Beveiligingsbeheer: identiteit en Access Control
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Aanbevelingen voor identiteits- en toegangsbeheer zijn gericht op het oplossen van problemen met betrekking tot op identiteiten gebaseerd toegangsbeheer, het vergrendelen van beheerderstoegang, waarschuwingen over identiteitsgerelateerde gebeurtenissen, abnormaal accountgedrag en op rollen gebaseerd toegangsbeheer.
3.1: Een inventaris van beheerdersaccounts bijhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.1 | 4.1 | Klant |
Azure AD heeft ingebouwde rollen die expliciet moeten worden toegewezen en waarop query's kunnen worden uitgevoerd. Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.
3.2: Wijzig indien van toepassing standaardwachtwoorden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3,2 | 4.2 | Klant |
Azure AD heeft niet het concept van standaardwachtwoorden. Andere Azure-resources die een wachtwoord vereisen, dwingen het maken van een wachtwoord met complexiteitsvereisten en een minimale wachtwoordlengte, die verschilt, afhankelijk van de service. U bent verantwoordelijk voor toepassingen van derden en Marketplace-services die mogelijk standaardwachtwoorden gebruiken.
3.3: Toegewezen beheerdersaccounts gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3,3 | 4.3 | Klant |
Maak standaard operationele procedures voor het gebruik van toegewezen beheerdersaccounts. Gebruik de aanbevelingen in het beveiligingsbeheer 'Toegang en machtigingen beheren' van Azure Security Center om het aantal beheerdersaccounts te controleren.
U kunt ook Just-In-Time/Just-Enough-Access inschakelen met behulp van Azure AD Privileged Identity Management bevoorrechte rollen voor Microsoft-services en Azure Resource Manager.
3.4: Eenmalige aanmelding (SSO) gebruiken met Azure Active Directory
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.4 | 4.4 | Klant |
Gebruik waar mogelijk eenmalige aanmelding van Azure Active Directory in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik de aanbevelingen in het beveiligingsbeheer 'Toegang en machtigingen beheren' van Azure Security Center.
3.5: Meervoudige verificatie gebruiken voor alle toegang op basis van Azure Active Directory
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3,5 | 4.5, 11.5, 12.11, 16.3 | Klant |
Schakel Azure AD MFA in en volg de aanbevelingen van Azure Security Center Identity and Access Management.
3.6: Speciale machines (Bevoegde toegangswerkstations) gebruiken voor alle beheertaken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3,6 | 4.6, 11.6, 12.12 | Klant |
Gebruik PAW's (werkstations voor bevoegde toegang) waarbij MFA is geconfigureerd om u aan te melden bij Azure-resources en deze te configureren.
3.7: Registreren en waarschuwen voor verdachte activiteiten van beheerdersaccounts
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.7 | 4.8, 4.9 | Klant |
Gebruik Azure Active Directory-beveiligingsrapporten voor het genereren van logboeken en waarschuwingen wanneer verdachte of onveilige activiteiten plaatsvinden in de omgeving. Gebruik Azure Security Center om identiteits- en toegangsactiviteiten te bewaken.
Azure AD-gebruikers identificeren die zijn gemarkeerd voor riskante activiteiten
Identiteits- en toegangsactiviteiten van gebruikers controleren in Azure Security Center
3.8: Azure-resources alleen beheren vanaf goedgekeurde locaties
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.8 | 11.7 | Klant |
Gebruik benoemde locaties voor voorwaardelijke toegang om alleen toegang toe te staan vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's.
3.9: Azure Active Directory gebruiken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Klant |
Gebruik Azure Active Directory als het centrale verificatie- en autorisatiesysteem. Azure AD beveiligt gegevens met behulp van sterke versleuteling voor data-at-rest en in transit. Azure AD ook salts, hashes en slaat gebruikersreferenties veilig op.
3.10: Regelmatig gebruikerstoegang controleren en afstemmen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.10 | 16.9, 16.10 | Klant |
Azure AD biedt logboeken om verouderde accounts te detecteren. Gebruik daarnaast Azure Identity Access Reviews om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiƫnt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.
3.11: Pogingen bewaken om toegang te krijgen tot gedeactiveerde referenties
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.11 | 16.12 | Klant |
U hebt toegang tot Azure AD logboekbronnen voor aanmeldingsactiviteiten, audit en risicogebeurtenissen, waarmee u kunt integreren met elk SIEM-/bewakingsprogramma.
U kunt dit proces stroomlijnen door diagnostische instellingen te maken voor Azure Active Directory-gebruikersaccounts en de auditlogboeken en aanmeldingslogboeken naar een Log Analytics-werkruimte te verzenden. U kunt de gewenste waarschuwingen configureren in de Log Analytics-werkruimte.
3.12: Waarschuwing bij afwijking van aanmeldingsgedrag van account
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.12 | 16.13 | Klant |
Gebruik de functies Azure AD Risk and Identity Protection om geautomatiseerde reacties op gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten te configureren. U kunt ook gegevens opnemen in Azure Sentinel voor verder onderzoek.
3.13: Microsoft toegang geven tot relevante klantgegevens tijdens ondersteuningsscenario's
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 3.13 | 16 | Klant |
In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot klantgegevens, biedt Customer Lockbox een interface voor het beoordelen en goedkeuren of afwijzen van aanvragen voor toegang tot klantgegevens.
Volgende stappen
- Zie het volgende beveiligingsbeheer: Gegevensbescherming