Controllo di sicurezza: identità e controllo di accessoSecurity Control: Identity and Access Control

I suggerimenti sulla gestione delle identità e dell'accesso si concentrano sull'indirizzamento di problemi correlati al controllo degli accessi in base all'identità, al blocco dell'accesso amministrativo, alla segnalazione di eventi correlati all'identità, al comportamento anomalo degli account e al controllo degli accessi in baseIdentity and access management recommendations focus on addressing issues related to identity-based access control, locking down administrative access, alerting on identity-related events, abnormal account behavior, and role-based access control.

3.1: gestire un inventario degli account amministrativi3.1: Maintain an inventory of administrative accounts

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.13.1 4.14.1 CustomerCustomer

Azure AD dispone di ruoli predefiniti che devono essere assegnati in modo esplicito e possono essere sottoposte a query.Azure AD has built-in roles that must be explicitly assigned and are queryable. Usare il modulo Azure AD PowerShell per eseguire query ad hoc per individuare gli account che sono membri di gruppi amministrativi.Use the Azure AD PowerShell module to perform ad hoc queries to discover accounts that are members of administrative groups.

3.2: modificare le password predefinite, ove applicabile3.2: Change default passwords where applicable

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.23.2 4.24.2 CustomerCustomer

Azure AD non è il concetto di password predefinite.Azure AD does not have the concept of default passwords. Altre risorse di Azure che richiedono una password forzano la creazione di una password con requisiti di complessità e una lunghezza minima della password, che varia a seconda del servizio.Other Azure resources requiring a password forces a password to be created with complexity requirements and a minimum password length, which differs depending on the service. L'utente è responsabile per le applicazioni di terze parti e per i servizi del Marketplace che possono usare password predefinite.You are responsible for third-party applications and marketplace services that may use default passwords.

3.3: usare account amministrativi dedicati3.3: Use dedicated administrative accounts

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.33.3 4.34.3 CustomerCustomer

Creare procedure operative standard per l'utilizzo di account amministrativi dedicati.Create standard operating procedures around the use of dedicated administrative accounts. Usare la gestione delle identità e degli accessi del Centro sicurezza di Azure per monitorare il numero di account amministrativi.Use Azure Security Center Identity and Access Management to monitor the number of administrative accounts.

È anche possibile abilitare un accesso just-in-time/just-enough usando Azure AD Privileged Identity Management ruoli con privilegi per i servizi Microsoft e Azure Resource Manager.You can also enable a Just-In-Time / Just-Enough-Access by using Azure AD Privileged Identity Management Privileged Roles for Microsoft Services, and Azure Resource Manager.

3.4: usare Single Sign-On (SSO) con Azure Active Directory3.4: Use single sign-on (SSO) with Azure Active Directory

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.43.4 4.44.4 CustomerCustomer

Laddove possibile, utilizzare Azure Active Directory SSO anziché configurare singole credenziali autonome per servizio.Wherever possible, use Azure Active Directory SSO instead than configuring individual stand-alone credentials per-service. Usare le raccomandazioni sulla gestione delle identità e dell'accesso del Centro sicurezza di Azure.Use Azure Security Center Identity and Access Management recommendations.

3.5: usare l'autenticazione a più fattori per tutti gli accessi basati su Azure Active Directory3.5: Use multi-factor authentication for all Azure Active Directory based access

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3,53.5 4,5, 11,5, 12,11, 16,34.5, 11.5, 12.11, 16.3 CustomerCustomer

Abilitare l'autenticazione a più fattori Azure AD e seguire le indicazioni per la gestione delle identità e degli accessi nel centroEnable Azure AD MFA and follow Azure Security Center Identity and Access Management recommendations.

3.6: usare computer dedicati (workstation con accesso con privilegi) per tutte le attività amministrative3.6: Use dedicated machines (Privileged Access Workstations) for all administrative tasks

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3,63.6 4,6, 11,6, 12,124.6, 11.6, 12.12 CustomerCustomer

Usare le workstation Paw (Privileged Access workstation) con multi-factor authentication configurato per accedere e configurare le risorse di Azure.Use PAWs (privileged access workstations) with MFA configured to log into and configure Azure resources.

3,7: registrare e inviare avvisi sulle attività sospette dagli account amministrativi3.7: Log and alert on suspicious activities from administrative accounts

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3,73.7 4,8, 4,94.8, 4.9 CustomerCustomer

Usare Azure Active Directory report di sicurezza per la generazione di log e avvisi quando si verificano attività sospette o non sicure nell'ambiente.Use Azure Active Directory security reports for generation of logs and alerts when suspicious or unsafe activity occurs in the environment. Usare il Centro sicurezza di Azure per monitorare l'identità e le attività di accesso.Use Azure Security Center to monitor identity and access activity.

3.8: gestire le risorse di Azure solo dalle posizioni approvate3.8: Manage Azure resources from only approved locations

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.83.8 11,711.7 CustomerCustomer

Usare i percorsi denominati di accesso condizionale per consentire l'accesso solo da specifici raggruppamenti logici di intervalli di indirizzi IP o paesi/aree geografiche.Use Conditional Access Named Locations to allow access from only specific logical groupings of IP address ranges or countries/regions.

3.9: Usare Azure Active Directory3.9: Use Azure Active Directory

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.93.9 16,1, 16,2, 16,4, 16,5, 16,616.1, 16.2, 16.4, 16.5, 16.6 CustomerCustomer

Usare Azure Active Directory come sistema di autenticazione e autorizzazione centrale.Use Azure Active Directory as the central authentication and authorization system. Azure AD protegge i dati usando la crittografia avanzata per i dati inattivi e in transito.Azure AD protects data by using strong encryption for data at rest and in transit. Azure AD effettua anche il salting, aggiunge hash e archivia in modo sicuro le credenziali utente.Azure AD also salts, hashes, and securely stores user credentials.

3.10: controllare e riconciliare regolarmente l'accesso utente3.10: Regularly review and reconcile user access

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.103.10 16,9, 16,1016.9, 16.10 CustomerCustomer

Azure AD fornisce i log per individuare gli account obsoleti.Azure AD provides logs to help discover stale accounts. Usare inoltre le verifiche di accesso alle identità di Azure per gestire in modo efficiente l'appartenenza ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo.In addition, use Azure Identity Access Reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. È possibile verificare regolarmente l'accesso degli utenti per assicurarsi che solo le persone appropriate dispongano di accesso continuo.User access can be reviewed on a regular basis to make sure only the right Users have continued access.

3,11: il monitoraggio tenta di accedere alle credenziali disattivate3.11: Monitor attempts to access deactivated credentials

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.113.11 16,1216.12 CustomerCustomer

È possibile accedere alle origini del registro eventi di Azure AD attività di accesso, controllo e rischio, che consentono di integrarsi con qualsiasi strumento SIEM/Monitoring.You have access to Azure AD Sign-in Activity, Audit and Risk Event log sources, which allow you to integrate with any SIEM/Monitoring tool.

È possibile semplificare questo processo creando impostazioni di diagnostica per gli account utente di Azure Active Directory e inviando i log di controllo e di accesso a un'area di lavoro di Log Analytics.You can streamline this process by creating Diagnostic Settings for Azure Active Directory user accounts and sending the audit logs and sign-in logs to a Log Analytics Workspace. È possibile configurare gli avvisi desiderati nell'area di lavoro di Log Analytics.You can configure desired Alerts within Log Analytics Workspace.

3.12: avvisare in caso di deviazione dal comportamento di accesso dell'account3.12: Alert on account login behavior deviation

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.123.12 16,1316.13 CustomerCustomer

Usare Azure AD funzionalità di protezione delle identità e di rischio per configurare risposte automatiche per le azioni sospette rilevate correlate alle identità utente.Use Azure AD Risk and Identity Protection features to configure automated responses to detected suspicious actions related to user identities. È anche possibile inserire i dati in Azure Sentinel per un'analisi più approfondita.You can also ingest data into Azure Sentinel for further investigation.

3.13: fornire a Microsoft l'accesso ai dati dei clienti pertinenti durante gli scenari di supporto3.13: Provide Microsoft with access to relevant customer data during support scenarios

ID AzureAzure ID ID CISCIS IDs ResponsabilitàResponsibility
3.133.13 1616 CustomerCustomer

Negli scenari di supporto in cui Microsoft deve accedere ai dati dei clienti, Customer Lockbox fornisce un'interfaccia per esaminare e approvare o rifiutare le richieste di accesso ai dati del cliente.In support scenarios where Microsoft needs to access customer data, Customer Lockbox provides an interface for you to review, and approve or reject customer data access requests.

Passaggi successiviNext steps