Controlo de Segurança V2: Gestão de Ativos
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A Gestão de Ativos cobre controlos para garantir visibilidade e governação de segurança sobre os recursos da Azure. Isto inclui recomendações sobre permissões para pessoal de segurança, acesso de segurança ao inventário de ativos, e gestão de aprovações para serviços e recursos (inventário, pista e correto).
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Network Security
AM-1: Certifique-se de que a equipa de segurança tem visibilidade para os riscos dos ativos
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Certifique-se de que as equipas de segurança recebem permissões de Leitor de Segurança no seu inquilino Estaure e subscrições para que possam monitorizar riscos de segurança usando Centro de Segurança do Azure.
Dependendo da forma como as responsabilidades da equipa de segurança são estruturadas, a monitorização dos riscos de segurança pode ser da responsabilidade de uma equipa central de segurança ou de uma equipa local. Dito isto, as informações e os riscos de segurança têm de ser sempre agregados centralmente nas organizações.
As permissões Leitor de Segurança podem ser aplicadas de um modo amplo em todo um inquilino (Grupo de Gestão Raiz) ou dentro de âmbitos, como grupos de gestão ou subscrições específicas.
Nota: para obter visibilidade para cargas de trabalho e serviços, poderão ser necessárias permissões adicionais.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
AM-2: Garantir que a equipa de segurança tem acesso aos metadados e inventário dos recursos
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Certifique-se de que as equipas de segurança têm acesso a um inventário continuamente atualizado de ativos em Azure. As equipas de segurança, normalmente, precisam deste inventário para avaliar o potencial de exposição da organização a riscos emergentes e como um ponto de entrada para melhorias contínuas à segurança.
A funcionalidade de inventário Centro de Segurança do Azure e a Azure Resource Graph podem consultar e descobrir todos os recursos nas suas subscrições, incluindo serviços Azure, aplicações e recursos de rede.
Organizar logicamente ativos de acordo com a taxonomia da sua organização usando Tags, bem como outros metadados em Azure (Nome, Descrição e Categoria).
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
AM-3: Utilizar apenas os serviços do Azure aprovados
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Utilize o Azure Policy para auditar e restringir que serviços os utilizadores podem aprovisionar no ambiente. Utilize o Azure Resource Graph para consultar e detetar recursos dentro das subscrições. Também pode utilizar o Azure Monitor para criar regras para acionar alertas quando um serviço não aprovado for detetado.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
AM-4: Garanta a segurança da gestão do ciclo de vida dos ativos
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Estabeleça ou atualize políticas de segurança que abordem processos de gestão do ciclo de vida dos ativos para modificações de impacto potencialmente elevadas. Essas modificações incluem alterações a fornecedores de identidade e acesso, confidencialidade dos dados, configuração de rede e atribuição de privilégios administrativos.
Quando já não precisar dos recursos do Azure, remova-os.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
AM-5: Limitar a capacidade dos utilizadores de interagirem com o Azure Resource Manager
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Utilize Azure AD Acesso Condicional para limitar a capacidade dos utilizadores de interagirem com o Azure Resource Manager configurando "Acesso ao Bloco" para a app "Microsoft Azure Management".
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
AM-6: Utilize apenas aplicações aprovadas em recursos computatos
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Certifique-se de que apenas o software autorizado executa e que todo o software não autorizado está bloqueado de executar no Azure Máquinas Virtuais.
Utilize os controlos de aplicação adaptativos da Centro de Segurança do Azure para descobrir e gerar uma lista de admissões. Também pode utilizar os controlos de aplicação adaptativos para garantir que apenas o software autorizado executa e todo o software não autorizado está bloqueado de executar no Azure Máquinas Virtuais.
Utilize Automatização do Azure Registo de Alterações e Inventário para automatizar a recolha de informações de inventário dos seus Windows e Linux VMs. O nome do software, versão, editor e tempo de atualização estão disponíveis a partir do portal do Azure. Para obter a data de instalação do software e outras informações, ative os diagnósticos ao nível do hóspede e direcione os Registos de Eventos do Windows para o espaço de trabalho do Log Analytics.
Dependendo do tipo de scripts, pode utilizar configurações específicas do sistema operativo ou recursos de terceiros para limitar a capacidade dos utilizadores de executar scripts em recursos computatórios Azure.
Também pode usar uma solução de terceiros para descobrir e identificar software não aprovado.
Como utilizar Centro de Segurança do Azure controlos de aplicação adaptativos
Compreenda Automatização do Azure Registo de Alterações e Inventário
Como controlar a execução do script PowerShell em ambientes Windows
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):