Beveiligingsbeheer v3: Bevoegde toegang

  • Artikel

Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw Azure-tenant en -resources, waaronder een reeks besturingselementen voor het beveiligen van uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations tegen opzettelijke en onbedoelde risico's.

PA-1: Afzonderlijke gebruikers met hoge bevoegdheden en beheerdersrechten beperken

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Beveiligingsprincipe: Zorg ervoor dat u alle accounts met hoge bedrijfsimpact identificeert. Beperk het aantal bevoegde/beheerdersaccounts in het besturingsvlak, het beheervlak en de gegevens/workloadlaag van uw cloud.

Azure-richtlijnen: Azure Active Directory (Azure AD) is de standaardservice voor identiteits- en toegangsbeheer van Azure. De meest kritieke ingebouwde rollen in Azure AD zijn globale beheerder en beheerder van bevoorrechte rollen, omdat gebruikers die aan deze twee rollen zijn toegewezen, beheerdersrollen kunnen delegeren. Met deze bevoegdheden kunnen gebruikers elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen:

  • Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.
  • Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen in Azure AD en binnen Azure AD Privileged Identity Management (PIM) beheren. Daarnaast staat deze rol het beheer van alle aspecten van PIM en beheereenheden toe.

Buiten de Azure AD heeft Azure ingebouwde rollen die essentieel kunnen zijn voor bevoegde toegang op resourceniveau.

  • Eigenaar: verleent volledige toegang om alle resources te beheren, inclusief de mogelijkheid om rollen toe te wijzen in Azure RBAC.
  • Inzender: verleent volledige toegang om alle resources te beheren, maar staat u niet toe om rollen toe te wijzen in Azure RBAC, toewijzingen in Azure Blueprints te beheren of galerieën met installatiekopieën te delen.
  • Beheerder van gebruikerstoegang: hiermee kunt u gebruikerstoegang tot Azure-resources beheren. Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen op het Azure AD niveau of resourceniveau gebruikt waaraan bepaalde bevoegde machtigingen zijn toegewezen.

Zorg ervoor dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke activa, zoals Active Directory-domein Controllers (DC's), beveiligingshulpprogramma's en systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk wapenen om bedrijfskritieke assets in gevaar te brengen.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-2: Voorkom permanente toegang voor gebruikersaccounts en -machtigingen

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. AC-2 N.v.t.

Beveiligingsprincipe: In plaats van permanente bevoegdheden te maken, gebruikt u het Just-In-Time-mechanisme (JIT) om bevoegde toegang toe te wijzen aan de verschillende resourcelagen.

Richtlijnen voor Azure: Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD Privileged Identity Management (PIM). JIT is een model waarin gebruikers tijdelijke machtigingen ontvangen om bevoegde taken uit te voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang krijgen nadat de machtigingen zijn verlopen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Beperk inkomend verkeer naar uw gevoelige vm-beheerpoorten (VM's) met Microsoft Defender voor Cloud Just-In-Time (JIT) voor vm-toegangsfunctie. Dit zorgt ervoor dat de bevoegde toegang tot de VIRTUELE machine alleen wordt verleend wanneer gebruikers deze nodig hebben.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-3: De levenscyclus van identiteiten en rechten beheren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Beveiligingsprincipe: Gebruik een geautomatiseerd proces of technisch beheer om de levenscyclus van identiteiten en toegang te beheren, waaronder de aanvraag, beoordeling, goedkeuring, inrichting en ongedaan maken van de inrichting.

Richtlijnen voor Azure: Gebruik Azure AD rechtenbeheerfuncties om toegangswerkstromen (voor Azure-resourcegroepen) te automatiseren. Hierdoor kunnen werkstromen voor Azure-resourcegroepen toegangstoewijzingen, beoordelingen, verlooptijd en goedkeuring met meerdere fasen beheren.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-4: Gebruikerstoegang regelmatig controleren en afstemmen

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Beveiligingsprincipe: Controleer regelmatig de rechten van bevoegde accounts. Zorg ervoor dat de toegang die aan de accounts is verleend, geldig is voor het beheer van het besturingsvlak, het beheervlak en de workloads.

Richtlijnen voor Azure: Controleer alle bevoegde accounts en de toegangsrechten in Azure, waaronder Azure-tenant, Azure-services, VM/IaaS, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en beveiliging.

Gebruik Azure AD toegangsbeoordelingen om Azure AD rollen en Toegangsrollen voor Azure-resources, groepslidmaatschappen, toegang tot bedrijfstoepassingen te bekijken. Azure AD rapportage kan ook logboeken bieden om verouderde accounts te detecteren, accounts die niet gedurende bepaalde tijd worden gebruikt.

Bovendien kan Azure AD Privileged Identity Management worden geconfigureerd om een waarschuwing te geven wanneer er een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol en om beheerdersaccounts te identificeren die verlopen of onjuist zijn geconfigureerd.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-5: Toegang voor noodgevallen instellen

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. AC-2 N.v.t.

Beveiligingsprincipe: Stel noodtoegang in om ervoor te zorgen dat u niet per ongeluk bent vergrendeld in uw kritieke cloudinfrastructuur (zoals uw identiteits- en toegangsbeheersysteem) in een noodgeval.

Accounts voor toegang tot noodgevallen moeten zelden worden gebruikt en kunnen zeer schadelijk zijn voor de organisatie als ze zijn gecompromitteerd, maar hun beschikbaarheid voor de organisatie is ook essentieel voor de weinige scenario's wanneer ze nodig zijn.

Azure-richtlijnen: Als u wilt voorkomen dat uw Azure AD organisatie per ongeluk wordt vergrendeld, stelt u een account voor noodtoegang (bijvoorbeeld een account met de rol Globale beheerder) in voor toegang wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Accounts voor noodtoegang hebben meestal zeer uitgebreide bevoegdheden en kunnen beter niet aan specifieke personen worden toegewezen. Accounts voor toegang tot noodgevallen zijn beperkt tot scenario's met nood- of onderbrekingsglas, waarbij normale beheerdersaccounts niet kunnen worden gebruikt.

Zorg ervoor dat de referenties (zoals wachtwoord, certificaat of smartcard) voor accounts voor noodtoegang veilig worden bewaard en alleen bekend zijn bij personen die deze alleen in een noodgeval mogen gebruiken. U kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en deze aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren. U moet ook de aanmeldings- en auditlogboeken controleren om ervoor te zorgen dat de accounts voor noodtoegang alleen kunnen worden gebruikt onder autorisatie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-6: Werkstations met uitgebreide toegang gebruiken

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 N.v.t.

Beveiligingsprincipe: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator.

Azure-richtlijnen: Gebruik Azure Active Directory, Microsoft Defender en/of Microsoft Intune om on-premises of in Azure bevoegde toegangswerkstations (PAW) te implementeren voor bevoorrechte taken. Het PAW moet centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.

U kunt ook Azure Bastion gebruiken. Dit is een volledig door het platform beheerde PaaS-service die kan worden ingericht in uw virtuele netwerk. Met Azure Bastion is RDP-/SSH-connectiviteit met uw virtuele machines rechtstreeks vanuit de Azure Portal met behulp van de browser mogelijk.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-7: Volg net genoeg beheer (minimale bevoegdheid) principe

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Beveiligingsprincipe: Volg het principe van voldoende beheer (minimale bevoegdheden) om machtigingen op fijnmazig niveau te beheren. Gebruik functies zoals op rollen gebaseerd toegangsbeheer (RBAC) om toegang tot resources te beheren via roltoewijzingen.

Azure-richtlijnen: Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om toegang tot Azure-resources te beheren via roltoewijzingen. Via RBAC kunt u rollen toewijzen aan gebruikers, service-principals voor groepen en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell en de Azure Portal.

De bevoegdheden die u toewijst aan resources via Azure RBAC, moeten altijd worden beperkt tot wat vereist is voor de rollen. Beperkte bevoegdheden vormen een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en deze bevoegdheden moeten periodiek worden gecontroleerd. Indien nodig kunt u PIM ook gebruiken om de voorwaarde tijdslengte (tijdgebonden toewijzing) te definiëren in roltoewijzing, waarbij een gebruiker de rol alleen binnen begin- en einddatums kan activeren of gebruiken.

Opmerking: Gebruik ingebouwde Azure-rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

PA-8 Bepalen toegangsproces voor cloudproviderondersteuning

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 N.v.t.

Beveiligingsprincipe: Stel een goedkeuringsproces en toegangspad in voor het aanvragen en goedkeuren van ondersteuningsaanvragen van leveranciers en tijdelijke toegang tot uw gegevens via een beveiligd kanaal.

Azure-richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om de aanvraag voor gegevenstoegang van Microsoft te controleren en goed te keuren of af te wijzen.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):