Beveiligingsbeheer v3: Identiteitsbeheer

  • Artikel

Identiteitsbeheer omvat besturingselementen voor het instellen van een beveiligde identiteit en toegangsbeheer met behulp van Azure Active Directory, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen.

IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Beveiligingsprincipe: gebruik een gecentraliseerd identiteits- en verificatiesysteem om de identiteiten en verificaties van uw organisatie te beheren voor cloud- en niet-cloudresources.

Azure-richtlijnen: Azure Active Directory (Azure AD) is de identiteits- en verificatiebeheerservice van Azure. U moet Azure AD standaardiseren om de identiteit en verificatie van uw organisatie te beheren in:

  • Microsoft-cloudresources, zoals De Toepassingen Azure Storage, Azure Virtual Machines (Linux en Windows), Azure Key Vault, PaaS en SaaS.
  • De resources van uw organisatie, zoals toepassingen in Azure, toepassingen van derden die worden uitgevoerd op uw bedrijfsnetwerkresources en SaaS-toepassingen van derden.
  • Uw bedrijfsidentiteiten in Active Directory door synchronisatie naar Azure AD om een consistente en centraal beheerde identiteitsstrategie te garanderen.

Opmerking: zodra dit technisch haalbaar is, moet u on-premises Active Directory toepassingen migreren naar Azure AD. Dit kan een Azure AD Enterprise Directory, Business to Business-configuratie of Configuratie van Bedrijf naar consument.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-2: identiteits- en verificatiesystemen beveiligen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Beveiligingsprincipe: beveilig uw identiteits- en verificatiesysteem als een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Algemene beveiligingscontroles zijn onder andere:

  • Bevoorrechte rollen en accounts beperken
  • Sterke verificatie vereisen voor alle bevoegde toegang
  • Activiteiten met een hoog risico bewaken en controleren

Azure-richtlijnen: gebruik de Azure AD beveiligingsbasislijn en de Azure AD Identity Secure Score om uw Azure AD identiteitsbeveiligingspostuur te evalueren en hiaten in de beveiliging en configuratie op te lossen. De Azure AD Identity Secure Score evalueert Azure AD voor de volgende configuraties: -Gebruik beperkte beheerdersrollen

  • Beleid voor gebruikersrisico's inschakelen
  • Meer dan één globale beheerder aanwijzen
  • Beleid inschakelen om verouderde verificatie te blokkeren
  • Zorg ervoor dat alle gebruikers meervoudige verificatie kunnen voltooien voor veilige toegang
  • MFA vereisen voor beheerdersrollen
  • Selfservice voor wachtwoordherstel inschakelen
  • Wachtwoorden niet laten verlopen
  • Beleid voor aanmeldingsrisico's inschakelen
  • Gebruikers niet toestaan om toestemming te verlenen aan niet-beheerde toepassingen

Opmerking: volg de gepubliceerde best practices voor alle andere identiteitsonderdelen, met inbegrip van de on-premises Active Directory en eventuele mogelijkheden van derden, en de infrastructuren (zoals besturingssystemen, netwerken, databases) die als host fungeren.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-3: toepassingsidentiteiten veilig en automatisch beheren

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. AC-2, AC-3, IA-4, IA-5, IA-9 N.v.t.

Beveiligingsprincipe: gebruik beheerde toepassingsidentiteiten in plaats van menselijke accounts te maken voor toepassingen om toegang te krijgen tot resources en code uit te voeren. Beheerde toepassingsidentiteiten bieden voordelen, zoals het verminderen van de blootstelling van referenties. Automatiseer de rotatie van referenties om de beveiliging van de identiteiten te garanderen.

Azure-richtlijnen: Gebruik beheerde Azure-identiteiten, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD-verificatie. Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Voor services die geen beheerde identiteiten ondersteunen, gebruikt u Azure AD om een service-principal met beperkte machtigingen op resourceniveau te maken. Het wordt aanbevolen om service-principals te configureren met certificaatreferenties en terug te vallen op clientgeheimen voor verificatie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-4: Server en services verifiëren

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IA-9 N.v.t.

Beveiligingsprincipe: verifieer externe servers en services aan de clientzijde om ervoor te zorgen dat u verbinding maakt met vertrouwde server en services. Het meest voorkomende serververificatieprotocol is TLS (Transport Layer Security), waarbij de clientzijde (vaak een browser of clientapparaat) de server verifieert door te controleren of het certificaat van de server is uitgegeven door een vertrouwde certificeringsinstantie.

Opmerking: wederzijdse verificatie kan worden gebruikt wanneer zowel de server als de client elkaar verifiëren.

Azure-richtlijnen: veel Azure-services ondersteunen standaard TLS-verificatie. Voor de services die TLS-schakeloptie door de gebruiker ondersteunen, moet u ervoor zorgen dat deze altijd is ingeschakeld om de server-/serviceverificatie te ondersteunen. Uw clienttoepassing moet ook zijn ontworpen om de identiteit van de server/service te verifiëren (door het certificaat van de server te verifiëren dat is uitgegeven door een vertrouwde certificeringsinstantie) in de handshakefase.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-5: Eenmalige aanmelding (SSO) gebruiken voor toegang tot toepassingen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
12.5 IA-4, IA-2, IA-8 N.v.t.

Beveiligingsprincipe: gebruik eenmalige aanmelding (SSO) om de gebruikerservaring voor verificatie bij resources, waaronder toepassingen en gegevens in cloudservices en on-premises omgevingen, te vereenvoudigen.

Azure-richtlijnen: gebruik Azure AD voor toegang tot workloadtoepassingen via Azure AD eenmalige aanmelding (SSO), zodat u geen meerdere accounts meer nodig hebt. Azure AD biedt identiteits- en toegangsbeheer voor Azure-resources (beheervlak inclusief CLI, PowerShell, portal), cloudtoepassingen en on-premises toepassingen.

Azure AD ondersteunt eenmalige aanmelding voor bedrijfsidentiteiten zoals zakelijke gebruikersidentiteiten, evenals externe gebruikersidentiteiten van vertrouwde externe en openbare gebruikers.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-6: Krachtige verificatiebesturingselementen gebruiken

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Beveiligingsprincipe: sterke verificatiecontroles (sterke verificatie zonder wachtwoord of meervoudige verificatie) afdwingen met uw gecentraliseerde identiteits- en verificatiebeheersysteem voor alle toegang tot resources. Verificatie op basis van wachtwoordreferenties alleen wordt beschouwd als verouderd, omdat het onveilig is en niet bestand is tegen populaire aanvalsmethoden.

Wanneer u sterke verificatie implementeert, configureert u eerst beheerders en bevoegde gebruikers om het hoogste niveau van de sterke verificatiemethode te garanderen, snel gevolgd door het implementeren van het juiste sterke verificatiebeleid voor alle gebruikers.

Opmerking: als verouderde verificatie op basis van wachtwoorden vereist is voor verouderde toepassingen en scenario's, moet u ervoor zorgen dat de best practices voor wachtwoordbeveiliging, zoals complexiteitsvereisten, worden gevolgd.

Azure-richtlijnen: Azure AD ondersteunt krachtige verificatiebesturingselementen via methoden zonder wachtwoord en meervoudige verificatie (MFA).

  • Verificatie zonder wachtwoord: gebruik verificatie zonder wachtwoord als uw standaardverificatiemethode. Er zijn drie opties beschikbaar in verificatie zonder wachtwoord: Windows Hello voor Bedrijven, aanmelden via de telefoon van de Microsoft Authenticator-app en FIDO 2Keys. Daarnaast kunnen klanten on-premises verificatiemethoden zoals smartcards gebruiken.
  • Meervoudige verificatie: Azure MFA kan worden afgedwongen voor alle gebruikers, geselecteerde gebruikers of op het niveau per gebruiker op basis van aanmeldingsvoorwaarden en risicofactoren. Schakel Azure MFA in en volg de aanbevelingen voor identiteits- en toegangsbeheer van Azure Defender for Cloud voor uw MFA-installatie.

Als verouderde verificatie op basis van wachtwoorden nog steeds wordt gebruikt voor Azure AD verificatie, moet u er rekening mee houden dat cloudaccounts (gebruikersaccounts die rechtstreeks in Azure zijn gemaakt) een standaardwachtwoordbeleid voor de basislijn hebben. En hybride accounts (gebruikersaccounts die afkomstig zijn van on-premises Active Directory) volgen het on-premises wachtwoordbeleid.

Voor toepassingen en services van derden die mogelijk standaard-id's en wachtwoorden hebben, moet u deze uitschakelen of wijzigen tijdens de eerste installatie van de service.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-7: toegang tot resources beperken op basis van voorwaarden

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Beveiligingsprincipe: valideer expliciet vertrouwde signalen om gebruikerstoegang tot resources toe te staan of te weigeren, als onderdeel van een zero-trust-toegangsmodel. Signalen die moeten worden gevalideerd, moeten sterke verificatie van gebruikersaccounts, gedragsanalyses van gebruikersaccounts, betrouwbaarheid van apparaten, lidmaatschap van gebruikers of groepen, locaties, enzovoort omvatten.

Azure-richtlijnen: gebruik Azure AD voorwaardelijke toegang voor gedetailleerdere toegangsbeheer op basis van door de gebruiker gedefinieerde voorwaarden, zoals het vereisen van gebruikersaanmelding van bepaalde IP-bereiken (of apparaten) om MFA te gebruiken. met Azure AD voorwaardelijke toegang kunt u toegangsbeheer afdwingen voor de apps van uw organisatie op basis van bepaalde voorwaarden.

Definieer de toepasselijke voorwaarden en criteria voor Azure AD voorwaardelijke toegang in de workload. Houd rekening met de volgende veelvoorkomende gebruiksvoorbeelden:

  • Multi-Factor Authentication vereisen voor gebruikers met beheerdersrollen
  • Multi-Factor Authentication vereisen voor Azure-beheertaken
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruiken
  • Vertrouwde locaties voor registratie van Azure AD Multi-Factor Authentication vereisen
  • Toegang vanaf specifieke locaties blokkeren of verlenen
  • Riskant aanmeldingsgedrag blokkeren
  • Door de organisatie beheerde apparaten vereisen voor specifieke toepassingen

Opmerking: een gedetailleerd verificatiesessiebeheer kan ook worden gebruikt om via Azure AD beleid voor voorwaardelijke toegang voor besturingselementen zoals aanmeldingsfrequentie en permanente browsersessie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-8: beperk de blootstelling van referenties en geheimen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Beveiligingsprincipe: zorg ervoor dat toepassingsontwikkelaars referenties en geheimen veilig verwerken:

  • Vermijd het insluiten van de referenties en geheimen in de code- en configuratiebestanden
  • Key Vault of een beveiligde sleutelopslagservice gebruiken om de referenties en geheimen op te slaan
  • Scannen op referenties in de broncode.

Opmerking: dit wordt vaak beheerd en afgedwongen via een beveiligd levenscyclusproces voor softwareontwikkeling (SDLC) en DevOps-beveiligingsproces.

Azure-richtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in de code- en configuratiebestanden.

  • Implementeer Azure DevOps Credential Scanner om referenties in de code te identificeren.
  • Gebruik voor GitHub de systeemeigen functie voor het scannen van geheimen om referenties of andere vormen van geheimen in de code te identificeren.

Clients zoals Azure Functions, Azure Apps-services en VM's kunnen beheerde identiteiten gebruiken om veilig toegang te krijgen tot Azure Key Vault. Zie Besturingselementen voor gegevensbescherming met betrekking tot het gebruik van Azure Key Vault voor geheimenbeheer.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-9: Beveiligde gebruikerstoegang tot bestaande toepassingen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6.7, 12.5 AC-2, AC-3, SC-11 N.v.t.

Beveiligingsprincipe: In een hybride omgeving, waarin u on-premises toepassingen of niet-systeemeigen cloudtoepassingen hebt die gebruikmaken van verouderde verificatie, kunt u oplossingen overwegen zoals Cloud Access Security Broker (CASB), toepassingsproxy, eenmalige aanmelding (SSO) om de toegang tot deze toepassingen te beheren voor de volgende voordelen:

  • Gecentraliseerde sterke verificatie afdwingen
  • Riskante activiteiten van eindgebruikers bewaken en beheren
  • Activiteiten van riskante verouderde toepassingen bewaken en herstellen
  • Gevoelige gegevensoverdracht detecteren en voorkomen

Azure-richtlijnen: beveilig uw on-premises en niet-systeemeigen cloudtoepassingen met behulp van verouderde verificatie door ze te verbinden met:

  • Azure AD toepassingsproxy in combinatie met verificatie op basis van headers voor het publiceren van verouderde on-premises toepassingen voor externe gebruikers met eenmalige aanmelding (SSO), terwijl de betrouwbaarheid van zowel externe gebruikers als apparaten met Azure AD voorwaardelijke toegang expliciet wordt geverifieerd. Gebruik indien nodig een SDP-oplossing (Software-Defined Perimeter) van derden die vergelijkbare functionaliteit kan bieden.
  • Uw bestaande toepassingsleveringscontrollers en netwerken van derden
  • Microsoft Defender for Cloud Apps, het gebruik als een CLOUD Access Security Broker (CASB)-service om besturingselementen te bieden voor het bewaken van de toepassingssessies en blokkeringsacties van een gebruiker (voor zowel verouderde on-premises toepassingen als Cloud Software as a Service(SaaS)-toepassingen).

Opmerking: VPN's worden vaak gebruikt voor toegang tot verouderde toepassingen, ze hebben vaak alleen basistoegangsbeheer en beperkte sessiebewaking.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):