共用方式為

安全性控制:清查和資產管理

  • 發行項

注意

這裡 提供最新的Azure 安全性基準測試。

清查和資產管理建議著重于解決與主動管理 (清查、追蹤和) 更正所有 Azure 資源相關的問題,讓只有授權的資源獲得存取權,以及識別和移除未經授權的和非受控資源。

6.1:使用自動化資產探索解決方案

Azure 識別碼 CIS 識別碼 責任
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 客戶

使用 Azure Resource Graph來查詢/探索訂用帳戶內的所有資源 (,例如計算、儲存體、網路、埠和通訊協定等) () 。 確保您的租用戶中有適當的 (讀取) 權限,並列舉所有 Azure 訂用帳戶以及訂用帳戶內的資源。

雖然可透過 Resource Graph 探索傳統 Azure 資源,但強烈建議您從現在開始建立並使用 Azure Resource Manager 資源。

6.2:維護資產中繼資料

Azure 識別碼 CIS 識別碼 責任
6.2 1.5 客戶

將標籤套用至 Azure 資源,以提供中繼資料以邏輯方式將它們組織成分類法。

6.3:刪除未經授權的 Azure 資源

Azure 識別碼 CIS 識別碼 責任
6.3 1.6 客戶

視需要使用標記、管理群組和個別訂用帳戶來組織和追蹤資產。 請定期調節清查,並確保會及時刪除訂用帳戶中未經授權的資源。

6.4:定義和維護已核准 Azure 資源的清查

Azure 識別碼 CIS 識別碼 責任
6.4 2.1 客戶

根據組織需求,為計算資源建立已核准的 Azure 資源和已核准的軟體清查。

6.5:監視未經核准的 Azure 資源

Azure 識別碼 CIS 識別碼 責任
6.5 2.3、2.4 客戶

使用 Azure 原則 來限制可在訂用帳戶中建立的資源類型, () 。

使用 Azure Resource Graph 來查詢/探索其訂閱內的資源。 確保已核准環境中的所有 Azure 資源。

6.6:監視計算資源內未經核准的軟體應用程式

Azure 識別碼 CIS 識別碼 責任
6.6 2.3、2.4 客戶

使用 Azure 虛擬機器清查,將虛擬機器上所有軟體的相關資訊集合自動化。 軟體名稱、版本、發行者和重新整理時間可從Azure 入口網站取得。 若要存取安裝日期和其他資訊,請啟用客體層級診斷,並將 Windows 事件記錄帶入 Log Analytics 工作區。

6.7:移除未經核准的 Azure 資源和軟體應用程式

Azure 識別碼 CIS 識別碼 責任
6.7 2.5 客戶

使用Azure 資訊安全中心的檔案完整性監視 (變更追蹤) 和虛擬機器清查來識別安裝在虛擬機器上的所有軟體。 您可以實作自己的程式來移除未經授權的軟體。 您也可以使用協力廠商解決方案來識別未經核准的軟體。

6.8:僅使用已核准的應用程式

Azure 識別碼 CIS 識別碼 責任
6.8 2.6 客戶

使用Azure 資訊安全中心調適型應用程式控制,以確保只有授權的軟體執行,且所有未經授權的軟體都會遭到封鎖,而無法在 Azure 虛擬機器上執行。

6.9:僅使用已核准的 Azure 服務

Azure 識別碼 CIS 識別碼 責任
6.9 2.6 客戶

使用Azure 原則來限制您可以在環境中布建的服務。

6.10:維護已核准軟體標題的清查

Azure 識別碼 CIS 識別碼 責任
6.10 2.7 客戶

使用Azure 資訊安全中心調適型應用程式控制來指定規則可能或可能不適用的檔案類型。

如果不符合需求,請實作協力廠商解決方案。

6.11:限制使用者與 Azure Resource Manager互動的能力

Azure 識別碼 CIS 識別碼 責任
6.11 2.9 客戶

使用 Azure 條件式存取,藉由設定「Microsoft Azure 管理」應用程式的「封鎖存取」,來限制使用者與 Azure 資源管理員互動的能力。

6.12:限制使用者在計算資源內執行指令碼的能力

Azure 識別碼 CIS 識別碼 責任
6.12 2.9 客戶

視腳本類型而定,您可以使用作業系統特定設定或協力廠商資源來限制使用者在 Azure 計算資源內執行腳本的能力。 您也可以利用Azure 資訊安全中心調適型應用程式控制,以確保只有授權的軟體執行,且所有未經授權的軟體都遭到封鎖,而無法在 Azure 虛擬機器上執行。

6.13:以實體或邏輯方式隔離高風險的應用程式

Azure 識別碼 CIS 識別碼 責任
6.13 2.9 客戶

商務作業所需的軟體,但可能會對組織產生較高的風險,應該在自己的虛擬機器和/或虛擬網路內隔離,並充分保護Azure 防火牆或網路安全性群組。

下一步