Управление безопасностью, v2: управление ресурсами

Примечание

Актуальная оценка системы безопасности Azure доступна здесь.

Управление ресурсами охватывает аспекты управления, касающиеся обеспечения видимости и контроля над ресурсами Azure. Сюда входят рекомендации по разрешениям для сотрудников служб безопасности, доступу к инвентаризации ресурсов и по управлению утверждениями для ресурсов и служб (инвентаризация, отслеживание и исправление).

Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Безопасность сети.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Идентификатор Azure	Идентификатор (ы) элементов управления CIS v7.1	Идентификатор (-ы) NIST SP 800-53 r4
AM-1	1.1, 1.2	CM-8, PM-5

Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Центра безопасности Azure.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

• Общие сведения о роли читателя сведений о безопасности

• Общие сведения о группах управления Azure

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечных точек

• Ответственные за управление соответствием требованиям безопасности

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Идентификатор Azure	Идентификатор (ы) элементов управления CIS v7.1	Идентификатор (-ы) NIST SP 800-53 r4
AM-2	1.1, 1.2, 1.4, 1.5, 9.1, 12.1	CM-8, PM-5

Убедитесь, что группы безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности.

Функция инвентаризации Центра безопасности Azure и Azure Resource Graph могут запрашивать и обнаруживать все ресурсы в подписках, включая службы, приложения и сетевые ресурсы Azure.

Упорядочите ресурсы логически в соответствии с классификацией вашей компании, используя теги и другие метаданные в Azure (имя, описание и категорию).

• Как создавать запросы с помощью обозревателя Azure Resource Graph

• Управление инвентаризацией ресурсов в Центре безопасности Azure

• Дополнительные сведения о присвоении тегов ресурсам см. в руководстве по именованию ресурсов и присвоению тегов

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечных точек

• Ответственные за управление соответствием требованиям безопасности

AM-3: использование только утвержденных служб Azure

Идентификатор Azure	Идентификатор (ы) элементов управления CIS v7.1	Идентификатор (-ы) NIST SP 800-53 r4
AM-3	2.3, 2.4	CM-7, CM-8

Используйте политику Azure для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

• Настройка Политики Azure и управление ею

• Как отказаться от определенного типа ресурса с помощью Политики Azure

• Как создавать запросы с помощью обозревателя Azure Resource Graph

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Ответственные за управление соответствием требованиям безопасности

• Управление состоянием

AM-4. Обеспечение безопасности для управления жизненным циклом ресурса

Идентификатор Azure	Идентификатор (ы) элементов управления CIS v7.1	Идентификатор (-ы) NIST SP 800-53 r4
AM-4	2.3, 2.4, 2.5	CM-7, CM-8, CM-10, CM-11

Определите или обновите политики безопасности, которые относятся к процессам управления жизненным циклом ресурсов, чтобы внести изменения, которые могут иметь значительные последствия. Например, изменение поставщиков удостоверений и доступа, конфиденциальности данных, конфигурации сети и назначения прав администратора.

Удалите ресурсы Azure, если они больше не нужны.

• Удаление группы ресурсов Azure и ее содержимого

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечных точек

• Управление состоянием

• Ответственные за управление соответствием требованиям безопасности

AM-5: ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Идентификатор Azure	Идентификатор (ы) элементов управления CIS v7.1	Идентификатор (-ы) NIST SP 800-53 r4
AM-5	2,9	AC-3

Используйте условный доступ Azure AD, чтобы ограничить пользователям возможность взаимодействия с Azure Resource Manager, настроив блокировку доступа для приложения "Управление Microsoft Azure".

• Как с помощью условного доступа заблокировать доступ к Azure Resource Manager

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление состоянием

• Безопасность инфраструктуры и конечных точек

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Идентификатор Azure	Идентификатор (ы) элементов управления CIS v7.1	Идентификатор (-ы) NIST SP 800-53 r4
AM-6	2.6, 2.7	AC-3, CM-7, CM-8, CM-10, CM-11

Сделайте так, чтобы на Виртуальных машинах Azure выполнялось только разрешенное программное обеспечение, а неразрешенное блокировалось.

Используйте адаптивные элементы управления приложениями Центра безопасности Azure для обнаружения и создания списка разрешенных приложений. Адаптивные элементы управления приложениями также можно использовать, чтобы обеспечить выполнение только разрешенного ПО и заблокировать неразрешенное на Виртуальных машинах Azure.

Используйте функцию "Отслеживание изменений и инвентаризация" в службе автоматизации Azure, чтобы автоматизировать сбор данных учета с виртуальных машин Windows и Linux. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностику на уровне гостя и направьте журналы событий Windows в рабочую область Log Analytics.

Вы можете использовать конфигурации для конкретных операционных систем или ресурсы сторонних производителей, чтобы ограничить пользователям запуск скриптов определенного типа в вычислительных ресурсах Azure.

Вы также можете использовать стороннее решение для обнаружения и идентификации неутвержденного ПО.

• Использование адаптивных элементов управления приложениями в Центре безопасности Azure

• Общие сведения об отслеживании изменений и инвентаризации в службе автоматизации Azure

• Управление выполнением скриптов PowerShell в средах Windows

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечных точек

• Управление состоянием

• Ответственные за управление соответствием требованиям безопасности