Kontrola zabezpieczeń: spis i zarządzanie zasobami

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Zalecenia dotyczące spisu i zarządzania zasobami koncentrują się na rozwiązywaniu problemów związanych z aktywnym zarządzaniem (spisem, śledzeniem i poprawianie) wszystkich zasobów platformy Azure, dzięki czemu tylko autoryzowane zasoby mają dostęp, a zasoby nieautoryzowane i niezarządzane są identyfikowane i usuwane.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.1	1.1, 1.2, 1.3, 1.4, 9.1, 12.1	Klient

Użyj usługi Azure Resource Graph, aby wykonywać zapytania o wszystkie zasoby (takie jak obliczenia, magazyn, sieć, porty i protokoły itp.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

• Jak tworzyć zapytania za pomocą usługi Azure Resource Graph

• Jak wyświetlić subskrypcje platformy Azure

• Omówienie kontroli dostępu opartej na rolach platformy Azure

6.2: Obsługa metadanych elementów zawartości

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6,2	1.5	Klient

Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

• Jak tworzyć tagi i używać ich

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.3	1.6	Klient

Używaj tagowania, grup zarządzania i oddzielnych subskrypcji, jeśli jest to odpowiednie, do organizowania i śledzenia zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

• Jak utworzyć dodatkowe subskrypcje platformy Azure

• Jak utworzyć grupy zarządzania

• Jak tworzyć tagi i używać ich

6.4: Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.4	2.1	Klient

Utwórz spis zatwierdzonych zasobów platformy Azure i zatwierdzone oprogramowanie dla zasobów obliczeniowych zgodnie z potrzebami organizacji.

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.5	2.3, 2.4	Klient

Użyj Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach.

Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich zasobów. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku są zatwierdzone.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Jak tworzyć zapytania za pomocą usługi Azure Graph

6.6: Monitorowanie niezatwierdzonych aplikacji programowych w ramach zasobów obliczeniowych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.6	2.3, 2.4	Klient

Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o całym oprogramowaniu na Virtual Machines. Nazwa oprogramowania, Wersja, Wydawca i Czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa i przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

• Jak włączyć spis maszyn wirtualnych platformy Azure

6.7: Usuwanie niezatwierdzonych zasobów i aplikacji platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.7	2.5	Klient

Użyj funkcji monitorowania integralności plików (Change Tracking) i spisu maszyn wirtualnych Azure Security Center, aby zidentyfikować wszystkie oprogramowanie zainstalowane na Virtual Machines. Możesz zaimplementować własny proces usuwania nieautoryzowanego oprogramowania. Możesz również użyć rozwiązania innej firmy do identyfikowania niezatwierdzonego oprogramowania.

• Jak używać monitorowania integralności plików

• Omówienie usługi Azure Change Tracking

• Jak włączyć spis maszyn wirtualnych platformy Azure

6.8: Używanie tylko zatwierdzonych aplikacji

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.8	2,6	Klient

Użyj Azure Security Center adaptacyjnych kontrolek aplikacji, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.

• Jak używać funkcji adaptacyjnego sterowania aplikacjami Azure Security Center

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.9	2,6	Klient

Użyj Azure Policy, aby ograniczyć usługi, które można aprowizować w środowisku.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Jak odmówić określonego typu zasobu za pomocą Azure Policy

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.10	2.7	Klient

Użyj Azure Security Center adaptacyjnych kontrolek aplikacji, aby określić typy plików, do których może mieć zastosowanie reguła lub do których nie ma zastosowania.

Zaimplementuj rozwiązanie innych firm, jeśli nie spełnia wymagań.

• Jak używać Azure Security Center adaptacyjnych kontrolek aplikacji

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.11	2.9	Klient

Użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resources Manager, konfigurując pozycję "Blokuj dostęp" dla aplikacji "Zarządzanie platformą Microsoft Azure".

• Jak skonfigurować dostęp warunkowy w celu blokowania dostępu do usługi Azure Resources Manager

6.12: Ogranicz możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.12	2.9	Klient

W zależności od typu skryptów można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych platformy Azure. Możesz również skorzystać z Azure Security Center adaptacyjnych kontrolek aplikacji, aby upewnić się, że tylko autoryzowane oprogramowanie jest wykonywane, a wszystkie nieautoryzowane oprogramowanie jest blokowane podczas wykonywania na platformie Azure Virtual Machines.

• Jak kontrolować wykonywanie skryptów programu PowerShell w środowiskach systemu Windows

• Jak używać Azure Security Center adaptacyjnych kontrolek aplikacji

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
6.13	2.9	Klient

Oprogramowanie wymagane do operacji biznesowych, ale może wiązać się z większym ryzykiem dla organizacji, powinno być izolowane w ramach własnej maszyny wirtualnej i/lub sieci wirtualnej i/lub sieci wirtualnej i wystarczająco zabezpieczone za pomocą Azure Firewall lub sieciowej grupy zabezpieczeń.

• Jak utworzyć sieć wirtualną

• Jak utworzyć sieciową grupę zabezpieczeń przy użyciu konfiguracji zabezpieczeń

Następne kroki

• Zobacz następną kontrolę zabezpieczeń: bezpieczna konfiguracja