Beveiligingsbeheer V2: Identiteitsbeheer
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Identiteitsbeheer omvat besturingselementen voor het instellen van een veilige identiteit en toegangsbeheer met behulp van Azure Active Directory. Dit omvat het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen.
Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u Details van het ingebouwde initiatief voor naleving van regelgeving in Azure Security Benchmark: Identiteitsbeheer
IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) is de standaardservice voor identiteits- en toegangsbeheer van Azure. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:
Microsoft-cloudresources, zoals Azure Portal, Azure Storage, Azure Virtual Machines (Linux en Windows), Azure Key Vault, PaaS en SaaS-toepassingen.
De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.
Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen uw identiteitsbeveiligingspostuur te beoordelen ten opzichte van de best practice-aanbevelingen van Microsoft. Gebruik de score om te meten hoe goed uw configuratie aansluit bij de aanbevelingen en om verbeteringen door te voeren in uw beveiligingspostuur.
Opmerking: Azure AD biedt ondersteuning voor externe iD-providers, zodat gebruikers zonder Microsoft-account zich met hun externe identiteit kunnen aanmelden bij hun toepassingen en resources.
Verantwoordelijkheid: Klant
Belanghebbenden bij klantbeveiliging (meer informatie):
IM-2: Toepassingsidentiteiten veilig en automatisch beheren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-2 | N.v.t. | AC-2, AC-3, IA-2, IA-4, IA-9 |
Voor niet-menselijke accounts, zoals services of automatisering, gebruikt u beheerde Azure-identiteiten in plaats van een krachtiger menselijk account te maken voor toegang tot resources of het uitvoeren van code. Door Azure beheerde identiteiten kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. Verificatie wordt ingeschakeld via vooraf gedefinieerde regels voor het verlenen van toegang, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Voor services die geen beheerde identiteiten ondersteunen, gebruikt u in plaats daarvan Azure AD om een service-principal met beperkte machtigingen op resourceniveau te maken. Het wordt aanbevolen om service-principals te configureren met certificaatreferenties en terug te vallen op clientgeheimen. In beide gevallen kan Azure Key Vault worden gebruikt in combinatie met door Azure beheerde identiteiten, zodat de runtime-omgeving (zoals een Azure-functie) de referentie kan ophalen uit de sleutelkluis.
Azure Key Vault gebruiken voor registratie van beveiligingsprincipals: authentication#authorize-a-security-principal-to-access-key-vault
Verantwoordelijkheid: Klant
Belanghebbenden bij klantbeveiliging (meer informatie):
IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD biedt identiteits- en toegangsbeheer voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Identiteits- en toegangsbeheer is van toepassing op ondernemingsidentiteiten, zoals werknemers, en op externe identiteiten, zoals partners, leveranciers en leveranciers.
Gebruik Azure AD eenmalige aanmelding (SSO) om de toegang tot de gegevens en resources van uw organisatie on-premises en in de cloud te beheren en te beveiligen. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.
Verantwoordelijkheid: Klant
Belanghebbenden bij klantbeveiliging (meer informatie):
IM-4: Gebruik krachtige besturingselementen voor verificatie voor alle op Azure Active Directory gebaseerde toegang
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD ondersteunt krachtige verificatiecontroles via meervoudige verificatie (MFA) en sterke methoden zonder wachtwoord.
Meervoudige verificatie: schakel Azure AD MFA in en volg de aanbevelingen in het beveiligingsbesturingselement MFA van Azure Security Center inschakelen. MFA kan worden afgedwongen voor alle gebruikers, geselecteerde gebruikers of op het niveau per gebruiker op basis van aanmeldingsvoorwaarden en risicofactoren.
Verificatie zonder wachtwoord: er zijn drie verificatieopties zonder wachtwoord beschikbaar: Windows Hello voor Bedrijven, Microsoft Authenticator-app en on-premises verificatiemethoden zoals smartcards.
Voor beheerders en bevoegde gebruikers moet u ervoor zorgen dat het hoogste niveau van de sterke verificatiemethode wordt gebruikt, gevolgd door het implementeren van het juiste sterke verificatiebeleid voor andere gebruikers.
Als verouderde verificatie op basis van wachtwoorden nog steeds wordt gebruikt voor Azure AD verificatie, moet u er rekening mee houden dat cloudaccounts (gebruikersaccounts die rechtstreeks in Azure zijn gemaakt) een standaardwachtwoordbeleid voor de basislijn hebben. En hybride accounts (gebruikersaccounts die afkomstig zijn van on-premises Active Directory) volgen het on-premises wachtwoordbeleid. Wanneer u verificatie op basis van wachtwoorden gebruikt, biedt Azure AD een wachtwoordbeveiligingsfunctie waarmee wordt voorkomen dat gebruikers wachtwoorden instellen die gemakkelijk te raden zijn. Microsoft biedt een algemene lijst met verboden wachtwoorden die wordt bijgewerkt op basis van telemetrie, en klanten kunnen de lijst uitbreiden op basis van hun behoeften (zoals huisstijl, culturele verwijzingen, enzovoort). Deze wachtwoordbeveiliging kan worden gebruikt voor cloudaccounts en hybride accounts.
Opmerking: Verificatie alleen op basis van wachtwoordreferenties is vatbaar voor populaire aanvalsmethoden. Gebruik voor een betere beveiliging sterke verificatie, zoals MFA en een beleid voor een sterk wachtwoord. Voor toepassingen van derden en marketplace-services die mogelijk standaardwachtwoorden hebben, moet u deze wijzigen tijdens de eerste installatie van de service.
Algemene informatie over opties voor verificatie zonder wachtwoord voor Azure Active Directory
Ongeschikte wachtwoorden voorkomen met Azure AD-wachtwoordbeveiliging
Verantwoordelijkheid: Klant
Belanghebbenden bij klantbeveiliging (meer informatie):
IM-5: Bewaken van accounts op afwijkingen en waarschuwingenbeheer
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD biedt de volgende gegevensbronnen:
Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
Auditlogboeken: biedt traceerbaarheid via logboeken voor alle wijzigingen die zijn aangebracht via verschillende functies in Azure AD. Voorbeelden van auditlogboeken voor vastgelegde wijzigingen zijn het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.
Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.
Deze gegevensbronnen kunnen worden geïntegreerd met Azure Monitor, Azure Sentinel of SIEM-systemen van derden.
Azure Security Center kunt ook waarschuwen voor bepaalde verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen en afgeschafte accounts in het abonnement.
Microsoft Defender for Identity is een beveiligingsoplossing die on-premises Active Directory-signalen kan gebruiken voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke acties van binnen.
Azure AD-gebruikers identificeren die zijn gemarkeerd voor riskante activiteiten
Identiteits- en toegangsactiviteiten van gebruikers controleren in Azure Security Center
Waarschuwingen in Azure Security Center- en Azure Defender-abonnementen
Verbinding maken met gegevens uit Azure AD Identity Protection
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IM-6: Toegang tot Azure-resource beperken op basis van voorwaarden
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-6 | N.v.t. | AC-2, AC-3 |
Gebruik Azure AD voorwaardelijke toegang voor gedetailleerder toegangsbeheer op basis van door de gebruiker gedefinieerde voorwaarden, zoals het vereisen van gebruikersaanmelding van bepaalde IP-bereiken om MFA te gebruiken. Een gedetailleerd beheer van verificatiesessies kan ook worden gebruikt via Azure AD beleid voor voorwaardelijke toegang voor verschillende use cases.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IM-7: Onbedoelde blootstelling van referenties elimineren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implementeer Azure DevOps Credential Scanner om referenties in de code te identificeren. Referentiescanner moedigt ook het verplaatsen van gedetecteerde referenties aan naar veiligere locaties, zoals Azure Key Vault.
Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere vormen van geheimen in de code te identificeren.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IM-8: Gebruikerstoegang tot verouderde toepassingen beveiligen
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Zorg ervoor dat u beschikt over moderne toegangsbeheer en sessiebewaking voor verouderde toepassingen en de gegevens die ze opslaan en verwerken. Hoewel VPN's vaak worden gebruikt voor toegang tot verouderde toepassingen, hebben ze vaak alleen basistoegangsbeheer en beperkte sessiebewaking.
met Azure AD toepassingsproxy kunt u verouderde on-premises toepassingen publiceren naar externe gebruikers met eenmalige aanmelding (SSO), terwijl u de betrouwbaarheid van zowel externe gebruikers als apparaten met Azure AD voorwaardelijke toegang expliciet valideert.
Als alternatief is Microsoft Defender for Cloud Apps een CASB-service (Cloud Access Security Broker) die besturingselementen kan bieden voor het bewaken van de toepassingssessies en blokkeringsacties van een gebruiker (voor zowel verouderde on-premises toepassingen als Cloud Software as a Service(SaaS)-toepassingen).
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):