Kontrola zabezpieczeń w wersji 3: dostęp uprzywilejowany
Dostęp uprzywilejowany obejmuje mechanizmy kontroli ochrony uprzywilejowanego dostępu do dzierżawy i zasobów platformy Azure, w tym szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i stacji roboczych uprzywilejowanego dostępu przed celowym i niezamierzonym ryzykiem.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Zasada zabezpieczeń: Upewnij się, że identyfikujesz wszystkie konta o dużym wpływie na firmę. Ogranicz liczbę kont uprzywilejowanych/administracyjnych na płaszczyźnie sterowania chmury, płaszczyźnie zarządzania i danych/płaszczyźnie obciążenia.
Wskazówki dotyczące platformy Azure: Azure Active Directory (Azure AD) to domyślna usługa zarządzania tożsamościami i dostępem na platformie Azure. Najważniejsze role wbudowane w Azure AD to administrator globalny i administrator ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych dwóch ról mogą delegować role administratora. Przy użyciu tych uprawnień użytkownicy mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure:
- Administrator globalny/administrator firmy: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w Azure AD, a także usług korzystających z tożsamości Azure AD.
- Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w Azure AD, a także w Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.
Poza Azure AD platforma Azure ma wbudowane role, które mogą być krytyczne dla uprzywilejowanego dostępu na poziomie zasobu.
- Właściciel: udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
- Współautor: udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie umożliwia przypisywania ról w kontroli dostępu opartej na rolach platformy Azure, zarządzania przypisaniami w usłudze Azure Blueprints ani udostępniania galerii obrazów.
- Administrator dostępu użytkowników: umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure. Uwaga: możesz mieć inne role krytyczne, które muszą być zarządzane, jeśli używasz ról niestandardowych na poziomie Azure AD lub na poziomie zasobu z przypisanymi określonymi uprawnieniami uprzywilejowanymi.
Należy również ograniczyć uprzywilejowane konta w innych systemach zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów krytycznych dla działania firmy, takich jak kontrolery domena usługi Active Directory (DCs), narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które naruszyją te systemy zarządzania i zabezpieczeń, mogą natychmiast zbroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja i dodatkowy kontekst:
- Uprawnienia ról administratora w usłudze Azure AD
- Używanie alertów zabezpieczeń usługi Azure Privileged Identity Management
- Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i wdrożeń w chmurze w usłudze Azure AD
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
- Zarządzanie zgodnością zabezpieczeń
- Operacje zabezpieczeń
PA-2: Unikaj stałego dostępu dla kont użytkowników i uprawnień
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | AC-2 | Nie dotyczy |
Zasada zabezpieczeń: Zamiast tworzyć stałe uprawnienia, użyj mechanizmu just in time (JIT), aby przypisać uprzywilejowany dostęp do różnych warstw zasobów.
Wskazówki dotyczące platformy Azure: Włącz uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i Azure AD przy użyciu usługi Azure AD Privileged Identity Management (PIM). JIT to model, w którym użytkownicy otrzymują tymczasowe uprawnienia do wykonywania zadań uprzywilejowanych, co uniemożliwia złośliwym lub nieautoryzowanym użytkownikom uzyskanie dostępu po wygaśnięciu uprawnień. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.
Ogranicz ruch przychodzący do poufnych portów zarządzania maszynami wirtualnymi za pomocą funkcji dostępu just in time (JIT) Microsoft Defender dla Chmury. Dzięki temu uprzywilejowany dostęp do maszyny wirtualnej jest udzielany tylko wtedy, gdy użytkownicy tego potrzebują.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
- Zarządzanie zgodnością zabezpieczeń
- Operacje zabezpieczeń
PA-3: Zarządzanie cyklem życia tożsamości i uprawnień
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Zasada zabezpieczeń: Użyj zautomatyzowanego procesu lub kontroli technicznej, aby zarządzać cyklem życia tożsamości i dostępu, w tym żądania, przeglądu, zatwierdzania, aprowizacji i anulowania aprowizacji.
Wskazówki dotyczące platformy Azure: Użyj Azure AD funkcji zarządzania upoważnieniami, aby zautomatyzować przepływy pracy żądań dostępu (dla grup zasobów platformy Azure). Dzięki temu przepływy pracy dla grup zasobów platformy Azure umożliwiają zarządzanie przypisaniami dostępu, przeglądami, wygaśnięciem i zatwierdzaniem podwójnym lub wieloetapowym.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością zabezpieczeń
PA-4: Regularne przeglądanie i uzgadnianie dostępu użytkowników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Zasada zabezpieczeń: Przeprowadzanie regularnego przeglądu uprawnień uprzywilejowanego konta. Upewnij się, że dostęp udzielony kont jest ważny do administrowania płaszczyzną sterowania, płaszczyzną zarządzania i obciążeniami.
Wskazówki dotyczące platformy Azure: Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu na platformie Azure, w tym takie jak dzierżawa platformy Azure, usługi platformy Azure, maszyny wirtualne/IaaS, procesy ciągłej integracji/ciągłego wdrażania oraz narzędzia do zarządzania i zabezpieczeń przedsiębiorstwa.
Przeglądy dostępu Azure AD umożliwiają przeglądanie ról Azure AD i ról dostępu do zasobów platformy Azure, członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw. Azure AD raportowania mogą również udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont, konta nie są używane przez określony czas.
Ponadto można skonfigurować Azure AD Privileged Identity Management alert po utworzeniu nadmiernej liczby kont administratorów dla określonej roli oraz zidentyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Implementacja i dodatkowy kontekst:
- Tworzenie przeglądu dostępu ról zasobów platformy Azure w usłudze Privileged Identity Management (PIM)
- Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością zabezpieczeń
PA-5: Konfigurowanie dostępu awaryjnego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | AC-2 | Nie dotyczy |
Zasada zabezpieczeń: Skonfiguruj dostęp awaryjny, aby mieć pewność, że nie zostanie przypadkowo zablokowany z krytycznej infrastruktury chmury (takiej jak system zarządzania tożsamościami i dostępem) w nagłych wypadkach.
Konta dostępu awaryjnego powinny być rzadko używane i mogą być wysoce szkodliwe dla organizacji w przypadku naruszenia zabezpieczeń, ale ich dostępność w organizacji jest również niezwykle ważna w przypadku kilku scenariuszy, gdy są one wymagane.
Wskazówki dotyczące platformy Azure: Aby zapobiec przypadkowemu zablokowaniu z organizacji Azure AD, skonfiguruj konto dostępu awaryjnego (np. konto z rolą administratora globalnego) w celu uzyskania dostępu, gdy nie można używać normalnych kont administracyjnych. Konta dostępu awaryjnego są zwykle wysoce uprzywilejowane i nie powinny być przypisane do konkretnych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać normalnych kont administracyjnych.
Należy upewnić się, że poświadczenia (takie jak hasło, certyfikat lub karta inteligentna) dla kont dostępu awaryjnego są bezpieczne i znane tylko osobom, które są upoważnione do ich używania tylko w sytuacji awaryjnej. W celu zwiększenia bezpieczeństwa tego procesu można również użyć dodatkowych kontrolek, takich jak podwójne kontrolki (np. podzielenie poświadczeń na dwa elementy i przekazanie jej do osobnych osób). Należy również monitorować dzienniki logowania i inspekcji, aby upewnić się, że konta dostępu awaryjnego mogą być używane tylko w ramach autoryzacji.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością zabezpieczeń
- Operacje zabezpieczeń (SecOps)
PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Nie dotyczy |
Zasada zabezpieczeń: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej.
Wskazówki dotyczące platformy Azure: Użyj Azure Active Directory, usługi Microsoft Defender i/lub Microsoft Intune, aby wdrożyć stacje robocze z uprzywilejowanym dostępem (PAW) lokalnie lub na platformie Azure na potrzeby zadań uprzywilejowanych. Stację roboczą z dostępem uprzywilejowanym należy centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu oraz ograniczonego dostępu do sieci i logicznego.
Możesz również użyć usługi Azure Bastion, która jest w pełni zarządzaną usługą PaaS zarządzaną przez platformę, którą można aprowizować w sieci wirtualnej. Usługa Azure Bastion umożliwia łączność RDP/SSH z maszynami wirtualnymi bezpośrednio z Azure Portal przy użyciu przeglądarki.
Implementacja i dodatkowy kontekst:
- Zabezpieczanie dostępu uprzywilejowanego
- Uprzywilejowany dostęp: strategia
- Dostęp uprzywilejowany: administracja
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Operacje zabezpieczeń (SecOps)
- Zarządzanie tożsamościami i kluczami
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Zasada zabezpieczeń: Postępuj zgodnie z zasadami administrowania (najniższymi uprawnieniami), aby zarządzać uprawnieniami na poziomie szczegółowości. Użyj funkcji, takich jak kontrola dostępu oparta na rolach (RBAC), aby zarządzać dostępem do zasobów za pomocą przypisań ról.
Wskazówki dotyczące platformy Azure: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Za pomocą kontroli dostępu opartej na rolach można przypisywać role do użytkowników, jednostek usługi grupy i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane role wbudowane dla niektórych zasobów, a te role można tworzyć w spisie lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell i Azure Portal.
Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Ograniczone uprawnienia będą uzupełniać podejście just in time (JIT) Azure AD Privileged Identity Management (PIM), a te uprawnienia powinny być okresowo przeglądane. Jeśli jest to wymagane, możesz również użyć usługi PIM do zdefiniowania warunku czasu (przypisania ograniczonego czasowo) w przypisaniu roli, w którym użytkownik może aktywować lub używać roli tylko w datach rozpoczęcia i zakończenia.
Uwaga: użyj wbudowanych ról platformy Azure, aby przydzielić uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane.
Implementacja i dodatkowy kontekst:
- Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)
- Jak skonfigurować kontrolę RBAC na platformie Azure
- Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD
- Azure AD Privileged Identity Management — przypisanie powiązane czasowo
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
- Zarządzanie tożsamościami i kluczami
PA-8 Określanie procesu dostępu do obsługi dostawcy usług w chmurze
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Nie dotyczy |
Zasada zabezpieczeń: Ustanów proces zatwierdzania i ścieżkę dostępu na potrzeby żądania i zatwierdzania żądania pomocy technicznej dostawcy oraz tymczasowego dostępu do danych za pośrednictwem bezpiecznego kanału.
Wskazówki dotyczące platformy Azure: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta, aby przejrzeć i zatwierdzić lub odrzucić każde żądanie dostępu do danych firmy Microsoft.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):