Partilhar via

Controlo de Segurança V2: Gestão de Ativos

Observação

O Benchmark de Segurança do Azure mais up-toestá disponível aqui.

O Gerenciamento de Ativos abrange controles para garantir a segurança, visibilidade e governança sobre os recursos do Azure. Isso inclui recomendações sobre permissões para o pessoal de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, rastreamento e correção).

Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Segurança de Rede

AM-1: Garantir que a equipe de segurança tenha visibilidade dos riscos dos ativos

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
AM-1 1.1, 1.2 CM-8, PM-5

Certifique-se de que as equipas de segurança recebem permissões de Leitor de Segurança no seu locatário e subscrições do Azure para que possam monitorizar riscos de segurança utilizando Centro de Segurança do Azure.

Dependendo de como as responsabilidades da equipe de segurança são estruturadas, o monitoramento de riscos de segurança pode ser responsabilidade de uma equipe de segurança central ou de uma equipe local. Dito isto, os insights e riscos de segurança devem ser sempre agregados centralmente dentro de uma organização.

As permissões do Leitor de Segurança podem ser aplicadas amplamente a um locatário inteiro (Grupo de Gerenciamento Raiz) ou com escopo para grupos de gerenciamento ou assinaturas específicas.

Nota: Permissões adicionais podem ser necessárias para obter visibilidade sobre cargas de trabalho e serviços.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

AM-2: Garanta que a equipe de segurança tenha acesso ao inventário de ativos e metadados

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
AM-2 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 CM-8, PM-5

Certifique-se de que as equipes de segurança tenham acesso a um inventário continuamente atualizado de ativos no Azure. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.

O recurso de inventário da Central de Segurança do Azure e o Gráfico de Recursos do Azure podem consultar e descobrir todos os recursos em suas assinaturas, incluindo serviços, aplicativos e recursos de rede do Azure.

Organize logicamente os ativos de acordo com a taxonomia da sua organização usando Tags, bem como outros metadados no Azure (Nome, Descrição e Categoria).

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

AM-3: Usar apenas serviços aprovados do Azure

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
AM-3 2.3, 2.4 CM-7, CM-8

Use a Política do Azure para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em suas assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado é detetado.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

AM-4: Garanta a segurança do gerenciamento do ciclo de vida dos ativos

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
AM-4 2.3, 2.4, 2.5 CM-7, CM-8, CM-10, CM-11

Estabeleça ou atualize políticas de segurança que abordem os processos de gerenciamento do ciclo de vida dos ativos para modificações potencialmente de alto impacto. Essas modificações incluem alterações em: provedores de identidade e acesso, sensibilidade de dados, configuração de rede e atribuição de privilégios administrativos.

Remova os recursos do Azure quando eles não forem mais necessários.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

AM-5: Limitar a capacidade dos usuários de interagir com o Azure Resource Manager

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
AM-5 2.9 AC-3

Use o Acesso Condicional do Azure AD para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

AM-6: Use apenas aplicativos aprovados em recursos de computação

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
AM-6 2.6, 2.7 AC-3, CM-7, CM-8, CM-10, CM-11

Certifique-se de que apenas o software autorizado é executado e que todo o software não autorizado está impedido de ser executado nas Máquinas Virtuais do Azure.

Use os controles de aplicativo adaptáveis da Central de Segurança do Azure para descobrir e gerar uma lista de permissões de aplicativos. Você também pode usar os controles de aplicativo adaptáveis para garantir que apenas software autorizado seja executado e que todo o software não autorizado seja impedido de ser executado nas Máquinas Virtuais do Azure.

Use o Azure Automation Change Tracking and Inventory para automatizar a coleta de informações de inventário de suas VMs Windows e Linux. O nome do software, a versão, o editor e o tempo de atualização estão disponíveis no portal do Azure. Para obter a data de instalação do software e outras informações, ative os diagnósticos a nível de convidado e direcione os Logs de Eventos do Windows para a área de trabalho do Log Analytics.

Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos de terceiros para limitar a capacidade dos usuários de executar scripts nos recursos de computação do Azure.

Você também pode usar uma solução de terceiros para descobrir e identificar software não aprovado.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

  • Last updated on