Řízení zabezpečení v3: Správa identit

  • Článek

Správa identit zahrnuje ovládací prvky pro vytvoření zabezpečené identity a řízení přístupu pomocí Azure Active Directory, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněného přístupu a monitorování anomálií účtů.

IM-1: Použití centralizované identity a ověřovacího systému

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Princip zabezpečení: Použijte centralizovaný systém identit a ověřování k řízení identit a ověřování pro cloudové a necloudové prostředky vaší organizace.

Pokyny pro Azure: Azure Active Directory (Azure AD) je služba pro správu identit a ověřování v Azure. Pokud chcete řídit identitu a ověřování vaší organizace, měli byste standardizovat Azure AD:

  • Cloudové prostředky Microsoftu, jako jsou aplikace Azure Storage, Azure Virtual Machines (Linux a Windows), Azure Key Vault, PaaS a SaaS.
  • Prostředky vaší organizace, jako jsou aplikace v Azure, aplikace třetích stran běžící na prostředcích podnikové sítě a aplikace SaaS třetích stran.
  • Vaše podnikové identity ve službě Active Directory synchronizací s Azure AD, aby byla zajištěna konzistentní a centrálně spravovaná strategie identit.

Poznámka: Jakmile to bude technicky proveditelné, měli byste migrovat aplikace založené na místní Active Directory do Azure AD. Může se jednat o konfiguraci Azure AD Enterprise Directory, konfiguraci business-to-business nebo konfiguraci business-to-consumer.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-2: Ochrana identit a ověřovacích systémů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Princip zabezpečení: Zabezpečení identity a ověřovacího systému jako vysoké priority v praxi zabezpečení cloudu ve vaší organizaci. Mezi běžné ovládací prvky zabezpečení patří:

  • Omezení privilegovaných rolí a účtů
  • Vyžadovat silné ověřování pro veškerý privilegovaný přístup
  • Monitorování a audit vysoce rizikových aktivit

Pokyny pro Azure: Pomocí standardních hodnot zabezpečení Azure AD a skóre zabezpečení identity Azure AD identity vyhodnoťte stav zabezpečení Azure AD identity a opravte nedostatky zabezpečení a konfigurace. Skóre zabezpečení identity Azure AD vyhodnocuje Azure AD pro následující konfigurace: -Použijte omezené role pro správu.

  • Zapnutí zásad rizik uživatelů
  • Určení více než jednoho globálního správce
  • Povolení zásad pro blokování starších verzí ověřování
  • Ujistěte se, že všichni uživatelé můžou dokončit vícefaktorové ověřování pro zabezpečený přístup.
  • Vyžadování vícefaktorového ověřování pro role pro správu
  • Povolení samoobslužného resetování hesel
  • Nevypršet platnost hesel
  • Zapnutí zásad rizik přihlašování
  • Nepovolit uživatelům udělit souhlas nespravovaným aplikacím

Poznámka: Postupujte podle publikovaných osvědčených postupů pro všechny ostatní komponenty identit, včetně místní Active Directory a všech funkcí třetích stran, a infrastruktury (jako jsou operační systémy, sítě a databáze), které je hostují.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-3: Zabezpečená a automatická správa identit aplikací

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
AC-2, AC-3, IA-4, IA-5, IA-9

Princip zabezpečení: Místo vytváření lidských účtů pro aplikace pro přístup k prostředkům a spouštění kódu používejte spravované identity aplikací. Identity spravovaných aplikací poskytují výhody, jako je snížení vystavení přihlašovacích údajů. Automatizujte obměnu přihlašovacích údajů, abyste zajistili zabezpečení identit.

Pokyny pro Azure: Použijte spravované identity Azure, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Pro služby, které nepodporují spravované identity, použijte Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Doporučujeme nakonfigurovat instanční objekty s přihlašovacími údaji certifikátu a vrátit se k tajným klíčům klienta pro ověřování.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-4: Ověřování serveru a služeb

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
IA-9

Princip zabezpečení: Ověřte vzdálené servery a služby ze strany klienta, abyste měli jistotu, že se připojujete k důvěryhodnému serveru a službám. Nejběžnějším protokolem ověřování serveru je protokol TLS (Transport Layer Security), kde klient na straně klienta (často prohlížeč nebo klientské zařízení) ověřuje server ověřením, že certifikát serveru byl vydán důvěryhodnou certifikační autoritou.

Poznámka: Vzájemné ověřování lze použít, když se server i klient vzájemně ověřují.

Pokyny pro Azure: Mnoho služeb Azure ve výchozím nastavení podporuje ověřování TLS. U služeb, které podporují přepínač pro povolení/zakázání protokolu TLS uživatelem, se ujistěte, že je vždy povolený, aby podporoval ověřování serveru nebo služby. Vaše klientská aplikace by také měla být navržená tak, aby ověřila identitu serveru nebo služby (ověřením certifikátu serveru vystaveného důvěryhodnou certifikační autoritou) ve fázi handshake.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-5: Použití jednotného přihlašování (SSO) pro přístup k aplikacím

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
12.5 IA-4, IA-2, IA-8

Princip zabezpečení: Použití jednotného přihlašování (SSO) ke zjednodušení uživatelského prostředí pro ověřování prostředků, včetně aplikací a dat napříč cloudovými službami a místními prostředími.

Pokyny Azure: Použití Azure AD pro přístup k aplikacím úloh prostřednictvím Azure AD jednotného přihlašování (SSO) a zamezení nutnosti více účtů. Azure AD poskytuje správu identit a přístupu k prostředkům Azure (rovina správy včetně rozhraní příkazového řádku, PowerShellu nebo portálu), cloudovým aplikacím a místním aplikacím.

Azure AD podporuje jednotné přihlašování pro podnikové identity, jako jsou identity podnikových uživatelů, a také externí identity uživatelů od důvěryhodných třetích stran a veřejných uživatelů.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-6: Použití ovládacích prvků silného ověřování

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Princip zabezpečení: Vynucujte silné ověřování (silné ověřování bez hesla nebo vícefaktorové ověřování) s centralizovaným systémem pro správu identit a ověřování pro veškerý přístup k prostředkům. Ověřování založené pouze na přihlašovacích údajích hesla se považuje za starší, protože je nezabezpečené a neobstojí s oblíbenými metodami útoku.

Při nasazování silného ověřování nejprve nakonfigurujte správce a privilegované uživatele, abyste zajistili nejvyšší úroveň metody silného ověřování, a pak rychle zavést odpovídající zásady silného ověřování pro všechny uživatele.

Poznámka: Pokud starší verze aplikací a scénářů vyžaduje ověřování pomocí hesla, zajistěte, aby se dodržovaly osvědčené postupy zabezpečení hesel, jako jsou požadavky na složitost.

Pokyny k Azure: Azure AD podporuje silné ověřování prostřednictvím metod bez hesla a vícefaktorového ověřování (MFA).

  • Ověřování bez hesla: Jako výchozí metodu ověřování používejte ověřování bez hesla. V ověřování bez hesla jsou k dispozici tři možnosti: Windows Hello pro firmy, přihlášení telefonem v aplikaci Microsoft Authenticator a FIDO 2Keys. Kromě toho můžou zákazníci používat místní metody ověřování, jako jsou čipové karty.
  • Vícefaktorové ověřování: Azure MFA je možné vynutit u všech uživatelů, vybraných uživatelů nebo na úrovni jednotlivých uživatelů na základě podmínek přihlášení a rizikových faktorů. Povolte Azure MFA a postupujte podle doporučení azure Defenderu pro cloudovou správu identit a přístupu pro nastavení MFA.

Pokud se pro ověřování Azure AD stále používá starší verze ověřování pomocí hesla, mějte na paměti, že výhradně cloudové účty (uživatelské účty vytvořené přímo v Azure) mají výchozí základní zásady hesel. A hybridní účty (uživatelské účty, které pocházejí z místní Active Directory) se řídí místními zásadami hesel.

U aplikací a služeb třetích stran, které můžou mít výchozí ID a hesla, byste je měli zakázat nebo změnit během počátečního nastavení služby.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-7: Omezení přístupu k prostředkům na základě podmínek

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Princip zabezpečení: Explicitně ověřte důvěryhodné signály pro povolení nebo odepření přístupu uživatelů k prostředkům v rámci modelu přístupu s nulovou důvěryhodností. Signály k ověření by měly zahrnovat silné ověřování uživatelského účtu, analýzu chování uživatelského účtu, důvěryhodnost zařízení, členství uživatele nebo skupiny, umístění atd.

Pokyny k Azure: Použití Azure AD podmíněného přístupu k podrobnějšímu řízení přístupu na základě uživatelem definovaných podmínek, jako je vyžadování přihlášení uživatelů z určitých rozsahů IP adres (nebo zařízení) k používání vícefaktorového ověřování. Azure AD podmíněný přístup umožňuje vynutit řízení přístupu v aplikacích vaší organizace na základě určitých podmínek.

Definujte příslušné podmínky a kritéria pro Azure AD podmíněného přístupu v úloze. Zvažte následující běžné případy použití:

  • Vyžadování vícefaktorového ověřování pro uživatele s rolemi správce
  • Vyžadování vícefaktorového ověřování pro úlohy správy Azure
  • Blokování přihlášení uživatelů, kteří se pokoušejí použít starší ověřovací protokoly
  • Vyžadování důvěryhodných umístění pro registraci vícefaktorového ověřování Azure AD
  • Blokování nebo udělení přístupu z konkrétních umístění
  • Blokování rizikového chování při přihlašování
  • Vyžadování zařízení spravovaných organizací pro konkrétní aplikace

Poznámka: Podrobnou správu relací ověřování je také možné použít k prostřednictvím zásad podmíněného přístupu Azure AD pro ovládací prvky, jako je frekvence přihlašování a trvalá relace prohlížeče.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Princip zabezpečení: Zajistěte, aby vývojáři aplikací bezpečně zpracovávali přihlašovací údaje a tajné kódy:

  • Vyhněte se vkládání přihlašovacích údajů a tajných kódů do kódu a konfiguračních souborů.
  • Použití trezoru klíčů nebo služby zabezpečeného úložiště klíčů k uložení přihlašovacích údajů a tajných kódů
  • Vyhledejte přihlašovací údaje ve zdrojovém kódu.

Poznámka: To se často řídí a vynucuje prostřednictvím zabezpečeného životního cyklu vývoje softwaru (SDLC) a procesu zabezpečení DevOps.

Pokyny k Azure: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu a konfiguračních souborů.

  • Implementujte Kontrolu přihlašovacích údajů Azure DevOps, abyste v kódu identifikovali přihlašovací údaje.
  • Pro GitHub použijte funkci nativní kontroly tajných kódů k identifikaci přihlašovacích údajů nebo jiné formy tajných kódů v kódu.

Klienti, jako jsou Azure Functions, služby Azure Apps a virtuální počítače, můžou k bezpečnému přístupu k Azure Key Vault používat spravované identity. Viz Ovládací prvky ochrany dat související s používáním Azure Key Vault pro správu tajných kódů.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

IM-9: Zabezpečený uživatelský přístup k existujícím aplikacím

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
6.7, 12.5 AC-2, AC-3, SC-11

Princip zabezpečení: V hybridním prostředí, kde máte místní aplikace nebo ne nativní cloudové aplikace využívající starší ověřování, zvažte řešení, jako jsou zprostředkovatel zabezpečení přístupu k cloudu (CASB), proxy aplikací nebo jednotné přihlašování(SSO), která řídí přístup k těmto aplikacím s následujícími výhodami:

  • Vynucení centralizovaného silného ověřování
  • Monitorování a řízení rizikových aktivit koncových uživatelů
  • Monitorování a náprava rizikových aktivit starších aplikací
  • Detekce a prevence přenosu citlivých dat

Pokyny pro Azure: Ochrana místních a ne nativních cloudových aplikací pomocí staršího ověřování jejich propojením s:

  • Azure AD proxy aplikací ve spojení s ověřováním na základě hlaviček pro publikování starších místních aplikací vzdáleným uživatelům s jednotným přihlašováním (SSO) a zároveň explicitně ověřovat důvěryhodnost vzdálených uživatelů i zařízení s Azure AD podmíněným přístupem. V případě potřeby použijte řešení SDP (Software-Defined Perimeter) třetí strany, které může nabídnout podobné funkce.
  • Vaše stávající řadiče a sítě pro doručování aplikací třetích stran
  • Microsoft Defender for Cloud Apps jako službu CASB (Cloud Access Security Broker), která poskytuje ovládací prvky pro monitorování relací aplikací uživatele a blokující akce (jak pro starší místní aplikace, tak pro cloudové aplikace saaS (software jako služba).

Poznámka: Sítě VPN se běžně používají pro přístup ke starším aplikacím, často mají pouze základní řízení přístupu a omezené monitorování relací.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):