Řízení zabezpečení V2: Správa identit

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Správa identit se zabývá ovládacími prvky pro vytvoření zabezpečené identity a řízení přístupu pomocí Azure Active Directory. To zahrnuje použití jednotného přihlašování, silného ověřování, spravovaných identit (a principů služeb) pro aplikace, podmíněný přístup a monitorování anomálií účtů.

Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Správa identit

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
IM-1 16.1, 16.2, 16.4, 16.5 IA-2, IA-8, AC-2, AC-3

Azure Active Directory (Azure AD) je výchozí služba správy identit a přístupu Azure. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, virtuální počítače Azure (s Linuxem a Windows), Azure Key Vault a aplikace PaaS a SaaS

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením microsoftu k osvědčeným postupům. S využitím tohoto skóre můžete změřit, nakolik vaše konfigurace odpovídá doporučeným osvědčeným postupům, a zlepšit stav zabezpečení.

Poznámka: Azure AD podporuje externí zprostředkovatele identit, kteří umožňují uživatelům bez účtu Microsoft přihlašovat se ke svým aplikacím a prostředkům s využitím své externí identity.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-2: Zabezpečená a automatická správa identit aplikací

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
IM-2 AC-2, AC-3, IA-2, IA-4, IA-9

V případě účtů, jako jsou služby nebo automatizace, používejte spravované identity Azure místo vytvoření výkonnějšího lidského účtu pro přístup k prostředkům nebo spuštění kódu. Spravované identity Azure se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Ověřování je povolené prostřednictvím předem definovaných pravidel udělení přístupu, abyste se vyhnuli pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

U služeb, které nepodporují spravované identity, použijte místo toho Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Doporučujeme nakonfigurovat instanční objekty pomocí přihlašovacích údajů certifikátu a vrátit se do tajných kódů klienta. V obou případech je možné azure Key Vault použít ve spojení se spravovanými identitami Azure, aby prostředí runtime (například funkce Azure) mohl načíst přihlašovací údaje z trezoru klíčů.

Použití Azure Key Vault pro registraci instančního objektu zabezpečení: authentication#authorize-a-security-principal-to-access-key-vault

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
Im-3 4.4 IA-2, IA-4

Azure AD poskytuje správu identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Správa identit a přístupu se vztahuje na podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé.

Pomocí Azure AD jednotného přihlašování (SSO) můžete spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD pro zajištění bezproblémového, zabezpečeného přístupu a lepší viditelnosti a řízení.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-4: Použití řídicích prvků silného ověřování pro veškerý přístup založený na Azure Active Directory

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
IM-4 4.2, 4.4 4.5, 11.5, 12.11, 16.3 AC-2, AC-3, IA-2, IA-4

Azure AD podporuje silné ověřování prostřednictvím vícefaktorového ověřování (MFA) a silných metod bez hesla.

  • Vícefaktorové ověřování: Povolte vícefaktorové ověřování Azure AD a postupujte podle doporučení v ovládacím prvku zabezpečení "Povolit MFA" Azure Security Center. Vícefaktorové ověřování lze vynutit u všech uživatelů, vybrat uživatele nebo na úrovni jednotlivých uživatelů na základě podmínek přihlašování a rizikových faktorů.

  • Ověřování bez hesla: K dispozici jsou tři možnosti ověřování bez hesla: Windows Hello pro firmy, aplikace Microsoft Authenticator a místní metody ověřování, jako jsou čipové karty.

Pro správce a privilegované uživatele se ujistěte, že se používá nejvyšší úroveň metody silného ověřování, za kterou následuje uvedení příslušných zásad silného ověřování pro ostatní uživatele.

Pokud se starší ověřování založené na heslech stále používá pro ověřování Azure AD, mějte na paměti, že účty jen pro cloud (uživatelské účty vytvořené přímo v Azure) mají výchozí základní zásady hesel. A hybridní účty (uživatelské účty, které pocházejí z místní Active Directory) se řídí místními zásadami hesel. Při používání ověřování založeného na heslech poskytuje Azure AD funkci ochrany hesel, která uživatelům brání v nastavení hesel, která se snadno uchytávají. Microsoft poskytuje globální seznam zakázaných hesel, která se aktualizují na základě telemetrie, a zákazníci můžou seznam rozšířit na základě svých potřeb (například branding, kulturní odkazy atd.). Tuto ochranu heslem je možné použít pouze pro cloudové a hybridní účty.

Poznámka: Ověřování na základě přihlašovacích údajů hesla samotné je náchylné k oblíbeným metodám útoku. Pro vyšší zabezpečení použijte silné ověřování, jako je vícefaktorové ověřování a silné zásady hesel. U aplikací třetích stran a služeb marketplace, které můžou mít výchozí hesla, byste je měli změnit během počátečního nastavení služby.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-5: Monitorování a upozornění na anomálie účtů

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
IM-5 4.8, 4.9, 16.12, 16.13 AC-2, AC-3, AC-7, AU-6

Azure AD poskytuje následující zdroje dat:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.

  • Protokoly auditu – poskytuje sledovatelnost prostřednictvím protokolů pro všechny změny provedené prostřednictvím různých funkcí v Azure AD. Mezi příklady protokolů auditu protokolovaných změn patří přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.

  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Tyto zdroje dat je možné integrovat se systémy SIEM nebo Azure Monitor, Azure Sentinel nebo třetích stran.

Azure Security Center také může upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření a zastaralé účty v předplatném.

Microsoft Defender for Identity je řešení zabezpečení, které může používat místní Active Directory signály k identifikaci, detekci a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-6: Omezení přístupu k prostředkům Azure na základě podmínek

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
IM-6 AC-2, AC-3

Pro podrobnější řízení přístupu na základě uživatelem definovaných podmínek použijte Azure AD podmíněný přístup, například vyžadování přihlášení uživatelů z určitých rozsahů IP adres pro použití vícefaktorového ověřování. Podrobnou správu relací ověřování je možné použít také prostřednictvím Azure AD zásad podmíněného přístupu pro různé případy použití.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
IM-7 18.1, 18.7 IA-5

Implementujte Azure DevOps Credential Scanner a identifikujte přihlašovací údaje v kódu. Skener přihlašovacích údajů také podporuje přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete k identifikaci přihlašovacích údajů nebo jiné formy tajných kódů v kódu použít nativní funkci kontroly tajných kódů.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

IM-8: Zabezpečení přístupu uživatelů ke starším aplikacím

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
IM-8 14.6 AC-2, AC-3, SC-11

Ujistěte se, že máte moderní řízení přístupu a monitorování relací pro starší aplikace a data, která ukládají a zpracovávají. I když se sítě VPN běžně používají pro přístup ke starším aplikacím, často mají jenom základní řízení přístupu a omezené monitorování relací.

Azure AD proxy aplikací umožňuje publikovat starší místní aplikace vzdáleným uživatelům s jednotným přihlašováním a explicitně ověřovat důvěryhodnost vzdálených uživatelů i zařízení s podmíněným přístupem Azure AD.

Alternativně Microsoft Cloud App Security je služba CASB (Cloud Access Security Broker), která může poskytovat ovládací prvky pro monitorování relací aplikací uživatele a blokující akce (pro starší místní aplikace i cloudové aplikace jako aplikace (SaaS).

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):