Controle de Segurança: Acesso privilegiado
O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido.
PA-1: separar e limitar usuários administrativos/altamente privilegiados
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Princípio de segurança: verifique se você identifica todas as contas de alto impacto nos negócios. Limite o número de contas privilegiadas/administrativas no plano de controle, no plano de gerenciamento e no plano de dados/carga de trabalho da sua nuvem.
Diretrizes do Azure: você deve proteger todas as funções com acesso administrativo direto ou indireto aos recursos hospedados do Azure.
O Azure AD (Azure Active Directory) é o serviço de gerenciamento de identidades e acesso padrão do Azure. As funções internas mais críticas no Azure AD são Administrador Global e Administrador de Funções com Privilégios, porque os usuários atribuídos a elas podem delegar funções de administrador. Com esses privilégios, os usuários podem ler e mudar de forma direta ou indireta todos os recursos no seu ambiente do Azure:
- Administrador Global/Administrador da Empresa: os usuários com essa função têm acesso a todos os recursos administrativos no Azure AD, bem como aos serviços que usam identidades Azure AD.
- Administrador de funções com privilégios: os usuários com essa função podem gerenciar atribuições de função tanto no Azure AD quanto no Azure AD Privileged Identity Management (PIM). Além disso, essa função permite gerenciar todos os aspectos do PIM e das unidades administrativas.
Fora do Azure AD, o Azure tem funções internas que podem ser críticas para acesso privilegiado no nível do recurso.
- Proprietário: concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC.
- Colaborador: concede o acesso completo para gerenciar todos os recursos, mas não permite atribuir funções no Azure RBAC, gerenciar atribuições no Azure Blueprints nem compartilhar galerias de imagens.
- Administrador de Acesso do Usuário: permite gerenciar o acesso do usuário aos recursos do Azure.
Observação: é possível que você tenha outras funções críticas que precisem ser controladas caso utilize funções personalizadas no nível do Azure Active Directory ou no nível de recurso com determinadas permissões privilegiadas atribuídas.
Além disso, os usuários com as três funções a seguir no portal do Azure Enterprise Agreement (EA) também devem ser restritos, pois podem ser usados para gerenciar assinaturas do Azure direta ou indiretamente.
- Proprietário da conta: os usuários com essa função podem gerenciar assinaturas, incluindo a criação e exclusão de assinaturas.
- Administrador corporativo: os usuários atribuídos com essa função podem gerenciar usuários do portal (EA).
- Administrador do Departamento: os usuários atribuídos a essa função podem alterar os proprietários da conta dentro do departamento.
Por fim, certifique-se de também restringir contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo a seus ativos comercialmente críticos, como controladores de Domínio do Active Directory (DCs), ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas comercialmente críticos. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem transformá-los em uma arma para prejudicar ativos críticos de negócios.
Implementação do Azure e contexto adicional:
- Permissões da função Administrador no Azure AD
- Usar os alertas de segurança do Azure Privileged Identity Management
- Protegendo o acesso privilegiado para implantações de nuvem e híbridos no Azure AD
Diretrizes da AWS: você deve proteger todas as funções com acesso administrativo direto ou indireto aos recursos hospedados na AWS.
Os usuários privilegiados/administrativos precisam ser protegidos incluem:
- Usuário raiz: o usuário raiz é as contas privilegiadas de nível mais alto em sua conta do AWS. As contas raiz devem ser altamente restritas e usadas apenas em situação de emergência. Consulte controles de acesso de emergência no PA-5 (Configurar acesso de emergência).
- Identidades do IAM (usuários, grupos, funções) com a política de permissão privilegiada: identidades IAM atribuídas com uma política de permissão como AdministratorAccess podem ter acesso total a serviços e recursos da AWS.
Se você estiver usando o Azure Active Directory (Azure AD) como provedor de identidade para a AWS, consulte as diretrizes do Azure para gerenciar as funções privilegiadas no Azure AD.
Certifique-se de também restringir contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo a seus ativos críticos aos negócios, como a AWS Cognito, ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas comercialmente críticos. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem transformá-los em uma arma para prejudicar ativos críticos de negócios.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: você deve proteger todas as funções com acesso administrativo direto ou indireto aos recursos hospedados pelo GCP.
A função interna mais crítica no Google Cloud é o super administrador. O super administrador pode executar todas as tarefas no console do Administração e tem permissões administrativas irrevogáveis. É recomendável não usar a conta de super administrador para administração diária.
As funções básicas são funções herdadas altamente permissivas e é recomendável que as funções básicas não sejam usadas em ambientes de produção, pois concede amplo acesso em todos os recursos do Google Cloud. As funções básicas incluem as funções Visualizador, Editor e Proprietário. Em vez disso, é recomendável usar funções predefinidas ou personalizadas. As funções predefinidas com privilégios notáveis incluem:
- Administrador da Organização: os usuários com essa função podem gerenciar políticas de IAM e exibir políticas de organização para organizações, pastas e projetos.
- Administrador de Políticas da Organização: os usuários com essa função podem definir quais restrições uma organização deseja colocar na configuração de recursos de nuvem definindo Políticas da Organização.
- Administrador de Funções da Organização: os usuários com essa função podem administrar todas as funções personalizadas na organização e nos projetos abaixo dela.
- Administração de segurança: os usuários com essa função podem obter e definir qualquer política de IAM.
- Negar Administração: os usuários com essa função têm permissões para ler e modificar políticas de negação do IAM.
Além disso, determinadas funções predefinidas contêm permissões de IAM privilegiadas no nível da organização, pasta e projeto. Essas permissões de IAM incluem:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Além disso, implemente a separação de tarefas atribuindo funções a contas para projetos diferentes ou aproveitando a Autorização Binária com o Mecanismo de Kubernetes do Google.
Por fim, certifique-se de que você também restrinja contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo a seus ativos comercialmente críticos, como DNS na nuvem, ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas comercialmente críticos. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem transformá-los em uma arma para prejudicar ativos críticos de negócios.
Implementação do GCP e contexto adicional:
- Práticas recomendadas da conta de superadministrador
- Referência de funções básicas e predefinidas do IAM
- Separação de funções e funções de Gerenciamento de Identidade e Acesso
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Arquitetura de segurança
- Gerenciamento de Conformidade de Segurança
- Operações de segurança
PA-2: evitar o acesso permanente a contas e permissões de usuários
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Princípio de segurança: em vez de criar privilégios permanentes, use o mecanismo JIT (just-in-time) para atribuir acesso privilegiado às diferentes camadas de recursos.
Diretrizes do Azure: habilite o acesso privilegiado JIT (just-in-time) aos recursos do Azure e Azure AD usando o PIM (Azure AD Privileged Identity Management). O JIT é um modelo no qual os usuários recebem permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso após a expiração das permissões. O acesso é concedido somente quando os usuários precisam dele. O PIM também pode gerar alertas de segurança quando há atividades suspeitas ou não seguras na sua organização do Azure AD.
Restrinja o tráfego de entrada às portas de gerenciamento de VM (máquinas virtuais) confidenciais com o recurso JIT (Just-In-Time) do Microsoft Defender para Nuvem para acesso à VM. Isso garante que o acesso privilegiado à VM seja concedido somente quando os usuários precisarem dela.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: use o AWS STS (Serviço de Token de Segurança da AWS) para criar credenciais de segurança temporárias para acessar os recursos por meio da API da AWS. As credenciais de segurança temporárias funcionam quase idênticas às credenciais de chave de acesso de longo prazo que os usuários do IAM podem usar, com as seguintes diferenças:
- As credenciais de segurança temporárias têm uma vida útil de curto prazo, de minutos a horas.
- As credenciais de segurança temporárias não são armazenadas com o usuário, mas são geradas dinamicamente e fornecidas ao usuário quando solicitadas.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: use o acesso condicional do IAM para criar acesso temporário a recursos usando associações de função condicional em políticas de permissão, que são concedidas aos usuários do Cloud Identity. Configure atributos de data/hora para impor controles baseados em tempo para acessar um recurso específico. O acesso temporário pode ter uma vida útil de curto prazo, de minutos a horas, ou pode ser concedido com base em dias ou horas da semana.
Implementação do GCP e contexto adicional:
- Visão geral das condições de IAM
- Configurar o acesso temporário
- Visão geral do Gerenciador de Contexto do Access
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Arquitetura de segurança
- Gerenciamento de Conformidade de Segurança
- Operações de segurança
PA-3: gerenciar o ciclo de vida de identidades e direitos
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Princípio de segurança: use um processo automatizado ou controle técnico para gerenciar o ciclo de vida de identidade e acesso, incluindo a solicitação, revisão, aprovação, provisionamento e desprovisionamento.
Diretrizes do Azure: use Azure AD recursos de gerenciamento de direitos para automatizar fluxos de trabalho de solicitação de acesso (para grupos de recursos do Azure). Isso permite que os fluxos de trabalho para grupos de recursos do Azure gerenciem atribuições de acesso, revisões, expiração e aprovação dupla ou de vários estágios.
Use o Gerenciamento de Permissões para detectar, dimensionar automaticamente e monitorar continuamente permissões não utilizadas e excessivas atribuídas a identidades de usuário e carga de trabalho em infraestruturas de várias nuvens.
Implementação do Azure e contexto adicional:
- Quais são as revisões de acesso do Azure AD?
- O que é o gerenciamento de direitos do Azure AD?
- Visão geral do Gerenciamento de Permissões
Diretrizes da AWS: use o Assistente de Acesso da AWS para efetuar pull dos logs de acesso para as contas de usuário e direitos de recursos. Crie um fluxo de trabalho manual ou automatizado para integrar-se ao AWS IAM para gerenciar atribuições de acesso, revisões e exclusões.
Observação: há soluções de terceiros disponíveis no AWS Marketplace para gerenciar o ciclo de vida de identidades e direitos.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use os Logs de Auditoria na Nuvem do Google para efetuar pull dos logs de auditoria de acesso de dados e atividade de administrador para as contas de usuário e direitos para recursos. Crie um fluxo de trabalho manual ou automatizado para integrar-se ao IAM do GCP para gerenciar atribuições de acesso, revisões e exclusões.
Use o Google Cloud Identity Premium para fornecer os principais serviços de gerenciamento de identidades e dispositivos. Esses serviços incluem recursos como provisionamento automatizado de usuários, lista de permissões de aplicativo e gerenciamento automatizado de dispositivos móveis.
Observação: há soluções de terceiros disponíveis no Google Cloud Marketplace para gerenciar o ciclo de vida de identidades e direitos.
Implementação do GCP e contexto adicional:
- Assistente de Acesso do IAM
- Cloud Identity e Atlassian Access: gerenciamento do ciclo de vida do usuário em toda a sua organização
- Conceder e revogar acesso à API
- Revogar o acesso a um projeto do Google Cloud
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Segurança de aplicativo e DevSecOps
- Gerenciamento de Conformidade de Segurança
PA-4: examinar e reconciliar regularmente o acesso do usuário
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Princípio de segurança: realize uma revisão regular dos direitos de conta com privilégios. Verifique se o acesso concedido às contas é válido para a administração do plano de controle, do plano de gerenciamento e das cargas de trabalho.
Diretrizes do Azure: examine todas as contas privilegiadas e os direitos de acesso no Azure, incluindo locatários do Azure, serviços do Azure, VM/IaaS, processos de CI/CD e ferramentas corporativas de gerenciamento e segurança.
Use Azure AD revisões de acesso para examinar funções de Azure AD, funções de acesso a recursos do Azure, associações de grupo e acesso a aplicativos empresariais. Azure AD relatórios também podem fornecer logs para ajudar a descobrir contas obsoletas ou contas que não foram usadas por determinado período de tempo.
Além disso, o Azure AD Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador for criado for para uma função específica e para identificar contas de administrador que estão obsoletas ou configuradas incorretamente.
Implementação do Azure e contexto adicional:
- Criar uma revisão de acesso das funções de recursos do Azure no Privileged Identity Management (PIM)
- Como usar as revisões de identidade e acesso do Azure AD
Diretrizes da AWS: examine todas as contas privilegiadas e os direitos de acesso na AWS, incluindo contas, serviços, VM/IaaS, processos de CI/CD e ferramentas de segurança e gerenciamento corporativo.
Use o Assistente de Acesso do IAM, o Analisador de Acesso e os Relatórios de Credenciais para examinar funções de acesso a recursos, associações de grupo e acesso a aplicativos empresariais. O Analisador de Acesso do IAM e os relatórios de Relatórios de Credenciais também podem fornecer logs para ajudar a descobrir contas obsoletas ou contas que não foram usadas por determinado período de tempo.
Se você estiver usando o Azure Active Directory (Azure AD) como provedor de identidade para a AWS, use Azure AD revisão de acesso para examinar periodicamente as contas privilegiadas e os direitos de acesso.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: examine todas as contas privilegiadas e os direitos de acesso no Google Cloud, incluindo contas de Identidade de Nuvem, serviços, VM/IaaS, processos de CI/CD e ferramentas de segurança e gerenciamento corporativo.
Use logs de auditoria na nuvem e o Analisador de Política para examinar funções de acesso a recursos e associações de grupo. Crie consultas de análise no Analisador de Política para entender quais entidades podem acessar recursos específicos.
Se você estiver usando o Azure Active Directory (Azure AD) como provedor de identidade do Google Cloud, use Azure AD revisão de acesso para examinar periodicamente as contas privilegiadas e os direitos de acesso.
Além disso, o Azure AD Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador for criado for para uma função específica e para identificar contas de administrador que estão obsoletas ou configuradas incorretamente.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Segurança de aplicativo e DevSecOps
- Gerenciamento de Conformidade de Segurança
PA-5: configurar o acesso de emergência
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Princípio de segurança: configure o acesso de emergência para garantir que você não seja bloqueado acidentalmente de sua infraestrutura de nuvem crítica (como seu sistema de gerenciamento de identidades e acesso) em uma emergência.
As contas de acesso de emergência raramente devem ser usadas e podem ser altamente prejudiciais à organização, se comprometidas, mas sua disponibilidade para a organização também é extremamente importante para os poucos cenários em que são necessárias.
Diretrizes do Azure: para evitar o bloqueio acidental de sua organização Azure AD, configure uma conta de acesso de emergência (por exemplo, uma conta com função de Administrador Global) para acesso quando contas administrativas normais não puderem ser usadas. As contas de acesso de emergência geralmente são altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas.
Você deve verificar se as credenciais (como senha, certificado ou cartão inteligente) para contas de acesso de emergência são mantidas seguras e conhecidas apenas pelos indivíduos que têm autorização para usá-las somente em uma emergência. Você também pode usar controles adicionais, como controles duplos (por exemplo, dividir a credencial em duas partes e dá-la a pessoas separadas) para aprimorar a segurança desse processo. Você também deve monitorar os logs de entrada e auditoria para garantir que as contas de acesso de emergência sejam usadas somente quando autorizadas.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: as contas "raiz" da AWS não devem ser usadas para tarefas administrativas regulares. Como a conta "raiz" é altamente privilegiada, ela não deve ser atribuída a indivíduos específicos. Seu uso deve ser limitado apenas a cenários de emergência ou "quebra de vidro" quando contas administrativas normais não podem ser usadas. Para tarefas administrativas diárias, contas de usuário privilegiadas separadas devem ser usadas e atribuídas as permissões apropriadas por meio de funções IAM.
Você também deve garantir que as credenciais (como senha, tokens de MFA e chaves de acesso) para contas raiz sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em uma emergência. A MFA deve ser habilitada para a conta raiz, e você também pode usar controles adicionais, como controles duplos (por exemplo, dividir a credencial em duas partes e dá-la a pessoas separadas) para aprimorar a segurança desse processo.
Você também deve monitorar os logs de entrada e auditoria no CloudTrail ou eventBridge para garantir que as contas de acesso raiz sejam usadas somente quando autorizadas.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: as contas de superadministrador do Google Cloud Identity não devem ser usadas para tarefas administrativas regulares. Como a conta de super administrador é altamente privilegiada, ela não deve ser atribuída a indivíduos específicos. Seu uso deve ser limitado apenas a cenários de emergência ou "quebra de vidro" quando contas administrativas normais não podem ser usadas. Para tarefas administrativas diárias, contas de usuário privilegiadas separadas devem ser usadas e atribuídas as permissões apropriadas por meio de funções IAM.
Você também deve garantir que as credenciais (como senha, tokens de MFA e chaves de acesso) para contas de super administrador sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em uma emergência. A MFA deve ser habilitada para a conta de superdministrador e você também pode usar controles adicionais, como controles duplos (por exemplo, dividir a credencial em duas partes e dá-la a pessoas separadas) para aprimorar a segurança desse processo.
Você também deve monitorar os logs de entrada e auditoria nos Logs de Auditoria na Nuvem ou consultar o Analisador de Política para garantir que as contas de super administrador sejam usadas somente quando autorizadas.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
- Segurança de aplicativo e DevSecOps
- Gerenciamento de Conformidade de Segurança
- Operações de segurança (SecOps)
PA-6: usar estações de trabalho com acesso privilegiado
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Princípio de segurança: estações de trabalho protegidas e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviço crítico.
Diretrizes do Azure: use o Azure Active Directory, Microsoft Defender e/ou Microsoft Intune para implantar PAW (estações de trabalho de acesso privilegiado) localmente ou no Azure para tarefas privilegiadas. A PAW deve ser gerenciadas de modo centralizado para impor a configuração protegida, incluindo linhas de base de software e hardware, autenticação forte e acesso lógico restrito e de rede.
Você também pode usar o Azure Bastion, que é um serviço de PaaS totalmente gerenciado por plataforma que pode ser provisionado dentro de sua rede virtual. O Azure Bastion permite conectividade RDP/SSH com suas máquinas virtuais diretamente do portal do Azure usando um navegador da Web.
Implementação do Azure e contexto adicional:
- Entender estações de trabalho com acesso privilegiado
- Implantação de estações de trabalho com acesso privilegiado
Diretrizes da AWS: use o Gerenciador de Sessão no AWS Systems Manager para criar um caminho de acesso (uma sessão de conexão) para a instância do EC2 ou uma sessão de navegador para os recursos do AWS para tarefas privilegiadas. O Gerenciador de Sessão permite conectividade RDP, SSH e HTTPS com seus hosts de destino por meio do encaminhamento de porta.
Você também pode optar por implantar uma PAW (estação de trabalho de acesso privilegiado) gerenciada centralmente por meio do Azure Active Directory, Microsoft Defender e/ou Microsoft Intune. O gerenciamento central deve impor a configuração protegida, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restrito.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use a Área de Trabalho de Proxy Identity-Aware (IAP) para criar um caminho de acesso (uma sessão de conexão) para a instância de computação para tarefas privilegiadas. A Área de Trabalho IAP permite conectividade RDP e SSH com seus hosts de destino por meio do encaminhamento de porta. Além disso, as instâncias de computação do Linux voltadas para o exterior podem estar conectadas por meio de um SSH no navegador por meio do console do Google Cloud.
Você também pode optar por implantar uma PAW (estação de trabalho de acesso privilegiado) gerenciada centralmente por meio do Google Workspace Endpoint Management ou soluções da Microsoft (Azure Active Directory, Microsoft Defender e/ou Microsoft Intune). O gerenciamento central deve impor a configuração protegida, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restrito.
Você também pode criar bastion hosts para acesso seguro a ambientes confiáveis com parâmetros definidos.
Implementação do GCP e contexto adicional:
- Conectando-se com segurança a instâncias de VM
- Conectar-se a VMs do Linux usando o Proxy Identity-Aware
- Conectar-se a VMs usando um bastion host
Stakeholders de segurança do cliente (Saiba mais):
- Segurança de aplicativo e DevSecOps
- Operações de segurança (SecOps)
- Gerenciamento de identidades e de chaves
PA-7: Siga apenas o princípio da administração Just Enough ( privilégios mínimos)
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Princípio de segurança: siga o princípio de administração suficiente (privilégio mínimo) para gerenciar permissões em nível refinado. Use recursos como o RBAC (controle de acesso baseado em função) para gerenciar o acesso a recursos por meio de atribuições de função.
Diretrizes do Azure: use o RBAC (controle de acesso baseado em função) do Azure para gerenciar o acesso a recursos do Azure por meio de atribuições de função. Por meio do RBAC, você pode atribuir funções a usuários, grupos, entidades de serviço e identidades gerenciadas. Há funções internas predefinidas para determinados recursos, e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure.
Os privilégios que você atribui aos recursos por meio do RBAC do Azure devem ser sempre limitados ao que é exigido pelas funções. Os privilégios limitados complementarão a abordagem JIT (just-in-time) do PIM (Azure Active Directory Privileged Identity Management), e esses privilégios devem ser revisados periodicamente. Se necessário, você também pode usar o PIM para definir uma atribuição de limite de tempo, que é uma condição em uma atribuição de função em que um usuário só pode ativar a função dentro das datas de início e término especificadas.
Observação: use as funções internas do Azure para alocar permissões e somente crie funções personalizadas quando necessário.
Implementação do Azure e contexto adicional:
- O que é o RBAC do Azure (controle de acesso baseado em função do Azure)
- Como configurar o RBAC no Azure
- Como usar as revisões de identidade e acesso do Azure AD
- Azure AD Privileged Identity Management -atribuição de limite de tempo
Diretrizes da AWS: use a política da AWS para gerenciar o acesso a recursos da AWS. Há seis tipos de políticas: políticas baseadas em identidade, políticas baseadas em recursos, limites de permissões, SCP (política de controle de serviço) das Organizações da AWS, lista de Controle de Acesso e políticas de sessão. Você pode usar políticas gerenciadas da AWS para casos comuns de uso de permissão. No entanto, você deve estar ciente de que as políticas gerenciadas podem ter permissões excessivas que não devem ser atribuídas aos usuários.
Você também pode usar o AWS ABAC (controle de acesso baseado em atributo) para atribuir permissões com base em atributos (marcas) anexados aos recursos do IAM, incluindo entidades IAM (usuários ou funções) e recursos do AWS.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use a Política de IAM do Google Cloud para gerenciar o acesso a recursos do GCP por meio de atribuições de função. Você pode usar as funções predefinidas do Google Cloud para casos comuns de uso de permissão. No entanto, você deve estar ciente de que as funções predefinidas podem conter permissões excessivas que não devem ser atribuídas aos usuários.
Além disso, use o Policy Intelligence com o IAM Recommender para identificar e remover permissões excessivas de contas.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
- Segurança de aplicativo e DevSecOps
- Gerenciamento de Conformidade de Segurança
- Gerenciamento de postura
- Gerenciamento de identidades e de chaves
PA-8 determinar o processo de acesso para o suporte ao provedor de nuvem
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/D |
Princípio de segurança: estabeleça um processo de aprovação e um caminho de acesso para solicitar e aprovar solicitações de suporte do fornecedor e acesso temporário aos seus dados por meio de um canal seguro.
Diretrizes do Azure: em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Sistema de Proteção de Dados do Cliente para examinar e aprovar ou rejeitar cada solicitação de acesso a dados feita pela Microsoft.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: em cenários de suporte em que as equipes de suporte da AWS precisam acessar seus dados, crie uma conta no portal de Suporte da AWS para solicitar suporte. Examine as opções disponíveis, como fornecer acesso a dados somente leitura ou a opção de compartilhamento de tela para que o suporte à AWS acesse seus dados.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: em cenários de suporte em que o Atendimento ao Cliente do Google Cloud precisa acessar seus dados, use a Aprovação de Acesso para revisar e aprovar ou rejeitar cada solicitação de acesso a dados feita pelo Atendimento ao Cliente na Nuvem.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):