Beveiligingsbeheer: Inventaris en Asset Management
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Aanbevelingen voor inventaris en Asset Management richten zich op het oplossen van problemen met betrekking tot het actief beheren (inventaris, bijhouden en corrigeren) van alle Azure-resources, zodat alleen geautoriseerde resources toegang krijgen en niet-geautoriseerde en onbeheerde resources worden geïdentificeerd en verwijderd.
6.1: Geautomatiseerde assetdetectieoplossing gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Klant |
Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnement(en). Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources binnen uw abonnementen.
Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt het ten zeerste aanbevolen om azure Resource Manager resources te maken en te gebruiken.
6.2: Metagegevens van assets onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6,2 | 1.5 | Klant |
Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.
6.3: Niet-geautoriseerde Azure-resources verwijderen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.3 | 1.6 | Klant |
Gebruik waar nodig taggen, beheergroepen en afzonderlijke abonnementen om assets te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.
6.4: Een inventaris van goedgekeurde Azure-resources definiëren en onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.4 | 2.1 | Klant |
Maak een inventaris van goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de behoeften van onze organisatie.
6.5: Controleren op niet-goedgekeurde Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.5 | 2.3, 2.4 | Klant |
Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat in uw abonnement(en) kan worden gemaakt.
Gebruik Azure Resource Graph om resources in hun abonnement(en) op te vragen/te detecteren. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd.
6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.6 | 2.3, 2.4 | Klant |
Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over alle software op Virtual Machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot de installatiedatum en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.
6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.7 | 2,5 | Klant |
Gebruik Azure Security Center bestandsintegriteitsbewaking (Wijzigingen bijhouden) en inventaris van virtuele machines om alle software te identificeren die op Virtual Machines is geïnstalleerd. U kunt uw eigen proces implementeren voor het verwijderen van niet-geautoriseerde software. U kunt ook een oplossing van derden gebruiken om niet-goedgekeurde software te identificeren.
6.8: Alleen goedgekeurde toepassingen gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.8 | 2,6 | Klant |
Gebruik Azure Security Center Adaptieve toepassingsbesturingselementen om ervoor te zorgen dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd in Azure Virtual Machines.
6.9: Alleen goedgekeurde Azure-services gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.9 | 2,6 | Klant |
Gebruik Azure Policy om te beperken welke services u in uw omgeving kunt inrichten.
6.10: Onderhoud een inventaris van goedgekeurde softwaretitels
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.10 | 2.7 | Klant |
Gebruik Azure Security Center Adaptieve toepassingsbesturingselementen om op te geven op welke bestandstypen een regel al dan niet van toepassing is.
Implementeer een oplossing van derden als dit niet voldoet aan de vereiste.
6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.11 | 2.9 | Klant |
Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resources Manager te beperken door 'Toegang blokkeren' te configureren voor de App Microsoft Azure Management.
6.12: De mogelijkheid van gebruikers beperken om scripts uit te voeren binnen rekenresources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.12 | 2.9 | Klant |
Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren in Azure-rekenresources te beperken. U kunt ook gebruikmaken van Azure Security Center Adaptieve toepassingsbesturingselementen om ervoor te zorgen dat alleen geautoriseerde software wordt uitgevoerd en dat alle niet-geautoriseerde software niet kan worden uitgevoerd in Azure Virtual Machines.
6.13: Toepassingen met een hoog risico fysiek of logisch scheiden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 6.13 | 2.9 | Klant |
Software die vereist is voor bedrijfsactiviteiten, maar kan leiden tot een hoger risico voor de organisatie, moet worden geïsoleerd binnen een eigen virtuele machine en/of virtueel netwerk en voldoende beveiligd met een Azure Firewall of netwerkbeveiligingsgroep.
Volgende stappen
- Zie het volgende beveiligingsbeheer: beveiligde configuratie