Security Control V2: Zarządzanie tożsamościami
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Usługa Identity Management obejmuje mechanizmy kontroli w celu ustanowienia bezpiecznej tożsamości i kontroli dostępu przy użyciu usługi Azure Active Directory. Obejmuje to korzystanie z logowania jednokrotnego, silnych uwierzytelnień, tożsamości zarządzanych (i jednostek usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Zarządzanie tożsamościami
IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) to domyślna usługa zarządzania tożsamościami i dostępem platformy Azure. Należy ustandaryzować Azure AD, aby zarządzać tożsamościami i dostępem organizacji w programie:
Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, PaaS i SaaS.
Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.
Zabezpieczanie Azure AD powinno być wysokim priorytetem w praktyce zabezpieczeń w chmurze w organizacji. Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który ułatwia ocenę stanu zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft. Użyj tego wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań oraz poprawić stan zabezpieczeń.
Uwaga: usługa Azure AD obsługuje zewnętrznych dostawców tożsamości, którzy umożliwiają użytkownikom nieposiadającym konta Microsoft logowanie się do aplikacji i zasobów za pomocą tożsamości zewnętrznej.
Korzystanie z zewnętrznych dostawców tożsamości dla aplikacji
Co to jest wskaźnik bezpieczeństwa tożsamości w usłudze Azure AD
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | Nie dotyczy | AC-2, AC-3, IA-2, IA-4, IA-9 |
W przypadku kont innych niż ludzkie, takich jak usługi lub automatyzacja, użyj tożsamości zarządzanych platformy Azure, zamiast tworzyć bardziej zaawansowane konto ludzkie w celu uzyskiwania dostępu do zasobów lub wykonywania kodu. Tożsamości zarządzane platformy Azure mogą uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Uwierzytelnianie jest włączane za pomocą wstępnie zdefiniowanych reguł udzielania dostępu, unikając zakodowanych na podstawie twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Zaleca się skonfigurowanie jednostek usługi przy użyciu poświadczeń certyfikatu i powrót do wpisów tajnych klienta. W obu przypadkach usługa Azure Key Vault może być używana w połączeniu z tożsamościami zarządzanymi platformy Azure, aby środowisko uruchomieniowe (takie jak funkcja platformy Azure) może pobrać poświadczenia z magazynu kluczy.
Użyj usługi Azure Key Vault do rejestracji podmiotu zabezpieczeń: authentication#a-security-principal-to-access-key-vault
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Zarządzanie tożsamościami i dostępem ma zastosowanie do tożsamości przedsiębiorstwa, takich jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy.
Użyj Azure AD logowania jednokrotnego (SSO), aby zarządzać i zabezpieczać dostęp do danych i zasobów organizacji lokalnie i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia, aby Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu oraz większej widoczności i kontroli.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-4: Używanie kontrolek silnego uwierzytelniania dla całego dostępu opartego na usłudze Azure Active Directory
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD obsługuje silne mechanizmy kontroli uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego (MFA) i silnych metod bez hasła.
Uwierzytelnianie wieloskładnikowe: włącz Azure AD uwierzytelnianie wieloskładnikowe i postępuj zgodnie z zaleceniami w Azure Security Center kontroli zabezpieczeń "Włącz uwierzytelnianie wieloskładnikowe". Uwierzytelnianie wieloskładnikowe można wymusić na wszystkich użytkownikach, wybrać użytkowników lub na poziomie poszczególnych użytkowników na podstawie warunków logowania i czynników ryzyka.
Uwierzytelnianie bez hasła: dostępne są trzy opcje uwierzytelniania bez hasła: Windows Hello dla firm, aplikacja Microsoft Authenticator i lokalne metody uwierzytelniania, takie jak karty inteligentne.
W przypadku użytkowników administratorów i uprzywilejowanych upewnij się, że jest używany najwyższy poziom metody silnego uwierzytelniania, a następnie wprowadź odpowiednie zasady silnego uwierzytelniania dla innych użytkowników.
Jeśli starsze uwierzytelnianie oparte na hasłach jest nadal używane do uwierzytelniania Azure AD, należy pamiętać, że konta tylko w chmurze (konta użytkowników utworzone bezpośrednio na platformie Azure) mają domyślne zasady haseł punktu odniesienia. Konta hybrydowe (konta użytkowników pochodzące z lokalna usługa Active Directory) są zgodne z lokalnymi zasadami haseł. W przypadku korzystania z uwierzytelniania opartego na hasłach Azure AD zapewnia funkcję ochrony haseł, która uniemożliwia użytkownikom ustawianie haseł, które są łatwe do odgadnięcia. Firma Microsoft udostępnia globalną listę zakazanych haseł, które są aktualizowane na podstawie danych telemetrycznych, a klienci mogą rozszerzyć listę na podstawie ich potrzeb (takich jak znakowanie, odwołania kulturowe itp.). Ta ochrona haseł może być używana tylko dla kont w chmurze i kont hybrydowych.
Uwaga: Uwierzytelnianie oparte tylko na poświadczeniach haseł jest podatne na popularne metody ataku. W przypadku wyższych zabezpieczeń należy użyć silnego uwierzytelniania, takiego jak uwierzytelnianie wieloskładnikowe i silne zasady haseł. W przypadku aplikacji innych firm i usług marketplace, które mogą mieć domyślne hasła, należy je zmienić podczas początkowej konfiguracji usługi.
Wprowadzenie do opcji uwierzytelniania bez hasła w przypadku usługi Azure Active Directory
Eliminowanie nieprawidłowych haseł przy użyciu ochrony haseł w usłudze Azure AD
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-5: Monitorowanie anomalii kont i wyświetlanie alertów
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD udostępnia następujące źródła danych:
Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.
Dzienniki inspekcji — zapewnia możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzonych za pośrednictwem różnych funkcji w Azure AD. Przykłady zarejestrowanych dzienników inspekcji zmian obejmują dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.
Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.
Te źródła danych można zintegrować z usługami Azure Monitor, Azure Sentinel lub SIEM innych firm.
Azure Security Center mogą również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelniania i przestarzałe konta w subskrypcji.
Microsoft Defender for Identity to rozwiązanie zabezpieczeń, które może używać sygnałów lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości naruszonych zabezpieczeń i złośliwych akcji wewnętrznych.
Identyfikowanie użytkowników usługi Azure AD oflagowanych na skutek ryzykownego działania
Jak zintegrować dzienniki aktywności platformy Azure z usługą Azure Monitor
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-6: Ograniczanie dostępu do zasobów platformy Azure na podstawie warunków
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Im-6 | Nie dotyczy | AC-2, AC-3 |
Użyj Azure AD dostępu warunkowego, aby uzyskać bardziej szczegółową kontrolę dostępu na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkowników z określonych zakresów adresów IP do korzystania z uwierzytelniania wieloskładnikowego. Szczegółowe zarządzanie sesjami uwierzytelniania można również używać za pomocą Azure AD zasad dostępu warunkowego dla różnych przypadków użycia.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Im-7 | 18.1, 18.7 | IA-5 |
Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń zachęca również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak azure Key Vault.
W przypadku usługi GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inne formy wpisów tajnych w kodzie.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IM-8: Zabezpieczanie dostępu użytkowników do starszych aplikacji
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Upewnij się, że masz nowoczesne mechanizmy kontroli dostępu i monitorowanie sesji dla starszych aplikacji oraz przechowywanych i przetwarzanych danych. Sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji, ale często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.
Azure AD serwer proxy aplikacji umożliwia publikowanie starszych aplikacji lokalnych dla użytkowników zdalnych z logowaniem jednokrotnym, a jednocześnie jawnie weryfikowanie wiarygodności użytkowników zdalnych i urządzeń przy użyciu dostępu warunkowego Azure AD.
Alternatywnie Microsoft Defender for Cloud Apps jest usługą brokera zabezpieczeń dostępu do chmury (CASB), która może zapewnić mechanizmy kontroli monitorowania sesji aplikacji użytkownika i blokowania akcji (zarówno w przypadku starszych aplikacji lokalnych, jak i aplikacji typu "oprogramowanie jako usługa" (SaaS).
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):