Kontrola zabezpieczeń: zarządzanie tożsamościami

  • Artykuł

Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu systemów zarządzania tożsamościami i dostępem, w tym korzystania z logowania jednokrotnego, silnych uwierzytelnień, tożsamości zarządzanych (i jednostek usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Zasada zabezpieczeń: użyj scentralizowanego systemu tożsamości i uwierzytelniania, aby zarządzać tożsamościami i uwierzytelnianiem organizacji dla zasobów w chmurze i innych niż chmura.

Wskazówki dotyczące platformy Azure: Usługa Azure Active Directory (Azure AD) to usługa zarządzania tożsamościami i uwierzytelnianiem platformy Azure. Należy przeprowadzić standaryzację Azure AD w celu zarządzania tożsamością i uwierzytelnianiem w organizacji w:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, PaaS i Aplikacje SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure, aplikacje innych firm działające w zasobach sieci firmowych i aplikacje SaaS innych firm.
  • Tożsamości przedsiębiorstwa w usłudze Active Directory przez synchronizację w celu Azure AD w celu zapewnienia spójnej i centralnej strategii tożsamości zarządzanej.

W przypadku usług platformy Azure, które mają zastosowanie, należy unikać używania lokalnych metod uwierzytelniania i zamiast tego używać usługi Azure Active Directory do scentralizowanego uwierzytelniania usługi.

Uwaga: jak tylko jest to technicznie możliwe, należy przeprowadzić migrację lokalna usługa Active Directory aplikacji opartych na Azure AD. Może to być konfiguracja Azure AD Enterprise Directory, Business to Business lub Business to consumer.

Implementacja platformy Azure i dodatkowy kontekst:

AwS guidance: AWS IAM (Identity and Access Management) to domyślna usługa zarządzania tożsamościami i uwierzytelnianiem platformy AWS. Zarządzanie tożsamościami i dostępem na platformie AWS przy użyciu usługi AWS IAM. Alternatywnie za pośrednictwem usług AWS i Azure Single Sign-On (SSO) można również użyć Azure AD do zarządzania tożsamością i kontrolą dostępu usług AWS, aby uniknąć oddzielnego zarządzania zduplikowanymi kontami na dwóch platformach w chmurze.

Platforma AWS obsługuje usługę Single Sign-On, która umożliwia łączenie tożsamości firmowych firm (takich jak Usługa Windows Active Directory lub inne magazyny tożsamości) przy użyciu tożsamości platformy AWS w celu uniknięcia tworzenia zduplikowanych kont w celu uzyskania dostępu do zasobów platformy AWS.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: System zarządzania tożsamościami i dostępem (IAM) w usłudze Google Cloud jest domyślną usługą do zarządzania tożsamościami i uwierzytelnianiem w usłudze Google Cloud, która jest używana na kontach tożsamości w chmurze Google. Zarządzanie tożsamościami i dostępem w usłudze Google Cloud do zarządzania dostępem i tożsamościami GCP. Alternatywnie za pośrednictwem tożsamości w chmurze Google i platformy Azure Sigle Sign-On (SSO) można również użyć Azure AD do zarządzania tożsamością i kontrolą dostępu GCP, aby uniknąć oddzielnego zarządzania zduplikowanymi kontami w środowisku mutli-cloud.

Usługa Google Cloud Identity jest dostawcą tożsamości dla wszystkich usług Google. Obsługuje on usługę Single Sign-On, która umożliwia łączenie tożsamości firmowych firm (takich jak Usługa Windows Active Directory lub inne magazyny tożsamości) przy użyciu tożsamości w chmurze Google w celu uniknięcia tworzenia zduplikowanych kont w celu uzyskania dostępu do zasobów GCP.

Uwaga: korzystanie z usługi Google Cloud Directory Sync. Firma Google udostępnia narzędzie łącznika, które integruje się z większością systemów zarządzania LDAP w przedsiębiorstwie i synchronizuje tożsamości zgodnie z harmonogramem. Konfigurując konto tożsamości w chmurze i program Google Cloud Directory Sync, można skonfigurować, które konta użytkowników — w tym użytkowników, grupy i profile użytkowników, aliasy i inne — będą synchronizowane zgodnie z harmonogramem między lokalnym systemem zarządzania tożsamościami a systemem GCP.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-2: Ochrona systemów tożsamości i uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Zasada zabezpieczeń: Zabezpieczanie systemu tożsamości i uwierzytelniania jako wysoki priorytet w praktyce zabezpieczeń w chmurze w organizacji. Typowe mechanizmy kontroli zabezpieczeń obejmują:

  • Ograniczanie ról i kont uprzywilejowanych
  • Wymagaj silnego uwierzytelniania dla wszystkich uprzywilejowanych dostępu
  • Monitorowanie i przeprowadzanie inspekcji działań wysokiego ryzyka

Wskazówki dotyczące platformy Azure: skorzystaj z punktu odniesienia zabezpieczeń Azure AD i wskaźnika bezpieczeństwa tożsamości Azure AD Identity, aby ocenić stan zabezpieczeń tożsamości Azure AD oraz skorygować luki w zabezpieczeniach i konfiguracji. Wskaźnik bezpieczeństwa tożsamości Azure AD ocenia Azure AD dla następujących konfiguracji:

  • Używanie ograniczonych ról administracyjnych
  • Włączanie zasad ryzyka związanego z użytkownikiem
  • Wyznaczanie więcej niż jednego administratora globalnego
  • Włączanie zasad blokowania starszego uwierzytelniania
  • Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe na potrzeby bezpiecznego dostępu
  • Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych
  • Włączanie samoobsługowego resetowania hasła
  • Nie wygasaj haseł
  • Włączanie zasad ryzyka logowania
  • Nie zezwalaj użytkownikom na udzielanie zgody na aplikacje niezarządzane

Użyj usługi Azure AD Identity Protection, aby wykrywać, badać i korygować zagrożenia oparte na tożsamościach. Aby podobnie chronić domenę lokalna usługa Active Directory, użyj usługi Defender for Identity.

Uwaga: postępuj zgodnie z opublikowanymi najlepszymi rozwiązaniami dotyczącymi wszystkich innych składników tożsamości, w tym lokalna usługa Active Directory i możliwościami innych firm oraz infrastrukturami (takimi jak systemy operacyjne, sieci, bazy danych), które je hostują.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Skorzystaj z następujących najlepszych rozwiązań w zakresie zabezpieczeń, aby zabezpieczyć zarządzanie dostępem i tożsamościami na platformie AWS:

  • Konfigurowanie kluczy dostępu użytkownika głównego konta platformy AWS w celu uzyskania dostępu awaryjnego zgodnie z opisem w artykule PA-5 (Konfigurowanie dostępu awaryjnego)
  • Przestrzegaj zasad najniższych uprawnień dla przypisań dostępu
  • Korzystaj z grup zarządzania dostępem i tożsamościami, aby stosować zasady zamiast poszczególnych użytkowników.
  • Postępuj zgodnie ze wskazówkami dotyczącymi silnego uwierzytelniania w programie IM-6 (używanie silnych kontrolek uwierzytelniania) dla wszystkich użytkowników
  • Korzystanie z usługi AWS Organizations SCP (zasady kontroli usługi) i granic uprawnień
  • Używanie usługi IAM Access Advisor do inspekcji dostępu do usług
  • Używanie raportu poświadczeń usługi IAM do śledzenia kont użytkowników i stanu poświadczeń

Uwaga: postępuj zgodnie z opublikowanymi najlepszymi rozwiązaniami, jeśli masz inne systemy tożsamości i uwierzytelniania, np. postępuj zgodnie z Azure AD punkt odniesienia zabezpieczeń, jeśli używasz Azure AD do zarządzania tożsamościami i dostępem platformy AWS.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Skorzystaj z następujących najlepszych rozwiązań w zakresie zabezpieczeń, aby zabezpieczyć usługi Google Cloud IAM i Cloud Identity dla organizacji:

  • Skonfiguruj konto administratora w celu uzyskania dostępu awaryjnego, postępując zgodnie z zaleceniami w usłudze PA-5 ("Konfigurowanie dostępu awaryjnego").
  • Utwórz adres e-mail administratora (jako konto administratora usługi Google Workspace lub administratora tożsamości w chmurze), a to konto nie powinno być specyficzne dla określonego użytkownika w przypadku potrzeby odzyskiwania awaryjnego.
  • Przestrzegaj najniższych uprawnień i rozdzielania zasad obowiązków
  • Unikaj korzystania z konta administratora na potrzeby codziennych działań
  • Korzystaj z grup tożsamości w chmurze Google, aby stosować zasady zamiast stosować zasady do poszczególnych użytkowników.
  • Postępuj zgodnie ze wskazówkami dotyczącymi silnego uwierzytelniania zgodnie z opisem w artykule IM-6 ("Użyj silnych mechanizmów uwierzytelniania") dla wszystkich użytkowników z podwyższonym poziomem uprawnień.
  • Ograniczanie dostępu do zasobów przy użyciu zasad zarządzania tożsamościami
  • Używanie usługi zasad organizacji do kontrolowania i konfigurowania ograniczeń dotyczących zasobów
  • Przeglądanie działań uprzywilejowanych za pomocą rejestrowania inspekcji zarządzania dostępem i tożsamościami w dziennikach inspekcji w chmurze

Uwaga: postępuj zgodnie z opublikowanymi najlepszymi rozwiązaniami, jeśli masz inne systemy tożsamości i uwierzytelniania, np. postępuj zgodnie z Azure AD punkt odniesienia zabezpieczeń, jeśli używasz Azure AD do zarządzania tożsamościami i dostępem GCP.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy AC-2, AC-3, IA-4, IA-5, IA-9 Nie dotyczy

Zasada zabezpieczeń: użyj tożsamości aplikacji zarządzanych zamiast tworzenia kont ludzkich dla aplikacji w celu uzyskiwania dostępu do zasobów i wykonywania kodu. Tożsamości aplikacji zarządzanych zapewniają korzyści, takie jak zmniejszenie ekspozycji poświadczeń. Automatyzowanie rotacji poświadczeń w celu zapewnienia bezpieczeństwa tożsamości.

Wskazówki dotyczące platformy Azure: użyj tożsamości zarządzanych platformy Azure, które mogą uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Zaleca się skonfigurowanie jednostek usługi przy użyciu poświadczeń certyfikatu i powrót do wpisów tajnych klienta na potrzeby uwierzytelniania.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: używanie ról IAM platformy AWS zamiast tworzenia kont użytkowników dla zasobów, które obsługują tę funkcję. Role zarządzania tożsamościami są zarządzane przez platformę w zapleczu, a poświadczenia są tymczasowe i automatycznie obracane. Pozwala to uniknąć tworzenia długoterminowych kluczy dostępu lub nazwy użytkownika/hasła dla aplikacji i zakodowanych na twardo poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Możesz użyć ról połączonych z usługą, które są dołączone z wstępnie zdefiniowanymi zasadami uprawnień dostępu między usługami AWS, zamiast dostosowywać własne uprawnienia roli dla ról IAM.

Uwaga: w przypadku usług, które nie obsługują ról IAM, użyj kluczy dostępu, ale postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń, takimi jak IM-8, ogranicz ujawnienie poświadczeń i wpisów tajnych w celu zabezpieczenia kluczy.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: użyj kont usług zarządzanych przez firmę Google zamiast tworzenia kont zarządzanych przez użytkownika dla zasobów, które obsługują tę funkcję. Konta usług zarządzane przez firmę Google są zarządzane przez platformę w zapleczu, a klucze konta usługi są tymczasowe i automatycznie obracane. Pozwala to uniknąć tworzenia długoterminowych kluczy dostępu lub nazwy użytkownika/hasła dla aplikacji oraz zakodowanych na stałe poświadczeń kodowania w kodzie źródłowym lub plikach konfiguracji.

Użyj analizy zasad, aby zrozumieć i rozpoznać podejrzane działania dla kont usług.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

IM-4: Uwierzytelnianie serwera i usług

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IA-9 Nie dotyczy

Zasada zabezpieczeń: Uwierzytelnianie zdalnych serwerów i usług po stronie klienta w celu zapewnienia, że łączysz się z zaufanym serwerem i usługami. Najczęstszym protokołem uwierzytelniania serwera jest transport Layer Security (TLS), gdzie po stronie klienta (często przeglądarka lub urządzenie klienckie) weryfikuje serwer, sprawdzając certyfikat serwera został wystawiony przez zaufany urząd certyfikacji.

Uwaga: wzajemne uwierzytelnianie może być używane zarówno podczas uwierzytelniania serwera, jak i klienta.

Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure domyślnie obsługuje uwierzytelnianie TLS. W przypadku usług, które nie obsługują uwierzytelniania TLS domyślnie lub obsługują wyłączanie protokołu TLS, upewnij się, że jest zawsze włączona obsługa uwierzytelniania serwera/klienta. Aplikacja kliencka powinna być również zaprojektowana w celu zweryfikowania tożsamości serwera/klienta (przez zweryfikowanie certyfikatu serwera wystawionego przez zaufany urząd certyfikacji) na etapie uzgadniania.

Uwaga: usługi, takie jak API Management i API Gateway, obsługują wzajemne uwierzytelnianie TLS.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Wiele usług AWS domyślnie obsługuje uwierzytelnianie TLS. W przypadku usług, które nie obsługują uwierzytelniania TLS domyślnie lub obsługują wyłączanie protokołu TLS, upewnij się, że jest zawsze włączona obsługa uwierzytelniania serwera/klienta. Aplikacja kliencka powinna być również zaprojektowana w celu zweryfikowania tożsamości serwera/klienta (przez zweryfikowanie certyfikatu serwera wystawionego przez zaufany urząd certyfikacji) na etapie uzgadniania.

Uwaga: usługi, takie jak api Gateway, obsługują wzajemne uwierzytelnianie TLS.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Wiele usług GCP domyślnie obsługuje uwierzytelnianie TLS. W przypadku usług, które nie obsługują tego domyślnie lub obsługują wyłączanie protokołu TLS, upewnij się, że jest zawsze włączona obsługa uwierzytelniania serwera/klienta. Aplikacja kliencka powinna być również zaprojektowana w celu zweryfikowania tożsamości serwera/klienta (przez zweryfikowanie certyfikatu serwera wystawionego przez zaufany urząd certyfikacji) na etapie uzgadniania.

Uwaga: usługi, takie jak równoważenie obciążenia w chmurze, obsługują wzajemne uwierzytelnianie TLS.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

IM-5: Używanie logowania jednokrotnego na potrzeby dostępu do aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
12.5 IA-4, IA-2, IA-8 Nie dotyczy

Zasada zabezpieczeń: użyj logowania jednokrotnego (SSO), aby uprościć środowisko użytkownika do uwierzytelniania w zasobach, w tym aplikacji i danych w usługach w chmurze i środowiskach lokalnych.

Wskazówki dotyczące platformy Azure: użyj Azure AD w celu uzyskania dostępu do aplikacji obciążeń (dostęp klienta) za pośrednictwem Azure AD logowania jednokrotnego (SSO), zmniejszając potrzebę zduplikowanych kont. Azure AD zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure (na płaszczyźnie zarządzania, w tym interfejsie wiersza polecenia, programie PowerShell, portalu), aplikacjach w chmurze i aplikacjach lokalnych.

Azure AD obsługuje również logowanie jednokrotne dla tożsamości przedsiębiorstwa, takich jak tożsamości użytkowników firmowych, a także tożsamości użytkowników zewnętrznych od zaufanych użytkowników innych firm i użytkowników publicznych.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Użyj platformy AWS Cognito, aby zarządzać dostępem do obciążeń aplikacji przeznaczonych dla klientów za pośrednictwem logowania jednokrotnego (SSO), aby umożliwić klientom łączenie tożsamości innych firm od różnych dostawców tożsamości.

Aby uzyskać dostęp do logowania jednokrotnego do zasobów natywnych platformy AWS (w tym dostępu do konsoli platformy AWS lub zarządzania usługami i dostępu na poziomie płaszczyzny danych), użyj platformy AWS Sigle Sign-On, aby zmniejszyć potrzebę duplikowania kont.

Usługa AWS SSO umożliwia również łączenie tożsamości firmowych (takich jak tożsamości z usługi Azure Active Directory) przy użyciu tożsamości platformy AWS, a także tożsamości użytkowników zewnętrznych od zaufanych użytkowników innych firm i użytkowników publicznych.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj tożsamości chmury Google, aby zarządzać dostępem do aplikacji obciążenia, która jest dostępna dla klientów za pośrednictwem logowania jednokrotnego usługi Google Cloud Identity, co zmniejsza potrzebę zduplikowanych kont. Usługa Google Cloud Identity zapewnia zarządzanie tożsamościami i dostępem do platformy GCP (w płaszczyźnie zarządzania, w tym interfejsu wiersza polecenia usługi Google Cloud, dostęp do konsoli), aplikacje w chmurze i aplikacje lokalne.

Usługa Google Cloud Identity obsługuje również logowanie jednokrotne dla tożsamości przedsiębiorstwa, takich jak tożsamości użytkowników firmowych z Azure AD lub usługi Active Directory, a także tożsamości użytkowników zewnętrznych od zaufanych użytkowników innych firm i użytkowników publicznych. Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

IM-6: Używanie silnych kontrolek uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Zasada zabezpieczeń: Wymuszaj silne mechanizmy kontroli uwierzytelniania (silne uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe) za pomocą scentralizowanego systemu zarządzania tożsamościami i uwierzytelnianiem dla wszystkich dostępu do zasobów. Uwierzytelnianie oparte tylko na poświadczeniach haseł jest uważane za starsze, ponieważ jest niezabezpieczone i nie stoi w stanie do popularnych metod ataku.

Podczas wdrażania silnego uwierzytelniania najpierw skonfiguruj administratorów i uprzywilejowanych użytkowników, aby zapewnić najwyższy poziom metody silnego uwierzytelniania, a następnie wdrożyć odpowiednie silne zasady uwierzytelniania dla wszystkich użytkowników.

Uwaga: Jeśli starsze uwierzytelnianie oparte na hasłach jest wymagane dla starszych aplikacji i scenariuszy, upewnij się, że są przestrzegane najlepsze rozwiązania w zakresie zabezpieczeń haseł, takie jak wymagania dotyczące złożoności.

Wskazówki dotyczące platformy Azure: Azure AD obsługuje silne mechanizmy uwierzytelniania za pomocą metod bez hasła i uwierzytelniania wieloskładnikowego (MFA).

  • Uwierzytelnianie bez hasła: użyj uwierzytelniania bez hasła jako domyślnej metody uwierzytelniania. Dostępne są trzy opcje uwierzytelniania bez hasła: Windows Hello dla firm, logowanie telefoniczne aplikacji Microsoft Authenticator i klucze zabezpieczeń FIDO2. Ponadto klienci mogą używać lokalnych metod uwierzytelniania, takich jak karty inteligentne.
  • Uwierzytelnianie wieloskładnikowe: usługa Azure MFA może być wymuszana dla wszystkich użytkowników, wybierać użytkowników lub na poziomie poszczególnych użytkowników na podstawie warunków logowania i czynników ryzyka. Włącz usługę Azure MFA i postępuj zgodnie z Microsoft Defender dla zaleceń dotyczących zarządzania tożsamościami i dostępem w chmurze dla konfiguracji uwierzytelniania wieloskładnikowego.

Jeśli starsze uwierzytelnianie oparte na hasłach jest nadal używane do uwierzytelniania Azure AD, należy pamiętać, że konta tylko w chmurze (konta użytkowników utworzone bezpośrednio na platformie Azure) mają domyślne zasady haseł punktu odniesienia. Konta hybrydowe (konta użytkowników pochodzące z lokalna usługa Active Directory) są zgodne z lokalnymi zasadami haseł.

W przypadku aplikacji i usług innych firm, które mogą mieć domyślne identyfikatory i hasła, należy je wyłączyć lub zmienić podczas początkowej konfiguracji usługi.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Usługa AWS IAM obsługuje silne mechanizmy kontroli uwierzytelniania za pośrednictwem uwierzytelniania wieloskładnikowego (MFA). Uwierzytelnianie wieloskładnikowe można wymusić na wszystkich użytkownikach, wybrać użytkowników lub na poziomie poszczególnych użytkowników na podstawie zdefiniowanych warunków.

Jeśli używasz kont firmowych z katalogu innej firmy (na przykład usługi Windows Active Directory) z tożsamościami platformy AWS, postępuj zgodnie z odpowiednimi wskazówkami dotyczącymi zabezpieczeń, aby wymusić silne uwierzytelnianie. Zapoznaj się ze wskazówkami dotyczącymi platformy Azure dla tej kontrolki, jeśli używasz Azure AD do zarządzania dostępem do platformy AWS.

Uwaga: w przypadku aplikacji innych firm i usług AWS, które mogą mieć domyślne identyfikatory i hasła, należy je wyłączyć lub zmienić podczas początkowej konfiguracji usługi.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Usługa Google Cloud Identity obsługuje silne mechanizmy kontroli uwierzytelniania za pośrednictwem uwierzytelniania wieloskładnikowego (MFA). Uwierzytelnianie wieloskładnikowe można wymusić na wszystkich użytkownikach, wybrać użytkowników lub na poziomie poszczególnych użytkowników na podstawie zdefiniowanych warunków. Aby chronić konta administratora usługi Cloud Identity (i obszar roboczy), rozważ użycie kluczy zabezpieczeń i programu Google Advanced Protection Program w celu zapewnienia maksymalnego bezpieczeństwa.

Jeśli używasz kont firmowych z katalogu innej firmy (takiego jak Usługa Windows Active Directory) z tożsamościami Google Cloud, postępuj zgodnie z odpowiednimi wskazówkami dotyczącymi zabezpieczeń, aby wymusić silne uwierzytelnianie. Zapoznaj się ze wskazówkami dotyczącymi platformy Azure dla tej kontrolki, jeśli używasz Azure AD do zarządzania dostępem do chmury Google.

Użyj serwera proxy Identity-Aware, aby ustanowić centralną warstwę autoryzacji dla aplikacji uzyskiwanych przez protokół HTTPS, aby można było użyć modelu kontroli dostępu na poziomie aplikacji zamiast polegać na zaporach na poziomie sieci.

Uwaga: w przypadku aplikacji innych firm i usług GCP, które mogą mieć domyślne identyfikatory i hasła, należy je wyłączyć lub zmienić podczas początkowej konfiguracji usługi.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

IM-7: Ograniczanie dostępu do zasobów na podstawie warunków

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Zasada zabezpieczeń: Jawne weryfikowanie zaufanych sygnałów w celu zezwolenia lub odmowy dostępu użytkownika do zasobów w ramach modelu dostępu zerowego zaufania. Sygnały do weryfikacji powinny obejmować silne uwierzytelnianie konta użytkownika, analizę behawioralną konta użytkownika, wiarygodność urządzenia, członkostwo użytkownika lub grupy, lokalizacje itd.

Wskazówki dotyczące platformy Azure: użyj Azure AD dostępu warunkowego, aby uzyskać bardziej szczegółowe mechanizmy kontroli dostępu na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkowników z określonych zakresów adresów IP (lub urządzeń) do korzystania z uwierzytelniania wieloskładnikowego. Azure AD dostęp warunkowy umożliwia wymuszanie kontroli dostępu w aplikacjach organizacji na podstawie określonych warunków.

Zdefiniuj odpowiednie warunki i kryteria dostępu warunkowego Azure AD w obciążeniu. Rozważ następujące typowe przypadki użycia:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymi
  • Wymaganie uwierzytelniania wieloskładnikowego na potrzeby zadań zarządzania platformą Azure
  • Blokowanie logowania dla użytkowników próbujących używać starszych protokołów uwierzytelniania
  • Wymaganie zaufanych lokalizacji na potrzeby rejestracji w usłudze Azure AD Multi-Factor Authentication
  • Blokowanie lub udzielanie dostępu z określonych lokalizacji
  • Blokowanie ryzykownych zachowań logowania
  • Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji

Uwaga: Szczegółowe kontrolki zarządzania sesjami uwierzytelniania można również zaimplementować za pomocą Azure AD zasad dostępu warunkowego, takich jak częstotliwość logowania i trwała sesja przeglądarki.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Tworzenie zasad zarządzania tożsamościami i definiowanie warunków dla bardziej szczegółowych mechanizmów kontroli dostępu na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkowników z określonych zakresów adresów IP (lub urządzeń) do korzystania z uwierzytelniania wieloskładnikowego. Ustawienia warunku mogą obejmować pojedyncze lub wiele warunków, a także logikę.

Zasady można zdefiniować na podstawie sześciu różnych wymiarów: zasad opartych na tożsamościach, zasad opartych na zasobach, granic uprawnień, zasad kontroli usług ORGANIZACJI AWS (SCP), list Access Control list (ACL) i zasad sesji.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Tworzenie i definiowanie warunków dostępu i tożsamości dla bardziej szczegółowych mechanizmów kontroli dostępu opartych na atrybutach na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkowników z określonych zakresów adresów IP (lub urządzeń) do korzystania z uwierzytelniania wieloskładnikowego. Ustawienia warunku mogą obejmować pojedyncze lub wiele warunków, a także logikę.

Warunki są określane w powiązaniach ról zasad zezwalania zasobu. Atrybuty warunku są oparte na żądanym zasobie — na przykład jego typie lub nazwie — lub szczegółowe informacje o żądaniu — na przykład sygnatura czasowa lub docelowy adres IP.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Zasada zabezpieczeń: Upewnij się, że deweloperzy aplikacji bezpiecznie obsługują poświadczenia i wpisy tajne:

  • Unikaj osadzania poświadczeń i wpisów tajnych w kodzie i plikach konfiguracji
  • Przechowywanie poświadczeń i wpisów tajnych przy użyciu magazynu kluczy lub bezpiecznego magazynu kluczy
  • Skanuj pod kątem poświadczeń w kodzie źródłowym.

Uwaga: jest to często zarządzane i wymuszane za pośrednictwem bezpiecznego procesu zabezpieczeń cyklu tworzenia oprogramowania (SDLC) i DevOps.

Wskazówki dotyczące platformy Azure: W przypadku korzystania z tożsamości zarządzanej nie jest możliwe, upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w plikach kodu i konfiguracji.

Jeśli używasz usług Azure DevOps i GitHub na potrzeby platformy zarządzania kodem:

  • Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie.
  • W przypadku usługi GitHub użyj natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inną formę wpisów tajnych w kodzie.

Klienci, tacy jak Azure Functions, usługi Azure Apps i maszyny wirtualne, mogą bezpiecznie uzyskiwać dostęp do usługi Azure Key Vault przy użyciu tożsamości zarządzanych. Zobacz Mechanizmy kontroli ochrony danych związane z używaniem usługi Azure Key Vault do zarządzania wpisami tajnymi.

Uwaga: usługa Azure Key Vault zapewnia automatyczną rotację obsługiwanych usług. W przypadku wpisów tajnych, których nie można automatycznie obracać, upewnij się, że są one okresowo obracane i czyszczone, gdy nie są już używane.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: W przypadku korzystania z roli zarządzania dostępem do aplikacji nie jest możliwe, upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak AWS Secret Manager lub Systems Manager Parameter Store, zamiast osadzać je w kodzie i plikach konfiguracji.

Użyj funkcji CodeGuru Reviewer na potrzeby statycznej analizy kodu, która umożliwia wykrywanie wpisów tajnych zakodowanych w kodzie źródłowym.

Jeśli używasz usług Azure DevOps i GitHub dla platformy zarządzania kodem:

  • Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie.
  • W przypadku usługi GitHub użyj natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inne formy wpisów tajnych w kodzie.

Uwaga: Menedżer wpisów tajnych zapewnia automatyczną rotację wpisów tajnych dla obsługiwanych usług. W przypadku wpisów tajnych, których nie można automatycznie obracać, upewnij się, że są one okresowo obracane i czyszczone, gdy nie są już używane.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: W przypadku korzystania z konta usługi zarządzanego przez firmę Google na potrzeby dostępu do aplikacji nie jest możliwe, upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak Secret Manager usługi Google Cloud, zamiast osadzać je w kodzie i plikach konfiguracji.

Użyj rozszerzenia Google Cloud Code w środowisku IDE (zintegrowanego środowiska projektowego), takiego jak Visual Studio Code, aby zintegrować wpisy tajne zarządzane przez usługę Secret Manager z kodem.

Jeśli używasz usługi Azure DevOps lub GitHub dla platformy zarządzania kodem:

  • Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie.
  • W przypadku usługi GitHub użyj natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inne formy wpisów tajnych w kodzie.

Uwaga: skonfiguruj harmonogramy rotacji dla wpisów tajnych przechowywanych w programie Secret Manager jako najlepsze rozwiązanie.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-9: Zabezpieczanie dostępu użytkowników do istniejących aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.7, 12.5 AC-2, AC-3, SC-11 Nie dotyczy

Zasada zabezpieczeń: w środowisku hybrydowym, w którym masz aplikacje lokalne lub aplikacje w chmurze inne niż natywne przy użyciu starszego uwierzytelniania, rozważ rozwiązania, takie jak broker zabezpieczeń dostępu do chmury (CASB), serwer proxy aplikacji, logowanie jednokrotne (SSO), aby zarządzać dostępem do tych aplikacji w celu uzyskania następujących korzyści:

  • Wymuszanie scentralizowanego silnego uwierzytelniania
  • Monitorowanie i kontrolowanie ryzykownych działań użytkowników końcowych
  • Monitorowanie i korygowanie ryzykownych działań starszych aplikacji
  • Wykrywanie i zapobieganie transmisji poufnych danych

Wskazówki dotyczące platformy Azure: Ochrona lokalnych i nienatywnych aplikacji w chmurze przy użyciu starszego uwierzytelniania przez połączenie ich z:

  • Azure AD serwer proxy aplikacji i skonfiguruj uwierzytelnianie oparte na nagłówku, aby umożliwić logowanie jednokrotne (SSO) do aplikacji dla użytkowników zdalnych, a jednocześnie jawnie weryfikowanie wiarygodności użytkowników zdalnych i urządzeń z dostępem warunkowym Azure AD. W razie potrzeby użyj rozwiązania innej firmy Software-Defined obwodowego (SDP), które może oferować podobne funkcje.
  • Microsoft Defender for Cloud Apps, która służy usłudze brokera zabezpieczeń dostępu do chmury (CASB) do monitorowania i blokowania dostępu użytkowników do niezatwierdzonych aplikacji SaaS innych firm.
  • Istniejące kontrolery dostarczania aplikacji i sieci innych firm.

Uwaga: sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji i często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: postępuj zgodnie ze wskazówkami platformy Azure, aby chronić lokalne i nienatywne aplikacje w chmurze przy użyciu starszego uwierzytelniania, łącząc je z:

  • Azure AD serwer proxy aplikacji i skonfiguruj oparte na nagłówku, aby umożliwić logowanie jednokrotne (SSO) do aplikacji dla użytkowników zdalnych, a jednocześnie jawnie weryfikowanie wiarygodności użytkowników zdalnych i urządzeń z dostępem warunkowym Azure AD. W razie potrzeby użyj rozwiązania Software-Defined obwodowego (SDP) innej firmy, które może oferować podobne funkcje.
  • Microsoft Defender for Cloud Apps, która służy jako usługa brokera zabezpieczeń dostępu do chmury (CASB) do monitorowania i blokowania dostępu użytkowników do niezatwierdzonych aplikacji SaaS innych firm.
  • Istniejące kontrolery dostarczania aplikacji i sieci innych firm

Uwaga: sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji i często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj serwera proxy usługi Google Cloud Identity-Aware (IAP), aby zarządzać dostępem do aplikacji opartych na protokole HTTP poza usługą Google Cloud, w tym aplikacji lokalnych. Protokół IAP działa przy użyciu podpisanych nagłówków lub interfejsu API użytkowników w środowisku standardowym usługi App Engine. Jeśli jest to wymagane, użyj rozwiązania Software-Defined obwodowego (SDP) innej firmy, które może oferować podobne funkcje.

Możesz również użyć Microsoft Defender for Cloud Apps, która służy jako usługa brokera zabezpieczeń dostępu do chmury (CASB) do monitorowania i blokowania dostępu użytkowników do niezatwierdzonych aplikacji SaaS innych firm.

Uwaga: sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji i często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):