software não aprovado.

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

  • Last updated on