Security Control V2: acesso privilegiado

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

O acesso privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e aos seus recursos do Azure. Isso inclui uma variedade de controles para proteger seu modelo administrativo, suas contas administrativas e suas estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos.

Para ver o Azure Policy interno aplicável, confira Detalhes da iniciativa interna de conformidade regulatória do Azure Security Benchmark: acesso privilegiado

PA-1: proteger e limitar os usuários altamente privilegiados

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-1 4.3, 4.8 AC-2

Limite o número de contas de usuário altamente privilegiadas e proteja essas contas em um nível elevado. As funções internas mais críticas no Azure AD são Administrador Global e Administrador de Funções com Privilégios, pois os usuários atribuídos a elas podem delegar funções de administrador. Com esses privilégios, os usuários podem ler e mudar de forma direta ou indireta todos os recursos no seu ambiente do Azure:

  • Administrador global: os usuários com esta função têm acesso a todos os recursos administrativos do Azure AD, bem como a serviços que utilizam identidades do Azure AD.

  • Administrador de funções com privilégios: os usuários com essa função podem gerenciar atribuições de função tanto no Azure AD quanto no Azure AD Privileged Identity Management (PIM). Além disso, essa função permite gerenciar todos os aspectos do PIM e das unidades administrativas.

Observação: é possível que você tenha outras funções críticas que precisem ser controladas caso utilize funções personalizadas com determinadas permissões privilegiadas atribuídas. E você também pode querer aplicar controles semelhantes à conta de administrador de ativos de negócios críticos.

Você pode habilitar o acesso privilegiado JIT (just-in-time) aos recursos do Azure e ao Azure AD usando o Azure AD PIM (Privileged Identity Management). O JIT concede permissões temporárias para executar tarefas privilegiadas somente quando os usuários precisam dela. O PIM também pode gerar alertas de segurança quando há atividades suspeitas ou não seguras na sua organização do Azure AD.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-2: restringir o acesso administrativo a sistemas críticos para os negócios

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-2 13.2, 2.10 AC-2, SC-3, SC-7

Isole o acesso a sistemas críticos para os negócios restringindo quais contas recebem acesso privilegiado às assinaturas e aos grupos de gerenciamento nos quais eles estão. Certifique-se de também restringir o acesso aos sistemas de gerenciamento, identidade e segurança que têm acesso administrativo aos seus ativos críticos para os negócios, como DCs (Controladores de Domínio) do Active Directory, ferramentas de segurança e ferramentas de gerenciamento do sistema com agentes instalados em sistemas críticos aos negócios. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem transformá-los em uma arma para prejudicar ativos críticos de negócios.

Todos os tipos de controles de acesso devem ser alinhados à sua estratégia de segmentação corporativa para garantir o controle de acesso consistente.

Lembre-se de atribuir contas privilegiadas separadas que sejam diferentes das contas de usuário padrão usadas para tarefas de email, navegação e produtividade.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-3: examinar e reconciliar regularmente o acesso do usuário

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-3 4.1, 16.9, 16.10 AC-2

Revise regularmente as contas de usuário e a atribuição de acesso para garantir que sejam válidos. As revisões de acesso do AAD podem ser usadas para analisar associações de grupo, acesso a aplicativos empresariais e atribuições de função. Os relatórios do Azure AD podem fornecer logs para ajudar a descobrir contas obsoletas. Também é possível usar o Azure AD Privileged Identity Management para criar um fluxo de trabalho de relatório de revisão de acesso que facilite o processo de revisão. Além disso, o Azure Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador for criado e para identificar contas de administrador que estão obsoletas ou configuradas incorretamente.

Observação: alguns serviços do Azure dão suporte a usuários e funções locais que não são gerenciados por meio do Azure AD. É necessário gerenciar esses usuários separadamente.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-4: configurar o acesso de emergência no Azure AD

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-4 16 AC-2, CP-2

Para evitar que seja bloqueado acidentalmente da sua empresa no Azure AD, configure uma conta de acesso de emergência para quando as contas administrativas normais não puderem ser usadas. As contas de acesso de emergência geralmente são altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas. Você deve verificar se as credenciais (como senha, certificado ou cartão inteligente) para contas de acesso de emergência são mantidas seguras e conhecidas apenas pelos indivíduos que têm autorização para usá-las somente em uma emergência.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-5: automatizar o gerenciamento de direitos

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-5 16 AC-2, AC-5, PM-10

Use os recursos de gerenciamento de direitos do AAD para automatizar fluxos de trabalho de solicitação de acesso, incluindo atribuições de acesso, revisões e expiração. Também é permitida a aprovação dupla ou de vários estágios.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-6: usar estações de trabalho com acesso privilegiado

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-6 4.6, 11.6, 12.12 AC-2, SC-3, SC-7

As estações de trabalho seguras e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviços críticos. Use estações de trabalho de usuário altamente protegidas e/ou o Azure Bastion para tarefas administrativas. Use o Azure Active Directory, o Microsoft Defender para Identidade e/ou o Microsoft Intune para implantar uma estação de trabalho de usuário protegida e gerenciada para tarefas administrativas. As estações de trabalho protegidas podem ser gerenciadas de modo centralizado para impor a configuração protegida, incluindo linhas de base de software e hardware, autenticação forte e acesso lógico restrito e de rede.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-7: seguir a administração Just Enough (princípio de privilégios mínimos)

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-7 14.6 AC-2, AC-3, SC-3

O RBAC (controle de acesso baseado em função) do Azure permite gerenciar o acesso aos recursos do Azure por meio de atribuições de função. É possível atribuir essas funções a usuários, entidades de serviço de grupo e identidades gerenciadas. Há funções internas predefinidas para determinados recursos, e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure. Os privilégios atribuídos aos recursos por meio do RBAC do Azure devem ser sempre limitados ao que é exigido pelas funções. Os privilégios limitados complementarão a abordagem JIT (just-in-time) do PIM (Privileged Identity Management) do Azure AD e esses privilégios devem ser revisados periodicamente.

Use funções internas para alocar permissões e criar funções personalizadas apenas quando necessário.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PA-8: escolher o processo de aprovação para suporte da Microsoft

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PA-8 16 AC-2, AC-3, AC-4

Em cenários de suporte em que a Microsoft precisa acessar os dados do cliente, o Sistema de Proteção de Dados do Cliente fornece um recurso para você examinar e aprovar ou rejeitar explicitamente solicitações de acesso a dados do cliente.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):