Bezpečnostní prvek V2: Správa identit
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Správa identit zahrnuje kontrolní mechanismy pro vytvoření zabezpečené identity a řízení přístupu pomocí Azure Active Directory. To zahrnuje použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněného přístupu a monitorování anomálií účtů.
Informace o příslušném integrovaném Azure Policy najdete v tématu Podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacího testu zabezpečení Azure: Správa identit.
IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování
| Azure ID | ID ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) je výchozí služba azure pro správu identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci v:
cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, virtuální počítače Azure (s Linuxem a Windows), Azure Key Vault a aplikace PaaS a SaaS
prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě
Zabezpečení Azure AD by mělo být v praxi cloudového zabezpečení vaší organizace vysokou prioritou. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením Microsoftu pro osvědčené postupy. S využitím tohoto skóre můžete změřit, nakolik vaše konfigurace odpovídá doporučeným osvědčeným postupům, a zlepšit stav zabezpečení.
Poznámka: Azure AD podporuje externí zprostředkovatele identit, kteří umožňují uživatelům bez účtu Microsoft přihlašovat se ke svým aplikacím a prostředkům s využitím své externí identity.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-2: Zabezpečená a automatická správa identit aplikací
| Azure ID | ID ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-2 | – | AC-2, AC-3, IA-2, IA-4, IA-9 |
Pro účty, které nejsou lidmi, jako jsou služby nebo automatizace, použijte spravované identity Azure místo vytváření výkonnějšího lidského účtu pro přístup k prostředkům nebo spouštění kódu. Spravované identity Azure se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Ověřování se povoluje prostřednictvím předdefinovaných pravidel udělení přístupu, aby se zabránilo pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Pro služby, které nepodporují spravované identity, použijte Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředků. Doporučujeme nakonfigurovat instanční objekty s přihlašovacími údaji certifikátu a vrátit se k tajným klíčům klientů. V obou případech je možné azure Key Vault použít ve spojení se spravovanými identitami Azure, aby běhové prostředí (například funkce Azure) bylo možné načíst přihlašovací údaje z trezoru klíčů.
K registraci objektu zabezpečení použijte Azure Key Vault: authentication#authorize-a-security-principal-to-access-key-vault
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím
| Azure ID | ID ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD poskytuje správu identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Správa identit a přístupu se vztahuje na podnikové identity, jako jsou zaměstnanci, i na externí identity, jako jsou partneři, dodavatelé a dodavatelé.
Jednotné přihlašování (SSO) Azure AD slouží ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, abyste zajistili bezproblémový a zabezpečený přístup a lepší viditelnost a kontrolu.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-4: Použití řídicích prvků silného ověřování pro veškerý přístup založený na Azure Active Directory
| Azure ID | ID ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD podporuje silné ověřování prostřednictvím vícefaktorového ověřování (MFA) a silných metod bez hesla.
Vícefaktorové ověřování: Povolte vícefaktorové ověřování Azure AD a postupujte podle doporučení v části Povolení vícefaktorového ověřování Azure Security Center. Vícefaktorové ověřování je možné vynutit u všech uživatelů, vybraných uživatelů nebo na úrovni jednotlivých uživatelů na základě podmínek přihlášení a rizikových faktorů.
Ověřování bez hesla: K dispozici jsou tři možnosti ověřování bez hesla: Windows Hello pro firmy, aplikace Microsoft Authenticator a místní metody ověřování, jako jsou čipové karty.
Pro správce a privilegované uživatele se ujistěte, že se používá nejvyšší úroveň metody silného ověřování, a pak zavádět příslušné zásady silného ověřování pro ostatní uživatele.
Pokud se pro ověřování Azure AD stále používá starší verze ověřování pomocí hesla, mějte na paměti, že výhradně cloudové účty (uživatelské účty vytvořené přímo v Azure) mají výchozí základní zásady hesel. A hybridní účty (uživatelské účty, které pocházejí z místní Active Directory) se řídí místními zásadami hesel. Pokud používáte ověřování pomocí hesla, Azure AD poskytuje funkci ochrany heslem, která uživatelům brání v nastavení hesel, která se dají snadno uhodnout. Microsoft poskytuje globální seznam zakázaných hesel, který se aktualizuje na základě telemetrie, a zákazníci ho můžou rozšířit podle svých potřeb (například brandingu, kulturních odkazů atd.). Tuto ochranu heslem je možné použít pro výhradně cloudové a hybridní účty.
Poznámka: Ověřování založené pouze na přihlašovacích údajích hesla je náchylné k oblíbeným metodám útoku. Pro vyšší zabezpečení použijte silné ověřování, jako je vícefaktorové ověřování a zásady silného hesla. U aplikací třetích stran a služeb marketplace, které můžou mít výchozí hesla, byste je měli změnit během počátečního nastavení služby.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-5: Monitorování a upozornění na anomálie účtů
| Azure ID | CIS Controls v7.1 ID(y) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD poskytuje následující zdroje dat:
Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
Protokoly auditu – poskytují sledovatelnost prostřednictvím protokolů pro všechny změny provedené prostřednictvím různých funkcí v Azure AD. Mezi příklady protokolů auditu zaznamenaných změn patří přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.
Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.
Tyto zdroje dat je možné integrovat se službou Azure Monitor, Azure Sentinel nebo systémy SIEM třetích stran.
Azure Security Center také může upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření a zastaralé účty v předplatném.
Microsoft Defender for Identity je řešení zabezpečení, které může používat místní Active Directory signály k identifikaci, detekci a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů.
Identifikace uživatelů Azure AD označených příznakem rizikové aktivity
Monitorování identit a aktivit přístupu uživatelů ve službě Azure Security Center
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-6: Omezení přístupu k prostředkům Azure na základě podmínek
| Azure ID | CIS Controls v7.1 ID(y) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-6 | – | AC-2, AC-3 |
Pomocí Azure AD podmíněného přístupu potřebujete podrobnější řízení přístupu na základě podmínek definovaných uživatelem, jako je vyžadování přihlášení uživatelů z určitých rozsahů IP adres k používání vícefaktorového ověřování. Podrobnou správu relací ověřování je také možné použít prostřednictvím Azure AD zásad podmíněného přístupu pro různé případy použití.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů
| Azure ID | CIS Controls v7.1 ID(y) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implementujte nástroj Azure DevOps Pro kontrolu přihlašovacích údajů a identifikujte přihlašovací údaje v kódu. Kontrola přihlašovacích údajů také podporuje přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.
V případě GitHubu můžete k identifikaci přihlašovacích údajů nebo jiné formy tajných kódů v kódu použít funkci nativní kontroly tajných kódů.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
IM-8: Zabezpečený uživatelský přístup ke starším aplikacím
| Azure ID | CIS Controls v7.1 ID(y) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Ujistěte se, že máte moderní řízení přístupu a monitorování relací pro starší aplikace a data, která ukládají a zpracovávají. Sítě VPN se sice běžně používají pro přístup ke starším aplikacím, ale často mají jenom základní řízení přístupu a omezené monitorování relací.
Azure AD proxy aplikací umožňuje publikovat starší místní aplikace vzdáleným uživatelům s jednotným přihlašováním a explicitně ověřovat důvěryhodnost vzdálených uživatelů i zařízení s podmíněným přístupem Azure AD.
Případně Microsoft Defender for Cloud Apps je služba CASB (Cloud Access Security Broker), která může poskytovat ovládací prvky pro monitorování relací aplikací uživatele a blokující akce (jak pro starší místní aplikace, tak pro cloudové aplikace jako službu (SaaS).
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):