安全控制 V2：资产管理

资产管理涵盖确保对 Azure 资源的安全可见性和治理的控制。 这包括有关安全人员权限、对资产清单的安全访问以及管理服务和资源的审批（清单、跟踪和更正）的建议。

若要查看适用的内置 Azure Policy，请参阅 Azure 安全基准法规符合性内置方案的详细信息：网络安全

AM-1：确保安全团队可以了解与资产相关的风险

确保安全团队在 Azure 租户和订阅中被授予安全读取者权限，以便他们可以使用 Azure 安全中心监视安全风险。

根据安全团队责任划分方式的不同，监视安全风险可能是中心安全团队或本地团队的责任。 也就是说，安全见解和风险必须始终在组织内集中聚合。

安全读取者权限可以广泛应用于整个租户（根管理组），也可以限制到管理组或特定订阅。

注意：可能需要其他权限才能了解工作负荷和服务。

• 安全读取者角色概述

• Azure 管理组概述

责任：客户

客户安全利益干系人 （了解详细信息）：

• 基础结构和终结点安全性

• 安全合规性管理

AM-2：确保安全团队有权访问资产清单和元数据

确保安全团队有权访问 Azure 上持续更新的资产清单。 安全团队通常需要此清单来评估组织可能面临新兴风险的风险，并作为持续安全改进的投入。

Azure 安全中心清单功能和 Azure Resource Graph 可以查询和发现订阅中的所有资源，包括 Azure 服务、应用程序和网络资源。

根据组织的分类，使用标记以及 Azure 中的其他元数据（名称、说明和类别）以逻辑方式组织资产。

• 如何使用 Azure Resource Graph 资源管理器创建查询

• Azure 安全中心资产库存管理

• 有关标记资产的详细信息，请参阅资源命名和标记决策指南

责任：客户

客户安全利益干系人 （了解详细信息）：

• 基础结构和终结点安全性

• 安全合规性管理

AM-3：仅使用已批准的 Azure 服务

使用 Azure Policy 审核和限制用户可以在环境中预配的服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则，以便在检测到未经批准的服务时触发警报。

• 配置和管理 Azure Policy

• 如何使用 Azure Policy 拒绝特定资源类型

• 如何使用 Azure Resource Graph 资源管理器创建查询

责任：客户

客户安全利益干系人 （了解详细信息）：

• 安全合规性管理

• 姿势管理

AM-4：确保资产生命周期管理的安全

建立或更新安全策略，以解决资产生命周期管理过程，以便进行潜在的高影响修改。 这些修改包括对标识提供者和访问权限、数据敏感度、网络配置和管理特权分配的更改。

不再需要 Azure 资源时，请将其删除。

• 删除 Azure 资源组和资源

责任：客户

客户安全利益干系人 （了解详细信息）：

• 基础结构和终结点安全性

• 姿势管理

• 安全合规性管理

AM-5：限制用户与 Azure 资源管理器进行交互的能力

使用 Azure AD 条件访问通过为“Microsoft Azure 管理”应用配置“阻止访问”来限制用户与 Azure 资源管理器交互的能力。

• 如何配置条件访问以阻止对 Azure 资源管理器的访问

责任：客户

客户安全利益干系人 （了解详细信息）：

• 姿势管理

• 基础结构和终结点安全性

AM-6：仅在计算资源中使用已批准的应用程序

确保仅执行授权的软件，并阻止所有未经授权的软件在 Azure 虚拟机上执行。

使用 Azure 安全中心的自适应应用程序控制来发现和生成应用程序允许列表。 还可以使用自适应应用程序控制来确保仅执行授权的软件，并且阻止所有未经授权的软件在 Azure 虚拟机上执行。

使用 Azure 自动化更改跟踪和清单自动收集 Windows 和 Linux VM 中的清单信息。 可以从 Azure 门户获取软件名称、版本、发布者和刷新时间。 若要获取软件安装日期和其他信息，请启用来宾级诊断并将 Windows 事件日志定向到 Log Analytics 工作区。

根据脚本的类型，可以使用特定于作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。

还可以使用第三方解决方案来发现和识别未经批准的软件。

• 如何使用 Azure 安全中心自适应应用程序控制

• 了解 Azure 自动化更改跟踪和清单

• 如何在 Windows 环境中控制 PowerShell 脚本执行

责任：客户

客户安全利益干系人 （了解详细信息）：

• 基础结构和终结点安全性

• 姿势管理

• 安全合规性管理