Security Control V2: Identity Management
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
Az Identity Management az Azure Active Directory használatával biztonságos identitás- és hozzáférés-vezérlést biztosító vezérlőket ismerteti. Ez magában foglalja az egyszeri bejelentkezést, az erős hitelesítéseket, a felügyelt identitásokat (és szolgáltatásneveket) az alkalmazásokhoz, a feltételes hozzáférést és a fiókanomáliák monitorozását.
A vonatkozó beépített Azure Policy megtekintéséhez lásd az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteit: Identity Management
IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása
| Azure-azonosító | CIS-vezérlők v7.1 azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Az Azure Active Directory (Azure AD) az Azure alapértelmezett identitás- és hozzáférés-kezelési szolgáltatása. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:
a Microsoft felhőalapú erőforrásaiban, például az Azure Portalon, az Azure Storage-ban, az Azure-beli (Linux és Windows rendszerű) virtuális gépeken, az Azure Key Vaultban, illetve a PaaS- és az SaaS-alkalmazásokban;
a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.
A Azure AD biztonságossá tételének kiemelt fontosságúnak kell lennie a szervezet felhőbiztonsági gyakorlatában. Azure AD egy identitásbiztonsági pontszámot biztosít, amely segít felmérni az identitásbiztonsági állapotot a Microsoft ajánlott eljárásokkal kapcsolatos ajánlásaihoz képest. A pontszám segít felmérni, hogy a használt konfiguráció milyen mértékben felel meg az ajánlott eljárásokkal kapcsolatos javaslatoknak, és javíthatja a cég vagy szervezet biztonsági állapotát.
Megjegyzés: Az Azure AD támogatja a külső identitásszolgáltatókat, így a Microsoft-fiók nélküli felhasználók is bejelentkezhetnek az alkalmazásokba és erőforrásokba egy külső identitással.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése
| Azure-azonosító | CIS-vezérlők v7.1 azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-2 | N/A | AC-2, AC-3, IA-2, IA-4, IA-9 |
Nem emberi fiókok, például szolgáltatások vagy automatizálás esetén az Azure-beli felügyelt identitások használata ahelyett, hogy hatékonyabb emberi fiókot hoz létre az erőforrások eléréséhez vagy a kód végrehajtásához. Az Azure-beli felügyelt identitások hitelesíthetők Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítést előre meghatározott hozzáférési jogosultsági szabályok teszik lehetővé, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem kódolt hitelesítő adatokat.
A felügyelt identitásokat nem támogató szolgáltatások esetében a Azure AD használatával hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrásszinten. Javasoljuk, hogy konfigurálja a szolgáltatásneveket a tanúsítvány hitelesítő adataival, és térjen vissza az ügyfél titkos kulcsaihoz. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal együtt, így a futtatókörnyezet (például egy Azure-függvény) lekérheti a hitelesítő adatokat a kulcstartóból.
Az Azure Key Vault használata a rendszerbiztonsági tagok regisztrációhoz: authentication#authorize-a-security-principal-to-access-key-vault
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez
| Azure-azonosító | CIS-vezérlők v7.1 azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD identitás- és hozzáférés-kezelést biztosít az Azure-erőforrásokhoz, a felhőalkalmazásokhoz és a helyszíni alkalmazásokhoz. Az identitás- és hozzáférés-kezelés a vállalati identitásokra, például az alkalmazottakra, valamint a külső identitásokra, például partnerekre, szállítókra és beszállítókra vonatkozik.
Azure AD egyszeri bejelentkezés (SSO) használatával kezelheti és biztonságossá teheti a szervezet adataihoz és erőforrásaihoz való hozzáférést a helyszínen és a felhőben. Csatlakoztassa az összes felhasználót, alkalmazást és eszközt a Azure AD a zökkenőmentes, biztonságos hozzáféréshez, valamint a jobb láthatósághoz és vezérléshez.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-4: Erős hitelesítési vezérlők használata minden Azure Active Directory-alapú hozzáféréshez
| Azure-azonosító | CIS-vezérlők v7.1 azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD támogatja az erős hitelesítési vezérlőket többtényezős hitelesítéssel (MFA) és erős jelszó nélküli módszerekkel.
Többtényezős hitelesítés: Engedélyezze Azure AD MFA-t, és kövesse Azure Security Center "MFA engedélyezése" biztonsági vezérlőjének ajánlásait. Az MFA kényszeríthető az összes felhasználóra, kiválaszthat felhasználókat vagy felhasználónkénti szinten a bejelentkezési feltételek és kockázati tényezők alapján.
Jelszó nélküli hitelesítés: Három jelszó nélküli hitelesítési lehetőség érhető el: Vállalati Windows Hello, Microsoft Authenticator alkalmazás és helyszíni hitelesítési módszerek, például intelligens kártyák.
A rendszergazda és a kiemelt jogosultsággal rendelkező felhasználók esetében győződjön meg arról, hogy az erős hitelesítési módszer legmagasabb szintjét használja, majd a megfelelő erős hitelesítési szabályzatot más felhasználók számára is bevezeti.
Ha az örökölt jelszóalapú hitelesítést továbbra is Azure AD hitelesítéshez használják, vegye figyelembe, hogy a csak felhőalapú fiókok (közvetlenül az Azure-ban létrehozott felhasználói fiókok) alapértelmezett alapszintű jelszóházirenddel rendelkeznek. A hibrid fiókok (helyi Active Directory származó felhasználói fiókok) pedig a helyszíni jelszóházirendeket követik. Jelszóalapú hitelesítés használatakor a Azure AD olyan jelszóvédelmi képességet biztosít, amely megakadályozza, hogy a felhasználók könnyen kitalálható jelszavakat állítsanak be. A Microsoft a telemetriai adatok alapján frissített tiltott jelszavak globális listáját biztosítja, és az ügyfelek igényeik (például márkajelzés, kulturális hivatkozások stb.) alapján bővíthetik a listát. Ez a jelszóvédelem csak felhőalapú és hibrid fiókokhoz használható.
Megjegyzés: A jelszóalapú hitelesítés önmagában érzékeny a népszerű támadási módszerekre. A nagyobb biztonság érdekében használjon erős hitelesítést, például MFA-t és erős jelszóházirendet. Az alapértelmezett jelszóval rendelkező külső alkalmazások és Marketplace-szolgáltatások esetében a kezdeti szolgáltatásbeállítás során módosítania kell azokat.
Az Azure Active Directory jelszó nélküli hitelesítési lehetőségeinek ismertetése
A nem megfelelő jelszavak használatának kiküszöbölése az Azure AD Password Protectionnel
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-5: Fiókok rendellenességeinek monitorozása, és riasztás azok alapján
| Azure ID | CIS-vezérlők 7.1-ös verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD a következő adatforrásokat biztosítja:
Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.
Naplók – Naplókon keresztüli nyomon követhetőséget biztosít a Azure AD különböző funkcióin keresztül végrehajtott összes módosításhoz. A naplózott változások naplózási naplói közé tartoznak például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.
Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.
Ezek az adatforrások integrálhatók az Azure Monitor, az Azure Sentinel vagy a külső SIEM-rendszerekkel.
Azure Security Center riasztást is kaphat bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról és az előfizetés elavult fiókjairól.
Microsoft Defender for Identity egy biztonsági megoldás, amely helyi Active Directory jeleket használhat a speciális fenyegetések, a feltört identitások és a rosszindulatú insider műveletek azonosítására, észlelésére és kivizsgálására.
A kockázatos tevékenységek miatt megjelölt Azure AD-felhasználók azonosítása
A felhasználók identitási és hozzáférési tevékenységeinek monitorozása az Azure Security Centerben
Riasztások Azure Security Center és Azure Defender-csomagokban
Adatok csatlakoztatása az Azure AD Identity Protection szolgáltatásból
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-6: Azure-erőforrásokhoz való hozzáférés korlátozása feltételek alapján
| Azure ID | CIS-vezérlők 7.1-ös verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-6 | N/A | AC-2, AC-3 |
Használja Azure AD feltételes hozzáférést a felhasználó által megadott feltételek alapján részletesebb hozzáférés-vezérléshez, például bizonyos IP-tartományokból származó felhasználói bejelentkezések megköveteléséhez az MFA használatához. A részletes hitelesítési munkamenet-kezelés Azure AD feltételes hozzáférési szabályzattal is használható a különböző használati esetekhez.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása
| Azure ID | CIS-vezérlők 7.1-ös verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implementálja az Azure DevOps Credential Scannert a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner arra is ösztönzi a felderített hitelesítő adatokat, hogy biztonságosabb helyekre, például az Azure Key Vault.
A GitHub esetében a natív titkos kód beolvasási funkciójával azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáját a kódban.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
IM-8: Biztonságos felhasználói hozzáférés az örökölt alkalmazásokhoz
| Azure ID | CIS-vezérlők 7.1-ös verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Győződjön meg arról, hogy modern hozzáférés-vezérléssel és munkamenet-figyeléssel rendelkezik az örökölt alkalmazásokhoz, valamint az általuk tárolt és feldolgozott adatokhoz. Bár a VPN-eket gyakran használják a régi alkalmazások eléréséhez, gyakran csak alapszintű hozzáférés-vezérléssel és korlátozott munkamenet-figyeléssel rendelkeznek.
Azure AD alkalmazásproxy lehetővé teszi az örökölt helyszíni alkalmazások közzétételét az egyszeri bejelentkezéssel (SSO) rendelkező távoli felhasználók számára, miközben explicit módon érvényesíti a távoli felhasználók és az eszközök megbízhatóságát Azure AD feltételes hozzáféréssel.
Másik lehetőségként a Microsoft Defender for Cloud Apps egy felhőalapú hozzáférés-biztonsági közvetítő (CASB) szolgáltatás, amely vezérlőket biztosít a felhasználó alkalmazás-munkameneteinek figyeléséhez és a blokkolási műveletekhez (az örökölt helyszíni alkalmazásokhoz és a felhőszoftverek szolgáltatásként nyújtott (SaaS-) alkalmazásokhoz).
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):