Biztonságvezérlés v2: Emelt szintű hozzáférés
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A Privileged Access az Azure-bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét biztosító vezérlőket foglalja magában. Ebbe beletartozik a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférésű munkaállomások szándékos és véletlen kockázattal szembeni védelmére szolgáló vezérlők széles köre.
A vonatkozó beépített Azure Policy az Azure Security Benchmark jogszabályi megfelelésre vonatkozó beépített kezdeményezésének részleteiben találhatja meg: Privileged Access
PA-1: Emelt jogosultságú felhasználók védelme és korlátozása
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Korlátozza a kiemelt jogosultságú felhasználói fiókok számát, és emelt szintű védelemmel láthatja el ezeket a fiókokat. A Azure AD legkritikusabb beépített szerepkörei a globális rendszergazda és a kiemelt szerepkörök rendszergazdái, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak. Ezekkel a jogosultságokkal a felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását:
Globális rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.
Emelt szintű szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.
Megjegyzés: Előfordulhat, hogy más kritikus szerepkörökkel is rendelkezik, amelyeket szabályozni kell, ha bizonyos emelt szintű engedélyekkel rendelkező egyéni szerepköröket használ. Emellett érdemes lehet hasonló vezérlőket alkalmazni a kritikus fontosságú üzleti eszközök rendszergazdai fiókjára is.
Az Azure AD Privileged Identity Management (PIM) használatával engedélyezheti az Azure-erőforrások és az Azure AD igény szerinti (just-in-time, JIT) jogosultságú hozzáférését. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.
Az Azure Privileged Identity Management biztonsági riasztásainak használata
Emelt szintű hozzáférés biztosítása Azure AD hibrid- és felhőkörnyezetekhez
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-2: Az üzletileg kritikus rendszerek rendszergazdai elérésének korlátozása
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Az üzletileg kritikus rendszerekhez való hozzáférés elkülönítéséhez korlátozza, hogy mely fiókok kapnak emelt szintű hozzáférést azokhoz az előfizetésekhez és felügyeleti csoportokhoz, amelyekben vannak. Győződjön meg arról, hogy az olyan felügyeleti, identitás- és biztonsági rendszerekhez való hozzáférést is korlátozza, amelyek rendszergazdai hozzáféréssel rendelkeznek az üzletileg kritikus fontosságú eszközökhöz, például Active Directory-tartomány-vezérlőkhöz (TARTOMÁNYVEZÉRLŐK), biztonsági eszközökhöz és rendszerfelügyeleti eszközökhöz az üzletileg kritikus rendszerekre telepített ügynökökkel. Azok a támadók, akik feltörik ezeket a felügyeleti és biztonsági rendszereket, azonnal fegyverbe helyezhetik őket, hogy veszélyeztetjék az üzletileg kritikus fontosságú eszközöket.
A hozzáférés-vezérlés konzisztens szabályozása érdekében minden típusú hozzáférés-vezérlést a vállalati szegmentálási stratégiához kell igazítani.
Ügyeljen arra, hogy az e-mailekhez, a böngészéshez és a hatékonyságnövelő feladatokhoz használt szokásos felhasználói fiókoktól eltérő kiemelt jogosultságú fiókokat rendeljen hozzá.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Rendszeresen tekintse át a felhasználói fiókokat és a hozzáférés-hozzárendelést, hogy a fiókok és a hozzáférési szintjük érvényes legyen. A Azure AD hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management használatával is létrehozhat egy hozzáférési felülvizsgálati jelentés munkafolyamatot, amely megkönnyíti a felülvizsgálati folyamatot. Emellett az Azure Privileged Identity Management konfigurálható úgy, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.
Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezel. Ezeket a felhasználókat külön kell kezelnie.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-4: Vészhelyzeti hozzáférés beállítása az Azure AD-ben
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Ha meg szeretné akadályozni, hogy véletlenül kizárják a Azure AD szervezetéből, állítson be egy vészhelyzeti hozzáférési fiókot a hozzáféréshez, ha a normál rendszergazdai fiókok nem használhatók. A vészhelyzeti hozzáférési fiókok általában magas szintű jogosultságokkal rendelkeznek, és nem ajánlott azokat egyes személyekhez társítani. A vészhelyzeti hozzáférési fiókok csak az olyan vészhelyzeti esetekre valók, amikor a normál rendszergazdai fiókok nem használhatók. Érdemes biztosítani, hogy a vészhelyzeti hozzáférési fiókok hitelesítő adatai (például jelszó, tanúsítvány vagy intelligens kártya) biztonságos helyen vannak tárolva, amelyet csak azok ismernek, akik jogosultak azokat használni, kizárólag vészhelyzet esetén.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-5: Jogosultságkezelés automatizálása
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Azure AD jogosultságkezelési funkciókkal automatizálhatja a hozzáférési kérelmek munkafolyamatait, beleértve a hozzáférési hozzárendeléseket, a felülvizsgálatokat és a lejáratot. A kettős vagy többfázisú jóváhagyás is támogatott.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-6: Emelt szintű hozzáférésű munkaállomások használata
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatás üzemeltetője. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory, Microsoft Defender for Identity és/vagy Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. A biztonságos munkaállomások központilag kezelhetők a biztonságos konfiguráció kikényszerítéséhez, beleértve az erős hitelesítést, a szoftveres és hardveres alapkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) lehetővé teszi az Azure-erőforrások hozzáférésének kezelését szerepkör-hozzárendelésekkel. Ezeket a szerepköröket felhasználókhoz, csoportos szolgáltatásnevekhez és felügyelt identitásokhoz rendelheti. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell és a Azure Portal. Az Erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat mindig a szerepkörök által igényelt jogosultságokra kell korlátozni. A korlátozott jogosultságok kiegészítik a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és ezeket a jogosultságokat rendszeresen felül kell vizsgálni.
A beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.
Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)
Az Azure AD identitás- és hozzáférési felülvizsgálatainak használata
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Azokban a támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, az Ügyfélszéf lehetővé teszi, hogy explicit módon tekintse át és hagyja jóvá vagy utasítsa el az egyes ügyféladatok hozzáférési kéréseit.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):