Управление безопасностью: управление ресурсами

Управление активами охватывает элементы управления, обеспечивающие видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для сотрудников службы безопасности, доступ к инвентаризации активов и управление утверждениями служб и ресурсов (инвентаризация, отслеживание и исправление).

AM-1: Отслеживание инвентаризации ресурсов и их рисков

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Принцип безопасности. Отслеживайте инвентаризацию активов по запросу и обнаруживайте все облачные ресурсы. Логически упорядочивайте свои ресурсы, присваивая им метки и группируя их на основе параметров службы, расположения или других характеристик. Убедитесь, что ваша организация безопасности имеет доступ к постоянно обновляемой инвентаризации ресурсов.

Убедитесь, что ваша организация безопасности может отслеживать риски для облачных ресурсов, всегда централизованно объединяя аналитические сведения о безопасности и риски.


Руководство по Azure. Функция инвентаризации Microsoft Defender для облака и Resource Graph Azure могут запрашивать и обнаруживать все ресурсы в подписках, включая службы, приложения и сетевые ресурсы Azure. Логически упорядочивайте ресурсы в соответствии с таксономией вашей организации, используя теги, а также другие метаданные в Azure (имя, описание и категория).

Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в Azure. Группы безопасности часто нуждаются в этой инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.

Убедитесь, что организациям безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака. Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.


Руководство по GCP. Используйте Google Cloud Asset Inventory для предоставления служб инвентаризации на основе базы данных временных рядов. Эта база данных хранит пятинедельную историю метаданных ресурсов GCP. Служба экспорта инвентаризации облачных активов позволяет экспортировать все метаданные ресурсов за определенную метку времени или экспортировать журнал изменений событий в течение определенного периода времени.

Кроме того, Google Cloud Security Command Center поддерживает другое соглашение об именовании. Ресурсы — это ресурсы Google Cloud организации. Роли IAM для центра управления безопасностью можно предоставить на уровне организации, папки или проекта. Возможность просматривать, создавать или обновлять результаты, ресурсы и источники безопасности зависит от уровня, для которого вам предоставлен доступ.

Реализация GCP и дополнительный контекст:

Реализация Azure и дополнительный контекст:


Руководство по AWS. Используйте функцию инвентаризации AWS Systems Manager, чтобы запрашивать и обнаруживать все ресурсы в экземплярах EC2, включая сведения об уровне приложения и уровне операционной системы. Кроме того, используйте группы ресурсов AWS — редактор тегов для просмотра инвентаризации ресурсов AWS.

Логически упорядочивайте ресурсы в соответствии с таксономией вашей организации, используя теги, а также другие метаданные в AWS (имя, описание и категория).

Убедитесь, что организации безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов в AWS. Группы безопасности часто нуждаются в этой инвентаризации, чтобы оценить потенциальную уязвимость своей организации к возникающим рискам и в качестве входных данных для непрерывного улучшения безопасности.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Реализация AWS и дополнительный контекст:


Руководство по GCP. Используйте Google Cloud Organization Policy Service для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Вы также можете использовать облачный мониторинг в Operations Suite и (или) политике организации для создания правил для активации оповещений при обнаружении не утвержденной службы.

Реализация GCP и дополнительный контекст:


Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

AM-2: использование только утвержденных служб

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, PM-5 6.3

Принцип безопасности. Убедитесь, что можно использовать только утвержденные облачные службы путем аудита и ограничения служб, которые пользователи могут подготавливать в среде.


Руководство по Azure. Используйте Политика Azure для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Реализация Azure и дополнительный контекст:


Руководство по AWS. Используйте AWS Config для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Используйте группы ресурсов AWS для запроса и обнаружения ресурсов в своих учетных записях. Вы также можете использовать CloudWatch и (или) конфигурацию AWS для создания правил для активации оповещений при обнаружении не утвержденной службы.

Реализация AWS и дополнительный контекст:


Руководство по GCP. Установите или обновите политики или процессы безопасности, которые касались процессов управления жизненным циклом ресурсов, чтобы внести изменения, которые могут оказать большое влияние. Эти изменения включают изменения в поставщиках удостоверений и доступе, конфиденциальных данных, конфигурации сети и оценке прав администратора. Используйте Google Cloud Security Command Center и проверка вкладку Соответствие для ресурсов, подверженных риску.

Кроме того, используйте автоматическую очистку неиспользуемых проектов Google Cloud и службу облачных рекомендаций для предоставления рекомендаций и аналитических сведений по использованию ресурсов в Google Cloud. Эти рекомендации и аналитические сведения предназначены для каждого продукта или службы и создаются на основе эвристических методов, машинного обучения и текущего использования ресурсов.

Реализация GCP и дополнительный контекст:


Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

AM-3: обеспечение безопасности управления жизненным циклом

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Принцип безопасности. Убедитесь, что атрибуты безопасности или конфигурации ресурсов всегда обновляются в течение жизненного цикла ресурса.


Руководство По Azure. Установите или обновите политики или процессы безопасности, которые касались процессов управления жизненным циклом ресурсов, чтобы внести изменения, которые могут оказать большое влияние. Эти изменения включают изменения в поставщиках удостоверений и доступе, уровне конфиденциальности данных, конфигурации сети и назначении административных привилегий.

Выявляйте и удаляйте ресурсы Azure, когда они больше не нужны.

Реализация Azure и дополнительный контекст:


Руководство ПО AWS. Создайте или обновите политики или процессы безопасности, которые касались процессов управления жизненным циклом ресурсов, чтобы внести изменения, которые могут оказать большое влияние. Эти изменения включают изменения в поставщиках удостоверений и доступе, уровне конфиденциальности данных, конфигурации сети и назначении прав администратора.

Выявляйте и удаляйте ресурсы AWS, когда они больше не нужны.

Реализация AWS и дополнительный контекст:


Руководство GCP. Используйте Google Cloud Identity and Access Management (IAM) для ограничения доступа к определенному ресурсу. Можно указать разрешенные или запрещенные действия, а также условия, при которых активируются действия. Вы можете указать одно условие или комбинированные методы разрешений на уровне ресурсов, политик на основе ресурсов, авторизации на основе тегов, временных учетных данных или связанных с службами ролей, чтобы иметь детализированные элементы управления доступом к ресурсам.

Кроме того, вы можете использовать элементы управления службой VPC для защиты от случайных или целенаправленных действий со стороны внешних или инсайдерских организаций, что помогает свести к минимуму риски неоправданного кражи данных из служб Google Cloud. Элементы управления службами VPC можно использовать для создания периметров, защищающих ресурсы и данные служб, которые вы явно указали.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

AM-4: ограничение доступа к управлению ресурсами

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
3.3 AC-3 Н/Д

Принцип безопасности. Ограничьте доступ пользователей к функциям управления ресурсами, чтобы избежать случайного или злонамеренного изменения ресурсов в облаке.


Руководство по Azure. Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в Azure. Используйте условный доступ Azure AD, чтобы ограничить пользователям возможность взаимодействия с Azure Resource Manager, настроив блокировку доступа для приложения "Управление Microsoft Azure".

Используйте контроль доступа на основе ролей Azure (Azure RBAC) для назначения ролей удостоверениям для управления их разрешениями и доступом к ресурсам Azure. Например, пользователь только с ролью "Читатель" Azure RBAC может просматривать все ресурсы, но не может вносить какие-либо изменения.

Используйте блокировки ресурсов, чтобы предотвратить удаление или изменение ресурсов. Блокировки ресурсов также можно администрировать с помощью Azure Blueprints.

Реализация Azure и дополнительный контекст:


Руководство по AWS. Используйте AWS IAM для ограничения доступа к определенному ресурсу. Можно указать разрешенные или запрещенные действия, а также условия, при которых активируются действия. Вы можете указать одно условие или объединить методы разрешений на уровне ресурсов, политик на основе ресурсов, авторизации на основе тегов, временных учетных данных или ролей, связанных с службами, чтобы обеспечить точное управление доступом к ресурсам.

Реализация AWS и дополнительный контекст:


Руководство GCP. Используйте Google Cloud VM Manager для обнаружения приложений, установленных на экземплярах вычислительных модулей. Можно использовать управление инвентаризацией и конфигурацией ОС, чтобы запретить выполнение неавторизованных программ в экземплярах вычислительного ядра.

Вы также можете использовать решение сторонних производителей для обнаружения и идентификации несанкционированного программного обеспечения.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

AM-5: использование только утвержденных приложений на виртуальной машине

Идентификаторы элементов управления CIS v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Принцип безопасности. Убедитесь, что выполняется только авторизованное программное обеспечение, создав список разрешений и заблокируйте выполнение несанкционированного программного обеспечения в вашей среде.


Руководство По Azure. Используйте элементы управления адаптивными приложениями Microsoft Defender for Cloud для обнаружения и создания списка разрешений приложений. Вы также можете использовать адаптивные элементы управления приложениями ASC, чтобы гарантировать, что только авторизованное программное обеспечение может выполняться, а все несанкционированные программы заблокированы на Виртуальные машины Azure.

Используйте функцию "Отслеживание изменений и инвентаризация" в службе автоматизации Azure, чтобы автоматизировать сбор данных учета с виртуальных машин Windows и Linux. Сведения об имени программного обеспечения, версии, издателе и времени обновления доступны в портал Azure. Чтобы получить дату установки программного обеспечения и другие сведения, включите диагностика на гостевом уровне и направляйте журналы событий Windows в рабочую область Log Analytics.

Вы можете использовать конфигурации для конкретных операционных систем или ресурсы сторонних производителей, чтобы ограничить пользователям запуск скриптов определенного типа в вычислительных ресурсах Azure.

Вы также можете использовать решение сторонних производителей для обнаружения и идентификации несанкционированного программного обеспечения.

Реализация Azure и дополнительный контекст:


Руководство ПО AWS. Используйте функцию инвентаризации AWS Systems Manager, чтобы обнаружить приложения, установленные в экземплярах EC2. Используйте правила конфигурации AWS, чтобы гарантировать блокировку неавторизованных программ в экземплярах EC2.

Вы также можете использовать решение сторонних производителей для обнаружения и идентификации несанкционированного программного обеспечения.

Реализация AWS и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):