Role, zodpovědnosti a oprávnění
V organizaci může několik týmů spolupracovat a zajistit, aby zatížení a podpůrná infrastruktura byly zabezpečené. Aby nedocházelo k omylům, které by mohly vytvářet bezpečnostní rizika, definujte jasné řádky zodpovědnosti a oddělení povinností.
V závislosti na zkušenostech Microsoftu s mnoha projekty přijímání v cloudu se vytvářejí jasně definované role a zodpovědnost za konkrétní funkce v Azure, které by mohly vést k chybám zabezpečení při tvorbě lidského a automatizovaného ohrožení.
Jasné řádky odpovědnosti
Mají týmy jasný pohled na zodpovědnosti a úrovně přístupu jednotlivců/skupin?
Určete strany zodpovědné za konkrétní funkce v Azure.
Jasně dokumentování a sdílení kontaktů zodpovědných za každou z těchto funkcí vytvoří konzistenci a usnadňuje komunikaci. Na základě našich zkušeností s mnoha projekty při přijímání do cloudu se vyhnete nejasnostem, které by mohly vést k chybám lidského a automatizace, které vytvářejí bezpečnostní riziko.
Určete skupiny (nebo jednotlivé role), které budou zodpovědné za klíčové funkce.
| Skupina nebo individuální role | Zodpovědní |
|---|---|
| Zabezpečení sítě | Obvykle stávající tým zabezpečení sítě. Konfigurace a údržba Azure Firewall, síťového virtuálního zařízení (a přidruženého směrování), firewallu webových aplikací (WAF), skupin zabezpečení sítě, skupin zabezpečení aplikací (ASG) a dalších přenosů mezi sítěmi. |
| Správa sítě | Obvykle existující tým síťových operací. přidělení virtuální sítě a podsítě Enterprise v síti. |
| Zabezpečení koncového bodu serveru | Obvykle se jedná o IT operace, zabezpečení nebo společné. Monitorujte a opravte zabezpečení serveru (opravy, konfigurace, zabezpečení koncového bodu). |
| Monitorování a reakce na incidenty | Obvykle se jedná o tým operací zabezpečení. Monitorování a reakce na incidenty pro zkoumání a nápravu incidentů zabezpečení v nástroji SIEM (Security Information and Event Management) nebo konzole source, jako je například Azure Security Center Azure AD Identity Protection. |
| Správa zásad | Obvykle GRC Team + Architecture. Použití zásad správného řízení na základě analýzy rizik a požadavků na dodržování předpisů. Nastavte směr pro použití řízení přístupu na základě role Azure (Azure RBAC), Azure Security Center, strategii ochrany správců a Azure Policy, abyste mohli řídit prostředky Azure. |
| Zabezpečení identity a standardy | Obvykle zabezpečení tým a tým identit dohromady. Nastavte směr pro adresáře Azure AD, použití PIM/PAM, MFA, konfigurace hesel a synchronizace, standardů identity aplikací. |
Poznámka
Role a povinnosti aplikace by měly pokrývat různé úrovně přístupu každé provozní funkce. Můžete například publikovat produkční verzi, přistupovat k zákaznickým datům, manipulovat se záznamy databáze a tak dále. Týmy aplikací by měly obsahovat funkce centrálních funkcí uvedených v předchozí tabulce.
Přiřazení oprávnění
Udělte rolím příslušná oprávnění, která začínají s minimálními oprávněními a přidávají větší nároky na vaše provozní potřeby. Poskytněte jasné pokyny vašim technickým týmům, které implementují oprávnění. Tato přehlednost usnadňuje detekci a opravu, která snižuje lidské chyby, jako je třeba oprávnění.
Přiřaďte oprávnění v rámci skupiny pro správu pro segment, nikoli pro jednotlivá předplatná. Tím se zabezpečí konzistence a zajistí se použití budoucích předplatných. Obecně se vyhněte podrobným a vlastním oprávněním.
Představte si předdefinované role v Azure dřív, než vytvoříte vlastní role, abyste udělili potřebná oprávnění virtuálním počítačům a jiným objektům.
Členství ve skupinách správců zabezpečení může být vhodné pro menší týmy nebo organizace, kde mají týmy zabezpečení rozsáhlé provozní zodpovědnosti.
Při přiřazování oprávnění pro segment zvažte konzistenci a umožněte flexibilnímu přizpůsobení několika organizačních modelů. tyto modely můžou být v rozsahu od jedné centralizované skupiny it až po většinou nezávislé it a DevOps týmy.
Příklad referenčního modelu
V této části se používá tento referenční model k předvedení požadavků na přiřazení oprávnění pro různé segmenty. Microsoft doporučuje začít od těchto modelů a přizpůsobovat se k vaší organizaci.
Referenční oprávnění základních služeb
Tento segment hostuje sdílené služby využívané v celé organizaci. Mezi tyto sdílené služby obvykle patří Active Directory Domain Services, DNS/DHCP, nástroje pro správu systému hostované na virtuálních počítačích infrastruktury jako služba (IaaS) Azure.
Viditelnost zabezpečení napříč všemi prostředky – pro bezpečnostní týmy udělte přístup jen pro čtení k atributům zabezpečení pro všechna technická prostředí. Tato úroveň přístupu je nutná k vyhodnocení rizikových faktorů, identifikaci potenciálních rizik a k doporučení zúčastněným stranám organizace, kteří toto riziko přijímají. Další podrobnosti najdete v tématu Přehled o zabezpečení týmu .
Správa zásad napříč některými nebo všemi prostředky – Pokud chcete monitorovat a vymáhat dodržování předpisů pomocí externích (nebo interních) předpisů, standardů a zásad zabezpečení, přiřaďte k těmto rolím příslušné oprávnění. Role a oprávnění, která zvolíte, budou záviset na jazykové verzi organizace a na očekávání programu zásad. Viz rozhraní pro přijetí Microsoft Cloud pro Azure.
Před definováním zásad Vezměte v úvahu:
- Jak je zabezpečení organizace auditováno a hlášeno? Je povinné vytváření sestav?
- Fungují stávající postupy zabezpečení?
- Existují nějaké požadavky, které jsou specifické pro obor, státní správu a předpisy?
Určete skupiny (nebo jednotlivé role) pro funkce Central, které ovlivňují sdílené služby a aplikace.
Po nastavení zásad průběžně Vylepšete tyto standardy postupně. Ujistěte se, že stav zabezpečení nezhoršuje čas v čase tím, že bude mít dodržování předpisů auditování a monitorování. Informace o správě standardů zabezpečení organizace najdete v tématu zásady správného řízení, rizika a dodržování předpisů (GRC).
Ústřední operace IT napříč všemi prostředky – udělte oprávnění centrálnímu oddělení IT (často týmu infrastruktury) k vytváření, úpravám a odstraňování prostředků, jako jsou virtuální počítače a úložiště. Role přispěvatele nebo vlastníka jsou vhodné pro tuto funkci.
Centrální síťová skupina napříč síťovými prostředky – aby se zajistila konzistence a nedocházelo k technickým konfliktům, přiřaďte zodpovědnost síťových prostředků jedné centrální organizaci v síti. Tyto prostředky by měly zahrnovat virtuální sítě, podsítě, skupiny zabezpečení sítě (NSG) a virtuální počítače hostující zařízení virtuální sítě. Přiřaďte zodpovědnost síťových prostředků do jediné centrální síťové organizace. Role Přispěvatel sítě je vhodná pro tuto skupinu. Další podrobnosti najdete v tématu Centralizovaná správa sítě a zabezpečení .
Oprávnění role prostředku – pro většinu základních služeb se oprávnění správce potřebná ke správě udělí prostřednictvím aplikace (Active Directory, DNS/DHCP, nástroje pro správu systému), takže není potřeba žádná další oprávnění k prostředkům Azure. Pokud model organizace vyžaduje, aby tyto týmy spravovaly svoje vlastní virtuální počítače, úložiště nebo jiné prostředky Azure, můžete těmto rolím přiřadit tyto oprávnění.
segmenty úloh s autonomními DevOps týmy budou spravovat prostředky přidružené k jednotlivým aplikacím. Skutečné role a jejich oprávnění závisí na velikosti a složitosti aplikace, velikosti a složitosti týmu aplikace a jazykové verzi týmu organizace a aplikace.
Správce služeb (účet pro přerušení) – použijte roli Správce služby jenom pro naléhavé a počáteční nastavení. Tuto roli nepoužívejte pro každodenní úlohy. Další podrobnosti najdete v tématu nouzový přístup (' účty na konci) .
Oprávnění k odkazům na segment
tento návrh oprávnění segmentu poskytuje konzistenci a umožňuje flexibilitu v rozsahu organizačních modelů od jediné centralizované skupiny it až po hlavně nezávislé it a DevOps týmy.
Viditelnost zabezpečení napříč všemi prostředky – pro bezpečnostní týmy udělte přístup jen pro čtení k atributům zabezpečení pro všechna technická prostředí. Tato úroveň přístupu je nutná k vyhodnocení rizikových faktorů, identifikaci potenciálních rizik a k doporučení zúčastněným stranám organizace, kteří toto riziko přijímají. Podívejte se na téma viditelnost týmu zabezpečení.
Správa zásad napříč některými nebo všemi prostředky – pro monitorování a prosazování dodržování předpisů pomocí externích (nebo interních) předpisů, standardů a zásad zabezpečení přiřaďte k těmto rolím příslušné oprávnění. Role a oprávnění, která zvolíte, budou záviset na jazykové verzi organizace a na očekávání programu zásad. Viz rozhraní pro přijetí Microsoft Cloud pro Azure.
Operace IT napříč všemi prostředky – udělují oprávnění k vytváření, úpravám a odstraňování prostředků. Účel segmentu (a výsledné oprávnění) bude záviset na struktuře vaší organizace.
Segmenty s prostředky, které spravuje centralizovaná IT organizace, můžou udělit centrálnímu oddělení IT (často týmu infrastruktury) oprávnění ke změně těchto prostředků.
Segmenty spravované nezávislými obchodními jednotkami nebo funkcemi (například týmem pro lidské zdroje) můžou těmto týmům udělit oprávnění ke všem prostředkům v segmentu.
segmenty s autonomními týmy DevOps nepotřebují udělovat oprávnění napříč všemi prostředky, protože role prostředku (níže) uděluje oprávnění pro aplikace teams. V případě nouze použijte účet správce služby (účet pro rozdělení do skla).
Centrální síťová skupina napříč síťovými prostředky – aby se zajistila konzistence a nedocházelo k technickým konfliktům, přiřaďte zodpovědnost síťových prostředků jedné centrální organizaci v síti. Tyto prostředky by měly zahrnovat virtuální sítě, podsítě, skupiny zabezpečení sítě (NSG) a virtuální počítače hostující zařízení virtuální sítě. Viz Centralizace správy a zabezpečení sítě.
Oprávnění role prostředku – segmenty s autonomními DevOps týmy budou spravovat prostředky přidružené k jednotlivým aplikacím. Skutečné role a jejich oprávnění závisí na velikosti a složitosti aplikace, velikosti a složitosti aplikačního týmu a na jazykové verzi organizace a aplikačního týmu.
Správce služeb (break glass account) – Používejte roli správce služby pouze pro případy vzniku (a v případě potřeby i při počátečním nastavení). Tuto roli nepoužívejte pro každodenní úlohy. Další podrobnosti najdete v tématu Nouzový přístup (pohotovostní účty).
Viditelnost bezpečnostního týmu
Aplikační tým potřebuje mít povědomí o iniciativách zabezpečení, aby své plány na zlepšení zabezpečení srovnal s výsledkem těchto aktivit. Poskytnout bezpečnostním týmům přístup jen pro čtení k aspektům zabezpečení všech technických prostředků v jejich názoru.
Organizace zabezpečení vyžadují přehled o technickém prostředí, aby bylo potřeba provést své povinnosti při posuzování a hlášení rizik organizace. Bez tohoto přehledu bude zabezpečení muset spoléhat na informace poskytnuté ze skupin, provoz prostředí, které mají potenciální konflikt zájmu (a další priority).
Upozorňujeme, že bezpečnostním týmům mohou být samostatně udělena další oprávnění, pokud mají provozní odpovědnost nebo požadavek na vynucování dodržování předpisů u prostředků Azure.
Například v Azure přiřaďte bezpečnostní týmy k oprávnění Čtenáři zabezpečení, které poskytuje přístup k měření rizika zabezpečení (bez poskytnutí přístupu k samotným datům).
V případě skupin zabezpečení podniku s širokou odpovědností za zabezpečení Azure můžete přiřadit toto oprávnění pomocí:
Kořenová skupina pro správu – pro týmy zodpovědné za posuzování a hlášení rizik u všech prostředků
Skupiny pro správu segmentů – pro týmy s omezeným rozsahem zodpovědnosti (obvykle vyžadované kvůli hranicím organizace nebo zákonným požadavkům)
Důležité
Vzhledem k tomu, že zabezpečení bude mít široký přístup k prostředí (a přehled o potenciálně zneužitelných ohroženích zabezpečení), nastupte s týmy zabezpečení jako s kritickým dopadem na účty a použijte stejnou ochranu jako správci. V části Správa najdete podrobnosti o těchto ovládacích prvcích pro Azure.
Navrhované akce
- Definujte proces pro sladění komunikace, vyšetřování a proazuje aktivity s aplikačním týmem.
- V souladu s principem co nejmenších oprávnění vytvořte pro týmy zabezpečení řízení přístupu ke všem prostředkům cloudového prostředí s dostatečným přístupem, abyste získali požadovaný přehled o technickém prostředí a při posuzování a vykazování rizik organizace.
Další informace
Zapojení bezpečnostního týmu vaší organizace
Správa připojených tenantů
Má váš bezpečnostní tým přehled o všech stávajících předplatných a cloudových prostředích? Jak objevují nové?
Zajistěte, aby vaše organizace zabezpečení měla informace o všech registracích a přidružených předplatných připojených k vašemu stávajícímu prostředí (přes ExpressRoute nebo Site-Site VPN) a o monitorování v rámci celého podniku.
Tyto prostředky Azure jsou součástí vašeho podnikového prostředí a organizace pro zabezpečení vyžadují jejich přehled. Organizace zabezpečení potřebují tento přístup k vyhodnocení rizik a ke zjištění, jestli se dodržují organizační zásady a příslušné zákonné požadavky.
Cloudová infrastruktura organizace by měla být dobře zdokumentovaná a přístup bezpečnostního týmu ke všem prostředkům potřebným pro monitorování a přehledy. Časté kontroly prostředků připojených ke cloudu by se měly provádět, aby se zajistilo, že se žádná další předplatná nebo tenanti nepřidali mimo kontrolu organizace. Pravidelně si prostudujte pokyny Microsoftu, abyste zajistili, že se prostudují a dodržují osvědčené postupy pro přístup bezpečnostního týmu.
Navrhované akce
Zajistěte, aby všechna prostředí Azure, která se připojují k vašemu produkčnímu prostředí a síti, aplikují zásady vaší organizace a kontroly zásad správného řízení IT pro zabezpečení.
Existující připojené tenanty můžete zjistit pomocí nástroje poskytovaného Microsoftem. Pokyny k oprávněním
Další kroky
Omezte přístup k prostředkům Azure na základě toho, co potřebujete vědět. Začněte principem zabezpečení s nejmenšími oprávněními a přidejte další v závislosti na vašich provozních potřebách.
Související odkazy
Důležité informace o použití skupin pro správu k odrážení struktury organizace v rámci tenanta Azure Active Directory (Azure AD) najdete v tématu CAF: Skupina pro správu a organizace předplatného.
Zpět k hlavnímu článku: Aspekty správy identit a přístupu Azure