Control de seguridad: Identidad y Access Control

  • Artículo

Nota

La versión más actualizada de Azure Security Benchmark está disponible aquí.

Las recomendaciones de administración de identidades y acceso se centran en solucionar problemas relacionados con el control de acceso basado en la identidad, el bloqueo del acceso administrativo, la alerta de eventos relacionados con la identidad, el comportamiento anómalo de la cuenta y el control de acceso basado en rol.

3.1: Mantenga un inventario de cuentas administrativas

Id. de Azure Id. de CIS Responsabilidad
3.1 4,1 Customer

Azure AD tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

3.2: Cambie las contraseñas predeterminadas cuando proceda

Id. de Azure Id. de CIS Responsabilidad
3.2 4,2 Customer

Azure AD no tiene el concepto de contraseñas predeterminadas. Otros recursos de Azure que requieren una contraseña obligan a crear una contraseña con requisitos de complejidad y una longitud mínima, que cambia en función del servicio. Usted es responsable de las aplicaciones de terceros y de los servicios de Marketplace que pueden usar contraseñas predeterminadas.

3.3: Use cuentas administrativas dedicadas

Id. de Azure Id. de CIS Responsabilidad
3.3 4.3 Customer

Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Siga las recomendaciones del control de seguridad "Administración de acceso y permisos" de Azure Security Center para supervisar el número de cuentas administrativas.

También puede habilitar el acceso Just-in-Time/Just-Enough usando roles de Azure AD Privileged Identity Management con privilegios para los servicios de Microsoft y Azure Resource Manager.

3.4: Use el inicio de sesión único (SSO) con Azure Active Directory

Id. de Azure Id. de CIS Responsabilidad
3.4 4.4. Customer

Siempre que sea posible, use el SSO de Azure Active Directory en lugar de configurar credenciales independientes individuales por servicio. Siga las recomendaciones del control de seguridad "Administración de acceso y permisos" de Azure Security Center.

3.5: Use la autenticación multifactor para todo el acceso basado en Azure Active Directory

Id. de Azure Id. de CIS Responsabilidad
3,5 4.5, 11.5, 12.11, 16.3 Customer

Habilite la MFA de Azure AD y siga las recomendaciones de administración de identidades y acceso de Azure Security Center.

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Id. de Azure Id. de CIS Responsabilidad
3.6 4.6, 11.6, 12.12 Customer

Utilice PAW (estaciones de trabajo de acceso privilegiado) con la MFA configurada para iniciar la sesión y configurar recursos de Azure.

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Id. de Azure Id. de CIS Responsabilidad
3.7 4.8, 4.9 Customer

Use los informes de seguridad de Azure Active Directory para la generación de registros y alertas cuando se producen actividades sospechosas o no seguras en el entorno. Use Azure Security Center para supervisar la actividad de identidad y acceso.

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Id. de Azure Id. de CIS Responsabilidad
3.8 11.7 Customer

Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

3.9: Uso de Azure Active Directory

Id. de Azure Id. de CIS Responsabilidad
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Customer

Use Azure Active Directory como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

3.10: Revise y concilie regularmente el acceso de los usuarios

Id. de Azure Id. de CIS Responsabilidad
3.10 16.9, 16.10 Customer

Azure AD proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Id. de Azure Id. de CIS Responsabilidad
3,11 16.12 Customer

Tiene acceso a los orígenes de registro de eventos de actividad de inicio de sesión, auditoría y riesgo de Azure AD, que permiten la integración con cualquier herramienta de SIEM o supervisión.

Puede simplificar este proceso creando una configuración de diagnóstico para las cuentas de usuario de Azure Active Directory y enviando los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas deseadas en el área de trabajo de Log Analytics.

3.12: Alerte de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Id. de Azure Id. de CIS Responsabilidad
3,12 16.13 Customer

Use las características de protección de riesgos e identidad de Azure AD para configurar las respuestas automatizadas a las acciones sospechosas detectadas relacionadas con las identidades de los usuarios. También puede hacer que Azure Sentinel ingiera los datos para investigarlos más.

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Id. de Azure Id. de CIS Responsabilidad
3.13 16 Customer

En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, la Caja de seguridad del cliente proporciona una interfaz para que pueda revisar y aprobar o rechazar las solicitudes de acceso a los datos del cliente.

Pasos siguientes