Controle de Segurança v3: Gerenciamento de identidades
O Identity Management abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Active Directory, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta.
IM-1: usar um sistema centralizado de identidade e autenticação
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Princípio de segurança: use um sistema centralizado de identidade e autenticação para controlar as identidades e autenticações de sua organização para recursos que estão na nuvem e fora da nuvem.
Diretrizes do Azure: o Azure AD (Azure Active Directory) é o serviço de gerenciamento de identidades e autenticação do Azure. Você deve padronizar o Azure AD para controlar a identidade e autenticação da sua organização:
- Recursos de nuvem da Microsoft, como o Armazenamento do Azure, as Máquinas Virtuais do Azure (Linux e Windows), o Azure Key Vault e os aplicativos PaaS e SaaS.
- Os recursos da sua organização, como aplicativos no Azure, aplicativos de terceiros em execução em seus recursos de rede corporativa e aplicativos SaaS de terceiros.
- Suas identidades corporativas no Active Directory pela sincronização ao Azure AD para garantir uma estratégia de identidade consistente e gerenciada centralmente.
Observação: assim que for tecnicamente viável, você deve migrar aplicativos baseados no Active Directory local para o Azure AD. Isso pode ser um diretório corporativo do Azure AD, uma configuração entre empresas ou configuração entre empresa e consumidor.
Implementação e contexto adicional:
- Locação no Azure AD
- Como criar e configurar uma instância do Azure AD
- Definir locatários do Azure AD
- Usar provedores de identidade externos para um aplicativo
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Arquitetura de segurança
- Segurança de aplicativo e DevSecOps
- Gerenciamento de postura
IM-2: proteger os sistemas de identidade e autenticação
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Princípio de segurança: proteja o sistema de identidade e autenticação como uma prioridade alta na prática de segurança de nuvem na sua organização. Controles de segurança comuns incluem:
- Restringir funções e contas com privilégios
- Exigir autenticação forte para todo o acesso privilegiado
- Monitorar e auditar atividades de alto risco
Diretrizes do Azure: use a linha de base de segurança do Azure AD e a classificação de segurança de identidade do Azure AD para avaliar sua postura de segurança de identidade do Azure AD e corrigir as lacunas de segurança e configuração. A classificação de segurança de identidade do Azure AD avalia o Azure AD nas seguintes configurações: -usar funções administrativas limitadas
- Ativar a política de risco do usuário
- Designar mais de um administrador global
- Habilite a política para bloquear a autenticação herdada
- Verifique se todos os usuários podem realizar a autenticação multifator para o acesso seguro
- Exigir MFA para funções administrativas
- Habilitar a redefinição de senha por autoatendimento
- Não expirar senhas
- Ativar política de risco de entrada
- Não permitir que os usuários concedam consentimento a aplicativos não gerenciados
Observação: siga as melhores práticas publicadas para todos os outros componentes de identidade, incluindo o Active Directory local, os recursos de terceiros e as infraestruturas (como sistemas operacionais, redes, bancos de dados) que os hospedam.
Implementação e contexto adicional:
- O que é a classificação de segurança de identidade do Azure AD
- Melhores práticas para proteger o Active Directory
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Arquitetura de segurança
- Segurança de aplicativo e DevSecOps
- Gerenciamento de postura
IM-3: gerenciar identidades de aplicativos de maneira segura e automática
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2, AC-3, IA-4, IA-5, IA-9 | N/D |
Princípio de segurança: use identidades de aplicativos gerenciadas em vez de criar contas humanas para que os aplicativos acessem recursos e executem código. Identidades de aplicativos gerenciados fornecem benefícios como a redução da exposição de credenciais. Automatizar a rotação da credencial para garantir a segurança das identidades.
Diretrizes do Azure: use as identidades gerenciadas do Azure, que podem ser autenticadas nos serviços e recursos do Azure compatíveis com a autenticação do Azure AD. As credenciais de identidades gerenciadas são completamente gerenciadas, giradas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou arquivos de configuração.
Para serviços que não dão suporte a identidades gerenciadas, use o Azure AD para criar uma entidade de serviço com permissões restritas no nível de recurso. É recomendável configurar as entidades de serviço com credenciais de certificado e retornar para os segredos do cliente para autenticação.
Implementação e contexto adicional:
- Identidades gerenciadas do Azure
- Serviços compatíveis com identidades gerenciadas para recursos do Azure
- Entidade de serviço do Azure
- Criar uma entidade de serviço com certificados
Stakeholders de segurança do cliente (Saiba mais):
IM-4: autenticar servidor e serviços
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-9 | N/D |
Princípio de segurança: autentique servidores remotos e serviços do lado do cliente para garantir que você esteja se conectando a servidores e serviços confiáveis. O protocolo de autenticação de servidor mais comum é o TLS, em que o lado do cliente (geralmente um navegador ou dispositivo cliente) verifica o servidor, verificando se o certificado do servidor foi emitido por uma autoridade de certificação confiável.
Observação: a autenticação mútua pode ser usada quando o servidor e o cliente autenticam-se um no outro.
Diretrizes do Azure: por padrão, muitos serviços do Azure dão suporte à autenticação TLS. Para os serviços compatíveis com a alternância habilitar/desabilitar TLS pelo usuário, certifique-se de que ele está sempre habilitada para dar suporte à autenticação do servidor/serviço. O aplicativo cliente também deve ser criado para verificar a identidade do servidor/serviço (verificando o certificado do servidor emitido por uma autoridade de certificação confiável) no estágio de handshake.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IM-5: usar o SSO (logon único) para acessar o aplicativo
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 12.5 | IA-4, IA-2, IA-8 | N/D |
Princípio de segurança: use o SSO (logon único) para simplificar a experiência do usuário para autenticação em recursos, incluindo aplicativos e dados entre serviços de nuvem e ambientes locais.
Diretrizes do Azure: use o Azure AD para acesso ao aplicativo de carga de trabalho por meio do SSO (logon único) do Azure AD, dispensando a necessidade de várias contas. O Azure AD fornece gerenciamento de identidade e acesso aos recursos do Azure (plano de gerenciamento, incluindo a CLI, o PowerShell, o Portal), aplicativos de nuvem e aplicativos locais.
O Azure AD dá suporte a SSO para identidades corporativas, como identidades de usuário corporativo, além de identidades de usuário externo de usuários públicos e de terceiros confiáveis.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IM-6: usar controles de autenticação fortes
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Princípio de segurança: impor controles de autenticação forte (autenticação forte sem senha ou autenticação multifator) com seu sistema de gerenciamento de identidade e autenticação centralizado para todos os acessos a recursos. A autenticação baseada apenas em credenciais de senha é considerada herdada, pois não é segura e não resiste aos métodos de ataque populares.
Ao implantar a autenticação forte, configure os administradores e os usuários privilegiados primeiro, para garantir o nível mais alto do método de autenticação forte, rapidamente seguido pela distribuição da política de autenticação forte apropriada para todos os usuários.
Observação: se a autenticação baseada em senha herdada for necessária para aplicativos e cenários herdados, verifique se são seguidas as melhores práticas de segurança de senha, como os requisitos de complexidade.
Diretrizes do Azure: o Azure AD dá suporte a controles de autenticação fortes por meio de métodos sem senha e MFA (autenticação multifator).
- Autenticação sem senha: use a autenticação sem senha como o método de autenticação padrão. Existem três opções disponíveis na autenticação sem senha: Windows Hello for Business, entrada pelo telefone de aplicativo do Microsoft Authenticator e 2Keys FIDO. Além disso, os clientes podem usar métodos de autenticação locais, como os cartões inteligentes.
- Autenticação multifator : uma MFA do Azure pode ser imposta a todos os usuários, a usuários selecionados ou no nível por usuário com base nas condições de entrada e nos fatores de risco. Habilite a MFA do Azure e siga as recomendações do gerenciamento de acesso do Azure Defender para Nuvem na sua configuração de MFA.
Se a autenticação baseada em senha herdada ainda for usada para autenticação do Azure AD, lembre-se de que as contas somente na nuvem (contas de usuário criadas diretamente no Azure) têm uma política de senha de linha de base padrão. E as contas híbridas (contas de usuário provenientes do Active Directory local) seguem as políticas de senha locais.
Para aplicativos de terceiros e serviços que podem ter senhas e IDs padrão, você deve desabilitá-las ou alterá-las durante a configuração inicial do serviço.
Implementação e contexto adicional:
- Como habilitar a MFA no Azure
- Introdução às opções de autenticação sem senha do Azure Active Directory
- Política de senha padrão do Azure AD
- Eliminar senhas inadequadas usando a proteção de senha do Azure AD
- Bloquear a autenticação herdada
Stakeholders de segurança do cliente (Saiba mais):
IM-7: restringir o acesso aos recursos com base nas condições
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Princípio de segurança: valide explicitamente os sinais confiáveis para permitir ou negar o acesso do usuário aos recursos, como parte de um modelo de acesso de confiança zero. Os sinais para validar devem incluir autenticação forte da conta do usuário, análise comportamental da conta do usuário, confiabilidade do dispositivo, associação de usuário ou grupo, localizações e assim por diante.
Diretrizes do Azure: use o acesso condicional do Azure AD para obter controles de acesso mais granulares com base nas condições definidas pelo usuário, como exigir que logons de usuário de determinados intervalos de IP (ou dispositivos) usem a MFA. O acesso condicional do Azure AD permite que você imponha controles de acesso aos aplicativos da sua organização de acordo com determinadas condições.
Defina as condições e os critérios aplicáveis para o acesso condicional do Azure AD na carga de trabalho. Considere os seguintes casos de uso comuns:
- Exigir a autenticação multifator para usuários com funções administrativas
- Exigir a autenticação multifator para tarefas de gerenciamento do Azure
- Bloquear entradas de usuários que tentam usar protocolos de autenticação herdados
- Exigir localizações confiáveis para o registro da Autenticação Multifator do Azure AD
- Bloquear ou permitir acesso em localizações específicas
- Bloquear comportamentos de entrada de risco
- Exigir dispositivos gerenciados pela organização para aplicativos específicos
Observação: um gerenciamento de sessão de autenticação granular também pode ser usado, por meio da política de acesso condicional do Azure AD, em controles como a frequência de entrada e a sessão de navegador persistente.
Implementação e contexto adicional:
- Visão geral do acesso condicional do Azure
- Políticas de acesso condicional comuns
- Insights e relatórios de acesso condicional
- Configurar o gerenciamento da sessão de autenticação com Acesso Condicional
Stakeholders de segurança do cliente (Saiba mais):
- Gerenciamento de identidades e chaves
- Segurança de aplicativo e DevSecOps
- Gerenciamento de postura
- Inteligência contra ameaças
IM-8: restringir a exposição de credenciais e segredos
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Princípio de segurança: garanta que os desenvolvedores de aplicativos tratem credenciais e segredos de forma segura:
- Evitar inserir as credenciais e os segredos no código e nos arquivos de configuração
- Usar o cofre de chaves ou um serviço de armazenamento de chaves seguro para armazenar as credenciais e os segredos
- Verificar se há credenciais no código-fonte.
Observação: isso geralmente é controlado e imposto por meio de um processo de segurança do DevOps e do SDLC (ciclo de vida de desenvolvimento de software seguro).
Diretrizes do Azure: garanta que os segredos e as credenciais estejam armazenados em locais seguros, como o Azure Key Vault, em vez de inseri-los no código e nos arquivos de configuração.
- Implemente o verificador de credenciais do Azure DevOps para identificar as credenciais no código.
- Para o GitHub, use o recurso de verificação de segredo nativo para identificar as credenciais ou outra forma de segredos dentro do código.
Clientes como o Azure Functions, os serviços e VMs dos Aplicativos Azure podem usar identidades gerenciadas para acessar de forma segura o Azure Key Vault. Confira os controles de proteção de dados relacionados ao uso do Azure Key Vault para o gerenciamento de segredos.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IM-9: acesso seguro do usuário aos aplicativos existentes
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | N/D |
Princípio de segurança: em um ambiente híbrido, em que você tem aplicativos locais ou aplicativos de nuvem não nativos usando a autenticação herdada, considere soluções como o CASB (agente de segurança de acesso à nuvem), o proxy de aplicativo, o SSO (logon único) para controlar o acesso a esses aplicativos para os seguintes benefícios:
- Impor uma autenticação forte centralizada
- Monitorar e controlar atividades arriscadas de usuário final
- Monitorar e corrigir atividades arriscadas de aplicativos herdados
- Detectar e impedir a transmissão de dados confidenciais
Diretrizes do Azure: proteja seus aplicativos de nuvem locais e não nativos usando a autenticação herdada conectando-os ao:
- Proxy de Aplicativo do Azure AD junto à autenticação com base em cabeçalho para publicar aplicativos locais herdados para usuários remotos com o SSO ao validar explicitamente a confiabilidade de usuários e dispositivos remotos com o acesso condicional do Azure AD. Se necessário, use a solução do SDP (perímetro definido pelo software) de terceiros, que pode oferecer funcionalidade semelhante.
- Seus controladores e redes de entrega de aplicativos existentes de terceiros
- Microsoft Defender para Aplicativos de Nuvem, usando-o como um serviço CASB (agente de segurança de acesso à nuvem) para fornecer controles para monitorar as sessões de aplicativo de um usuário e ações de bloqueio (para aplicativos locais herdados e aplicativos SaaS (software como serviço de nuvem).
Observação: as VPNs são comumente usadas para acessar aplicativos herdados, elas geralmente têm apenas controle de acesso básico e monitoramento de sessão limitado.
Implementação e contexto adicional:
- Proxy de Aplicativo do Azure AD
- Práticas recomendadas do Defender para Aplicativos de Nuvem
- Acesso híbrido seguro do Azure AD
Stakeholders de segurança do cliente (Saiba mais):