Beveiligingsbeheer: bevoegde toegang
Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw tenant en resources, waaronder een reeks besturingselementen om uw beheermodel, beheerdersaccounts en werkstations voor bevoegde toegang te beschermen tegen opzettelijke en onbedoelde risico's.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Beveiligingsprincipe: zorg ervoor dat u alle accounts met een hoge bedrijfsimpact identificeert. Beperk het aantal bevoegde accounts/beheerdersaccounts in het besturingsvlak, het beheervlak en het gegevens-/workloadvlak van uw cloud.
Azure-richtlijnen: u moet alle rollen beveiligen met directe of indirecte beheerderstoegang tot door Azure gehoste resources.
Azure Active Directory (Azure AD) is de standaardservice voor identiteits- en toegangsbeheer van Azure. De meest kritieke ingebouwde rollen in Azure AD zijn Globale beheerder en Beheerder voor bevoorrechte rollen, omdat gebruikers die zijn toegewezen aan deze twee rollen beheerdersrollen kunnen delegeren. Met deze bevoegdheden kunnen gebruikers direct of indirect elke resource in uw Azure-omgeving lezen en wijzigen:
- Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD en tot services die gebruikmaken van Azure AD identiteiten.
- Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD en binnen Azure AD Privileged Identity Management (PIM). Daarnaast maakt deze rol het beheer van alle aspecten van PIM en beheereenheden mogelijk.
Buiten Azure AD heeft Azure ingebouwde rollen die essentieel kunnen zijn voor bevoegde toegang op resourceniveau.
- Eigenaar: verleent volledige toegang voor het beheren van alle resources, inclusief de mogelijkheid om rollen toe te wijzen in Azure RBAC.
- Inzender: verleent volledige toegang voor het beheren van alle resources, maar staat u niet toe om rollen toe te wijzen in Azure RBAC, toewijzingen in Azure Blueprints te beheren of installatiekopieëngalerieën te delen.
- Beheerder van gebruikerstoegang: hiermee kunt u gebruikerstoegang tot Azure-resources beheren.
Opmerking: mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt op het Azure AD- of resourceniveau met bepaalde machtigingen die zijn toegewezen.
Daarnaast moeten gebruikers met de volgende drie rollen in de Azure Enterprise Agreement -portal (EA) ook worden beperkt, omdat ze kunnen worden gebruikt voor het direct of indirect beheren van Azure-abonnementen.
- Accounteigenaar: gebruikers met deze rol kunnen abonnementen beheren, inclusief het maken en verwijderen van abonnementen.
- Ondernemingsbeheerder: gebruikers met deze rol kunnen (EA)-portalgebruikers beheren.
- Afdelingsbeheerder: gebruikers met deze rol kunnen accounteigenaren binnen de afdeling wijzigen.
Ten slotte moet u ervoor zorgen dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals Active Directory-domein Controllers (DC's), beveiligingshulpprogramma's en hulpprogramma's voor systeembeheer met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die inbreuk maken op deze beheer- en beveiligingssystemen, kunnen ze onmiddellijk bewapenen om bedrijfskritieke activa in gevaar te brengen.
Azure-implementatie en aanvullende context:
- Machtigingen voor beheerdersrollen in Azure AD
- Beveiligingswaarschuwingen van Azure Privileged Identity Management gebruiken
- Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD
AWS-richtlijnen: u moet alle rollen beveiligen met directe of indirecte beheerderstoegang tot door AWS gehoste resources.
De bevoegde gebruikers/gebruikers met beheerdersrechten moeten worden beveiligd:
- Hoofdgebruiker: de hoofdgebruiker is de accounts met de hoogste bevoegdheid in uw AWS-account. Root-accounts moeten in hoge mate worden beperkt en alleen worden gebruikt in noodsituaties. Raadpleeg besturingselementen voor noodtoegang in PA-5 (Toegang voor noodgevallen instellen).
- IAM-identiteiten (gebruikers, groepen, rollen) met het machtigingsbeleid: IAM-identiteiten die zijn toegewezen met een machtigingsbeleid zoals AdministratorAccess, kunnen volledige toegang hebben tot AWS-services en -resources.
Als u Azure Active Directory (Azure AD) gebruikt als id-provider voor AWS, raadpleegt u de Azure-richtlijnen voor het beheren van de bevoorrechte rollen in Azure AD.
Zorg ervoor dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals AWS Cognito, beveiligingshulpprogramma's en hulpprogramma's voor systeembeheer met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die inbreuk maken op deze beheer- en beveiligingssystemen, kunnen ze onmiddellijk bewapenen om bedrijfskritieke activa in gevaar te brengen.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: u moet alle rollen beveiligen met directe of indirecte beheerderstoegang tot GCP-gehoste resources.
De meest kritieke ingebouwde rol in Google Cloud is de superbeheerder. De superbeheerder kan alle taken in de Beheer-console uitvoeren en heeft onherroepelijke beheerdersmachtigingen. Het wordt afgeraden om het superbeheerdersaccount te gebruiken voor dagelijks beheer.
Basisrollen zijn zeer permissieve verouderde rollen en het is raadzaam dat basisrollen niet worden gebruikt in productieomgevingen, omdat dit brede toegang verleent tot alle Google Cloud-resources. Basisrollen zijn onder andere de rollen Viewer, Editor en Eigenaar. Het wordt aanbevolen om vooraf gedefinieerde of aangepaste rollen te gebruiken. De belangrijke bevoorrechte vooraf gedefinieerde rollen zijn:
- Organisatiebeheerder: gebruikers met deze rol kunnen IAM-beleid beheren en organisatiebeleid voor organisaties, mappen en projecten weergeven.
- Organisatiebeleidsbeheerder: gebruikers met deze rol kunnen definiëren welke beperkingen een organisatie wil toepassen op de configuratie van cloudresources door organisatiebeleid in te stellen.
- Beheerder van organisatierol: gebruikers met deze rol kunnen alle aangepaste rollen in de organisatie en de onderliggende projecten beheren.
- Beveiligings-Beheer: gebruikers met deze rol kunnen elk IAM-beleid ophalen en instellen.
- Beheer weigeren: gebruikers met deze rol hebben machtigingen om het IAM-weigeringsbeleid te lezen en te wijzigen.
Daarnaast bevatten bepaalde vooraf gedefinieerde rollen bevoorrechte IAM-machtigingen op organisatie-, map- en projectniveau. Deze IAM-machtigingen omvatten:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Implementeer verder scheiding van taken door rollen toe te wijzen aan accounts voor verschillende projecten of door gebruik te maken van binaire autorisatie met Google Kubernetes Engine.
Ten slotte moet u ervoor zorgen dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals cloud-DNS, beveiligingshulpprogramma's en hulpprogramma's voor systeembeheer met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die inbreuk maken op deze beheer- en beveiligingssystemen, kunnen ze onmiddellijk bewapenen om bedrijfskritieke activa in gevaar te brengen.
GCP-implementatie en aanvullende context:
- Aanbevolen procedures voor superbeheerdersaccounts
- Naslaginformatie over basisrollen en vooraf gedefinieerde IAM-rollen
- Scheiding van taken en identiteits- en toegangsbeheerrollen
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
- Beveiligingsnalevingsbeheer
- Beveiligingsbewerkingen
PA-2: Voorkom permanente toegang voor gebruikersaccounts en machtigingen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| N.v.t. | AC-2 | N.v.t. |
Beveiligingsprincipe: gebruik in plaats van permanente bevoegdheden te maken, het Just-In-Time-mechanisme (JIT) om bevoegde toegang toe te wijzen aan de verschillende resourcelagen.
Azure-richtlijnen: JIT-bevoegde toegang (Just-In-Time) tot Azure-resources en Azure AD inschakelen met behulp van Azure AD Privileged Identity Management (PIM). JIT is een model waarin gebruikers tijdelijke machtigingen ontvangen om bevoegde taken uit te voeren, waarmee wordt voorkomen dat kwaadwillende of onbevoegde gebruikers toegang krijgen nadat de machtigingen zijn verlopen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.
Beperk inkomend verkeer naar uw gevoelige VM-beheerpoorten (virtuele machines) met de JIT-functie (Just-In-Time) van Microsoft Defender for Cloud voor VM-toegang. Dit zorgt ervoor dat bevoegde toegang tot de VM alleen wordt verleend wanneer gebruikers deze nodig hebben.
Azure-implementatie en aanvullende context:
- Just-In-Time-toegangsimplementatie van Azure PIM
- Meer informatie over just-in-time-toegang (JIT) voor VM's
AWS-richtlijnen: AWS Security Token Service (AWS STS) gebruiken om tijdelijke beveiligingsreferenties te maken voor toegang tot de resources via de AWS-API. Tijdelijke beveiligingsreferenties werken bijna identiek aan de referenties voor toegangssleutels voor de lange termijn die uw IAM-gebruikers kunnen gebruiken, met de volgende verschillen:
- Tijdelijke beveiligingsreferenties hebben een korte levensduur, van minuten tot uren.
- Tijdelijke beveiligingsreferenties worden niet opgeslagen bij de gebruiker, maar worden dynamisch gegenereerd en aan de gebruiker verstrekt wanneer daarom wordt gevraagd.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik voorwaardelijke IAM-toegang om tijdelijke toegang te maken tot resources met behulp van voorwaardelijke rolbindingen in beleid voor toestaan, dat wordt verleend aan gebruikers van cloudidentiteit. Configureer datum-/tijdkenmerken om op tijd gebaseerde besturingselementen af te dwingen voor toegang tot een bepaalde resource. Tijdelijke toegang kan een korte levensduur hebben, van minuten tot uren, of kan worden verleend op basis van dagen of uren van de week.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
- Beveiligingsnalevingsbeheer
- Beveiligingsbewerkingen
PA-3: Levenscyclus van identiteiten en rechten beheren
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Beveiligingsprincipe: gebruik een geautomatiseerd proces of technisch beheer om de identiteits- en toegangslevenscyclus te beheren, inclusief de aanvraag, beoordeling, goedkeuring, inrichting en ongedaan maken van inrichting.
Azure-richtlijnen: gebruik Azure AD rechtenbeheerfuncties om werkstromen voor toegangsaanvragen te automatiseren (voor Azure-resourcegroepen). Hierdoor kunnen werkstromen voor Azure-resourcegroepen toegangstoewijzingen, beoordelingen, verloop en goedkeuring met twee of meerdere fasen beheren.
Gebruik Machtigingenbeheer om ongebruikte en overmatige machtigingen die zijn toegewezen aan gebruikers- en workloadidentiteiten in meerdere cloudinfrastructuren te detecteren, automatisch de juiste grootte te bepalen en continu te bewaken.
Azure-implementatie en aanvullende context:
- Wat zijn Azure AD toegangsbeoordelingen?
- Wat is Azure AD rechtenbeheer?
- Overzicht van machtigingenbeheer
AWS-richtlijnen: gebruik AWS Access Advisor om de toegangslogboeken voor de gebruikersaccounts en rechten voor resources op te halen. Bouw een handmatige of geautomatiseerde werkstroom om te integreren met AWS IAM om toegangstoewijzingen, beoordelingen en verwijderingen te beheren.
Opmerking: er zijn oplossingen van derden beschikbaar op AWS Marketplace voor het beheren van de levenscyclus van identiteiten en rechten.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik de Cloud-auditlogboeken van Google om de auditlogboeken voor beheerdersactiviteiten en gegevenstoegang op te halen voor de gebruikersaccounts en rechten voor resources. Bouw een handmatige of geautomatiseerde werkstroom voor integratie met GCP IAM voor het beheren van toegangstoewijzingen, beoordelingen en verwijderingen.
Gebruik Google Cloud Identity Premium om kernservices voor identiteits- en apparaatbeheer te bieden. Deze services omvatten functies zoals geautomatiseerde inrichting van gebruikers, het in de whitelist opnemen van apps en geautomatiseerd beheer van mobiele apparaten.
Opmerking: er zijn oplossingen van derden beschikbaar op de Google Cloud Marketplace voor het beheren van de levenscyclus van identiteiten en rechten.
GCP-implementatie en aanvullende context:
- IAM Access Advisor
- Cloudidentiteit en Atlassian-toegang: beheer van de levenscyclus van gebruikers in uw organisatie
- Toegang tot de API verlenen en intrekken
- Toegang tot een Google Cloud-project intrekken
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
PA-4: gebruikerstoegang regelmatig controleren en afstemmen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Beveiligingsprincipe: voer regelmatig een beoordeling uit van bevoegde accountrechten. Zorg ervoor dat de toegang die aan de accounts wordt verleend, geldig is voor beheer van besturingsvlak, beheervlak en workloads.
Azure-richtlijnen: controleer alle bevoegde accounts en de toegangsrechten in Azure, inclusief Azure-tenants, Azure-services, VM/IaaS, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en beveiliging.
Gebruik Azure AD toegangsbeoordelingen om Azure AD rollen, toegangsrollen voor Azure-resources, groepslidmaatschappen en toegang tot bedrijfstoepassingen te controleren. Azure AD rapportage kan ook logboeken bieden om verouderde accounts of accounts die gedurende een bepaalde tijd niet zijn gebruikt, te detecteren.
Bovendien kan Azure AD Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol, en om beheerdersaccounts te identificeren die verlopen of onjuist zijn geconfigureerd.
Azure-implementatie en aanvullende context:
- Een toegangsbeoordeling maken van Azure-resourcerollen in Privileged Identity Management (PIM)
- Identiteits- en toegangsbeoordelingen van Azure AD
AWS-richtlijnen: controleer alle bevoegde accounts en de toegangsrechten in AWS, inclusief AWS-accounts, services, VM/IaaS, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en beveiliging.
Gebruik IAM Access Advisor, Access Analyzer en Referentierapporten om toegangsrollen voor resources, groepslidmaatschappen en toegang tot bedrijfstoepassingen te controleren. Rapportage van IAM Access Analyzer en referentierapporten kunnen ook logboeken bieden om verouderde accounts of accounts te detecteren die gedurende een bepaalde tijd niet zijn gebruikt.
Als u Azure Active Directory (Azure AD) gebruikt als id-provider voor AWS, gebruikt u Azure AD toegangsbeoordeling om de bevoegde accounts en toegangsrechten periodiek te controleren.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: controleer alle bevoegde accounts en de toegangsrechten in Google Cloud, inclusief Cloud Identity-accounts, services, VM/IaaS, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en beveiliging.
Gebruik Cloud Audit Logs en Policy Analyzer om toegangsrollen voor resources en groepslidmaatschappen te controleren. Maak analysequery's in Policy Analyzer om te bepalen welke principals toegang hebben tot specifieke resources.
Als u Azure Active Directory (Azure AD) gebruikt als id-provider voor Google Cloud, gebruikt u Azure AD toegangsbeoordeling om de bevoegde accounts en toegangsrechten periodiek te controleren.
Bovendien kan Azure AD Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol, en om beheerdersaccounts te identificeren die verlopen of onjuist zijn geconfigureerd.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
PA-5: Noodtoegang instellen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| N.v.t. | AC-2 | N.v.t. |
Beveiligingsprincipe: stel toegang in noodgevallen in om ervoor te zorgen dat u niet per ongeluk wordt vergrendeld van uw kritieke cloudinfrastructuur (zoals uw identiteits- en toegangsbeheersysteem) in een noodgeval.
Accounts voor noodtoegang mogen zelden worden gebruikt en kunnen zeer schadelijk zijn voor de organisatie als ze worden gecompromitteerd, maar de beschikbaarheid ervan voor de organisatie is ook van cruciaal belang voor de weinige scenario's waarin ze nodig zijn.
Azure-richtlijnen: als u wilt voorkomen dat uw Azure AD organisatie per ongeluk wordt vergrendeld, stelt u een account voor noodtoegang in (bijvoorbeeld een account met de rol Globale beheerder) voor toegang wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Accounts voor noodtoegang hebben meestal zeer uitgebreide bevoegdheden en kunnen beter niet aan specifieke personen worden toegewezen. Accounts voor noodtoegang zijn beperkt tot nood- of 'break glass'-scenario's waarbij normale beheerdersaccounts niet kunnen worden gebruikt.
Zorg ervoor dat de referenties (zoals wachtwoord, certificaat of smartcard) voor accounts voor noodtoegang veilig worden bewaard en alleen bekend zijn bij personen die deze alleen in een noodgeval mogen gebruiken. U kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en deze aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren. U moet ook de aanmeldings- en auditlogboeken controleren om ervoor te zorgen dat accounts voor noodtoegang alleen worden gebruikt wanneer dit is geautoriseerd.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: AWS-hoofdaccounts mogen niet worden gebruikt voor normale beheertaken. Omdat het hoofdaccount zeer bevoegd is, mag het niet worden toegewezen aan specifieke personen. Het gebruik moet worden beperkt tot alleen nood- of 'break glass'-scenario's wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Voor dagelijkse beheertaken moeten afzonderlijke bevoegde gebruikersaccounts worden gebruikt en de juiste machtigingen worden toegewezen via IAM-rollen.
U moet er ook voor zorgen dat de referenties (zoals wachtwoord, MFA-tokens en toegangssleutels) voor hoofdaccounts veilig worden bewaard en alleen bekend zijn bij personen die gemachtigd zijn om ze alleen in noodgevallen te gebruiken. MFA moet zijn ingeschakeld voor het hoofdaccount en u kunt ook extra besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee stukken en deze aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren.
U moet ook de aanmeldings- en auditlogboeken in CloudTrail of EventBridge bewaken om ervoor te zorgen dat roottoegangsaccounts alleen worden gebruikt wanneer ze zijn geautoriseerd.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Google Cloud Identity-superbeheerdersaccounts mogen niet worden gebruikt voor normale beheertaken. Omdat het superbeheerdersaccount zeer bevoegd is, mag het niet worden toegewezen aan specifieke personen. Het gebruik moet worden beperkt tot alleen nood- of 'break glass'-scenario's wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Voor dagelijkse beheertaken moeten afzonderlijke bevoegde gebruikersaccounts worden gebruikt en de juiste machtigingen worden toegewezen via IAM-rollen.
U moet er ook voor zorgen dat de referenties (zoals wachtwoord, MFA-tokens en toegangssleutels) voor superbeheerdersaccounts veilig worden bewaard en alleen bekend zijn bij personen die gemachtigd zijn om ze alleen in noodgevallen te gebruiken. MFA moet zijn ingeschakeld voor het superbeheerdersaccount en u kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en deze aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren.
U moet ook de aanmeldings- en auditlogboeken in cloudcontrolelogboeken bewaken of een query uitvoeren op beleidsanalyse om ervoor te zorgen dat superbeheerdersaccounts alleen worden gebruikt wanneer ze zijn geautoriseerd.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
PA-6: Werkstations met uitgebreide toegang gebruiken
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N.v.t. |
Beveiligingsprincipe: beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator.
Azure-richtlijnen: Gebruik Azure Active Directory, Microsoft Defender en/of Microsoft Intune om bevoegde toegangswerkstations (PAW) on-premises of in Azure te implementeren voor bevoegde taken. Het PAW moet centraal worden beheerd om beveiligde configuratie af te dwingen, met inbegrip van sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.
U kunt ook Azure Bastion gebruiken. Dit is een volledig door het platform beheerde PaaS-service die binnen uw virtuele netwerk kan worden ingericht. Azure Bastion maakt RDP-/SSH-connectiviteit met uw virtuele machines rechtstreeks vanuit de Azure Portal met behulp van een webbrowser mogelijk.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: Gebruik Session Manager in AWS Systems Manager om een toegangspad (een verbindingssessie) te maken naar het EC2-exemplaar of een browsersessie naar de AWS-resources voor bevoegde taken. Session Manager biedt RDP-, SSH- en HTTPS-connectiviteit met uw doelhosts via port forwarding.
U kunt er ook voor kiezen om een PAW (Privileged Access Workstations) centraal te implementeren dat wordt beheerd via Azure Active Directory, Microsoft Defender en/of Microsoft Intune. Het centrale beheer moet beveiligde configuratie afdwingen, inclusief sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik Identity-Aware Proxy (IAP) Desktop om een toegangspad (een verbindingssessie) te maken naar het rekenproces voor bevoegde taken. IAP Desktop biedt RDP- en SSH-connectiviteit met uw doelhosts via port forwarding. Bovendien kunnen Externe Linux-rekeninstanties via een SSH-browser via de Google Cloud-console worden verbonden met Linux-rekeninstanties.
U kunt er ook voor kiezen om een PAW (Privileged Access Workstations) centraal te implementeren dat wordt beheerd via Google Workspace Endpoint Management- of Microsoft-oplossingen (Azure Active Directory, Microsoft Defender en/of Microsoft Intune). Het centrale beheer moet beveiligde configuratie afdwingen, inclusief sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.
U kunt ook bastionhosts maken voor beveiligde toegang tot vertrouwde omgevingen met gedefinieerde parameters.
GCP-implementatie en aanvullende context:
- Veilig verbinding maken met VM-exemplaren
- Verbinding maken met virtuele Linux-machines met behulp van Identity-Aware proxy
- Verbinding maken met VM's met behulp van een bastionhost
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Beveiligingsprincipe: volg het principe just enough administration (least privilege) om machtigingen op fijnmazig niveau te beheren. Gebruik functies zoals op rollen gebaseerd toegangsbeheer (RBAC) om toegang tot resources te beheren via roltoewijzingen.
Azure-richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via roltoewijzingen. Via RBAC kunt u rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell en de Azure Portal.
De bevoegdheden die u via Azure RBAC aan resources toewijst, moeten altijd worden beperkt tot wat vereist is voor de rollen. Beperkte bevoegdheden vormen een aanvulling op de JIT-benadering (Just-In-Time) van Azure AD Privileged Identity Management (PIM). Deze bevoegdheden moeten regelmatig worden gecontroleerd. Indien nodig kunt u PIM ook gebruiken om een tijdsgebonden toewijzing te definiëren. Dit is een voorwaarde in een roltoewijzing waarbij een gebruiker de rol alleen binnen de opgegeven begin- en einddatum kan activeren.
Opmerking: gebruik ingebouwde Azure-rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.
Azure-implementatie en aanvullende context:
- Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
- RBAC configureren in Azure
- Identiteits- en toegangsbeoordelingen van Azure AD
- Azure AD Privileged Identity Management - Tijdsgebonden toewijzing
AWS-richtlijnen: AWS-beleid gebruiken om toegang tot AWS-resources te beheren. Er zijn zes typen beleidsregels: beleid op basis van identiteit, op resources gebaseerd beleid, machtigingsgrenzen, SCP (Service Control-beleid voor AWS-organisaties), Access Control Lijst en sessiebeleid. U kunt door AWS beheerde beleidsregels gebruiken voor algemene gebruiksvoorbeelden van machtigingen. U moet er echter rekening mee houden dat beheerde beleidsregels overmatige machtigingen kunnen bevatten die niet aan de gebruikers moeten worden toegewezen.
U kunt ook AWS ABAC (op kenmerken gebaseerd toegangsbeheer) gebruiken om machtigingen toe te wijzen op basis van kenmerken (tags) die zijn gekoppeld aan IAM-resources, waaronder IAM-entiteiten (gebruikers of rollen) en AWS-resources.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik Google Cloud IAM Policy om toegang tot GCP-resources te beheren via roltoewijzingen. U kunt de vooraf gedefinieerde rollen van Google Cloud gebruiken voor algemene gebruiksvoorbeelden van machtigingen. U moet er echter rekening mee houden dat vooraf gedefinieerde rollen overmatige machtigingen kunnen bevatten die niet aan de gebruikers moeten worden toegewezen.
Gebruik daarnaast Beleidsintelligentie met de IAM-aanbevelingsfunctie om overmatige machtigingen van accounts te identificeren en te verwijderen.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Toepassingsbeveiliging en DevSecOps
- Beveiligingsnalevingsbeheer
- Postuurbeheer
- Identiteits- en sleutelbeheer
PA-8 Toegangsproces voor ondersteuning van cloudproviders bepalen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N.v.t. |
Beveiligingsprincipe: Stel een goedkeuringsproces en toegangspad in voor het aanvragen en goedkeuren van ondersteuningsaanvragen van leveranciers en tijdelijke toegang tot uw gegevens via een beveiligd kanaal.
Azure-richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om elke aanvraag voor gegevenstoegang van Microsoft te controleren en goed te keuren of af te wijzen.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: in ondersteuningsscenario's waarin AWS-ondersteuningsteams toegang moeten hebben tot uw gegevens, maakt u een account in de AWS-ondersteuningsportal om ondersteuning aan te vragen. Bekijk de beschikbare opties, zoals het bieden van alleen-lezen gegevenstoegang of de optie voor het delen van het scherm voor AWS-ondersteuning voor toegang tot uw gegevens.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: In ondersteuningsscenario's waarbij Google Cloud Customer Care toegang moet hebben tot uw gegevens, gebruikt u Toegangsgoedkeuring om elke aanvraag voor toegang tot gegevens te controleren en goed te keuren of af te wijzen die door Cloud Customer Care wordt gedaan.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::