Controlo de Segurança: Inventário e Gestão de Ativos
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
As recomendações de Inventário e Gestão de Ativos centram-se na abordagem de questões relacionadas com a gestão ativa (inventário, pista e correta) de todos os recursos Azure para que apenas os recursos autorizados tenham acesso, e os recursos não autorizados e não geridos sejam identificados e removidos.
6.1: Utilize a solução automatizada de Deteção de Ativos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | Cliente |
Utilize o Azure Resource Graph para consultar/descobrir todos os recursos (tais como computação, armazenamento, rede, portas e protocolos, etc.) dentro da sua subscrição(s). Certifique-se de permissões (de leitura) adequadas no seu inquilino e enumere todas as subscrições do Azure, bem como recursos dentro das suas subscrições.
Embora os recursos clássicos do Azure possam ser descobertos através de Resource Graph, é altamente recomendado criar e utilizar recursos Azure Resource Manager para a frente.
6.2: Manter metadados de ativos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.2 | 1.5 | Cliente |
Aplique etiquetas nos recursos da Azure, dando metadados para organizar logicamente numa taxonomia.
6.3: Eliminar recursos azure não autorizados
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.3 | 1.6 | Cliente |
Utilize marcação, grupos de gestão e assinaturas separadas, se for caso disso, para organizar e rastrear ativos. Conciliar o inventário regularmente e garantir que os recursos não autorizados sejam eliminados da subscrição em tempo útil.
6.4: Definir e Manter um inventário dos recursos aprovados do Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.4 | 2.1 | Cliente |
Crie um inventário de recursos Azure aprovados e software aprovado para recursos de computação de acordo com as nossas necessidades organizacionais.
6.5: Monitor para recursos Azure não aprovados
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.5 | 2.3, 2.4 | Cliente |
Utilize Azure Policy para impor restrições ao tipo de recursos que podem ser criados na sua subscrição.
Utilize o Azure Resource Graph para consultar/descobrir recursos dentro das suas subscrições. Certifique-se de que todos os recursos Azure presentes no ambiente são aprovados.
6.6: Monitor para aplicações de software não aprovadas dentro dos recursos computacional
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.6 | 2.3, 2.4 | Cliente |
Utilize o Inventário de Máquinas Virtuais Azure para automatizar a recolha de informações sobre todo o software em Máquinas Virtuais. O nome do software, versão, editor e tempo de atualização estão disponíveis a partir do portal do Azure. Para ter acesso à data de instalação e outras informações, ative os diagnósticos ao nível do hóspede e leve os Registos de Eventos do Windows para um espaço de trabalho do Log Analytics.
6.7: Remover recursos e aplicações de software não aprovados
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.7 | 2.5 | Cliente |
Utilize o Monitor de Integridade de Ficheiros da Centro de Segurança do Azure (Controlo de Alterações) e o inventário de máquinas virtuais para identificar todo o software instalado no Máquinas Virtuais. Pode implementar o seu próprio processo de remoção de software não autorizado. Também pode utilizar uma solução de terceiros para identificar software não aprovado.
6.8: Utilizar apenas aplicações aprovadas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.8 | 2,6 | Cliente |
Utilize Centro de Segurança do Azure Controlos de Aplicação Adaptativos para garantir que apenas o software autorizado executa e todo o software não autorizado está bloqueado de executar no Azure Máquinas Virtuais.
6.9: Utilizar apenas serviços Azure aprovados
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.9 | 2,6 | Cliente |
Utilize Azure Policy para restringir os serviços que pode prestação no seu ambiente.
6.10: Manter um inventário de títulos de software aprovados
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.10 | 2.7 | Cliente |
Utilize Centro de Segurança do Azure Controlos de Aplicação Adaptativos para especificar quais os tipos de ficheiros a que uma regra pode ou não aplicar..
Implementar solução de terceiros se esta não cumprir o requisito.
6.11: Limitar a capacidade dos utilizadores de interagirem com o Azure Resource Manager
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.11 | 2.9 | Cliente |
Utilize o Acesso Condicional Azure para limitar a capacidade dos utilizadores de interagirem com o Azure Resources Manager, configurando o "Acesso ao Bloco" para a app "Microsoft Azure Management".
6.12: Limitar a capacidade dos utilizadores de executar scripts dentro dos recursos computacional
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.12 | 2.9 | Cliente |
Dependendo do tipo de scripts, pode utilizar configurações específicas do sistema operativo ou recursos de terceiros para limitar a capacidade dos utilizadores de executar scripts dentro dos recursos de computação Azure. Também pode aproveitar Centro de Segurança do Azure Controlos de Aplicações Adaptativos para garantir que apenas o software autorizado executa e todo o software não autorizado está bloqueado de executar no Azure Máquinas Virtuais.
Como controlar a execução do script PowerShell em Ambientes windows
Como utilizar Centro de Segurança do Azure controlos de aplicações adaptativos
6.13: Segregar física ou logicamente aplicações de alto risco
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 6.13 | 2.9 | Cliente |
O software que é necessário para operações comerciais, mas que pode incorrer em maior risco para a organização, deve ser isolado dentro da sua própria máquina virtual e/ou rede virtual e suficientemente protegido com um Azure Firewall ou Grupo de Segurança de Rede.
Passos seguintes
- Ver o próximo controlo de segurança: Configuração segura