Controlo de Segurança V2: Gestão de Identidade
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A Gestão de Identidade abrange controlos para estabelecer uma identidade segura e controlos de acesso utilizando o Azure Ative Directory. Isto inclui a utilização de autenticações únicas, autenticações fortes, identidades geridas (e princípios de serviço) para aplicações, acesso condicional e monitorização de anomalias de conta.
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Identity Management
IM-1: Uniformizar o Azure Active Directory como o sistema central de identidade e autenticação
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Ative Directory (Azure AD) é o serviço de gestão de identidade e acesso padrão da Azure. Deve normalizar em Azure AD para governar a gestão de identidade e acesso da sua organização em:
serviços cloud da Microsoft, como o portal do Azure, o Armazenamento do Azure, as Máquinas Virtuais do Azure (Linux e Windows), o Azure Key Vault e aplicações PaaS e SaaS.
recursos da sua organização, como as aplicações no Azure, ou os recursos da rede empresarial.
Garantir Azure AD deve ser uma alta prioridade na prática de segurança na nuvem da sua organização. Azure AD fornece uma pontuação segura de identidade para ajudá-lo a avaliar a sua postura de segurança de identidade em relação às recomendações de boas práticas da Microsoft. Utilize a pontuação para determinar até que ponto é que a sua configuração corresponde às recomendações de melhores práticas e para fazer melhorias à postura de segurança.
Nota: o Azure AD suporta fornecedores de identidade externos, o que permite que utilizadores sem contas Microsoft iniciem sessão nas respetivas aplicações e recursos com as identidades externas.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-2: Gerir identidades de aplicação de forma segura e automática
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-2 | N/D | AC-2, AC-3, IA-2, IA-4, IA-9 |
Para contas não humanas, como serviços ou automação, use identidades geridas pela Azure, em vez de criar uma conta humana mais poderosa para aceder a recursos ou executar código. As identidades geridas pela Azure podem autenticar para os serviços e recursos da Azure que suportam Azure AD autenticação. A autenticação é ativada através de regras de concessão de acesso pré-definidas, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Para serviços que não suportam identidades geridas, utilize Azure AD para criar um principal de serviço com permissões restritas ao nível dos recursos. Recomenda-se configurar os princípios de serviço com credenciais de certificado e recorrer aos segredos dos clientes. Em ambos os casos, a Azure Key Vault pode ser usada em conjunto com identidades geridas pelo Azure, para que o ambiente de tempo de execução (como uma função Azure) possa recuperar a credencial do cofre da chave.
Utilize o Azure Key Vault para registo principal de segurança: autenticação#authorize-a-security-principal-to-access-key-vault
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-3: Utilizar o início de sessão único (SSO) do Azure AD para acesso a aplicações
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD fornece gestão de identidade e acesso aos recursos da Azure, aplicações em nuvem e aplicações no local. A gestão de identidade e acesso aplica-se a identidades empresariais como colaboradores, bem como identidades externas, como parceiros, fornecedores e fornecedores.
Utilize Azure AD único sign-on (SSO) para gerir e garantir o acesso aos dados e recursos da sua organização no local e na nuvem. Ligue todos os seus utilizadores, aplicações e dispositivos a Azure AD para um acesso sem emenda, seguro e maior visibilidade e controlo.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-4: Utilizar controlos de autenticação fortes para todos os acessos baseados no Azure Active Directory
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD suporta controlos de autenticação forte através de autenticação multi-factor (MFA) e métodos fortes sem palavras-passe.
Autenticação multi-factor: Ative Azure AD MFA e siga as recomendações no controlo de segurança "Enable MFA" da Centro de Segurança do Azure. O MFA pode ser aplicado em todos os utilizadores, utilizadores selecionados ou ao nível por utilizador com base em condições de inscrição e fatores de risco.
Autenticação sem palavras-passe: Estão disponíveis três opções de autenticação sem palavras-passe: Windows Hello para Empresas, aplicação Microsoft Authenticator e métodos de autenticação no local, como cartões inteligentes.
Para os utilizadores de administrador e privilegiados, certifique-se de que é utilizado o mais alto nível do método de autenticação forte, seguindo-se a aplicação da política de autenticação forte adequada a outros utilizadores.
Se a autenticação baseada em palavras-passe antigas ainda for utilizada para Azure AD autenticação, tenha em atenção que as contas apenas na nuvem (contas de utilizador criadas diretamente no Azure) têm uma política de senha de base padrão. E as contas híbridas (contas de utilizador que vêm de Ative Directory no local) seguem as políticas de senha no local. Ao utilizar a autenticação baseada em palavras-passe, Azure AD fornece uma capacidade de proteção de palavra-passe que impede os utilizadores de definir palavras-passe que são fáceis de adivinhar. A Microsoft fornece uma lista global de senhas proibidas que é atualizada com base na telemetria, e os clientes podem aumentar a lista com base nas suas necessidades (como branding, referências culturais, etc.). Esta proteção de palavra-passe pode ser utilizada para contas exclusivamente em nuvem e híbridas.
Nota: A autenticação baseada apenas nas credenciais de senha é suscetível a métodos de ataque populares. Para uma maior segurança, utilize uma autenticação forte, como mFA e uma política de senha forte. Para aplicações de terceiros e serviços de marketplace que possam ter senhas padrão, deve alterá-las durante a configuração inicial do serviço.
Introdução às opções de autenticação sem palavra-passe para o Azure Active Directory
Eliminar palavras-passe fracas com a Proteção de Palavras-passe do Azure AD
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-5: Monitorizar e alertar para anomalias em contas
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD fornece as seguintes fontes de dados:
Inícios de sessão – o relatório de inícios de sessão faculta informações sobre a utilização de aplicações geridas e das atividades de início de sessão dos utilizadores.
Registos de auditoria - Fornece rastreabilidade através de registos para todas as alterações escoradas através de várias funcionalidades em Azure AD. Exemplos de alterações registadas nos registos de auditoria incluem adicionar ou remover utilizadores, apps, grupos, funções e políticas.
Inícios de sessão de risco – Um início de sessão de risco é um indicador de uma tentativa de início de sessão que pode ter sido efetuada por alguém que não é o proprietário legítimo de uma conta de utilizador.
Utilizadores sinalizados para risco – Um utilizador de risco é um indicador de uma conta de utilizador que pode ter sido comprometida.
Estas fontes de dados podem ser integradas com sistemas Azure Monitor, Azure Sentinel ou siem de terceiros.
Centro de Segurança do Azure também podem alertar para certas atividades suspeitas, como um número excessivo de tentativas de autenticação falhadas e contas precídas na subscrição.
Microsoft Defender para Identidade é uma solução de segurança que pode usar sinais Ative Directory no local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações de infiltrados maliciosas.
Como identificar utilizadores do Azure AD sinalizados por atividade de risco
Alertas nos planos Centro de Segurança do Azure e Azure Defender
Como integrar os registos de atividade do Azure no Azure Monitor
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-6: Restringir o acesso aos recursos do Azure com base em condições
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-6 | N/D | AC-2, AC-3 |
Utilize Azure AD acesso condicional para um controlo de acesso mais granular com base em condições definidas pelo utilizador, tais como exigir logins de utilizadores de determinadas gamas IP para utilizar MFA. Uma gestão de sessão de autenticação granular também pode ser usada através de Azure AD política de acesso condicional para diferentes casos de uso.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-7: Eliminar a exposição de credenciais involuntária
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implementar o Scanner Credencial Azure DevOps para identificar credenciais dentro do código. O Scanner Credencial também encoraja a movimentação de credenciais descobertas para locais mais seguros, como a Azure Key Vault.
Para o GitHub, pode utilizar a funcionalidade de digitalização secreta nativa para identificar credenciais ou outra forma de segredo dentro do código.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-8: Garantir o acesso do utilizador a aplicações antigas
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Certifique-se de que tem controlos de acesso modernos e monitorização de sessão para aplicações antigas e os dados que armazenam e processam. Embora as VPNs sejam geralmente usadas para aceder a aplicações antigas, muitas vezes têm apenas controlo básico de acesso e monitorização limitada da sessão.
Azure AD Proxy de Aplicações permite-lhe publicar aplicações antigas no local para utilizadores remotos com uma única sinte (SSO) ao mesmo tempo que valida explicitamente a fiabilidade dos utilizadores remotos e dos dispositivos com Azure AD Acesso Condicional.
Em alternativa, Microsoft Defender for Cloud Apps é um serviço de corretor de segurança de acesso à nuvem (CASB) que pode fornecer controlos para monitorizar as sessões de aplicações de um utilizador e ações de bloqueio (tanto para aplicações antigas no local como para software de nuvem como aplicações de serviço (SaaS).
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):