通过

安全控制:库存和资产管理

注释

此处提供了最 up-to日期的 Azure 安全基准。

清单和资产管理建议侧重于解决与主动管理(清单、跟踪和更正)所有 Azure 资源相关的问题,以便只授予授权资源的访问权限,并识别和删除未经授权的和非托管资源。

6.1:使用自动化资产发现解决方案

Azure ID CIS ID号 责任
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 客户

使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等)。 确保租户中具有适当的(读取)权限,并枚举所有 Azure 订阅以及订阅中的资源。

尽管可以通过 Resource Graph 发现经典 Azure 资源,但强烈建议今后创建和使用 Azure 资源管理器资源。

6.2:维护资产元数据

Azure ID CIS ID号 责任
6.2 1.5 客户

将标记应用于 Azure 资源,提供元数据以逻辑方式将它们组织到分类中。

6.3:删除未经授权的 Azure 资源

Azure ID CIS ID号 责任
6.3 1.6 客户

在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪资产。 定期协调清单,并确保及时从订阅中删除未经授权的资源。

6.4:定义和维护已批准的 Azure 资源的清单

Azure ID CIS ID号 责任
6.4 2.1 客户

根据组织需求,为计算资源创建已批准的 Azure 资源和已批准的软件清单。

6.5:监视未批准的 Azure 资源

Azure ID CIS ID号 责任
6.5 2.3, 2.4 客户

使用 Azure Policy 对可在订阅中创建的资源类型施加限制。

使用 Azure Resource Graph 查询/发现其订阅中的资源。 确保环境中存在的所有 Azure 资源都获得批准。

6.6:监视计算资源中未经批准的软件应用程序

Azure ID CIS ID号 责任
6.6 2.3, 2.4 客户

使用 Azure 虚拟机清单自动收集有关虚拟机上所有软件的信息。 可以从 Azure 门户获取软件名称、版本、发布服务器和刷新时间。 若要访问安装日期和其他信息,请启用来宾级别诊断,并将 Windows 事件日志引入 Log Analytics 工作区。

6.7:删除未经批准的 Azure 资源和软件应用程序

Azure ID CIS ID号 责任
6.7 2.5 客户

使用 Azure 安全中心的文件完整性监视(更改跟踪)和虚拟机清单来识别虚拟机上安装的所有软件。 可以实施自己的过程来删除未经授权的软件。 还可以使用第三方解决方案来标识未经批准的软件。

6.8:仅使用已批准的应用程序

Azure ID CIS ID号 责任
6.8 2.6 客户

使用 Azure 安全中心自适应应用程序控制来确保仅执行授权的软件,并且阻止所有未经授权的软件在 Azure 虚拟机上执行。

6.9:仅使用已批准的 Azure 服务

Azure ID CIS ID号 责任
6.9 2.6 客户

使用 Azure Policy 限制可在环境中预配的服务。

6.10:维护已批准的软件程序的清单

Azure ID CIS ID号 责任
6.10 2.7 客户

使用 Azure 安全中心自适应应用程序控制来指定规则可能或可能不适用于的文件类型。

如果不符合要求,则实现第三方解决方案。

6.11:限制用户与 Azure 资源管理器交互的能力

Azure ID CIS ID号 责任
6.11 2.9 客户

使用 Azure 条件访问通过为“Microsoft Azure 管理”应用配置“阻止访问”来限制用户与 Azure 资源管理器交互的能力。

6.12:限制用户在计算资源中执行脚本的能力

Azure ID CIS ID号 责任
6.12 2.9 客户

根据脚本的类型,可以使用特定于作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。 还可以利用 Azure 安全中心自适应应用程序控制来确保仅执行授权的软件,并阻止所有未经授权的软件在 Azure 虚拟机上执行。

6.13:物理或逻辑上隔离高风险应用程序

Azure ID CIS ID号 责任
6.13 2.9 客户

对于业务运营所需的软件,但可能会给组织带来更高风险,应将其隔离在自己的虚拟机和/或虚拟网络中,并通过 Azure 防火墙或网络安全组来进行充分的安全保护。

后续步骤