Kontrola zabezpieczeń w wersji 2: dostęp uprzywilejowany
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Dostęp uprzywilejowany obejmuje mechanizmy kontroli w celu ochrony uprzywilejowanego dostępu do dzierżawy i zasobów platformy Azure. Obejmuje to szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i stacji roboczych uprzywilejowanego dostępu przed celowym i niezamierzonym ryzykiem.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Dostęp uprzywilejowany
PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Ogranicz liczbę kont użytkowników o wysokim poziomie uprawnień i chroń te konta na podwyższonym poziomie. Najważniejsze role wbudowane w Azure AD to administrator globalny i administrator ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych dwóch ról mogą delegować role administratora. Przy użyciu tych uprawnień użytkownicy mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure:
Administrator globalny: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w Azure AD, a także usług korzystających z tożsamości Azure AD.
Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w Azure AD, a także w Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.
Uwaga: możesz mieć inne role krytyczne, które muszą być zarządzane, jeśli używasz ról niestandardowych z przypisanymi określonymi uprawnieniami uprzywilejowanymi. Możesz również chcieć zastosować podobne mechanizmy kontroli do konta administratora krytycznych zasobów biznesowych.
Można włączyć uprzywilejowany dostęp just-in-time (JIT) do zasobów platformy Azure i usługi Azure AD przy użyciu usługi Azure AD Privileged Identity Management (PIM). Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-2: Ogranicz dostęp administracyjny do systemów o krytycznym znaczeniu dla firmy
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Izoluj dostęp do systemów o krytycznym znaczeniu dla działania firmy, ograniczając, które konta mają uprzywilejowany dostęp do subskrypcji i grup zarządzania, w których się znajdują. Należy również ograniczyć dostęp do systemów zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów krytycznych dla działania firmy, takich jak kontrolery domena usługi Active Directory (KONTROLERY), narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które naruszyją te systemy zarządzania i zabezpieczeń, mogą natychmiast zbroić je w celu naruszenia krytycznych zasobów biznesowych.
Wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa w celu zapewnienia spójnej kontroli dostępu.
Upewnij się, że przypisano oddzielne konta uprzywilejowane, które różnią się od kont użytkowników standardowych używanych do obsługi poczty e-mail, przeglądania i wykonywania zadań związanych z produktywnością.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Regularnie przeglądaj konta użytkowników i przypisywanie dostępu, aby upewnić się, że konta i ich poziom dostępu są prawidłowe. Możesz użyć Azure AD przeglądów dostępu do przeglądania członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowania mogą udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management, aby utworzyć przepływ pracy przeglądu dostępu do raportu, który ułatwia proces przeglądu. Ponadto można skonfigurować usługę Azure Privileged Identity Management do powiadamiania o nadmiernej liczbie kont administratorów oraz identyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Uwaga: niektóre usługi platformy Azure obsługują lokalnych użytkowników i role, które nie są zarządzane za pośrednictwem Azure AD. Musisz zarządzać tymi użytkownikami oddzielnie.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-4: Konfigurowanie dostępu awaryjnego w usłudze Azure AD
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Aby zapobiec przypadkowemu zablokowaniu z organizacji Azure AD, skonfiguruj konto dostępu awaryjnego w celu uzyskania dostępu, gdy nie można używać zwykłych kont administracyjnych. Konta dostępu awaryjnego są zwykle wysoce uprzywilejowane i nie powinny być przypisane do konkretnych osób. Konta dostępu awaryjnego są ograniczone do sytuacji awaryjnych lub nagłych, w których normalne konta administracyjne nie mogą być używane. Należy upewnić się, że poświadczenia (takie jak hasło, certyfikat lub karta inteligentna) dla kont dostępu awaryjnego są bezpieczne i znane tylko osobom, które są upoważnione do ich używania tylko w sytuacji awaryjnej.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-5: Automatyzowanie zarządzania upoważnieniami
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Użyj Azure AD funkcji zarządzania upoważnieniami, aby zautomatyzować przepływy pracy żądań dostępu, w tym przypisania dostępu, przeglądy i wygaśnięcie. Obsługiwane jest również zatwierdzenie podwójne lub wieloetapowe.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej. Do wykonywania zadań administracyjnych należy używać stacji roboczych użytkowników o wysokim poziomie bezpieczeństwa i/lub usługi Azure Bastion. Użyj usługi Azure Active Directory, Microsoft Defender for Identity i/lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze można centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu oraz ograniczonego dostępu logicznego i sieciowego.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, jednostek usługi grupy i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane role wbudowane dla niektórych zasobów, a te role można spisać lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell i Azure Portal. Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Ograniczone uprawnienia uzupełniają podejście just in time (JIT) Azure AD Privileged Identity Management (PIM), a te uprawnienia należy okresowo przeglądać.
Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć tylko role niestandardowe, jeśli jest to wymagane.
Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)
Jak skonfigurować kontrolę dostępu opartą na rolach platformy Azure
Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-8: Wybierz proces zatwierdzania dla pomocy technicznej firmy Microsoft
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, blokada klienta zapewnia możliwość jawnego przeglądania i zatwierdzania lub odrzucania każdego żądania dostępu do danych klienta.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):