Biztonságvezérlés v3: Emelt szintű hozzáférés

A Privileged Access az Azure-bérlőhöz és -erőforrásokhoz való emelt szintű hozzáférés védelmét biztosító vezérlőket tartalmazza, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférésű munkaállomások szándékos és véletlen kockázattal szembeni védelmét biztosító vezérlőket.

PA-1: A kiemelt jogosultságú/rendszergazda felhasználók elkülönítése és korlátozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Biztonsági elv: Győződjön meg arról, hogy az összes nagy üzleti hatással rendelkező fiókot azonosítja. Korlátozza a kiemelt/rendszergazdai fiókok számát a felhő vezérlősíkján, a felügyeleti síkon és az adatok/számítási feladatok síkján.

Azure-útmutató: a Azure Active Directory (Azure AD) az Azure alapértelmezett identitás- és hozzáférés-kezelési szolgáltatása. A Azure AD legkritikusabb beépített szerepkörei a globális rendszergazda és a kiemelt szerepkörök rendszergazdái, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak. Ezekkel a jogosultságokkal a felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását:

  • Globális rendszergazda/vállalati rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.
  • Emelt szintű szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.

A Azure AD kívül az Azure beépített szerepköröket is biztosít, amelyek kritikus fontosságúak lehetnek az emelt szintű hozzáféréshez az erőforrás szintjén.

  • Tulajdonos: Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, beleértve a szerepkörök hozzárendelését az Azure RBAC-ben.
  • Közreműködő: Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, de nem teszi lehetővé szerepkörök hozzárendelését az Azure RBAC-ben, a hozzárendelések kezelését az Azure Blueprintsben vagy a rendszerképtárak megosztását.
  • Felhasználói hozzáférés rendszergazdája: Lehetővé teszi az Azure-erőforrásokhoz való felhasználói hozzáférés kezelését. Megjegyzés: Előfordulhat, hogy más kritikus fontosságú szerepkörökkel is rendelkezik, amelyeket szabályozni kell, ha egyéni szerepköröket használ Azure AD szinten vagy erőforrásszinten bizonyos emelt szintű engedélyekkel.

Győződjön meg arról, hogy az üzletileg kritikus fontosságú eszközökhöz rendszergazdai hozzáféréssel rendelkező más felügyeleti, identitás- és biztonsági rendszerekben, például a Active Directory-tartomány-vezérlőkhöz (TARTOMÁNYVEZÉRLŐK), biztonsági eszközökhöz és rendszerfelügyeleti eszközökhöz tartozó, az üzletileg kritikus rendszerekre telepített ügynökökkel rendelkező kiemelt fiókokat is korlátozza. Azok a támadók, akik feltörik ezeket a felügyeleti és biztonsági rendszereket, azonnal fegyverbe helyezhetik őket, hogy veszélyeztetjék az üzletileg kritikus fontosságú eszközöket.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-2: Felhasználói fiókokhoz és engedélyekhez való folyamatos hozzáférés elkerülése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
N/A AC-2 N/A

Biztonsági elv: Állandó jogosultságok létrehozása helyett használjon igény szerinti (JIT) mechanizmust, amellyel emelt szintű hozzáférést rendelhet a különböző erőforrásszintekhez.

Azure-útmutató: Igény szerinti (JIT) emelt szintű hozzáférés engedélyezése azure-erőforrásokhoz és Azure AD Azure AD Privileged Identity Management (PIM) használatával. A JIT egy olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak az emelt szintű feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók hozzáférést kapjanak az engedélyek lejárta után. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Korlátozza a bejövő forgalmat a bizalmas virtuális gépek (VM) felügyeleti portokra a Felhőhöz készült Microsoft Defender igény szerinti (JIT) virtuálisgép-hozzáférési funkciójával. Ez biztosítja, hogy a rendszerjogosított hozzáférés csak akkor legyen engedélyezve a virtuális géphez, ha a felhasználóknak szükségük van rá.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-3: Identitások és jogosultságok életciklusának kezelése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Biztonsági elv: Automatizált folyamat vagy technikai ellenőrzés használatával kezelheti az identitás és a hozzáférési életciklust, beleértve a kérést, a felülvizsgálatot, a jóváhagyást, a kiépítést és a megszüntetést.

Azure-útmutató: Azure AD jogosultságkezelési funkciókkal automatizálhatja a hozzáférési (Azure-erőforráscsoportokhoz tartozó) kérési munkafolyamatokat. Ez lehetővé teszi, hogy az Azure-erőforráscsoportok munkafolyamatai kezelhessék a hozzáférési hozzárendeléseket, a felülvizsgálatokat, a lejáratot, valamint a kettős vagy többszakaszos jóváhagyást.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-4: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Biztonsági elv: Rendszeresen felülvizsgálja az emelt szintű fiókjogosultságokat. Győződjön meg arról, hogy a fiókokhoz biztosított hozzáférés érvényes a vezérlősík, a felügyeleti sík és a számítási feladatok felügyeletéhez.

Azure-útmutató: Tekintse át az Összes kiemelt fiókot és hozzáférési jogosultságot az Azure-ban, beleértve az Azure-bérlőt, az Azure-szolgáltatásokat, a virtuális gépet/IaaS-t, a CI-/CD-folyamatokat, valamint a vállalati felügyeleti és biztonsági eszközöket.

A Azure AD hozzáférési felülvizsgálatokkal áttekintheti Azure AD szerepköröket és azure-beli erőforrás-hozzáférési szerepköröket, csoporttagságokat, valamint a vállalati alkalmazásokhoz való hozzáférést. Azure AD jelentéskészítés naplókat is biztosít, amelyek segítenek felderíteni az elavult fiókokat, a fiókokat, amelyeket bizonyos ideig nem használnak.

Emellett Azure AD Privileged Identity Management konfigurálható úgy is, hogy riasztást adjon, ha egy adott szerepkörhöz túl sok rendszergazdai fiók jön létre, és azonosítja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-5: Vészhelyzeti hozzáférés beállítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
N/A AC-2 N/A

Biztonsági elv: Állítson be vészhelyzeti hozzáférést, hogy vészhelyzet esetén ne zárja ki véletlenül a kritikus fontosságú felhőinfrastruktúrát (például az identitás- és hozzáférés-kezelési rendszert).

A vészhelyzeti hozzáférési fiókokat ritkán kell használni, és biztonsági sérülés esetén rendkívül káros lehet a szervezet számára, de a szervezet számára való elérhetőségük is kritikus fontosságú a kevés olyan forgatókönyv esetében, amikor szükség van rájuk.

Azure-útmutató: Ha meg szeretné akadályozni, hogy véletlenül kizárják a Azure AD szervezetéből, állítson be egy vészhelyzeti hozzáférési fiókot (például egy globális rendszergazdai szerepkörrel rendelkező fiókot) a hozzáféréshez, ha a normál rendszergazdai fiókok nem használhatók. A vészhelyzeti hozzáférési fiókok általában magas szintű jogosultságokkal rendelkeznek, és nem ajánlott azokat egyes személyekhez társítani. A vészhelyzeti hozzáférési fiókok vészhelyzeti vagy "biztonsági mentési" forgatókönyvekre korlátozódnak, ahol a normál rendszergazdai fiókok nem használhatók.

Érdemes biztosítani, hogy a vészhelyzeti hozzáférési fiókok hitelesítő adatai (például jelszó, tanúsítvány vagy intelligens kártya) biztonságos helyen vannak tárolva, amelyet csak azok ismernek, akik jogosultak azokat használni, kizárólag vészhelyzet esetén. További vezérlőket is használhat, például kettős vezérlőket (például a hitelesítő adatok két részre való felosztását és külön személyeknek való átadását) a folyamat biztonságának növelése érdekében. A bejelentkezési és auditnaplókat is figyelnie kell, hogy a segélyhívási fiókok csak engedélyezés alatt használhatók legyenek.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-6: Emelt szintű hozzáférésű munkaállomások használata

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 N/A

Biztonsági elv: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatásüzemeltető.

Azure-útmutató: A Azure Active Directory, a Microsoft Defender és/vagy a Microsoft Intune használatával emelt szintű hozzáférési munkaállomásokat (PAW) helyezhet üzembe a helyszínen vagy az Azure-ban a kiemelt feladatokhoz. Az emelt hozzáférési szintű munkaállomást központilag kell felügyelni a biztonságos konfiguráció kikényszerítése érdekében, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.

Használhatja az Azure Bastiont is, amely egy teljes körűen platform által felügyelt PaaS-szolgáltatás, amely a virtuális hálózaton belül építhető ki. Az Azure Bastion lehetővé teszi az RDP-/SSH-kapcsolatot a virtuális gépekhez közvetlenül a böngészőt használó Azure Portal.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Biztonsági elv: Kövesse a megfelelő felügyeleti (minimális jogosultsági) elvet az engedélyek részletes kezeléséhez. Szerepköralapú hozzáférés-vezérlés (RBAC) használata az erőforrás-hozzáférés szerepkör-hozzárendeléseken keresztüli kezeléséhez.

Azure-útmutató: Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését. Az RBAC-vel szerepköröket rendelhet felhasználókhoz, csoportszolgáltatás-tagokhoz és felügyelt identitásokhoz. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell és a Azure Portal.

Az Erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat mindig a szerepkörök által megkövetelt jogosultságokra kell korlátozni. A korlátozott jogosultságok kiegészítik a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és ezeket a jogosultságokat rendszeresen felül kell vizsgálni. Szükség esetén a PIM-et is használhatja az időhossz (időhöz kötött hozzárendelés) feltétel meghatározásához a szerepkör-hozzárendelésben, ahol a felhasználó csak a kezdési és a befejezési dátumon belül aktiválhatja vagy használhatja a szerepkört.

Megjegyzés: Az Azure beépített szerepköreivel engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

PA-8 A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 N/A

Biztonsági elv: Hozzon létre egy jóváhagyási folyamatot és hozzáférési útvonalat a szállító támogatási kérésének igényléséhez és jóváhagyásához, valamint az adatokhoz való ideiglenes hozzáféréshez egy biztonságos csatornán keresztül.

Azure-útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át és hagyja jóvá vagy utasítsa el az egyes Microsoft adathozzáférési kéréseket.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):