安全控制：庫存和資產管理

清單和資產管理建議側重於解決與主動管理 （清點、跟蹤和更正） 所有 Azure 資源相關的問題，以便僅向授權資源授予訪問許可權，並識別和刪除未經授權和未託管的資源。

6.1：使用自動化資產發現解決方案

使用 Azure Resource Graph 查詢/發現訂閱中的所有資源（例如計算、存儲、網路、埠和協定等）。 確保租戶中具有適當的 （讀取） 許可權，並枚舉所有 Azure 訂閱以及訂閱中的資源。

儘管可以通過 Resource Graph 發現經典 Azure 資源，但強烈建議以後創建和使用 Azure Resource Manager 資源。

• 如何使用 Azure Resource Graph 創建查詢

• 如何查看您的 Azure 訂閱

• 瞭解 Azure RBAC

6.2：維護資產中繼資料

將標記應用於 Azure 資源，提供元數據以邏輯方式將它們組織到分類中。

• 如何建立和使用標籤

6.3：刪除未獲授權的 Azure 資源

在適當的情況下，使用標籤、管理群組和個別訂用帳戶來組織及追蹤資產。 定期核對庫存，並確保及時從訂閱中刪除未經授權的資源。

• 如何建立其他 Azure 訂用帳戶

• 如何建立管理群組

• 如何建立和使用標籤

6.4：定義和維護已批准的 Azure 資源的清單

根據我們的組織需求，為計算資源創建已批准的 Azure 資源和已批准的軟體的清單。

6.5：監視未核准的 Azure 資源

使用 Azure Policy 對可在訂閱中創建的資源類型施加限制。

使用 Azure Resource Graph 查詢/發現其訂閱中的資源。 確保環境中存在的所有 Azure 資源都已獲得批准。

• 如何設定和管理 Azure 原則

• 如何使用 Azure Graph 創建查詢

6.6：監控計算資源中未經批准的軟體應用程式

使用 Azure 虛擬機清單自動收集有關虛擬機上所有軟體的資訊。 軟體名稱、版本、發行者和刷新時間可從 Azure 門戶獲取。 若要訪問安裝日期和其他資訊，請啟用來賓級診斷並將 Windows 事件日誌引入 Log Analytics 工作區。

• 如何啟用 Azure 虛擬機清單

6.7：刪除未經批准的 Azure 資源和軟體應用程式

使用 Azure 安全中心的檔完整性監視（更改跟蹤）和虛擬機清單來識別虛擬機上安裝的所有軟體。 您可以實施自己的流程來刪除未經授權的軟體。 您還可以使用第三方解決方案來識別未經批准的軟體。

• 如何使用檔完整性監控

• 瞭解 Azure 更改跟蹤

• 如何啟用 Azure 虛擬機清單

6.8：僅使用已批准的應用程式

使用 Azure 安全中心自適應應用程式控制來確保僅執行授權的軟體，並阻止所有未經授權的軟體在 Azure 虛擬機上執行。

• 如何使用 Azure 安全中心自適應應用程式控制

6.9：僅使用已批准的 Azure 服務

使用 Azure Policy 限制您可以在環境中預配的服務。

• 如何設定和管理 Azure 原則

• 如何使用 Azure 原則拒絕特定資源類型

6.10：維護已批准的軟體標題清單

使用 Azure 安全中心自適應應用程式控制指定規則可能適用於或不適用於哪些檔案類型。

如果第三方解決方案不滿足要求，請實施第三方解決方案。

• 如何使用 Azure 安全中心自適應應用程式控制

6.11：限制使用者與 Azure 資源管理器交互的能力

使用 Azure 條件訪問，通過為“Microsoft Azure 管理”應用配置“阻止訪問”來限制使用者與 Azure 資源管理器交互的能力。

• 如何設定條件式存取以封鎖對 Azure Resources Manager 的存取

6.12： 限制使用者在計算資源中執行腳本的能力

根據腳本的類型，您可以使用特定於作系統的配置或第三方資源來限制使用者在 Azure 計算資源中執行腳本的能力。 還可以利用 Azure 安全中心自適應應用程式控制來確保只有授權的軟體執行，並阻止所有未經授權的軟體在 Azure 虛擬機上執行。

• 如何在 Windows 環境中控制 PowerShell 腳本的執行

• 如何使用 Azure 安全中心自適應應用程式控制

6.13：物理或邏輯隔離高風險應用程式

業務運營需要但可能會給組織帶來更高風險的軟體應隔離在其自己的虛擬機和/或虛擬網路中，並使用 Azure 防火牆或網路安全組進行充分保護。

• 如何創建虛擬網路

• 如何使用安全配置創建 NSG

後續步驟

• 請參閱下一個 Security Control： 安全配置