Beveiligingsbeheer V2: Bevoegde toegang

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Privileged Access bevat besturingselementen voor het beveiligen van bevoegde toegang tot uw Azure-tenant en -resources. Dit omvat een reeks besturingselementen om uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations te beschermen tegen opzettelijke en onbedoelde risico's.

Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving in Azure Security Benchmark: Privileged Access

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Azure-id	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-1	4.3, 4.8	AC-2

Beperk het aantal gebruikersaccounts met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau. De meest kritieke ingebouwde rollen in Azure AD zijn globale beheerder en de beheerder van bevoorrechte rollen, omdat gebruikers die zijn toegewezen aan deze twee rollen beheerdersrollen kunnen delegeren. Met deze bevoegdheden kunnen gebruikers elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen:

• Globale beheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.

• Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast biedt deze rol het beheer van alle aspecten van PIM en administratieve eenheden.

Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. En misschien wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsactiva.

U kunt bevoegdheden JIT-toegang (Just-In-Time) verlenen voor Azure-resources en Azure AD met behulp van Azure AD Privileged Identity Management (PIM). JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

• Machtigingen voor beheerdersrollen in Azure AD

• Beveiligingswaarschuwingen van Azure Privileged Identity Management gebruiken

• Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Identiteits- en sleutelbeheer

• Beveiligingsarchitectuur

• Beveiligingsnalevingsbeheer

• Beveiligingsbewerkingen

PA-2: Beheerderstoegang tot essentiële bedrijfssystemen beperken

Azure-id	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-2	13.2, 2.10	AC-2, SC-3, SC-7

De toegang tot bedrijfskritieke systemen isoleren door te beperken in welke accounts bevoegde toegang wordt verleend tot de abonnementen en beheergroepen waarin ze zich bevinden. Zorg ervoor dat u ook de toegang tot de beheer-, identiteits- en beveiligingssystemen beperkt die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals Active Directory-domein Controllers (DC's), beveiligingshulpprogramma's en systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk wapenen om bedrijfskritieke assets in gevaar te brengen.

Alle typen toegangsbeheer moeten worden afgestemd op uw bedrijfssegmentatiestrategie om consistent toegangsbeheer te garanderen.

Zorg ervoor dat u afzonderlijke bevoegde accounts toewijst die verschillen van de standaardgebruikersaccounts die worden gebruikt voor e-mail, browsen en productiviteitstaken.

• Azure-onderdelen en referentiemodel

• Toegang tot beheergroepen

• Azure-abonnementsbeheerders

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Identiteits- en sleutelbeheer

• Beveiligingsnalevingsbeheer

• Beveiligingsarchitectuur

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Azure-id	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-3	4.1, 16.9, 16.10	AC-2

Controleer regelmatig gebruikersaccounts en toegangstoewijzing om ervoor te zorgen dat de accounts en hun toegangsniveau geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken waarmee het beoordelingsproces wordt vereenvoudigd. Daarnaast kan Azure Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

• Een toegangsbeoordeling van Azure-resourcerollen maken in Privileged Identity Management(PIM)

• Identiteits- en toegangsbeoordelingen van Azure AD

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Identiteits- en sleutelbeheer

• Toepassingsbeveiliging en DevSecOps

• Beveiligingsnalevingsbeheer

PA-4: Noodtoegang instellen in Azure AD

Azure-id	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-4	16	AC-2, CP-2

Als u wilt voorkomen dat uw Azure AD organisatie per ongeluk wordt vergrendeld, stelt u een account voor noodtoegang in voor toegang wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Accounts voor noodtoegang hebben meestal zeer uitgebreide bevoegdheden en kunnen beter niet aan specifieke personen worden toegewezen. Accounts voor noodtoegang zijn alleen bestemd voor echte noodsituaties waarin normale beheerdersaccounts niet kunnen worden gebruikt. Zorg ervoor dat de referenties (zoals wachtwoord, certificaat of smartcard) voor accounts voor noodtoegang veilig worden bewaard en alleen bekend zijn bij personen die deze alleen in een noodgeval mogen gebruiken.

• Accounts voor noodtoegang beheren in Azure AD

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Identiteits- en sleutelbeheer

• Toepassingsbeveiliging en DevSecOps

• Beveiligingsnalevingsbeheer

• Beveiligingsbewerkingen (SecOps)

PA-5: Rechtenbeheer automatiseren

Azure-id	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-5	16	AC-2, AC-5, PM-10

Gebruik Azure AD rechtenbeheerfuncties om werkstromen voor toegangsaanvragen te automatiseren, waaronder toegangstoewijzingen, beoordelingen en vervaldatum. Goedkeuring met dubbele of meerdere fasen wordt ook ondersteund.

• Wat zijn Azure AD toegangsbeoordelingen?

• Wat is Azure AD rechtenbeheer?

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Identiteits- en sleutelbeheer

• Toepassingsbeveiliging en DevSecOps

• Beveiligingsnalevingsbeheer

PA-6: Werkstations met uitgebreide toegang gebruiken

Azure-id	CIS Controls v7.1 ID('s)	NIST SP 800-53 r4 ID('s)
PA-6	4.6, 11.6, 12.12	AC-2, SC-3, SC-7

Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory, Microsoft Defender for Identity en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.

• Inzicht krijgen in bevoegde toegangswerkstations

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps

• Beveiligingsbewerkingen (SecOps)

• Identiteits- en sleutelbeheer

PA-7: Principe van minimale bevoegdheden hanteren

Azure-id	CIS Controls v7.1 ID('s)	NIST SP 800-53 r4 ID('s)
PA-7	14.6	AC-2, AC-3, SC-3

Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals voor groepen en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell en de Azure Portal. De bevoegdheden die u toewijst aan resources via Azure RBAC, moeten altijd worden beperkt tot wat vereist is voor de rollen. Beperkte bevoegdheden vormen een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en deze bevoegdheden moeten periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

• Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)

• Azure RBAC configureren

• Identiteits- en toegangsbeoordelingen van Azure AD

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps

• Beveiligingsnalevingsbeheer

• Postuurbeheer

• Identiteits- en sleutelbeheer

PA-8: Goedkeuringsproces voor Microsoft-ondersteuning kiezen

Azure-id	CIS Controls v7.1 ID('s)	NIST SP 800-53 r4 ID('s)
PA-8	16	AC-2, AC-3, AC-4

In ondersteuningsscenario's waarin Microsoft toegang moet krijgen tot klantgegevens, biedt Customer Lockbox u de mogelijkheid om elke aanvraag voor klantgegevenstoegang expliciet te beoordelen en goed te keuren of af te wijzen.

• Inzicht in Customer Lockbox

Verantwoordelijkheid: Klant

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps

• Beveiligingsnalevingsbeheer

• Identiteits- en sleutelbeheer