Управление безопасностью: инвентаризация и управление ресурсами

Рекомендации по инвентаризации и управлению и ресурсами касаются вопросов, связанных с управлением (инвентаризацией, отслеживанием и исправлением) всех ресурсов Azure. Основная цель — предоставлять доступ только авторизованным ресурсам, а несанкционированные и неуправляемые ресурсы идентифицировать и удалять.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов, протоколов и т. д.) в ваших подписках. Убедитесь в том, что в вашем клиенте есть соответствующие разрешения (на чтение) и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы Azure Resource Manager.

• Как создавать запросы с помощью Azure Resource Graph

• Как просматривать подписки Azure

• Общие сведения об Azure RBAC

6.2. Ведение метаданных активов

Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.

• Создание и использование тегов

6.3. Удаление неавторизованных ресурсов Azure

При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочивать и отслеживать ресурсы. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

• Создание дополнительных подписок Azure

• Как создать Группы управления

• Создание и использование тегов

6.4. Определение и инвентаризация утвержденных ресурсов Azure

Проводите инвентаризацию утвержденных ресурсов Azure и утвержденного программного обеспечения для вычислительных ресурсов в соответствии с потребностями организации.

6.5. Отслеживание неутвержденных ресурсов Azure

С помощью Политик Azure ограничьте типы ресурсов, которые разрешено создавать в ваших подписках.

Используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках. Убедитесь в том, что все ресурсы Azure, представленные в среде, утверждены.

• Настройка Политики Azure и управление ею

• Как создавать запросы с помощью Azure Graph

6.6. Отслеживание неутвержденных программных приложений в рамках ресурсов вычислений

Используйте инвентаризацию виртуальных машин Azure, чтобы автоматизировать сбор сведений обо всех программах на виртуальных машинах. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.

• Как включить инвентаризацию виртуальных машин Azure

6.7. Удаление неутвержденных ресурсов Azure и программных приложений

Используйте мониторинг целостности файлов (отслеживание изменений) и инвентаризацию виртуальных машин в Центре безопасности Azure, чтобы обнаружить все программы, установленные на виртуальных машинах. Вы можете реализовать собственный процесс удаления неавторизованного программного обеспечения. Кроме того, можно использовать стороннее решение для обнаружения неутвержденного программного обеспечения.

• Как вести мониторинг целостности файлов

• Общие сведения про Отслеживание изменений в Azure

• Как включить инвентаризацию виртуальных машин Azure

6.8. Использование только утвержденных приложений

Используйте адаптивные элементы управления приложениями в Центре безопасности Azure, чтобы гарантировать выполнение только авторизованного программного обеспечения и блокировать запуск всех несанкционированных программ на виртуальных машинах Azure.

• Как использовать адаптивные элементы управления приложениями в Центре безопасности Azure

6.9. Использование только утвержденных служб Azure

Используйте Политику Azure, чтобы ограничить службы, запускаемые в вашей среде.

• Настройка Политики Azure и управление ею

• Как отказаться от определенного типа ресурса с помощью Политики Azure

6.10. Проведение инвентаризации для утвержденных программных продуктов

Используйте адаптивные элементы управления приложениями в Центре безопасности Azure, чтобы указать, к каким типам файлов может применяться правило.

Реализуйте сторонние решения, если это не соответствует требованиям.

• Как использовать адаптивные элементы управления приложениями в Центре безопасности Azure

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Используйте условный доступ Azure, чтобы ограничить взаимодействие пользователей с Azure Resources Manager. Для этого настройте "Блокировку доступа" для приложения "Управление Microsoft Azure".

• Как заблокировать доступ к Azure Resource Manager с помощью условного доступа

6.12. Ограничение возможности пользователей выполнять сценарии в ресурсах вычислений

В зависимости от типа скрипта вы можете использовать определенные конфигурации операционной системы или сторонние ресурсы, чтобы ограничить пользователям запуск скриптов в вычислительных ресурсах Azure. Вы также можете использовать адаптивные элементы управления приложениями в Центре безопасности Azure, чтобы гарантировать выполнение только авторизованного программного обеспечения и блокировку выполнения всех несанкционированных программ на виртуальных машинах Azure.

• Управление выполнением скриптов PowerShell в средах Windows

• Как использовать адаптивные элементы управления приложениями в Центре безопасности Azure

6.13. Физическое или логическое разделение приложений с высоким риском

Программное обеспечение, необходимое при работе предприятия и при этом несущее риск для организации, следует изолировать в рамках отдельной виртуальной машины и/или виртуальной сети и хорошо защитить с помощью Брандмауэра Azure или группы безопасности сети.

• Создание виртуальной сети

• Создание группы безопасности сети с конфигурацией безопасности

Дальнейшие действия

• См. подробнее о контроле безопасности: Безопасная конфигурация