Biztonságvezérlés v3: Identitáskezelés
Az Identity Management az Azure Active Directoryval biztonságos identitás- és hozzáférés-vezérlők létrehozására szolgáló vezérlőket ismerteti, beleértve az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások (és szolgáltatásnevek) alkalmazását, a feltételes hozzáférést és a fiókanomáliák monitorozását.
IM-1: Központosított identitás- és hitelesítési rendszer használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Biztonsági elv: Központosított identitás- és hitelesítési rendszer használatával szabályozhatja a szervezet identitásait és hitelesítéseit a felhőbeli és nem felhőbeli erőforrások esetében.
Azure-útmutató: Az Azure Active Directory (Azure AD) az Azure identitás- és hitelesítéskezelési szolgáltatása. A szervezet identitásának és hitelesítésének szabályozásához szabványosítania kell a Azure AD:
- A Microsoft felhőalapú erőforrásai, például az Azure Storage, az Azure Virtual Machines (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
- A szervezet erőforrásai, például az Azure-beli alkalmazások, a vállalati hálózati erőforrásokon futó külső alkalmazások és a külső SaaS-alkalmazások.
- A vállalati identitások az Active Directoryban a Azure AD szinkronizálásával biztosítják a konzisztens és központilag felügyelt identitásstratégiát.
Megjegyzés: Amint ez technikailag megvalósítható, migrálnia kell helyi Active Directory-alapú alkalmazásokat Azure AD. Ez lehet egy Azure AD Enterprise Directory, Business to Business vagy Business to Consumer konfiguráció.
Megvalósítás és további környezet:
- Bérlők az Azure AD-ben
- Azure AD-példány létrehozása és konfigurálása
- Azure AD-bérlők meghatározása
- Külső identitásszolgáltatók használata alkalmazásokhoz
Ügyfélbiztonsági érdekelt felek (további információ):
IM-2: Identitás- és hitelesítési rendszerek védelme
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Biztonsági alapelv: A szervezet felhőbiztonsági gyakorlatában kiemelt prioritásként kell biztosítani az identitás- és hitelesítési rendszert. A gyakori biztonsági vezérlők a következők:
- Kiemelt szerepkörök és fiókok korlátozása
- Erős hitelesítés megkövetelése minden emelt szintű hozzáféréshez
- Magas kockázatú tevékenységek monitorozása és naplózása
Azure-útmutató: A Azure AD biztonsági alapkonfiguráció és a Azure AD Identity Biztonsági pontszám segítségével értékelheti a Azure AD identitásbiztonsági állapotát, valamint elháríthatja a biztonsági és konfigurációs hiányosságokat. Az Azure AD Identitás biztonsági pontszáma a következő konfigurációk Azure AD értékeli ki: -Korlátozott rendszergazdai szerepkörök használata
- Felhasználói kockázati szabályzat bekapcsolása
- Több globális rendszergazda kijelölése
- Szabályzat engedélyezése az örökölt hitelesítés letiltásához
- Győződjön meg arról, hogy minden felhasználó elvégezheti a többtényezős hitelesítést a biztonságos hozzáférés érdekében
- MFA megkövetelése rendszergazdai szerepkörökhöz
- Új jelszó önkiszolgáló kérésének engedélyezése
- Jelszavak lejáratának tiltása
- Bejelentkezési kockázati szabályzat bekapcsolása
- Nem engedélyezett, hogy a felhasználók hozzájárulást adjanak a nem felügyelt alkalmazásokhoz
Megjegyzés: Kövesse a közzétett ajánlott eljárásokat az összes többi identitásösszetevő esetében, beleértve a helyi Active Directory és a harmadik féltől származó képességeket, valamint az azokat futtató infrastruktúrákat (például operációs rendszereket, hálózatokat, adatbázisokat).
Megvalósítás és további környezet:
- Mi az Azure AD identitásbiztonsági pontszáma?
- Ajánlott eljárások az Active Directory biztonságossá tételéhez
Ügyfélbiztonsági érdekelt felek (további információ):
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | AC-2, AC-3, IA-4, IA-5, IA-9 | N/A |
Biztonsági elv: Felügyelt alkalmazásidentitások használata az erőforrások eléréséhez és a kód végrehajtásához emberi fiókok létrehozása helyett. A felügyelt alkalmazásidentitások olyan előnyöket biztosítanak, mint a hitelesítő adatok kitettségének csökkentése. Automatizálja a hitelesítő adatok rotálását az identitások biztonságának biztosítása érdekében.
Azure-útmutató: Azure-beli felügyelt identitások használata, amelyek hitelesíthetők Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
A felügyelt identitásokat nem támogató szolgáltatások esetén a Azure AD használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Javasoljuk, hogy tanúsítványhitelesítő adatokkal konfigurálja a szolgáltatásneveket, és a hitelesítéshez térjen vissza az ügyfél titkos kulcsaihoz.
Megvalósítás és további környezet:
- Azure-beli felügyelt identitások
- Azure-erőforrások felügyelt identitásait támogató szolgáltatások
- Azure-szolgáltatásnév
- Szolgáltatásnév létrehozása tanúsítványokkal
Ügyfélbiztonsági érdekelt felek (további információ):
IM-4: Kiszolgáló és szolgáltatások hitelesítése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | IA-9 | N/A |
Biztonsági elv: Hitelesítse a távoli kiszolgálókat és szolgáltatásokat az ügyféloldalról, és győződjön meg arról, hogy megbízható kiszolgálóhoz és szolgáltatásokhoz csatlakozik. A leggyakoribb kiszolgálóhitelesítési protokoll a Transport Layer Security (TLS), ahol az ügyféloldali (gyakran böngésző vagy ügyféleszköz) ellenőrzi a kiszolgálót, és ellenőrzi, hogy a kiszolgáló tanúsítványát egy megbízható hitelesítésszolgáltató adta-e ki.
Megjegyzés: Kölcsönös hitelesítés akkor használható, ha a kiszolgáló és az ügyfél is hitelesíti egymást.
Azure-útmutató: Számos Azure-szolgáltatás alapértelmezés szerint támogatja a TLS-hitelesítést. A TLS-t támogató szolgáltatások esetében győződjön meg arról, hogy a kiszolgáló/szolgáltatás hitelesítésének támogatása mindig engedélyezve van. Az ügyfélalkalmazást úgy kell megtervezni, hogy a kézfogási szakaszban ellenőrizze a kiszolgáló/szolgáltatás identitását (a kiszolgáló megbízható hitelesítésszolgáltató által kiadott tanúsítványának ellenőrzésével).
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
IM-5: Egyszeri bejelentkezés (SSO) használata alkalmazáshozzáféréshez
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 12.5 | IA-4, IA-2, IA-8 | N/A |
Biztonsági elv: Az egyszeri bejelentkezés (SSO) használatával egyszerűbbé teheti a felhasználói élményt az erőforrásokhoz való hitelesítéshez, beleértve az alkalmazásokat és az adatokat a felhőszolgáltatásokban és a helyszíni környezetekben.
Azure-útmutató: A számítási feladatokhoz való hozzáféréshez Azure AD használata Azure AD egyszeri bejelentkezéssel (SSO) keresztül, így nincs szükség több fiókra. Azure AD identitás- és hozzáférés-kezelést biztosít az Azure-erőforrásokhoz (felügyeleti sík, beleértve a CLI-t, a PowerShellt, a portált), a felhőalkalmazásokat és a helyszíni alkalmazásokat.
Azure AD támogatja az egyszeri bejelentkezést a vállalati identitásokhoz, például a vállalati felhasználói identitásokhoz, valamint a megbízható külső és nyilvános felhasználók külső felhasználói identitásaihoz.
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IM-6: Erős hitelesítési vezérlők használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Biztonsági elv: Erős hitelesítési vezérlők (erős jelszó nélküli hitelesítés vagy többtényezős hitelesítés) kényszerítése a központosított identitás- és hitelesítéskezelő rendszerrel az erőforrásokhoz való hozzáféréshez. A jelszó-hitelesítő adatokon alapuló hitelesítés önmagában örököltnek tekinthető, mivel nem biztonságos, és nem áll ki a népszerű támadási módszerek mellett.
Az erős hitelesítés üzembe helyezésekor először konfigurálja a rendszergazdákat és a kiemelt felhasználókat, hogy biztosítsa az erős hitelesítési módszer legmagasabb szintjét, majd gyorsan hajtsa végre a megfelelő erős hitelesítési szabályzatot az összes felhasználó számára.
Megjegyzés: Ha régi jelszóalapú hitelesítésre van szükség az örökölt alkalmazásokhoz és forgatókönyvekhez, győződjön meg arról, hogy a jelszóbiztonsági ajánlott eljárások, például az összetettségi követelmények teljesülnek.
Azure-útmutató: Azure AD jelszó nélküli módszerekkel és többtényezős hitelesítéssel (MFA) támogatja az erős hitelesítési vezérlőket.
- Jelszó nélküli hitelesítés: Alapértelmezett hitelesítési módszerként használja a jelszó nélküli hitelesítést. A jelszó nélküli hitelesítéshez három lehetőség érhető el: Vállalati Windows Hello, a Microsoft Authenticator alkalmazás telefonos bejelentkezése és a FIDO 2Keys. Emellett az ügyfelek helyszíni hitelesítési módszereket, például intelligens kártyákat is használhatnak.
- Többtényezős hitelesítés: Az Azure MFA kényszeríthető minden felhasználóra, felhasználónként vagy felhasználónként a bejelentkezési feltételek és kockázati tényezők alapján. Engedélyezze az Azure MFA-t, és kövesse az Azure Defender for Cloud identitás- és hozzáférés-kezelési javaslatait az MFA beállításához.
Ha a régi jelszóalapú hitelesítést továbbra is Azure AD hitelesítéshez használják, vegye figyelembe, hogy a csak felhőalapú fiókok (közvetlenül az Azure-ban létrehozott felhasználói fiókok) alapértelmezett alapszintű jelszószabályzattal rendelkeznek. A hibrid fiókok (helyi Active Directory származó felhasználói fiókok) pedig a helyszíni jelszóházirendeket követik.
Olyan külső alkalmazások és szolgáltatások esetében, amelyek alapértelmezett azonosítókkal és jelszóval rendelkeznek, le kell tiltania vagy módosítania kell azokat a kezdeti szolgáltatásbeállítás során.
Megvalósítás és további környezet:
- MFA engedélyezése az Azure-ban
- Az Azure Active Directory jelszó nélküli hitelesítési lehetőségeinek ismertetése
- Az Azure AD alapértelmezett jelszószabályzata
- A nem megfelelő jelszavak használatának kiküszöbölése az Azure AD Password Protectionnel
- Régi hitelesítési folyamat letiltása
Ügyfélbiztonsági érdekelt felek (További információ):
IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Biztonsági elv: A megbízható jelek explicit érvényesítése a felhasználók erőforrásokhoz való hozzáférésének engedélyezéséhez vagy letiltásához a megbízhatóság nélküli hozzáférési modell részeként. Az érvényesítendő jeleknek tartalmazniuk kell a felhasználói fiók erős hitelesítését, a felhasználói fiók viselkedéselemzését, az eszköz megbízhatóságát, a felhasználó- vagy csoporttagságot, a helyeket stb.
Azure-útmutató: Azure AD feltételes hozzáférés használata a felhasználó által meghatározott feltételeken alapuló részletesebb hozzáférés-vezérléshez, például bizonyos IP-tartományokból (vagy eszközökről) származó felhasználói bejelentkezések megköveteléséhez az MFA használatához. Azure AD feltételes hozzáférés lehetővé teszi a hozzáférés-vezérlések kikényszerítését a szervezet alkalmazásaiban bizonyos feltételek alapján.
Határozza meg a számítási feladat feltételes hozzáférésének Azure AD vonatkozó feltételeket és feltételeket. Vegye figyelembe a következő gyakori használati eseteket:
- Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörrel rendelkező felhasználók számára
- Többtényezős hitelesítés megkövetelése azure-beli felügyeleti feladatokhoz
- A bejelentkezések blokkolása az örökölt hitelesítési protokollokat használó felhasználók számára
- Megbízható helyek megkövetelése Azure AD Többtényezős hitelesítés regisztrációhoz
- Hozzáférés letiltása vagy biztosítása adott helyekről
- Kockázatos bejelentkezési viselkedések blokkolása
- Szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz
Megjegyzés: Részletes hitelesítési munkamenet-kezelés is használható Azure AD feltételes hozzáférési szabályzaton keresztül olyan vezérlőkhöz, mint a bejelentkezési gyakoriság és az állandó böngésző munkamenete.
Megvalósítás és további környezet:
- Az Azure Feltételes hozzáférés áttekintése
- Gyakori feltételes hozzáférési szabályzatok
- Feltételes hozzáférési megállapítások és jelentéskészítés
- A hitelesítési munkamenetek kezelésének konfigurálása feltételes hozzáféréssel
Ügyfélbiztonsági érdekelt felek (További információ):
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Biztonsági elv: Győződjön meg arról, hogy az alkalmazásfejlesztők biztonságosan kezelik a hitelesítő adatokat és a titkos kulcsokat:
- Kerülje a hitelesítő adatok és titkos kódok beágyazását a kód- és konfigurációs fájlokba
- A hitelesítő adatok és titkos kulcsok tárolása a Key Vault vagy egy biztonságos kulcstároló szolgáltatás használatával
- Hitelesítő adatok keresése a forráskódban.
Megjegyzés: Ezt gyakran egy biztonságos szoftverfejlesztési életciklus (SDLC) és DevOps biztonsági folyamat szabályozza és érvényesíti.
Azure-útmutató: Győződjön meg arról, hogy a titkos kódok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva, ahelyett, hogy beágyazza őket a kódba és a konfigurációs fájlokba.
- Implementálja az Azure DevOps Credential Scannert a hitelesítő adatok kódon belüli azonosításához.
- A GitHub esetében a natív titkos kód beolvasási funkciójával azonosíthatja a hitelesítő adatokat vagy a kódon belüli egyéb titkos kulcsokat.
Az olyan ügyfelek, mint a Azure Functions, az Azure Apps-szolgáltatások és a virtuális gépek felügyelt identitásokat használhatnak az Azure Key Vault biztonságos eléréséhez. Lásd: Az Azure Key Vault titkos kódok kezeléséhez való használatával kapcsolatos adatvédelmi vezérlők.
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IM-9: Biztonságos felhasználói hozzáférés a meglévő alkalmazásokhoz
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | N/A |
Biztonsági elv: Hibrid környezetben, ahol helyszíni alkalmazásokkal vagy nem natív felhőalkalmazásokkal rendelkezik örökölt hitelesítéssel, fontolja meg olyan megoldások használatát, mint a felhőelérési biztonsági közvetítő (CASB), az alkalmazásproxy, az egyszeri bejelentkezés (SSO) az alkalmazásokhoz való hozzáférés szabályozásához a következő előnyök érdekében:
- Központosított erős hitelesítés kényszerítése
- Kockázatos végfelhasználói tevékenységek monitorozása és szabályozása
- Kockázatos örökölt alkalmazások tevékenységeinek monitorozása és szervizelése
- Bizalmas adattovábbítás észlelése és megakadályozása
Azure-útmutató: A helyszíni és a nem natív felhőalkalmazások védelme örökölt hitelesítéssel, a következőhöz csatlakoztatva:
- Azure AD alkalmazásproxy fejlécalapú hitelesítéssel együtt az örökölt helyszíni alkalmazások egyszeri bejelentkezéssel (SSO) rendelkező távoli felhasználók számára történő közzétételéhez, valamint a távoli felhasználók és eszközök Azure AD feltételes hozzáféréssel való megbízhatóságának explicit érvényesítéséhez. Ha szükséges, használjon külső Software-Defined Szegélyhálózat (SDP) megoldást, amely hasonló funkciókat kínálhat.
- Meglévő külső alkalmazáskézbesítési vezérlők és hálózatok
- Microsoft Defender for Cloud Apps felhőelérési biztonsági közvetítő (CASB) szolgáltatásként használva vezérlőket biztosít a felhasználó alkalmazás-munkameneteinek figyeléséhez és a blokkolási műveletekhez (örökölt helyszíni alkalmazásokhoz és szolgáltatott felhőszoftver-alkalmazásokhoz egyaránt).
Megjegyzés: A VPN-eket gyakran használják az örökölt alkalmazások eléréséhez, gyakran csak alapszintű hozzáférés-vezérléssel és korlátozott munkamenet-figyeléssel rendelkeznek.
Megvalósítás és további környezet:
- Azure AD alkalmazásproxy
- A Defender for Cloud Apps ajánlott eljárásai
- biztonságos hibrid hozzáférés Azure AD
Ügyfélbiztonsági érdekelt felek (további információ):