Řízení zabezpečení v3: Privilegovaný přístup
Privileged Access se zabývá ovládacími prvky, které chrání privilegovaný přístup k vašemu tenantovi Azure a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem.
PA-1: Oddělení a omezení vysoce privilegovaných/administrativních uživatelů
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Princip zabezpečení: Ujistěte se, že identifikujete všechny účty s vysokým dopadem na firmy. Omezte počet privilegovaných/administrativních účtů v řídicí rovině cloudu, rovině správy a roviny dat/úloh.
Pokyny k Azure: Azure Active Directory (Azure AD) je výchozí služba správy identit a přístupu Azure. Nejdůležitější předdefinované role v Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce. S těmito oprávněními můžou uživatelé přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure:
- Globální správce / správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy v Azure AD a službám, které používají Azure AD identity.
- Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a také v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.
Mimo Azure AD má Azure předdefinované role, které můžou být důležité pro privilegovaný přístup na úrovni prostředků.
- Vlastník: Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC.
- Přispěvatel: Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí.
- Správce uživatelských přístupů: Umožňuje spravovat přístup uživatelů k prostředkům Azure. Poznámka: Pokud používáte vlastní role na úrovni Azure AD nebo úrovni prostředků s určitými přiřazenými oprávněními, můžete mít jiné důležité role, které je potřeba řídit.
Ujistěte se, že také omezíte privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup správce k vašim důležitým obchodním prostředkům, jako jsou řadiče domény Doména služby Active Directory, nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení ohrozit, můžou okamžitě zneškodnit důležité obchodní prostředky.
Implementace a další kontext:
- Oprávnění role správce v Azure AD
- Používání upozornění zabezpečení služby Azure Privileged Identity Management
- Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD
Účastníci zabezpečení zákazníků (další informace):
- Správa identit a klíčů
- Architektura zabezpečení
- Správa dodržování předpisů zabezpečení
- Operace zabezpečení
PA-2: Vyhněte se přístupu k uživatelským účtům a oprávněním.
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | AC-2 | – |
Princip zabezpečení: Místo vytváření trvalých oprávnění použijte mechanismus JIT (just-in-time) k přiřazení privilegovaného přístupu k různým úrovním prostředků.
Pokyny k Azure: Povolte privilegovaný přístup k prostředkům Azure za běhu (JIT) a Azure AD pomocí Azure AD Privileged Identity Management (PIM). JIT je model, ve kterém uživatelé dostávají dočasná oprávnění k provádění privilegovaných úloh, což brání škodlivým nebo neoprávněným uživatelům získat přístup po vypršení platnosti oprávnění. Přístup je udělen pouze v případě, že ho uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.
Omezte příchozí provoz na porty pro správu citlivých virtuálních počítačů pomocí Microsoft Defender for Cloud funkce přístupu k virtuálním počítačům za běhu (JIT). Tím zajistíte, že privilegovaný přístup k virtuálnímu počítači se udělí jenom v případě, že ho uživatelé potřebují.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Správa identit a klíčů
- Architektura zabezpečení
- Správa dodržování předpisů zabezpečení
- Operace zabezpečení
PA-3: Správa životního cyklu identit a nároků
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Princip zabezpečení: Pomocí automatizovaného procesu nebo technického řízení můžete spravovat životní cyklus identity a přístupu, včetně žádosti, kontroly, schválení, zřízení a zrušení zřízení.
Pokyny k Azure: K automatizaci pracovních postupů žádostí o přístup (pro skupiny prostředků Azure) použijte funkce správy nároků Azure AD. To umožňuje pracovním postupům pro skupiny prostředků Azure spravovat přiřazení přístupu, kontroly, vypršení platnosti a dvoufázové schválení.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
PA-4: Pravidelně zkontrolujte a odsouhlaste přístup uživatelů.
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Princip zabezpečení: Pravidelně kontrolujte nároky na privilegovaný účet. Ujistěte se, že přístup udělený účtům je platný pro správu řídicí roviny, roviny správy a úloh.
Pokyny k Azure: Zkontrolujte všechny privilegované účty a nároky na přístup v Azure, včetně tenanta Azure, služeb Azure, virtuálních počítačů a IaaS, procesů CI/CD a podnikových nástrojů pro správu a zabezpečení.
Pomocí Azure AD kontrol přístupu zkontrolujte role Azure AD a role přístupu k prostředkům Azure, členství ve skupinách a přístup k podnikovým aplikacím. Azure AD generování sestav může také poskytovat protokoly, které pomáhají zjišťovat zastaralé účty, účty se nepoužívají po určitou dobu.
Kromě toho je možné nakonfigurovat Azure AD Privileged Identity Management tak, aby upozorňovala, když se pro určitou roli vytvoří příliš velký počet účtů správce, a identifikovat účty správce, které jsou zastaralé nebo nesprávně nakonfigurované.
Implementace a další kontext:
- Vytvoření kontroly přístupu rolí prostředků Azure v Privileged Identity Management (PIM)
- Používání kontrol přístupu a identit Azure AD
Účastníci zabezpečení zákazníků (další informace):
PA-5: Nastavení nouzového přístupu
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | AC-2 | – |
Princip zabezpečení: Nastavte nouzový přístup, abyste měli jistotu, že v případě tísňového volání nechtěně nezamknete kritickou cloudovou infrastrukturu (například systém pro správu identit a přístupu).
Účty pro nouzový přístup by se měly používat zřídka a mohou být vysoce škodlivé pro organizaci, pokud dojde k ohrožení zabezpečení, ale jejich dostupnost pro organizaci je pro několik scénářů, které jsou potřeba, velmi důležité.
Doprovodné materiály k Azure: Pokud chcete zabránit náhodnému uzamčení vaší organizace Azure AD, nastavte účet pro nouzový přístup (např. účet s rolí globálního správce) pro přístup, pokud se nedají použít běžné účty pro správu. Účty pro nouzový přístup jsou obvykle vysoce privilegované a neměly by se přiřazovat konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít běžné účty pro správu.
Měli byste zajistit, aby přihlašovací údaje (například heslo, certifikát nebo čipová karta) pro účty pro nouzový přístup byly zabezpečené a aby o nich věděli jenom ti, kteří jsou oprávněni je použít jenom v případě nouze. Můžete také použít další ovládací prvky, například rozdělení přihlašovacích údajů do dvou částí a jeho poskytnutí samostatným osobám), aby se zlepšilo zabezpečení tohoto procesu. Měli byste také monitorovat protokoly přihlašování a auditu, abyste měli jistotu, že účty pro nouzový přístup se dají používat jenom v rámci autorizace.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení aplikací a DevSecOps
- Správa dodržování předpisů zabezpečení
- Operace zabezpečení (SecOps)
PA-6: Použití pracovních stanic s privilegovaným přístupem
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | – |
Princip zabezpečení: Zabezpečení izolovaných pracovních stanic je kriticky důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby.
Doprovodné materiály k Azure: Pomocí Azure Active Directory, Programu Microsoft Defender a/nebo Microsoft Intune můžete nasadit pracovní stanice s privilegovaným přístupem (PAW) místně nebo v Azure pro privilegované úlohy. Pracovní stanice s privilegovaným přístupem by se měla centrálně spravovat tak, aby vynucovaly zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Můžete také použít Azure Bastion, což je plně platforma spravovaná služba PaaS, která se dá zřídit ve vaší virtuální síti. Azure Bastion umožňuje připojení RDP/SSH k virtuálním počítačům přímo z Azure Portal pomocí prohlížeče.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
PA-7: Postupujte podle zásady správy (nejnižších oprávnění)
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Princip zabezpečení: Pokud chcete spravovat oprávnění na jemně odstupňované úrovni, postupujte podle zásady správy (nejméně oprávnění). Ke správě přístupu k prostředkům prostřednictvím přiřazení rolí použijte funkce, jako je řízení přístupu na základě role (RBAC).
Doprovodné materiály k Azure: Ke správě přístupu k prostředkům Azure prostřednictvím přiřazení rolí použijte řízení přístupu na základě role (Azure RBAC). Prostřednictvím RBAC můžete přiřadit role uživatelům, seskupit instanční objekty a spravované identity. Pro určité prostředky jsou předdefinované předdefinované role a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell a Azure Portal.
Oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, by měla být vždy omezená na to, co role vyžadují. Omezená oprávnění doplňují přístup podle potřeby (JIT) Azure AD Privileged Identity Management (PIM) a tato oprávnění by se měla pravidelně kontrolovat. V případě potřeby můžete také pomocí PIM definovat podmínku časové délky (přiřazení vázaného na čas) v přiřazení role, kde uživatel může aktivovat nebo používat roli pouze v počátečním a koncovém datu.
Poznámka: Pomocí předdefinovaných rolí Azure přidělte oprávnění a v případě potřeby vytvořte pouze vlastní role.
Implementace a další kontext:
- Co je řízení přístupu na základě role v Azure (Azure RBAC)
- Konfigurace řízení přístupu na základě role Azure
- Používání kontrol přístupu a identit Azure AD
- Azure AD Privileged Identity Management – přiřazení vázané na čas
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení aplikací a DevSecOps
- Správa dodržování předpisů zabezpečení
- Správa stavu
- Správa identit a klíčů
PA-8 – Určení procesu přístupu pro podporu poskytovatele cloudu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | – |
Princip zabezpečení: Vytvořte schvalovací proces a cestu přístupu pro vyžádání a schválení žádosti o podporu dodavatele a dočasný přístup k vašim datům prostřednictvím zabezpečeného kanálu.
Doprovodné materiály k Azure: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, můžete pomocí Customer Lockboxu zkontrolovat a schválit nebo odmítnout žádost o přístup k datům od Microsoftu.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):