Sicherheitskontrolle: Bestandsverwaltung
Asset Management umfasst Steuerungen, um die Transparenz und Governance der Sicherheit für Ihre Ressourcen sicherzustellen, einschließlich Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugriff auf den Bestand von Ressourcen und Verwaltung von Genehmigungen für Dienste und Ressourcen (Bestand, Nachverfolgung und Korrektur).
AM-1: Nachverfolgen des Ressourcenbestands und der zugehörigen Risiken
CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
---|---|---|
1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Sicherheitsprinzip: Verfolgen Sie Ihren Bestandsbestand nach, indem Sie abfragen und alle Ihre Cloudressourcen ermitteln. Organisieren Sie Ihre Ressourcen logisch, indem Sie sie basierend auf ihrem Diensttyp, ihrem Standort oder anderen Merkmalen markieren und gruppieren. Stellen Sie sicher, dass Ihre Sicherheitsorganisation auf eine fortlaufend aktualisierte Ressourcenbestandsliste zugreifen kann.
Stellen Sie sicher, dass Ihre Sicherheits-organization die Risiken für Cloudressourcen überwachen können, indem Sie stets sicherheitsrelevante Erkenntnisse und Risiken zentral aggregiert haben.
Azure-Leitfaden: Das Feature Microsoft Defender für Cloudinventur und Azure Resource Graph können alle Ressourcen in Ihren Abonnements abfragen und ermitteln, einschließlich Azure-Diensten, Anwendungen und Netzwerkressourcen. Organisieren Sie Ressourcen logisch gemäß der Taxonomie Ihres organization mithilfe von Tags und anderen Metadaten in Azure (Name, Beschreibung und Kategorie).
Stellen Sie sicher, dass Sicherheitsorganisationen auf einen fortlaufend aktualisierten Ressourcenbestand in Azure zugreifen können. Sicherheitsteams benötigen diese Bestandsaufnahme häufig, um die potenzielle Exposition ihrer organization durch neu auftretende Risiken zu bewerten und als Input für kontinuierliche Sicherheitsverbesserungen.
Stellen Sie sicher, dass Sicherheitsorganisationen die Berechtigungen der Rolle „Sicherheitsleseberechtigter“ in Ihrem Azure-Mandanten und Ihren Abonnements erhalten, damit sie mithilfe von Microsoft Defender für Cloud Sicherheitsrisiken überwachen können. Die Berechtigungen der Rolle „Sicherheitsleseberechtigter“ können weit gefasst auf einen gesamten Mandanten (Stammverwaltungsgruppe) angewandt oder auf Verwaltungsgruppen oder bestimmte Abonnements beschränkt werden.
Hinweis: Möglicherweise sind zusätzliche Berechtigungen erforderlich, um Einblick in Workloads und Dienste zu erhalten.
GCP-Leitfaden: Verwenden Sie Google Cloud Asset Inventory, um Inventardienste basierend auf einer Zeitreihendatenbank bereitzustellen. Diese Datenbank speichert einen fünfwöchigen Verlauf von GCP-Ressourcenmetadaten. Mit dem Cloud Asset Inventory Export Service können Sie alle Ressourcenmetadaten zu einem bestimmten Zeitstempel exportieren oder ereignisänderungsverlaufs innerhalb eines Zeitrahmens exportieren.
Darüber hinaus unterstützt das Google Cloud Security Command Center eine andere Benennungskonvention. Ressourcen sind Google Cloud-Ressourcen eines organization. Die IAM-Rollen für Security Command Center können auf organization-, Ordner- oder Projektebene gewährt werden. Ihre Fähigkeit zum Anzeigen, Erstellen oder Aktualisieren von Erkenntnissen, Ressourcen und Sicherheitsquellen hängt von der Ebene ab, für die Ihnen Zugriff gewährt wird.
GCP-Implementierung und zusätzlicher Kontext:
- Bestand von Cloudobjekten
- Einführung in den Bestand von Cloudressourcen
- Unterstützte Ressourcentypen im Security Command Center
Azure-Implementierung und zusätzlicher Kontext:
- Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers
- Ressourcenbestandsverwaltung in Microsoft Defender für Cloud
- Weitere Informationen zum Taggen von Ressourcen finden Sie im „Leitfaden zur Entscheidungsfindung für Ressourcenbenennung und -markierung“.
- Übersicht über die Rolle „Sicherheitsleseberechtigter“
AWS-Leitfaden: Verwenden Sie die AWS Systems Manager-Inventarfunktion, um alle Ressourcen in Ihren EC2-Instanzen abzufragen und zu ermitteln, einschließlich Details auf Anwendungsebene und Betriebssystemebene. Verwenden Sie außerdem AWS-Ressourcengruppen – Tag-Editor, um AWS-Ressourcenbestände zu durchsuchen.
Organisieren Sie Ressourcen logisch gemäß der Taxonomie Ihres organization mithilfe von Tags und anderen Metadaten in AWS (Name, Beschreibung und Kategorie).
Stellen Sie sicher, dass Sicherheitsorganisationen Zugriff auf einen kontinuierlich aktualisierten Bestand von Ressourcen in AWS haben. Sicherheitsteams benötigen diese Bestandsaufnahme häufig, um die potenzielle Exposition ihrer organization durch neu auftretende Risiken zu bewerten und als Input für kontinuierliche Sicherheitsverbesserungen.
Hinweis: Möglicherweise sind zusätzliche Berechtigungen erforderlich, um Einblick in Workloads und Dienste zu erhalten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie den Google Cloud Organization Policy Service, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Sie können auch die Cloudüberwachung in Operations Suite und/oder Organisationsrichtlinie verwenden, um Regeln zum Auslösen von Warnungen zu erstellen, wenn ein nicht genehmigter Dienst erkannt wird.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
AM-2: Ausschließliches Verwenden genehmigter Dienste
CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
---|---|---|
2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Sicherheitsprinzip: Stellen Sie sicher, dass nur genehmigte Clouddienste verwendet werden können, indem Sie überwachen und einschränken, welche Dienste Benutzer in der Umgebung bereitstellen können.
Azure-Leitfaden: Verwenden Sie Azure Policy, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Verwenden Sie Azure Resource Graph, um Ressourcen in ihren Abonnements abzufragen und zu ermitteln. Sie können auch mit Azure Monitor Regeln erstellen, mit denen Warnungen ausgelöst werden, wenn ein nicht genehmigter Dienst erkannt wird.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren und Verwalten von Azure Policy
- Ablehnen eines bestimmten Ressourcentyps mit Azure Policy
- Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers
AWS-Leitfaden: Verwenden Sie AWS Config, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Verwenden Sie AWS-Ressourcengruppen, um Ressourcen in ihren Konten abzufragen und zu ermitteln. Sie können auch CloudWatch und/oder AWS Config verwenden, um Regeln zu erstellen, um Warnungen auszulösen, wenn ein nicht genehmigter Dienst erkannt wird.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/-prozessen, die Prozesse für die Verwaltung des Ressourcenlebenszyklus für änderungen mit potenziell hohen Auswirkungen behandeln. Zu diesen Änderungen gehören Änderungen an Identitätsanbietern und Zugriff, vertraulichen Daten, Netzwerkkonfiguration und Administratorberechtigungsbewertung. Verwenden Sie das Google Cloud Security Command Center, und überprüfen Sie die Registerkarte Compliance für gefährdete Ressourcen.
Verwenden Sie außerdem die automatisierte Bereinigung nicht genutzter Google Cloud-Projekte und den Cloud Recommender-Dienst, um Empfehlungen und Erkenntnisse für die Verwendung von Ressourcen in Google Cloud bereitzustellen. Diese Empfehlungen und Erkenntnisse sind produkt- oder dienstbezogen und werden basierend auf heuristischen Methoden, maschinellem Lernen und der aktuellen Ressourcennutzung generiert.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
AM-3: Gewährleisten von Sicherheit bei der Lebenszyklusverwaltung von Ressourcen
CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
---|---|---|
1.1, 2.1 | CM-8, CM-7 | 2.4 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sicherheitsattribute oder Konfigurationen der Ressourcen während des Lebenszyklus der Ressourcen immer aktualisiert werden.
Azure-Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/-prozessen, die Prozesse für die Verwaltung des Ressourcenlebenszyklus für Änderungen mit potenziell hohen Auswirkungen behandeln. Diese Änderungen umfassen Änderungen an Identitätsanbietern und Zugriff, Datensensibilitätsebene, Netzwerkkonfiguration und Zuweisung von Administratorrechten.
Identifizieren und Entfernen von Azure-Ressourcen, wenn sie nicht mehr benötigt werden.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/-prozessen, die Prozesse für die Verwaltung des Ressourcenlebenszyklus für änderungen mit potenziell hohen Auswirkungen behandeln. Diese Änderungen umfassen Änderungen an Identitätsanbietern und Zugriff, Datensensibilitätsebene, Netzwerkkonfiguration und Zuweisung von Administratorrechten.
Identifizieren und Entfernen von AWS-Ressourcen, wenn sie nicht mehr benötigt werden.
AWS-Implementierung und zusätzlicher Kontext:
- Gewusst wie nach aktiven Ressourcen suchen, die ich in meinem AWS-Konto nicht mehr benötige?
- Gewusst wie aktive Ressourcen beenden, die ich in meinem AWS-Konto nicht mehr benötige?
GCP-Leitfaden: Verwenden Sie Google Cloud Identity and Access Management (IAM), um den Zugriff auf eine bestimmte Ressource zu beschränken. Sie können Aktionen zulassen oder verweigern sowie Bedingungen angeben, unter denen Aktionen ausgelöst werden. Sie können eine Bedingung oder kombinierte Methoden für Berechtigungen auf Ressourcenebene, ressourcenbasierte Richtlinien, tagbasierte Autorisierung, temporäre Anmeldeinformationen oder dienstverknüpfte Rollen angeben, um eine differenzierte Zugriffssteuerung für Ihre Ressourcen zu erhalten.
Darüber hinaus können Sie VPC-Dienststeuerelemente verwenden, um vor versehentlichen oder gezielten Aktionen durch externe Entitäten oder Insiderentitäten zu schützen, was dazu beiträgt, ungerechtfertigte Datenexfiltrationsrisiken aus Google Cloud-Diensten zu minimieren. Sie können VPC-Dienststeuerelemente verwenden, um Umkreise zu erstellen, die die Ressourcen und Daten von Diensten schützen, die Sie explizit angeben.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
AM-4: Beschränken des Zugriffs auf die Ressourcenverwaltung
CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
---|---|---|
3.3 | AC-3 | N/V |
Sicherheitsprinzip: Beschränken Sie den Zugriff von Benutzern auf Ressourcenverwaltungsfeatures, um versehentliche oder böswillige Änderungen der Ressourcen in Ihrer Cloud zu vermeiden.
Azure-Leitfaden: Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Er bietet eine Verwaltungsebene, die das Erstellen, Aktualisieren und Löschen von Ressourcen in Azure ermöglicht. Mithilfe des bedingten Azure AD-Zugriffs können Sie die Möglichkeiten von Benutzern zur Interaktion mit Azure Resource Manager einschränken, indem Sie „Zugriff blockieren“ für die App zur „Verwaltung von Microsoft Azure“ konfigurieren.
Verwenden Sie Azure Role-based Access Control (Azure RBAC), um Identitäten Rollen zuzuweisen, um deren Berechtigungen und den Zugriff auf Azure-Ressourcen zu steuern. Beispielsweise kann ein Benutzer mit nur der Azure RBAC-Rolle "Leser" alle Ressourcen anzeigen, darf aber keine Änderungen vornehmen.
Verwenden Sie Ressourcensperren, um entweder Löschungen oder Änderungen an Ressourcen zu verhindern. Ressourcensperren können auch über Azure Blueprints verwaltet werden.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren des bedingten Zugriffs, um den Zugriff auf Azure Resource Manager zu blockieren
- Sperren von Ressourcen zum Schutz Ihrer Infrastruktur
- Schützen neuer Ressourcen mit Azure Blueprints-Ressourcensperren
AWS-Leitfaden: Verwenden Sie AWS IAM, um den Zugriff auf eine bestimmte Ressource zu beschränken. Sie können zulässige oder Verweigern von Aktionen sowie die Bedingungen angeben, unter denen Aktionen ausgelöst werden. Sie können eine Bedingung angeben oder Methoden für Berechtigungen auf Ressourcenebene, ressourcenbasierte Richtlinien, tagbasierte Autorisierung, temporäre Anmeldeinformationen oder dienstverknüpfte Rollen kombinieren, um eine differenzierte Zugriffssteuerung für Ihre Ressourcen zu erhalten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie google Cloud VM Manager, um die anwendungen zu ermitteln, die auf Compute Engines-Instanzen installiert sind. Die Betriebssysteminventur- und Konfigurationsverwaltung kann verwendet werden, um sicherzustellen, dass die Ausführung nicht autorisierter Software auf Compute Engine-Instanzen blockiert wird.
Sie können auch eine Drittanbieterlösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
---|---|---|
2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Sicherheitsprinzip: Stellen Sie sicher, dass nur autorisierte Software ausgeführt wird, indem Sie eine Zulassungsliste erstellen und die Ausführung der nicht autorisierten Software in Ihrer Umgebung blockieren.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für adaptive Anwendungssteuerelemente für Cloud, um eine Anwendungszuzulassende Liste zu ermitteln und zu generieren. Sie können auch adaptive ASC-Anwendungssteuerelemente verwenden, um sicherzustellen, dass nur autorisierte Software ausgeführt werden kann und alle nicht autorisierte Software nicht in Azure Virtual Machines ausgeführt werden kann.
Verwenden Sie das Feature Änderungsnachverfolgung und Bestand von Azure Automation, um die Sammlung von Bestandsinformationen von Ihren Windows- und Linux-VMs zu automatisieren. Informationen zu Softwarename, Version, Herausgeber und Aktualisierungszeit sind auf der Azure-Portal verfügbar. Um das Softwareinstallationsdatum und andere Informationen abzurufen, aktivieren Sie Diagnose auf Gastebene, und leiten Sie die Windows-Ereignisprotokolle an einen Log Analytics-Arbeitsbereich weiter.
Abhängig vom Skripttyp können Sie betriebssystemspezifische Konfigurationen oder Ressourcen von Drittanbietern verwenden, um die Möglichkeit der Benutzer zur Skriptausführung in Azure-Computeressourcen einzuschränken.
Sie können auch eine Drittanbieterlösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.
Azure-Implementierung und zusätzlicher Kontext:
- Verwenden der adaptiven Anwendungssteuerungen in Microsoft Defender für Cloud
- Grundlegendes zu Azure Automation-Änderungsnachverfolgung und -Bestand
- Steuern der PowerShell-Skriptausführung in Windows-Umgebungen
AWS-Leitfaden: Verwenden Sie die AWS Systems Manager-Inventarfunktion, um die in Ihren EC2-Instanzen installierten Anwendungen zu ermitteln. Verwenden Sie AWS Config-Regeln, um sicherzustellen, dass die Ausführung nicht autorisierter Software auf EC2-Instanzen blockiert wird.
Sie können auch eine Drittanbieterlösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.
AWS-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):