Biztonságvezérlés: Identitáskezelés
Az Identity Management magában foglalja a biztonságos identitás- és hozzáférés-vezérlők identitás- és hozzáférés-kezelési rendszerek használatával történő létrehozását, beleértve az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások (és szolgáltatásnevek) alkalmazását, a feltételes hozzáférést és a fiókanomáliák monitorozását.
IM-1: Központosított identitás- és hitelesítési rendszer használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Biztonsági elv: Központosított identitás- és hitelesítési rendszer használatával szabályozhatja a szervezet identitásait és hitelesítéseit a felhőbeli és nem felhőbeli erőforrások esetében.
Azure-útmutató: Az Azure Active Directory (Azure AD) az Azure identitás- és hitelesítéskezelési szolgáltatása. A szervezet identitásának és hitelesítésének szabályozásához szabványosítania kell a Azure AD:
- A Microsoft felhőalapú erőforrásai, például az Azure Storage, az Azure Virtual Machines (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
- A szervezet erőforrásai, például az Azure-beli alkalmazások, a vállalati hálózati erőforrásokon futó külső alkalmazások és a külső SaaS-alkalmazások.
- A vállalati identitások az Active Directoryban a Azure AD szinkronizálásával biztosítják a konzisztens és központilag felügyelt identitásstratégiát.
Az érintett Azure-szolgáltatások esetében kerülje a helyi hitelesítési módszerek használatát, és ehelyett az Azure Active Directory használatával központosítsa a szolgáltatáshitelesítéseket.
Megjegyzés: Amint ez technikailag megvalósítható, migrálnia kell helyi Active Directory-alapú alkalmazásokat Azure AD. Ez lehet egy Azure AD Enterprise Directory, Business to Business vagy Business to Consumer konfiguráció.
Azure-implementáció és további környezet:
- Bérlők az Azure AD-ben
- Azure AD-példány létrehozása és konfigurálása
- Azure AD-bérlők meghatározása
- Külső identitásszolgáltatók használata alkalmazásokhoz
AWS-útmutató: Az AWS IAM (identitás- és hozzáférés-kezelés) az AWS alapértelmezett identitás- és hitelesítéskezelési szolgáltatása. Az AWS IAM használatával szabályozhatja az AWS-identitás- és hozzáférés-kezelést. Alternatív megoldásként az AWS és az Azure Single Sign-On (SSO) használatával Azure AD is kezelheti az AWS identitás- és hozzáférés-vezérlését, hogy elkerülje az ismétlődő fiókok külön kezelését két felhőplatformon.
Az AWS támogatja az önálló Sign-On, amely lehetővé teszi a vállalat külső identitásainak (például a Windows Active Directory vagy más identitástárolók) AWS-identitásokkal való áthidalását, hogy elkerülje az ismétlődő fiókok létrehozását az AWS-erőforrások eléréséhez.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud identitás- és hozzáférés-kezelési (IAM) rendszere a Google Cloud alapértelmezett identitás- és hitelesítéskezelési szolgáltatása, amelyet a Google Cloud Identity-fiókokhoz használnak. A Google Cloud IAM használatával szabályozhatja gCP-identitását és hozzáférés-kezelését. Másik lehetőségként a Google Cloud Identity és az Azure Sigle Sign-On (SSO) használatával a Azure AD is kezelheti a GCP identitás- és hozzáférés-vezérlését, hogy elkerülje a duplikált fiókok külön-külön történő kezelését egy mutli-felhőbeli környezetben.
A Google Cloud Identity az összes Google-szolgáltatás identitásszolgáltatója. Támogatja az önálló Sign-On, amely lehetővé teszi a vállalat külső identitásainak (például a Windows Active Directory vagy más identitástárolók) Google Cloud-identitásokkal való áthidalását, hogy elkerülje a duplikált fiókok létrehozását a GCP-erőforrások eléréséhez.
Megjegyzés: A Google Cloud Directory Sync használata. A Google összekötőeszközt biztosít, amely integrálható a legtöbb vállalati LDAP felügyeleti rendszerrel, és ütemezés szerint szinkronizálja az identitásokat. A Cloud Identity-fiók konfigurálásával és a Google Cloud Directory Sync éneklésével konfigurálhatja, hogy mely felhasználói fiókjai – beleértve a felhasználókat, csoportokat és felhasználói profilokat, aliasokat stb. – szinkronizálják a helyi identitáskezelő rendszer és a GCP-rendszer közötti ütemezés szerint.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IM-2: Identitás- és hitelesítési rendszerek védelme
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Biztonsági alapelv: A szervezet felhőbiztonsági gyakorlatában kiemelten fontos az identitás- és hitelesítési rendszer védelme. A gyakori biztonsági vezérlők a következők:
- Kiemelt szerepkörök és fiókok korlátozása
- Erős hitelesítés megkövetelése minden emelt szintű hozzáféréshez
- Magas kockázatú tevékenységek monitorozása és naplózása
Azure-útmutató: Az Azure AD biztonsági alapkonfiguráció és az Azure AD Identity Biztonsági pontszám segítségével értékelheti a Azure AD identitásbiztonsági állapotát, valamint elháríthatja a biztonsági és konfigurációs hiányosságokat. Az Azure AD Identity Biztonsági pontszám a következő konfigurációk Azure AD értékeli ki:
- Korlátozott rendszergazdai szerepkörök használata
- Felhasználói kockázati szabályzat bekapcsolása
- Több globális rendszergazda kijelölése
- Szabályzat engedélyezése az örökölt hitelesítés letiltásához
- Győződjön meg arról, hogy minden felhasználó elvégezheti a többtényezős hitelesítést a biztonságos hozzáférés érdekében
- MFA megkövetelése rendszergazdai szerepkörökhöz
- Új jelszó önkiszolgáló kérésének engedélyezése
- Jelszavak lejáratának tiltása
- Bejelentkezési kockázati szabályzat bekapcsolása
- Nem engedélyezett, hogy a felhasználók hozzájárulást adjanak a nem felügyelt alkalmazásokhoz
Az identitásalapú kockázatok észleléséhez, kivizsgálásához és orvoslásához használja az Azure AD Identity Protectiont. A helyi Active Directory tartomány védelméhez használja az Identitáshoz készült Defendert.
Megjegyzés: Kövesse a közzétett ajánlott eljárásokat az összes többi identitásösszetevő esetében, beleértve a helyi Active Directory és a külső felek képességeit, valamint az azokat futtató infrastruktúrát (például operációs rendszereket, hálózatokat, adatbázisokat).
Azure-implementáció és további környezet:
- Mi az Azure AD identitásbiztonsági pontszáma?
- Ajánlott eljárások az Active Directory biztonságossá tételéhez
- Mi az az Identity Protection?
- Mi az a Microsoft Defender for Identity?
AWS-útmutató: Az AWS IAM biztonságossá tételéhez kövesse az alábbi ajánlott biztonsági eljárásokat:
- Az AWS-fiók legfelső szintű felhasználói hozzáférési kulcsainak beállítása a segélyhívási hozzáféréshez a PA-5-ben leírtak szerint (Vészhelyzeti hozzáférés beállítása)
- A hozzáférési hozzárendelések minimális jogosultsági alapelveinek követése
- Az IAM-csoportok használatával szabályzatokat alkalmazhat az egyes felhasználók helyett.
- Kövesse az erős hitelesítési útmutatót az IM-6-ban (erős hitelesítési vezérlők használata) minden felhasználó számára
- AWS Organizations SCP (szolgáltatásvezérlési szabályzat) és engedélyhatárok használata
- Szolgáltatáshozzáférés naplózása az IAM Access Advisor használatával
- IAM hitelesítőadat-jelentés használata a felhasználói fiókok és a hitelesítő adatok állapotának nyomon követéséhez
Megjegyzés: Kövesse a közzétett ajánlott eljárásokat, ha más identitás- és hitelesítési rendszerekkel rendelkezik, például kövesse az Azure AD biztonsági alapkonfigurációt, ha Azure AD használ az AWS-identitás és -hozzáférés kezeléséhez.
AWS-implementáció és további környezet:
GCP-útmutató: Az alábbi ajánlott biztonsági eljárásokat követve biztonságossá teheti a Google Cloud IAM- és Cloud Identity-szolgáltatásait a szervezetek számára:
- Hozzon létre egy felügyelői fiókot a vészhelyzeti hozzáféréshez a PA-5 javaslatait követve ("Vészhelyzeti hozzáférés beállítása").
- Hozzon létre egy felügyelői e-mail-címet (Google Workspace vagy Cloud Identity felügyelői fiókként), és ennek a fióknak nem kell egy adott felhasználóra vonatkoznia, ha vészhelyzeti helyreállításra van szükség.
- A minimális jogosultsági szint és a feladatok elvének elkülönítése
- Kerülje a felügyelői fiók napi tevékenységekhez való használatát
- A Google Cloud Identity-csoportok használatával szabályzatokat alkalmazhat ahelyett, hogy szabályzatokat alkalmaz az egyes felhasználókra.
- Kövesse az erős hitelesítésre vonatkozó útmutatást az IM-6 ("Erős hitelesítési vezérlők használata") című cikkben leírtak szerint minden olyan felhasználó esetében, aki emelt szintű jogosultságokkal rendelkezik.
- IAM-szabályzatok használata az erőforrásokhoz való hozzáférés korlátozásához
- A Szervezeti házirend szolgáltatás használata az erőforrásokra vonatkozó korlátozások szabályozásához és konfigurálásához
- IAM-naplózás használata a felhőnaplókban a kiemelt tevékenységek áttekintéséhez
Megjegyzés: Kövesse a közzétett ajánlott eljárásokat, ha más identitás- és hitelesítési rendszerekkel rendelkezik, például kövesse a Azure AD biztonsági alapkonfigurációt, ha Azure AD használ a GCP-identitás és -hozzáférés kezeléséhez.
GCP-implementáció és további környezet:
- A felügyelői fiók ajánlott eljárásai
- Ajánlott biztonsági eljárások rendszergazdai fiókokhoz
- Az IAM biztonságos használata
- Más erőforrásokhoz való hozzáférés kezelése
- Bevezetés a szervezeti házirend szolgáltatásba
Ügyfélbiztonsági érdekelt felek (További információ):
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | AC-2, AC-3, IA-4, IA-5, IA-9 | N/A |
Biztonsági elv: Felügyelt alkalmazásidentitásokat használjon ahelyett, hogy emberi fiókokat hoz létre az alkalmazások számára az erőforrások eléréséhez és a kód végrehajtásához. A felügyelt alkalmazásidentitások olyan előnyöket biztosítanak, mint a hitelesítő adatok kitettségének csökkentése. Automatizálja a hitelesítő adatok rotálását az identitások biztonságának biztosítása érdekében.
Azure-útmutató: Azure-beli felügyelt identitások használata, amelyek hitelesíthetők Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
A felügyelt identitásokat nem támogató szolgáltatások esetén a Azure AD használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Javasoljuk, hogy tanúsítványhitelesítő adatokkal konfigurálja a szolgáltatásneveket, és a hitelesítéshez térjen vissza az ügyfél titkos kulcsaihoz.
Azure-implementáció és további környezet:
- Azure-beli felügyelt identitások
- Azure-erőforrások felügyelt identitásait támogató szolgáltatások
- Azure-szolgáltatásnév
- Szolgáltatásnév létrehozása tanúsítványokkal
AWS-útmutató: Használja az AWS IAM-szerepköröket ahelyett, hogy felhasználói fiókokat hozna létre a funkciót támogató erőforrásokhoz. Az IAM-szerepköröket a platform kezeli a háttérrendszerben, a hitelesítő adatok pedig ideiglenesek és automatikusan rotáltak. Így elkerülhető, hogy hosszú távú hozzáférési kulcsokat vagy felhasználónevet/jelszót hozzon létre az alkalmazásokhoz, valamint a kódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat.
Az IAM-szerepkörökhöz tartozó saját szerepköri engedélyek testreszabása helyett használhat olyan szolgáltatáshoz társított szerepköröket, amelyek előre meghatározott engedélyházirendekkel vannak csatolva az AWS-szolgáltatások közötti hozzáféréshez.
Megjegyzés: Az IAM-szerepköröket nem támogató szolgáltatásokhoz használjon hozzáférési kulcsokat, de kövesse az ajánlott biztonsági eljárásokat, például az IM-8 A hitelesítő adatok és titkos kódok kitettségének korlátozása a kulcsok védelméhez.
AWS-implementáció és további környezet:
GCP-útmutató: Használja a Google által felügyelt szolgáltatásfiókokat ahelyett, hogy felhasználó által felügyelt fiókokat hoz létre a funkciót támogató erőforrásokhoz. A Google által felügyelt szolgáltatásfiókokat a platform kezeli a háttérrendszerben, a szolgáltatásfiókkulcsok pedig ideiglenesek és automatikusan rotáltak. Így elkerülhető, hogy hosszú távú hozzáférési kulcsokat vagy felhasználónevet/jelszót hozzon létre az alkalmazásokhoz, valamint a kódban vagy konfigurációs fájlokban rögzített, rögzített kódolású hitelesítő adatokat.
A Szabályzatintelligencia használatával megismerheti és felismerheti a szolgáltatásfiókok gyanús tevékenységeit.
GCP-implementáció és további környezet:
- Szolgáltatásfiókok áttekintése
- Eszközök a szolgáltatásfiókok használatának megértéséhez
- Szabályzatintelligencia
Ügyfélbiztonsági érdekelt felek (További információ):
IM-4: Kiszolgáló és szolgáltatások hitelesítése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | IA-9 | N/A |
Biztonsági elv: Hitelesítse a távoli kiszolgálókat és szolgáltatásokat az ügyféloldalról, és győződjön meg arról, hogy megbízható kiszolgálóhoz és szolgáltatásokhoz csatlakozik. A leggyakoribb kiszolgálóhitelesítési protokoll a Transport Layer Security (TLS), ahol az ügyféloldali (gyakran böngésző vagy ügyféleszköz) ellenőrzi a kiszolgálót, és ellenőrzi, hogy a kiszolgáló tanúsítványát egy megbízható hitelesítésszolgáltató adta-e ki.
Megjegyzés: Kölcsönös hitelesítés akkor használható, ha a kiszolgáló és az ügyfél is hitelesíti egymást.
Azure-útmutató: Számos Azure-szolgáltatás alapértelmezés szerint támogatja a TLS-hitelesítést. Az olyan szolgáltatások esetében, amelyek alapértelmezés szerint nem támogatják a TLS-hitelesítést, vagy támogatják a TLS letiltását, győződjön meg arról, hogy mindig engedélyezve van a kiszolgáló/ügyfél hitelesítésének támogatása. Az ügyfélalkalmazást úgy kell megtervezni, hogy a kézfogási szakaszban ellenőrizze a kiszolgáló/ügyfél identitását (a kiszolgáló megbízható hitelesítésszolgáltató által kiadott tanúsítványának ellenőrzésével).
Megjegyzés: Az olyan szolgáltatások, mint a API Management és az API Gateway, támogatják a TLS kölcsönös hitelesítését.
Azure-implementáció és további környezet:
AWS-útmutató: Számos AWS-szolgáltatás alapértelmezés szerint támogatja a TLS-hitelesítést. Az olyan szolgáltatások esetében, amelyek alapértelmezés szerint nem támogatják a TLS-hitelesítést, vagy támogatják a TLS letiltását, győződjön meg arról, hogy mindig engedélyezve van a kiszolgáló/ügyfél hitelesítésének támogatása. Az ügyfélalkalmazást úgy kell megtervezni, hogy a kézfogási szakaszban ellenőrizze a kiszolgáló/ügyfél identitását (a kiszolgáló megbízható hitelesítésszolgáltató által kiadott tanúsítványának ellenőrzésével).
Megjegyzés: Az API Gatewayhez hasonló szolgáltatások támogatják a TLS kölcsönös hitelesítését.
AWS-implementáció és további környezet:
GCP-útmutató: Számos GCP-szolgáltatás alapértelmezés szerint támogatja a TLS-hitelesítést. Az olyan szolgáltatások esetében, amelyek ezt alapértelmezés szerint nem támogatják, vagy támogatják a TLS letiltását, győződjön meg arról, hogy mindig engedélyezve van a kiszolgáló/ügyfél hitelesítésének támogatása. Az ügyfélalkalmazást úgy kell megtervezni, hogy a kézfogási szakaszban ellenőrizze a kiszolgáló/ügyfél identitását (a kiszolgáló megbízható hitelesítésszolgáltató által kiadott tanúsítványának ellenőrzésével).
Megjegyzés: Az olyan szolgáltatások, mint a felhőbeli terheléselosztás, támogatják a TLS kölcsönös hitelesítését.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IM-5: Egyszeri bejelentkezés (SSO) használata az alkalmazáshoz való hozzáféréshez
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 12.5 | IA-4, IA-2, IA-8 | N/A |
Biztonsági elv: Az egyszeri bejelentkezés (SSO) használatával egyszerűbbé teheti a felhasználói élményt az erőforrások, például az alkalmazások és az adatok felhőszolgáltatások és helyszíni környezetek közötti hitelesítéséhez.
Azure-útmutató: Használja a Azure AD a számítási feladatokhoz való alkalmazás-hozzáféréshez (ügyféloldali) hozzáféréshez Azure AD egyszeri bejelentkezéssel (SSO), csökkentve ezzel a duplikált fiókok szükségességét. Azure AD identitás- és hozzáférés-kezelést biztosít az Azure-erőforrásokhoz (a felügyeleti síkon, beleértve a parancssori felületet, a PowerShellt, a portált), a felhőalkalmazásokat és a helyszíni alkalmazásokat.
Azure AD támogatja az egyszeri bejelentkezést a vállalati identitásokhoz, például a vállalati felhasználói identitásokhoz, valamint a megbízható külső és nyilvános felhasználók külső felhasználói identitásaihoz.
Azure-implementáció és további környezet:
AWS-útmutató: Az AWS Cognito használatával kezelheti az ügyféloldali alkalmazások számítási feladatainak hozzáférését egyszeri bejelentkezéssel (SSO), hogy az ügyfelek áthidalhassák a külső identitásaikat a különböző identitásszolgáltatóktól.
Az AWS natív erőforrásaihoz való egyszeri bejelentkezéshez (beleértve az AWS-konzol hozzáférését, a szolgáltatáskezelést és az adatsíkszintű hozzáférést) használja az AWS Sigle Sign-On a duplikált fiókok szükségességének csökkentéséhez.
Az AWS SSO lehetővé teszi a vállalati identitások (például az Azure Active Directoryból származó identitások) AWS-identitásokkal, valamint a megbízható külső és nyilvános felhasználók külső felhasználói identitásainak áthidalására is.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Identity használatával kezelheti az ügyféloldali számítási feladatalkalmazáshoz való hozzáférést a Google Cloud Identity egyszeri bejelentkezésével, csökkentve a duplikált fiókok szükségességét. A Google Cloud Identity identitás- és hozzáférés-kezelést biztosít a GCP-hez (a felügyeleti síkon, beleértve a Google Cloud CLI-t, a konzolhozzáférést), a felhőalapú alkalmazásokat és a helyszíni alkalmazásokat.
A Google Cloud Identity emellett támogatja az egyszeri bejelentkezést a vállalati identitásokhoz, például a Azure AD vagy az Active Directoryból származó vállalati felhasználói identitásokhoz, valamint a megbízható külső és nyilvános felhasználók külső felhasználói identitásaihoz. GCP implementálása és további környezet:
- Google Cloud Identity – Egyszeri bejelentkezés
- Azure AD felhasználók kiépítése és egyszeri bejelentkezés
Ügyfélbiztonsági érdekelt felek (További információ):
IM-6: Erős hitelesítési vezérlők használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Biztonsági elv: Erős hitelesítési vezérlők (erős jelszó nélküli hitelesítés vagy többtényezős hitelesítés) kényszerítése a központosított identitás- és hitelesítéskezelő rendszerrel az erőforrásokhoz való hozzáféréshez. A jelszóalapú hitelesítő adatokon alapuló hitelesítés önmagában örököltnek tekinthető, mivel nem biztonságos, és nem áll ki a népszerű támadási módszerek mellett.
Az erős hitelesítés üzembe helyezésekor először konfigurálja a rendszergazdákat és a kiemelt felhasználókat, hogy biztosítsa az erős hitelesítési módszer legmagasabb szintjét, majd gyorsan hajtsa végre a megfelelő erős hitelesítési szabályzatot az összes felhasználó számára.
Megjegyzés: Ha régi jelszóalapú hitelesítésre van szükség az örökölt alkalmazásokhoz és forgatókönyvekhez, győződjön meg arról, hogy a jelszóbiztonsági ajánlott eljárások, például az összetettségi követelmények teljesülnek.
Azure-útmutató: Azure AD jelszó nélküli módszerekkel és többtényezős hitelesítéssel (MFA) támogatja az erős hitelesítési vezérlőket.
- Jelszó nélküli hitelesítés: Alapértelmezett hitelesítési módszerként használja a jelszó nélküli hitelesítést. A jelszó nélküli hitelesítéshez három lehetőség érhető el: Vállalati Windows Hello, a Microsoft Authenticator alkalmazás telefonos bejelentkezése és a FIDO2 biztonsági kulcsok. Emellett az ügyfelek helyszíni hitelesítési módszereket, például intelligens kártyákat is használhatnak.
- Többtényezős hitelesítés: Az Azure MFA minden felhasználóra kényszeríthető, kiválaszthat felhasználókat vagy felhasználónkénti szinten a bejelentkezési feltételek és kockázati tényezők alapján. Engedélyezze az Azure MFA-t, és kövesse Microsoft Defender felhőbeli identitással és hozzáférés-kezeléssel kapcsolatos javaslatokat az MFA beállításához.
Ha a régi jelszóalapú hitelesítést továbbra is Azure AD hitelesítéshez használják, vegye figyelembe, hogy a csak felhőalapú fiókok (közvetlenül az Azure-ban létrehozott felhasználói fiókok) alapértelmezett alapszintű jelszószabályzattal rendelkeznek. A hibrid fiókok (helyi Active Directory származó felhasználói fiókok) pedig a helyszíni jelszóházirendeket követik.
Olyan külső alkalmazások és szolgáltatások esetében, amelyek alapértelmezett azonosítókkal és jelszóval rendelkeznek, le kell tiltania vagy módosítania kell azokat a kezdeti szolgáltatásbeállítás során.
Azure-implementáció és további környezet:
- MFA engedélyezése az Azure-ban
- Az Azure Active Directory jelszó nélküli hitelesítési lehetőségeinek ismertetése
- Az Azure AD alapértelmezett jelszószabályzata
- A nem megfelelő jelszavak használatának kiküszöbölése az Azure AD Password Protectionnel
- Régi hitelesítési folyamat letiltása
AWS-útmutató: Az AWS IAM többtényezős hitelesítéssel (MFA) támogatja az erős hitelesítési vezérlőket. Az MFA minden felhasználóra kényszeríthető, felhasználókat választhat ki, vagy felhasználónkénti szinten, meghatározott feltételek alapján.
Ha külső címtárból (például Windows Active Directoryból) származó vállalati fiókokat használ AWS-identitásokkal, kövesse a megfelelő biztonsági útmutatót az erős hitelesítés kikényszerítéséhez. Ha Azure AD használ az AWS-hozzáférés kezeléséhez, tekintse meg a vezérlőhöz tartozó Azure-útmutatót.
Megjegyzés: Olyan külső alkalmazások és AWS-szolgáltatások esetében, amelyek alapértelmezett azonosítókkal és jelszóval rendelkeznek, le kell tiltania vagy módosítania kell őket a szolgáltatás kezdeti beállításakor.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Identity többtényezős hitelesítéssel (MFA) támogatja az erős hitelesítési vezérlőket. Az MFA minden felhasználóra kényszeríthető, felhasználókat választhat ki, vagy felhasználónkénti szinten, meghatározott feltételek alapján. A felhőbeli identitások (és munkaterületek) felügyelői fiókok védelme érdekében fontolja meg a biztonsági kulcsok és a Google Advanced Protection Program használatát a maximális biztonság érdekében.
Ha külső címtárból (például Windows Active Directoryból) származó vállalati fiókokat használ Google Cloud-identitásokkal, kövesse a megfelelő biztonsági útmutatót az erős hitelesítés kényszerítéséhez. Ha Azure AD használ a Google Cloud-hozzáférés kezeléséhez, tekintse meg az Ehhez a vezérlőhöz készült Azure-útmutatót.
Az Identity-Aware Proxy használatával hozzon létre egy központi engedélyezési réteget a HTTPS által elért alkalmazásokhoz, így a hálózati szintű tűzfalak helyett alkalmazásszintű hozzáférés-vezérlési modellt használhat.
Megjegyzés: Olyan külső alkalmazások és GCP-szolgáltatások esetében, amelyek alapértelmezett azonosítókkal és jelszóval rendelkeznek, le kell tiltania vagy módosítania kell azokat a kezdeti szolgáltatásbeállítás során.
GCP implementálása és további környezet:
- Egységes MFA kényszerítése vállalati tulajdonú erőforrásokra
- Google Advanced Protection Program
- Identitástudatos proxy áttekintése
Ügyfélbiztonsági érdekelt felek (További információ):
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Biztonsági elv: A megbízható jelek explicit érvényesítése a felhasználók erőforrásokhoz való hozzáférésének engedélyezéséhez vagy letiltásához a megbízhatóság nélküli hozzáférési modell részeként. Az érvényesítendő jeleknek tartalmazniuk kell a felhasználói fiók erős hitelesítését, a felhasználói fiók viselkedéselemzését, az eszköz megbízhatóságát, a felhasználó- vagy csoporttagságot, a helyeket stb.
Azure-útmutató: Azure AD feltételes hozzáférés használata a felhasználó által meghatározott feltételeken alapuló részletesebb hozzáférés-vezérléshez, például bizonyos IP-tartományokból (vagy eszközökről) származó felhasználói bejelentkezések megköveteléséhez az MFA használatához. Azure AD feltételes hozzáférés lehetővé teszi a hozzáférés-vezérlések kikényszerítését a szervezet alkalmazásaiban bizonyos feltételek alapján.
Határozza meg a számítási feladat feltételes hozzáférésének Azure AD vonatkozó feltételeket és feltételeket. Vegye figyelembe a következő gyakori használati eseteket:
- Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörrel rendelkező felhasználók számára
- Többtényezős hitelesítés megkövetelése azure-beli felügyeleti feladatokhoz
- A bejelentkezések blokkolása az örökölt hitelesítési protokollokat használó felhasználók számára
- Megbízható helyek megkövetelése a többtényezős hitelesítés regisztrációjának Azure AD
- Hozzáférés letiltása vagy biztosítása adott helyekről
- Kockázatos bejelentkezési viselkedések blokkolása
- Szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz
Megjegyzés: A részletes hitelesítési munkamenet-felügyeleti vezérlők Azure AD feltételes hozzáférési szabályzattal is implementálhatók, például a bejelentkezési gyakorisággal és az állandó böngésző-munkamenetekkel.
Azure-implementáció és további környezet:
- Az Azure Feltételes hozzáférés áttekintése
- Gyakori feltételes hozzáférési szabályzatok
- Feltételes hozzáférési megállapítások és jelentéskészítés
- A hitelesítési munkamenetek kezelésének konfigurálása feltételes hozzáféréssel
Útmutató az AWS-hez: Hozzon létre IAM-szabályzatot, és határozza meg a felhasználó által meghatározott feltételeken alapuló részletesebb hozzáférés-vezérlés feltételeit, például a felhasználói bejelentkezések megkövetelése bizonyos IP-tartományokból (vagy eszközökről) a többtényezős hitelesítés használatához. A feltételbeállítások tartalmazhatnak egy vagy több feltételt, valamint logikát.
A szabályzatok hat különböző dimenzióból határozhatók meg: identitásalapú szabályzatok, erőforrás-alapú szabályzatok, engedélyhatárok, AWS-szervezetek szolgáltatásvezérlési szabályzata (SCP), Access Control listák (ACL) és munkamenet-szabályzatok.
AWS-implementáció és további környezet:
GCP-útmutató: IAM-feltételek létrehozása és definiálása a felhasználó által meghatározott feltételeken alapuló részletesebb attribútumalapú hozzáférés-vezérléshez, például bizonyos IP-tartományokból (vagy eszközökről) származó felhasználói bejelentkezések megkövetelése a többtényezős hitelesítés használatához. A feltételbeállítások tartalmazhatnak egy vagy több feltételt, valamint logikát.
A feltételek az erőforrás engedélyezési szabályzatának szerepkörkötéseiben vannak megadva. A feltételattribútumok a kért erőforráson alapulnak – például a típusán vagy a nevén – vagy a kérelem részletein, például az időbélyegen vagy a cél IP-címén.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Biztonsági elv: Győződjön meg arról, hogy az alkalmazásfejlesztők biztonságosan kezelik a hitelesítő adatokat és a titkos kulcsokat:
- Ne ágyazza be a hitelesítő adatokat és titkos kódokat a kód- és konfigurációs fájlokba
- A hitelesítő adatok és titkos kulcsok tárolása a Key Vault vagy egy biztonságos kulcstároló szolgáltatás használatával
- Hitelesítő adatok keresése a forráskódban.
Megjegyzés: Ezt gyakran egy biztonságos szoftverfejlesztési életciklus (SDLC) és DevOps biztonsági folyamat szabályozza és érvényesíti.
Azure-útmutató: Ha felügyelt identitást használ, győződjön meg arról, hogy a titkos kulcsokat és a hitelesítő adatokat biztonságos helyeken, például az Azure Key Vault tárolja ahelyett, hogy beágyazza őket a kódba és a konfigurációs fájlokba.
Ha az Azure DevOpsot és a GitHubot használja a kódkezelési platformhoz:
- Implementálja az Azure DevOps Credential Scannert a hitelesítő adatok kódon belüli azonosításához.
- A GitHub esetében a natív titkos kód beolvasási funkciójával azonosíthatja a hitelesítő adatokat vagy a kódon belüli egyéb titkos kulcsokat.
Az olyan ügyfelek, mint a Azure Functions, az Azure Apps-szolgáltatások és a virtuális gépek felügyelt identitásokat használhatnak az Azure Key Vault biztonságos eléréséhez. Lásd: Az Azure Key Vault titkos kódok kezeléséhez való használatával kapcsolatos adatvédelmi vezérlők.
Megjegyzés: Az Azure Key Vault automatikus rotációt biztosít a támogatott szolgáltatásokhoz. Az automatikusan nem elforgatható titkos kulcsok esetében győződjön meg arról, hogy a titkos kulcsok rendszeres időközönként manuálisan vannak elforgatva, és ha már nincs használatban, törölje őket.
Azure-implementáció és további környezet:
AWS-útmutató: Ha IAM-szerepkört használ az alkalmazáshoz való hozzáféréshez, győződjön meg arról, hogy a titkos kódok és hitelesítő adatok biztonságos helyeken, például az AWS Secret Managerben vagy a Systems Manager paramétertárolójában vannak tárolva, ahelyett, hogy beágyazza őket a kódba és a konfigurációs fájlokba.
A CodeGuru Reviewer használatával statikus kódelemzést végezhet, amely képes észlelni a forráskódban rögzített titkos kódokat.
Ha az Azure DevOpsot és a GitHubot használja a kódkezelési platformhoz:
- Implementálja az Azure DevOps Credential Scannert a hitelesítő adatok kódon belüli azonosításához.
- A GitHub esetében használja a natív titkos kód beolvasási funkcióját a hitelesítő adatok vagy a titkos kódok más formáinak azonosítására a kódban.
Megjegyzés: A Titkos kódok kezelője automatikus kulcsváltást biztosít a támogatott szolgáltatásokhoz. Az automatikusan nem elforgatható titkos kulcsok esetében győződjön meg arról, hogy a titkos kulcsok rendszeres időközönként manuálisan vannak elforgatva, és ha már nincs használatban, törölje őket.
AWS-implementáció és további környezet:
- AWS IAM-szerepkörök az EC2-ben
- Integrált AWS Secrets Manager-szolgáltatások
- CodeGuru Reviewer Secrets Detection
GCP-útmutató: Ha a Google által felügyelt szolgáltatásfiókot használja az alkalmazáshoz való hozzáféréshez, győződjön meg arról, hogy a titkos kulcsokat és a hitelesítő adatokat biztonságos helyeken, például a Google Cloud Titkos kódkezelőjében tárolja ahelyett, hogy beágyazza őket a kódba és a konfigurációs fájlokba.
Használja a Google Cloud Code bővítményt az IDE -ben (integrált fejlesztési környezetben), például a Visual Studio Code-on, hogy integrálja a Secret Manager által kezelt titkos kódokat a kódba.
Ha az Azure DevOpsot vagy a GitHubot használja a kódkezelési platformhoz:
- Implementálja az Azure DevOps Credential Scannert a hitelesítő adatok kódon belüli azonosításához.
- A GitHub esetében használja a natív titkos kód beolvasási funkcióját a hitelesítő adatok vagy a titkos kódok más formáinak azonosítására a kódban.
Megjegyzés: Ajánlott eljárásként állítsa be a Secret Managerben tárolt titkos kódok rotációs ütemezését.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IM-9: Biztonságos felhasználói hozzáférés a meglévő alkalmazásokhoz
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | N/A |
Biztonsági elv: Hibrid környezetben, ahol helyszíni alkalmazásokkal vagy nem natív felhőalkalmazásokkal rendelkezik örökölt hitelesítéssel, fontolja meg az olyan megoldásokat, mint a felhőelérési biztonsági közvetítő (CASB), az alkalmazásproxy, az egyszeri bejelentkezés (SSO) az alkalmazásokhoz való hozzáférés szabályozásához a következő előnyök érdekében:
- Központosított erős hitelesítés kényszerítése
- Kockázatos végfelhasználói tevékenységek monitorozása és szabályozása
- Kockázatos örökölt alkalmazástevékenységek monitorozása és szervizelése
- Bizalmas adatátvitel észlelése és megakadályozása
Azure-útmutató: A helyszíni és a nem natív felhőalkalmazások védelme örökölt hitelesítéssel, a következőhöz való csatlakoztatással:
- Azure AD alkalmazásproxy és konfigurálja a fejlécalapú hitelesítést, hogy lehetővé tegye az egyszeri bejelentkezés (SSO) hozzáférését a távoli felhasználók alkalmazásaihoz, miközben explicit módon érvényesíti a távoli felhasználók és az eszközök megbízhatóságát Azure AD feltételes hozzáféréssel. Ha szükséges, használjon egy külső Software-Defined Szegély (SDP) megoldást, amely hasonló funkciókat kínálhat.
- Microsoft Defender for Cloud Apps, amely egy felhőelérési biztonsági közvetítő (CASB) szolgáltatást nyújt a nem jóváhagyott külső SaaS-alkalmazások felhasználói hozzáférésének monitorozására és letiltására.
- A meglévő külső alkalmazáskézbesítési vezérlők és hálózatok.
Megjegyzés: A VPN-eket gyakran használják régi alkalmazások eléréséhez, és gyakran csak alapszintű hozzáférés-vezérléssel és korlátozott munkamenet-figyeléssel rendelkeznek.
Azure-implementáció és további környezet:
- Azure AD alkalmazásproxy
- A Microsoft Felhőappbiztonság ajánlott eljárásai
- biztonságos hibrid hozzáférés Azure AD
AWS-útmutató: Kövesse az Azure útmutatását a helyszíni és a nem natív felhőalkalmazások régi hitelesítéssel történő védelméhez, és csatlakoztassa őket a következőkhöz:
- Azure AD alkalmazásproxy, és úgy konfigurálja a fejlécalapút, hogy lehetővé tegye az egyszeri bejelentkezést (SSO) a távoli felhasználók alkalmazásaihoz, miközben explicit módon ellenőrzi a távoli felhasználók és az eszközök megbízhatóságát Azure AD feltételes hozzáféréssel. Ha szükséges, használjon külső Software-Defined Szegély (SDP) megoldást, amely hasonló funkciókat kínálhat.
- Microsoft Defender for Cloud Apps, amely felhőhozzáférési biztonsági közvetítő (CASB) szolgáltatásként szolgál a nem jóváhagyott külső SaaS-alkalmazások felhasználói hozzáférésének monitorozására és letiltására.
- Meglévő külső alkalmazáskézbesítési vezérlők és hálózatok
Megjegyzés: A VPN-eket gyakran használják régi alkalmazások eléréséhez, és gyakran csak alapszintű hozzáférés-vezérléssel és korlátozott munkamenet-figyeléssel rendelkeznek.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Identity-Aware Proxy (IAP) használatával kezelheti a Http-alapú alkalmazásokhoz való hozzáférést a Google Cloudon kívül, beleértve a helyszíni alkalmazásokat is. Az IAP aláírt fejlécekkel vagy a Users API-val működik az App Engine standard környezetében. Ha szükséges, használjon külső Software-Defined Szegély (SDP) megoldást, amely hasonló funkciókat kínálhat.
Lehetősége van arra is, hogy Microsoft Defender for Cloud Apps használjon, amely felhőelérési biztonsági közvetítő (CASB) szolgáltatásként szolgál a nem jóváhagyott külső SaaS-alkalmazások felhasználói hozzáférésének monitorozására és letiltására.
Megjegyzés: A VPN-eket gyakran használják régi alkalmazások eléréséhez, és gyakran csak alapszintű hozzáférés-vezérléssel és korlátozott munkamenet-figyeléssel rendelkeznek.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):