Security Control v3: Zarządzanie tożsamościami

Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu Azure Active Directory, w tym korzystania z logowania jednokrotnego, silnych uwierzytelnień, tożsamości zarządzanych (i zasad usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Zasada zabezpieczeń: użyj scentralizowanego systemu tożsamości i uwierzytelniania, aby zarządzać tożsamościami i uwierzytelnianiem organizacji dla zasobów w chmurze i innych niż chmura.

Wskazówki dotyczące platformy Azure: Azure Active Directory (Azure AD) to usługa zarządzania tożsamościami i uwierzytelnianiem platformy Azure. Należy ustandaryzować Azure AD, aby zarządzać tożsamością i uwierzytelnianiem organizacji w programie:

  • Zasoby w chmurze firmy Microsoft, takie jak azure Storage, azure Virtual Machines (Linux i Windows), aplikacje azure Key Vault, PaaS i SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure, aplikacje innych firm działające w zasobach sieci firmowych i aplikacje SaaS innych firm.
  • Tożsamości przedsiębiorstwa w usłudze Active Directory przez synchronizację w celu Azure AD w celu zapewnienia spójnej i centralnej strategii tożsamości zarządzanej.

Uwaga: jak tylko jest to technicznie możliwe, należy przeprowadzić migrację lokalna usługa Active Directory aplikacji opartych na Azure AD. Może to być Azure AD Enterprise Directory, Business to Business configuration lub Business to consumer configuration.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-2: Ochrona systemów tożsamości i uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Zasada zabezpieczeń: zabezpieczanie tożsamości i systemu uwierzytelniania jako wysoki priorytet w praktyce zabezpieczeń w chmurze organizacji. Typowe mechanizmy kontroli zabezpieczeń obejmują:

  • Ograniczanie ról i kont uprzywilejowanych
  • Wymagaj silnego uwierzytelniania dla wszystkich uprzywilejowanych dostępu
  • Monitorowanie i przeprowadzanie inspekcji działań wysokiego ryzyka

Wskazówki dotyczące platformy Azure: skorzystaj z punktu odniesienia zabezpieczeń Azure AD i wskaźnika bezpieczeństwa tożsamości Azure AD identity, aby ocenić stan zabezpieczeń tożsamości Azure AD oraz skorygować luki w zabezpieczeniach i konfiguracji. Wskaźnik bezpieczeństwa tożsamości Azure AD ocenia Azure AD dla następujących konfiguracji: -Użyj ograniczonych ról administracyjnych

  • Włączanie zasad ryzyka użytkownika
  • Wyznaczanie więcej niż jednego administratora globalnego
  • Włączanie zasad w celu blokowania starszego uwierzytelniania
  • Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe na potrzeby bezpiecznego dostępu
  • Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych
  • Włączanie samoobsługowego resetowania hasła
  • Nie wygasaj haseł
  • Włączanie zasad ryzyka związanego z logowaniem
  • Nie zezwalaj użytkownikom na udzielanie zgody na niezarządzane aplikacje

Uwaga: postępuj zgodnie z opublikowanymi najlepszymi rozwiązaniami dotyczącymi wszystkich innych składników tożsamości, w tym lokalna usługa Active Directory i możliwościami innych firm oraz infrastrukturami (takimi jak systemy operacyjne, sieci, bazy danych), które je hostują.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy AC-2, AC-3, IA-4, IA-5, IA-9 Nie dotyczy

Zasada zabezpieczeń: użyj tożsamości aplikacji zarządzanych zamiast tworzenia kont ludzkich dla aplikacji w celu uzyskiwania dostępu do zasobów i wykonywania kodu. Tożsamości aplikacji zarządzanych zapewniają korzyści, takie jak zmniejszenie ekspozycji poświadczeń. Zautomatyzuj rotację poświadczeń, aby zapewnić bezpieczeństwo tożsamości.

Wskazówki dotyczące platformy Azure: użyj tożsamości zarządzanych platformy Azure, które mogą uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Zaleca się skonfigurowanie jednostek usługi przy użyciu poświadczeń certyfikatu i powrót do wpisów tajnych klienta na potrzeby uwierzytelniania.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-4: Uwierzytelnianie serwera i usług

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IA-9 Nie dotyczy

Zasada zabezpieczeń: Uwierzytelnianie zdalnych serwerów i usług po stronie klienta w celu zapewnienia, że łączysz się z zaufanym serwerem i usługami. Najczęstszym protokołem uwierzytelniania serwera jest transport Layer Security (TLS), gdzie po stronie klienta (często przeglądarka lub urządzenie klienckie) weryfikuje serwer, sprawdzając certyfikat serwera został wystawiony przez zaufany urząd certyfikacji.

Uwaga: wzajemne uwierzytelnianie może być używane, gdy zarówno serwer, jak i klient uwierzytelniają się nawzajem.

Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure domyślnie obsługuje uwierzytelnianie TLS. W przypadku usług obsługujących przełącznik włączania/wyłączania protokołu TLS przez użytkownika upewnij się, że jest zawsze włączona obsługa uwierzytelniania serwera/usługi. Aplikacja kliencka powinna być również zaprojektowana w celu zweryfikowania tożsamości serwera/usługi (przez zweryfikowanie certyfikatu serwera wystawionego przez zaufany urząd certyfikacji) na etapie uzgadniania.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-5: Uzyskiwanie dostępu do aplikacji przy użyciu logowania jednokrotnego

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
12.5 IA-4, IA-2, IA-8 Nie dotyczy

Zasada zabezpieczeń: użyj logowania jednokrotnego (SSO), aby uprościć środowisko użytkownika do uwierzytelniania w zasobach, w tym aplikacji i danych w usługach w chmurze i środowiskach lokalnych.

Wskazówki dotyczące platformy Azure: korzystanie z Azure AD na potrzeby dostępu do aplikacji obciążeń za pośrednictwem Azure AD logowania jednokrotnego (SSO), co oznacza konieczność korzystania z wielu kont. Azure AD zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure (płaszczyznę zarządzania, w tym interfejs wiersza polecenia, program PowerShell, portal), aplikacje w chmurze i aplikacje lokalne.

Azure AD obsługuje logowanie jednokrotne dla tożsamości przedsiębiorstwa, takich jak tożsamości użytkowników firmowych, a także tożsamości użytkowników zewnętrznych od zaufanych użytkowników innych firm i użytkowników publicznych.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-6: Używanie kontrolek silnego uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Zasada zabezpieczeń: Wymuszaj silne mechanizmy kontroli uwierzytelniania (silne uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe) za pomocą scentralizowanego systemu zarządzania tożsamościami i uwierzytelnianiem dla wszystkich zasobów. Uwierzytelnianie oparte na samych poświadczeniach hasła jest uznawane za starsze, ponieważ jest niezabezpieczone i nie jest zgodne z popularnymi metodami ataków.

Podczas wdrażania silnego uwierzytelniania należy najpierw skonfigurować administratorów i uprzywilejowanych użytkowników, aby zapewnić najwyższy poziom metody silnego uwierzytelniania, a następnie szybko wdrożyć odpowiednie zasady silnego uwierzytelniania dla wszystkich użytkowników.

Uwaga: jeśli starsze uwierzytelnianie oparte na hasłach jest wymagane w przypadku starszych aplikacji i scenariuszy, należy upewnić się, że są przestrzegane najlepsze rozwiązania w zakresie zabezpieczeń haseł, takie jak wymagania dotyczące złożoności.

Wskazówki dotyczące platformy Azure: Azure AD obsługuje silne mechanizmy uwierzytelniania za pomocą metod bez hasła i uwierzytelniania wieloskładnikowego (MFA).

  • Uwierzytelnianie bez hasła: użyj uwierzytelniania bez hasła jako domyślnej metody uwierzytelniania. W przypadku uwierzytelniania bez hasła dostępne są trzy opcje: Windows Hello dla firm, logowanie Microsoft Authenticator aplikacji na telefon i klucz FIDO 2Keys. Ponadto klienci mogą używać lokalnych metod uwierzytelniania, takich jak karty inteligentne.
  • Uwierzytelnianie wieloskładnikowe: usługę Azure MFA można wymusić na wszystkich użytkownikach, wybrać użytkowników lub na poziomie poszczególnych użytkowników na podstawie warunków logowania i czynników ryzyka. Włącz usługę Azure MFA i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Azure Defender dla Chmury na potrzeby konfiguracji uwierzytelniania wieloskładnikowego.

Jeśli starsze uwierzytelnianie oparte na hasłach jest nadal używane do uwierzytelniania Azure AD, należy pamiętać, że konta tylko w chmurze (konta użytkowników utworzone bezpośrednio na platformie Azure) mają domyślne zasady haseł punktu odniesienia. Konta hybrydowe (konta użytkowników pochodzące z lokalna usługa Active Directory) są zgodne z lokalnymi zasadami haseł.

W przypadku aplikacji i usług innych firm, które mogą mieć domyślne identyfikatory i hasła, należy je wyłączyć lub zmienić podczas początkowej konfiguracji usługi.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Im-7: Ograniczanie dostępu do zasobów na podstawie warunków

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Zasada zabezpieczeń: Jawne weryfikowanie zaufanych sygnałów w celu zezwolenia lub odmowy dostępu użytkowników do zasobów w ramach modelu dostępu bez zaufania. Sygnały do weryfikacji powinny obejmować silne uwierzytelnianie konta użytkownika, analizę behawioralną konta użytkownika, wiarygodność urządzenia, członkostwo użytkownika lub grupy, lokalizacje itd.

Wskazówki dotyczące platformy Azure: użyj Azure AD dostępu warunkowego, aby uzyskać bardziej szczegółowe mechanizmy kontroli dostępu na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkowników z określonych zakresów adresów IP (lub urządzeń) do korzystania z uwierzytelniania wieloskładnikowego. Azure AD dostęp warunkowy umożliwia wymuszanie kontroli dostępu do aplikacji organizacji w oparciu o określone warunki.

Zdefiniuj odpowiednie warunki i kryteria dla Azure AD dostępu warunkowego w obciążeniu. Rozważ następujące typowe przypadki użycia:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymi
  • Wymaganie uwierzytelniania wieloskładnikowego na potrzeby zadań zarządzania platformy Azure
  • Blokowanie logowania użytkowników próbujących używać starszych protokołów uwierzytelniania
  • Wymaganie zaufanych lokalizacji na potrzeby rejestracji usługi Azure AD Multi-Factor Authentication
  • Blokowanie lub udzielanie dostępu z określonych lokalizacji
  • Blokowanie ryzykownych zachowań logowania
  • Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji

Uwaga: Szczegółowe zarządzanie sesjami uwierzytelniania może być również używane za pośrednictwem Azure AD zasad dostępu warunkowego w celu kontroli, takich jak częstotliwość logowania i trwała sesja przeglądarki.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Zasada zabezpieczeń: Upewnij się, że deweloperzy aplikacji bezpiecznie obsługują poświadczenia i wpisy tajne:

  • Unikaj osadzania poświadczeń i wpisów tajnych w kodzie i plikach konfiguracji
  • Przechowywanie poświadczeń i wpisów tajnych przy użyciu magazynu kluczy lub bezpiecznego magazynu kluczy
  • Skanuj pod kątem poświadczeń w kodzie źródłowym.

Uwaga: jest to często zarządzane i wymuszane za pośrednictwem bezpiecznego cyklu życia tworzenia oprogramowania (SDLC) i DevOps procesu zabezpieczeń.

Wskazówki dotyczące platformy Azure: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w kodzie i plikach konfiguracji.

  • Zaimplementuj skaner poświadczeń Azure DevOps, aby zidentyfikować poświadczenia w kodzie.
  • W przypadku GitHub użyj natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inną formę wpisów tajnych w kodzie.

Klienci, tacy jak Azure Functions, usługi Azure Apps i maszyny wirtualne, mogą bezpiecznie uzyskiwać dostęp do usługi Azure Key Vault przy użyciu tożsamości zarządzanych. Zobacz Mechanizmy kontroli ochrony danych związane z używaniem usługi Azure Key Vault do zarządzania wpisami tajnymi.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-9: Zabezpieczanie dostępu użytkowników do istniejących aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.7, 12.5 AC-2, AC-3, SC-11 Nie dotyczy

Zasada zabezpieczeń: w środowisku hybrydowym, w którym masz aplikacje lokalne lub aplikacje w chmurze inne niż natywne przy użyciu starszego uwierzytelniania, należy wziąć pod uwagę rozwiązania, takie jak broker zabezpieczeń dostępu do chmury (CASB), serwer proxy aplikacji, logowanie jednokrotne (SSO), aby zarządzać dostępem do tych aplikacji w celu uzyskania następujących korzyści:

  • Wymuszanie scentralizowanego silnego uwierzytelniania
  • Monitorowanie i kontrolowanie ryzykownych działań użytkowników końcowych
  • Monitorowanie i korygowanie ryzykownych działań starszych aplikacji
  • Wykrywanie i zapobieganie transmisji poufnych danych

Wskazówki dotyczące platformy Azure: Ochrona lokalnych i nienatywnych aplikacji w chmurze przy użyciu starszego uwierzytelniania przez połączenie ich z:

  • Azure AD serwer proxy aplikacji w połączeniu z uwierzytelnianiem opartym na nagłówku na potrzeby publikowania starszych aplikacji lokalnych dla użytkowników zdalnych z logowaniem jednokrotnym, a jednocześnie jawnie weryfikowanie wiarygodności użytkowników zdalnych i urządzeń z dostępem warunkowym Azure AD. W razie potrzeby użyj rozwiązania Software-Defined obwodowego (SDP) innej firmy, które może oferować podobne funkcje.
  • Istniejące kontrolery dostarczania aplikacji i sieci innych firm
  • Microsoft Defender for Cloud Apps, używając jej jako usługi brokera zabezpieczeń dostępu do chmury (CASB) w celu zapewnienia kontroli monitorowania sesji aplikacji użytkownika i akcji blokujących (zarówno dla starszych aplikacji lokalnych, jak i aplikacji saaS).

Uwaga: sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji, często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):