Controllo di sicurezza: Gestione degli asset

Gestione asset copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse, incluse le raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per servizi e risorse (inventario, traccia e correzione).

AM-1: Tenere traccia dell'inventario delle risorse e dei relativi rischi

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2,4

Principio di sicurezza: tenere traccia dell'inventario degli asset eseguendo una query e individuare tutte le risorse cloud. Organizzare logicamente gli asset contrassegnando e raggruppando gli asset in base alla natura del servizio, alla posizione o ad altre caratteristiche. Assicurarsi che l'organizzazione della sicurezza abbia accesso a un inventario aggiornato continuamente degli asset.

Assicurarsi che l'organizzazione della sicurezza possa monitorare i rischi per gli asset cloud avendo sempre informazioni dettagliate sulla sicurezza e rischi aggregati centralmente.


Linee guida di Azure: le Microsoft Defender per la funzionalità di inventario cloud e Azure Resource Graph possono eseguire query per e individuare tutte le risorse nelle sottoscrizioni, inclusi i servizi, le applicazioni e le risorse di rete di Azure. Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in Azure (Nome, Descrizione e Categoria).

Assicurarsi che le organizzazioni di sicurezza abbiano accesso a un inventario aggiornato continuamente degli asset in Azure. I team di sicurezza spesso necessitano di questo inventario per valutare il potenziale esposizione dell'organizzazione ai rischi emergenti e come input per miglioramenti continui della sicurezza.

Assicurarsi che alle organizzazioni di sicurezza vengano concesse autorizzazioni di lettura per la sicurezza nel tenant e nelle sottoscrizioni di Azure in modo che possano monitorare i rischi per la sicurezza usando Microsoft Defender for Cloud. Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) oppure a gruppi di gestione o a sottoscrizioni specifiche.

Nota: potrebbero essere necessarie anche altre autorizzazioni per ottenere visibilità sui carichi di lavoro e i servizi.


Indicazioni su GCP: usare Google Cloud Asset Inventory per fornire servizi di inventario basati su un database time series. Questo database mantiene una cronologia di cinque settimane dei metadati degli asset GCP. Il servizio di esportazione inventario asset cloud consente di esportare tutti i metadati degli asset in un determinato timestamp o di esportare la cronologia delle modifiche degli eventi durante un intervallo di tempo.

Inoltre, Google Cloud Security Command Center supporta una convenzione di denominazione diversa. Gli asset sono risorse google cloud di un'organizzazione. I ruoli IAM per il Centro comandi di sicurezza possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui è stato concesso l'accesso.

Implementazione GCP e contesto aggiuntivo:

Implementazione di Azure e contesto aggiuntivo:


Indicazioni su AWS: usare la funzionalità Inventario di AWS Systems Manager per eseguire query su e individuare tutte le risorse nelle istanze EC2, inclusi i dettagli a livello di applicazione e del sistema operativo. Usare anche i gruppi di risorse AWS - Editor tag per esplorare gli inventari delle risorse AWS.

Organizzare logicamente gli asset in base alla tassonomia dell'organizzazione usando tag e altri metadati in AWS (Nome, Descrizione e Categoria).

Assicurarsi che le organizzazioni di sicurezza abbiano accesso a un inventario aggiornato continuamente degli asset in AWS. I team di sicurezza spesso necessitano di questo inventario per valutare il potenziale esposizione dell'organizzazione ai rischi emergenti e come input per miglioramenti continui della sicurezza.

Nota: potrebbero essere necessarie anche altre autorizzazioni per ottenere visibilità sui carichi di lavoro e i servizi.

Implementazione di AWS e contesto aggiuntivo:


Indicazioni su GCP: usare il servizio Criteri organizzazione Google Cloud per controllare e limitare i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente. È anche possibile usare Monitoraggio cloud in Operations Suite e/o Criteri dell'organizzazione per creare regole per attivare avvisi quando viene rilevato un servizio non approvato.

Implementazione GCP e contesto aggiuntivo:


Stakeholder della sicurezza dei clienti (Altre informazioni):

AM-2: usare solo i servizi approvati

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Principio di sicurezza: assicurarsi che sia possibile usare solo i servizi cloud approvati, controllando e limitando i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente.


Indicazioni su Azure: usare Criteri di Azure per controllare e limitare i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente. Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni. È anche possibile usare Monitoraggio di Azure per creare regole per attivare gli avvisi quando viene rilevato un servizio non approvato.

Implementazione di Azure e contesto aggiuntivo:


Indicazioni su AWS: usare AWS Config per controllare e limitare i servizi di cui gli utenti possono effettuare il provisioning nell'ambiente. Usare i gruppi di risorse AWS per eseguire query su risorse e individuare le risorse all'interno degli account. È anche possibile usare CloudWatch e/o AWS Config per creare regole per attivare avvisi quando viene rilevato un servizio non approvato.

Implementazione di AWS e contesto aggiuntivo:


Linee guida GCP: stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche ai provider di identità e all'accesso, ai dati sensibili, alla configurazione di rete e alla valutazione dei privilegi amministrativi. Usare Il Centro comandi di Google Cloud Security e controllare la scheda Conformità per gli asset a rischio.

Inoltre, usare la pulizia automatica dei progetti Google Cloud inutilizzati e il servizio Cloud Recommender per fornire consigli e informazioni dettagliate per l'uso delle risorse in Google Cloud. Queste raccomandazioni e informazioni dettagliate sono per prodotto o per servizio e vengono generate in base ai metodi euristici, all'apprendimento automatico e all'utilizzo corrente delle risorse.

Implementazione GCP e contesto aggiuntivo:


Stakeholder della sicurezza dei clienti (Altre informazioni):

AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
1.1, 2.1 CM-8, CM-7 2,4

Principio di sicurezza: assicurarsi che gli attributi di sicurezza o le configurazioni degli asset vengano sempre aggiornati durante il ciclo di vita dell'asset.


Linee guida di Azure: stabilire o aggiornare criteri/processi di sicurezza che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche ai provider di identità e all'accesso, al livello di riservatezza dei dati, alla configurazione di rete e all'assegnazione dei privilegi amministrativi.

Identificare e rimuovere le risorse di Azure quando non sono più necessarie.

Implementazione di Azure e contesto aggiuntivo:


Indicazioni su AWS: stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche ai provider di identità e all'accesso, al livello di riservatezza dei dati, alla configurazione di rete e all'assegnazione dei privilegi amministrativi.

Identificare e rimuovere le risorse AWS quando non sono più necessarie.

Implementazione di AWS e contesto aggiuntivo:


Indicazioni su GCP: usare Google Cloud Identity and Access Management (IAM) per limitare l'accesso a una risorsa specifica. È possibile specificare azioni di autorizzazione o negazione, nonché condizioni in base alle quali vengono attivate le azioni. È possibile specificare una condizione o metodi combinati di autorizzazioni a livello di risorsa, criteri basati su risorse, autorizzazione basata su tag, credenziali temporanee o ruoli collegati al servizio per avere controlli di accesso granulari per le risorse.

Inoltre, è possibile usare i controlli del servizio VPC per proteggersi da azioni accidentali o mirate da entità esterne o entità insider, che consentono di ridurre al minimo i rischi di esfiltrazione dei dati non corretti dai servizi Google Cloud. È possibile usare i controlli del servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi specificati in modo esplicito.

Implementazione GCP e contesto aggiuntivo:


Stakeholder della sicurezza dei clienti (Altre informazioni):

AM-4: Limitare l'accesso alla gestione degli asset

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
3.3 AC-3 N/D

Principio di sicurezza: limitare l'accesso degli utenti alle funzionalità di gestione degli asset, per evitare modifiche accidentali o dannose degli asset nel cloud.


Linee guida di Azure: Azure Resource Manager è il servizio di distribuzione e gestione per Azure. Fornisce un livello di gestione che consente di creare, aggiornare ed eliminare risorse (asset) in Azure. Usare l'accesso condizionale di Azure AD per limitare la capacità degli utenti di interagire con Azure Resource Manager configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure".

Usare il Controllo di accesso basato sui ruoli di Azure per assegnare ruoli alle identità per controllare le autorizzazioni e l'accesso alle risorse di Azure. Ad esempio, un utente con solo il ruolo controllo degli accessi in base al ruolo di Azure "Lettore" può visualizzare tutte le risorse, ma non può apportare modifiche.

Usare Blocchi risorse per impedire eliminazioni o modifiche alle risorse. I blocchi delle risorse possono essere amministrati anche tramite Azure Blueprints.

Implementazione di Azure e contesto aggiuntivo:


Indicazioni su AWS: usare AWS IAM per limitare l'accesso a una risorsa specifica. È possibile specificare azioni consentite o negate, nonché le condizioni in cui vengono attivate le azioni. È possibile specificare una condizione o combinare metodi di autorizzazioni a livello di risorsa, criteri basati sulle risorse, autorizzazione basata su tag, credenziali temporanee o ruoli collegati al servizio per avere un controllo di accesso granulare per le risorse.

Implementazione di AWS e contesto aggiuntivo:


Indicazioni su GCP: usare Google Cloud VM Manager per individuare le applicazioni installate nelle istanze di Motori di calcolo. È possibile usare la gestione dell'inventario e della configurazione del sistema operativo per assicurarsi che il software non autorizzato sia bloccato dall'esecuzione nelle istanze del motore di calcolo.

È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.

Implementazione GCP e contesto aggiuntivo:


Stakeholder della sicurezza dei clienti (Altre informazioni):

AM-5: usare solo le applicazioni approvate nella macchina virtuale

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Principio di sicurezza: assicurarsi che solo il software autorizzato venga eseguito creando un elenco di elementi consentiti e bloccando l'esecuzione del software non autorizzato nell'ambiente.


Linee guida di Azure: usare Microsoft Defender per i controlli applicazioni adattivi cloud per individuare e generare un elenco di elementi consentiti dell'applicazione. È anche possibile usare i controlli applicazioni adattivi del Centro sicurezza di Azure per assicurarsi che solo il software autorizzato possa essere eseguito e che tutto il software non autorizzato sia bloccato dall'esecuzione in Azure Macchine virtuali.

Usare Automazione di Azure Rilevamento modifiche e inventario per automatizzare la raccolta di informazioni di inventario dalle macchine virtuali Windows e Linux. Le informazioni sul nome software, sulla versione, sull'editore e sull'ora di aggiornamento sono disponibili nel portale di Azure. Per ottenere la data di installazione del software e altre informazioni, abilitare la diagnostica a livello di guest e indirizzare i registri eventi di Windows a un'area di lavoro Log Analytics.

A seconda del tipo di script, è possibile usare configurazioni specifiche del sistema operativo o risorse di terze parti per limitare la capacità degli utenti di eseguire script nelle risorse di calcolo di Azure.

È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.

Implementazione di Azure e contesto aggiuntivo:


Indicazioni su AWS: usare la funzionalità Inventario di AWS Systems Manager per individuare le applicazioni installate nelle istanze EC2. Usare le regole di configurazione di AWS per assicurarsi che il software non autorizzato sia bloccato dall'esecuzione nelle istanze EC2.

È anche possibile usare una soluzione di terze parti per individuare e identificare il software non approvato.

Implementazione di AWS e contesto aggiuntivo:


Stakeholder della sicurezza dei clienti (Altre informazioni):