Controlo de Segurança: Acesso privilegiado
O Acesso Privilegiado abrange controlos para proteger o acesso privilegiado ao seu inquilino e recursos, incluindo uma série de controlos para proteger o seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos.
PA-1: Separar e limitar utilizadores altamente privilegiados/administrativos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Princípio de segurança: certifique-se de que identifica todas as contas de elevado impacto comercial. Limite o número de contas privilegiadas/administrativas no plano de controlo, plano de gestão e plano de dados/carga de trabalho da cloud.
Orientação do Azure: tem de proteger todas as funções com acesso administrativo direto ou indireto aos recursos alojados do Azure.
O Azure Active Directory (Azure AD) é o serviço de gestão de identidades e acessos predefinido do Azure. As funções incorporadas mais críticas no Azure AD são Administrador Global e Administrador de Funções Privilegiadas, uma vez que os utilizadores atribuídos a estas duas funções podem delegar funções de administrador. Com estes privilégios, os utilizadores podem ler e modificar direta ou indiretamente todos os recursos no seu ambiente do Azure:
- Administrador Global/Administrador da Empresa: os utilizadores com esta função têm acesso a todas as funcionalidades administrativas no Azure AD, bem como a serviços que utilizam identidades Azure AD.
- Administrador de Funções Com Privilégios: os utilizadores com esta função podem gerir atribuições de funções no Azure AD, bem como no Azure AD Privileged Identity Management (PIM). Além disso, esta função permite a gestão de todos os aspetos do PIM e das unidades administrativas.
Fora do Azure AD, o Azure tem funções incorporadas que podem ser essenciais para o acesso privilegiado ao nível do recurso.
- Proprietário: concede acesso total para gerir todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure.
- Contribuidor: concede acesso total para gerir todos os recursos, mas não lhe permite atribuir funções no RBAC do Azure, gerir atribuições no Azure Blueprints ou partilhar galerias de imagens.
- Administrador de Acesso de Utilizadores: permite-lhe gerir o acesso dos utilizadores aos recursos do Azure.
Nota: poderá ter outras funções críticas que precisam de ser regidas se utilizar funções personalizadas no nível de Azure AD ou nível de recurso com determinadas permissões com privilégios atribuídas.
Além disso, os utilizadores com as seguintes três funções no portal do Azure Contrato Enterprise (EA) também devem ser restringidos, uma vez que podem ser utilizados para gerir direta ou indiretamente subscrições do Azure.
- Proprietário da Conta: os utilizadores com esta função podem gerir subscrições, incluindo a criação e eliminação de subscrições.
- Administrador do Enterprise: os utilizadores atribuídos com esta função podem gerir utilizadores do portal (EA).
- Administrador de Departamento: os utilizadores atribuídos com esta função podem alterar os proprietários de contas no departamento.
Por último, certifique-se de que também restringe as contas privilegiadas noutros sistemas de gestão, identidade e segurança que tenham acesso administrativo aos seus recursos críticos para a empresa, como controladores de Domínio do Active Directory (DCs), ferramentas de segurança e ferramentas de gestão de sistema com agentes instalados em sistemas críticos para a empresa. Os atacantes que comprometem estes sistemas de gestão e segurança podem armazená-los imediatamente para comprometer ativos críticos para a empresa.
Implementação do Azure e contexto adicional:
- Permissões das funções de administrador no Azure AD
- Utilizar os alertas de segurança do Azure Privileged Identity Management
- Proteção de acesso privilegiado para implementações híbridas e na cloud no Azure AD
Orientação do AWS: tem de proteger todas as funções com acesso administrativo direto ou indireto aos recursos alojados do AWS.
Os utilizadores com privilégios/administrativos têm de estar protegidos:
- Utilizador raiz: o utilizador raiz é a conta privilegiada de nível mais elevado na sua conta do AWS. As contas raiz devem ser altamente restritas e utilizadas apenas em situações de emergência. Veja controlos de acesso de emergência no PA-5 (Configurar o acesso de emergência).
- Identidades IAM (utilizadores, grupos, funções) com a política de permissões com privilégios: as identidades IAM atribuídas com uma política de permissão, como AdministratorAccess, podem ter acesso total aos serviços e recursos do AWS.
Se estiver a utilizar o Azure Active Directory (Azure AD) como fornecedor de identidade do AWS, veja a documentação de orientação do Azure para gerir as funções privilegiadas no Azure AD.
Certifique-se de que também restringe as contas privilegiadas noutros sistemas de gestão, identidade e segurança que tenham acesso administrativo aos seus recursos críticos para a empresa, como o AWS Cognito, ferramentas de segurança e ferramentas de gestão do sistema com agentes instalados em sistemas críticos para a empresa. Os atacantes que comprometem estes sistemas de gestão e segurança podem armazená-los imediatamente para comprometer ativos críticos para a empresa.
Implementação do AWS e contexto adicional:
Orientação do GCP: tem de proteger todas as funções com acesso administrativo direto ou indireto aos recursos alojados do GCP.
A função incorporada mais crítica no Google Cloud é o superadministrador. O superadministrador pode executar todas as tarefas na consola do Administração e tem permissões administrativas irrevogáveis. É aconselhado a não utilizar a conta de super administrador para a administração diária.
As funções básicas são funções legadas altamente permissivas e é recomendável que as funções básicas não sejam utilizadas em ambientes de produção, uma vez que concede acesso amplo a todos os recursos do Google Cloud. As funções básicas incluem as funções Visualizador, Editor e Proprietário. Em vez disso, é recomendado utilizar funções predefinidas ou personalizadas. As funções predefinidas com privilégios notáveis incluem:
- Administrador da Organização: os utilizadores com esta função podem gerir políticas de IAM e ver políticas de organização para organizações, pastas e projetos.
- Administrador da Política de Organização: os utilizadores com esta função podem definir as restrições que uma organização quer colocar na configuração dos recursos da cloud ao definir Políticas de Organização.
- Administrador da Função de Organização: os utilizadores com esta função podem administrar todas as funções personalizadas na organização e projetos abaixo da mesma.
- Administração de segurança: os utilizadores com esta função podem obter e definir qualquer política de IAM.
- Negar Administração: os utilizadores com esta função têm permissões para ler e modificar políticas de negação de IAM.
Além disso, determinadas funções predefinidas contêm permissões de IAM com privilégios ao nível da organização, pasta e projeto. Estas permissões de IAM incluem:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Além disso, implemente a separação de deveres ao atribuir funções a contas para diferentes projetos ou ao tirar partido da Autorização Binária com o Google Kubernetes Engine.
Por último, certifique-se de que também restringe as contas privilegiadas noutros sistemas de gestão, identidade e segurança que tenham acesso administrativo aos seus recursos críticos para a empresa, como o DNS da Cloud, ferramentas de segurança e ferramentas de gestão do sistema com agentes instalados em sistemas críticos para a empresa. Os atacantes que comprometem estes sistemas de gestão e segurança podem armazená-los imediatamente para comprometer ativos críticos para a empresa.
Implementação do GCP e contexto adicional:
- Melhores práticas da conta de superadministrador
- Referência de funções básicas e predefinidas do IAM
- Separação de deveres e funções de Gestão de Identidades e Acessos
Intervenientes na segurança do cliente (Saiba mais):
- Gestão de identidades e chaves
- Arquitetura de segurança
- Gestão de Conformidade de Segurança
- Operações de Segurança
PA-2: Evitar o acesso permanente a contas de utilizador e permissões
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Princípio de segurança: em vez de criar privilégios permanentes, utilize o mecanismo just-in-time (JIT) para atribuir acesso privilegiado às diferentes camadas de recursos.
Orientação do Azure: ativar o acesso privilegiado just-in-time (JIT) aos recursos do Azure e Azure AD com Azure AD Privileged Identity Management (PIM). O JIT é um modelo no qual os utilizadores recebem permissões temporárias para realizar tarefas privilegiadas, o que impede que utilizadores maliciosos ou não autorizados obtenham acesso após a expiração das permissões. O acesso só é concedido quando os utilizadores precisam dele. O PIM também pode gerar alertas de segurança em caso de atividades suspeitas ou inseguras na sua organização do Azure AD.
Restrinja o tráfego de entrada para as portas de gestão de máquinas virtuais (VMs) confidenciais com Microsoft Defender para a funcionalidade just-in-time (JIT) da Cloud para acesso à VM. Isto garante que o acesso privilegiado à VM só é concedido quando os utilizadores precisam dela.
Implementação do Azure e contexto adicional:
Orientação do AWS: utilize o Serviço de Tokens de Segurança do AWS (AWS STS) para criar credenciais de segurança temporárias para aceder aos recursos através da API do AWS. As credenciais de segurança temporárias funcionam de forma quase idêntica às credenciais de chave de acesso a longo prazo que os utilizadores de IAM podem utilizar, com as seguintes diferenças:
- As credenciais de segurança temporárias têm uma duração de curto prazo, de minutos a horas.
- As credenciais de segurança temporárias não são armazenadas com o utilizador, mas são geradas dinamicamente e fornecidas ao utilizador quando solicitado.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize o acesso condicional de IAM para criar acesso temporário a recursos através de enlaces de funções condicionais em políticas de permissão, que são concedidas aos utilizadores da Identidade da Cloud. Configure atributos de data/hora para impor controlos baseados no tempo para aceder a um determinado recurso. O acesso temporário pode ter uma duração de curta duração, de minutos a horas, ou pode ser concedido com base em dias ou horas da semana.
Implementação do GCP e contexto adicional:
- Descrição geral das Condições de IAM
- Configurar o acesso temporário
- Descrição Geral do Access Context Manager
Intervenientes na segurança do cliente (Saiba mais):
- Gestão de identidades e chaves
- Arquitetura de segurança
- Gestão de Conformidade de Segurança
- Operações de Segurança
PA-3: Gerir o ciclo de vida de identidades e direitos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Princípio de segurança: utilize um processo automatizado ou controlo técnico para gerir o ciclo de vida de identidade e acesso, incluindo o pedido, revisão, aprovação, aprovisionamento e desaprovisionamento.
Orientação do Azure: utilize Azure AD funcionalidades de gestão de direitos para automatizar fluxos de trabalho de pedidos de acesso (para grupos de recursos do Azure). Isto permite que os fluxos de trabalho dos grupos de recursos do Azure giram atribuições de acesso, revisões, expiração e aprovação de duas ou várias fases.
Utilize a Gestão de Permissões para detetar, ajustar automaticamente o tamanho e monitorizar continuamente as permissões não utilizadas e excessivas atribuídas a identidades de utilizadores e cargas de trabalho em infraestruturas de várias clouds.
Implementação do Azure e contexto adicional:
- O que são Azure AD revisões de acesso
- O que é Azure AD gestão de direitos
- Descrição geral da Gestão de Permissões
Orientação do AWS: utilize o Assistente de Acesso do AWS para solicitar os registos de acesso das contas de utilizador e as elegibilidades dos recursos. Crie um fluxo de trabalho manual ou automatizado para integrar com o IAM do AWS para gerir atribuições, revisões e eliminações de acesso.
Nota: existem soluções de terceiros disponíveis no AWS Marketplace para gerir o ciclo de vida de identidades e direitos.
Implementação do AWS e contexto adicional:
Documentação de orientação do GCP: utilize os Registos de Auditoria na Cloud da Google para extrair os registos de auditoria de acesso a dados e atividade de administrador para as contas de utilizador e elegibilidade para recursos. Crie um fluxo de trabalho manual ou automatizado para integrar com o IAM do GCP para gerir atribuições, revisões e eliminações de acesso.
Utilize o Google Cloud Identity Premium para fornecer serviços essenciais de gestão de identidades e dispositivos. Estes serviços incluem funcionalidades como o aprovisionamento automatizado de utilizadores, a lista de permissões de aplicações e a gestão automatizada de dispositivos móveis.
Nota: existem soluções de terceiros disponíveis no Google Cloud Marketplace para gerir o ciclo de vida de identidades e direitos.
Implementação do GCP e contexto adicional:
- Assistente de Acesso do IAM
- Identidade da Cloud e Acesso Atlassian: gestão do ciclo de vida do utilizador na sua organização
- Conceder e revogar o acesso à API
- Revogar o acesso a um projeto do Google Cloud
Intervenientes na segurança do cliente (Saiba mais):
- Gestão de identidades e chaves
- Segurança das aplicações e DevSecOps
- Gestão de Conformidade de Segurança
PA-4: Rever e reconciliar o acesso dos utilizadores regularmente
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Princípio de segurança: realize uma revisão regular das elegibilidades da conta com privilégios. Confirme que o acesso concedido às contas é válido para administração do plano de controlo, plano de gestão e cargas de trabalho.
Orientação do Azure: reveja todas as contas com privilégios e as elegibilidades de acesso no Azure, incluindo inquilinos do Azure, serviços do Azure, VM/IaaS, processos de CI/CD e ferramentas de gestão e segurança empresariais.
Utilize Azure AD revisões de acesso para rever Azure AD funções, funções de acesso a recursos do Azure, associações a grupos e acesso a aplicações empresariais. Azure AD relatórios também podem fornecer registos para ajudar a detetar contas obsoletas ou contas que não tenham sido utilizadas durante um determinado período de tempo.
Além disso, Azure AD Privileged Identity Management podem ser configuradas para alertar quando é criado um número excessivo de contas de administrador para uma função específica e para identificar contas de administrador obsoletos ou configuradas incorretamente.
Implementação do Azure e contexto adicional:
- Criar uma revisão de acesso das funções de recursos do Azure no Privileged Identity Management (PIM)
- Como utilizar as revisões de identidades e acessos do Azure AD
Orientação do AWS: reveja todas as contas com privilégios e as elegibilidades de acesso no AWS, incluindo contas do AWS, serviços, VM/IaaS, processos CI/CD e ferramentas de gestão e segurança empresariais.
Utilize o Assistente de Acesso do IAM, o Access Analyzer e os Relatórios de Credenciais para rever funções de acesso a recursos, associações a grupos e acesso a aplicações empresariais. Os relatórios do Analisador de Acesso do IAM e dos Relatórios de Credenciais também podem fornecer registos para ajudar a detetar contas obsoletas ou contas que não tenham sido utilizadas durante um determinado período de tempo.
Se estiver a utilizar o Azure Active Directory (Azure AD) como fornecedor de identidade do AWS, utilize Azure AD revisão de acesso para rever periodicamente as contas com privilégios e as elegibilidades de acesso.
Implementação do AWS e contexto adicional:
Orientação do GCP: reveja todas as contas com privilégios e as elegibilidades de acesso no Google Cloud, incluindo contas de Identidade da Cloud, serviços, VM/IaaS, processos ci/CD e ferramentas de gestão e segurança empresariais.
Utilize os Registos de Auditoria da Cloud e o Analisador de Políticas para rever as funções de acesso a recursos e as associações a grupos. Crie consultas de análise no Analisador de Políticas para compreender que principais podem aceder a recursos específicos.
Se estiver a utilizar o Azure Active Directory (Azure AD) como fornecedor de identidade do Google Cloud, utilize Azure AD revisão de acesso para rever periodicamente as contas privilegiadas e aceder às elegibilidades.
Além disso, Azure AD Privileged Identity Management podem ser configuradas para alertar quando é criado um número excessivo de contas de administrador para uma função específica e para identificar contas de administrador obsoletos ou configuradas incorretamente.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
- Gestão de identidades e chaves
- Segurança das aplicações e DevSecOps
- Gestão de Conformidade de Segurança
PA-5: Configurar o acesso de emergência
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Princípio de segurança: configure o acesso de emergência para garantir que não está bloqueado acidentalmente da sua infraestrutura de cloud crítica (como o seu sistema de gestão de identidades e acessos) em caso de emergência.
As contas de acesso de emergência raramente devem ser utilizadas e podem ser altamente prejudiciais para a organização se forem comprometidas, mas a sua disponibilidade para a organização também é extremamente importante para os poucos cenários em que são necessárias.
Orientação do Azure: para evitar o bloqueio acidental da sua organização Azure AD, configure uma conta de acesso de emergência (por exemplo, uma conta com função de Administrador Global) para acesso quando não é possível utilizar contas administrativas normais. As contas de acesso de emergência são, normalmente, altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência estão limitadas a cenários de emergência ou "break glass" em que não é possível utilizar contas administrativas normais.
Deve garantir que as credenciais (por exemplo, palavra-passe, certificado ou smart card) das contas de acesso de emergência são mantidas em segurança e só são conhecidas por indivíduos que estão autorizados a utilizá-las apenas para uma emergência. Também pode utilizar controlos adicionais, tais controlos duplos (por exemplo, dividir a credencial em duas partes e dá-la a pessoas separadas) para melhorar a segurança deste processo. Também deve monitorizar os registos de início de sessão e auditoria para garantir que as contas de acesso de emergência só são utilizadas quando autorizadas.
Implementação do Azure e contexto adicional:
Orientação do AWS: as contas "raiz" do AWS não devem ser utilizadas para tarefas administrativas regulares. Uma vez que a conta "raiz" é altamente privilegiada, não deve ser atribuída a indivíduos específicos. A utilização deve ser limitada apenas a cenários de emergência ou "quebra de vidro" quando não é possível utilizar contas administrativas normais. Para tarefas administrativas diárias, devem ser utilizadas contas de utilizador privilegiadas separadas e atribuídas as permissões adequadas através de funções IAM.
Também deve garantir que as credenciais (como palavra-passe, tokens de MFA e chaves de acesso) para contas de raiz são mantidas seguras e conhecidas apenas por indivíduos autorizados a utilizá-las apenas numa emergência. A MFA deve ser ativada para a conta raiz e também pode utilizar controlos adicionais, como controlos duplos (por exemplo, dividir a credencial em duas partes e dá-la a pessoas separadas) para melhorar a segurança deste processo.
Também deve monitorizar os registos de início de sessão e auditoria no CloudTrail ou EventBridge para garantir que as contas de acesso raiz só são utilizadas quando autorizadas.
Implementação do AWS e contexto adicional:
Orientação do GCP: as contas de superadministrador do Google Cloud Identity não devem ser utilizadas para tarefas administrativas regulares. Uma vez que a conta de super administrador é altamente privilegiada, não deve ser atribuída a indivíduos específicos. A utilização deve ser limitada apenas a cenários de emergência ou "quebra de vidro" quando não é possível utilizar contas administrativas normais. Para tarefas administrativas diárias, devem ser utilizadas contas de utilizador privilegiadas separadas e atribuídas as permissões adequadas através de funções IAM.
Também deve garantir que as credenciais (como palavra-passe, tokens de MFA e chaves de acesso) para contas de super administrador são mantidas seguras e conhecidas apenas por indivíduos autorizados a utilizá-las apenas numa emergência. A MFA deve ser ativada para a conta de super administrador e também pode utilizar controlos adicionais, como controlos duplos (por exemplo, dividir a credencial em duas partes e dá-la a pessoas separadas) para melhorar a segurança deste processo.
Também deve monitorizar os registos de início de sessão e auditoria nos Registos de Auditoria da Cloud ou consultar o Analisador de Políticas, para garantir que as contas de super-administrador só são utilizadas quando autorizadas.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
- Segurança das aplicações e DevSecOps
- Gestão de Conformidade de Segurança
- Operações de Segurança (SecOps)
PA-6: Utilizar estações de trabalho privilegiadas
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Princípio de segurança: as estações de trabalho protegidas e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, programador e operador de serviço crítico.
Orientação do Azure: utilize o Azure Active Directory, Microsoft Defender e/ou Microsoft Intune para implementar estações de trabalho de acesso privilegiado (PAW) no local ou no Azure para tarefas com privilégios. A PAW deve ser gerida centralmente para impor a configuração protegida, incluindo autenticação forte, linhas de base de software e hardware e acesso restrito lógico e de rede.
Também pode utilizar o Azure Bastion, que é um serviço PaaS totalmente gerido pela plataforma que pode ser aprovisionado na sua rede virtual. O Azure Bastion permite a conectividade RDP/SSH às máquinas virtuais diretamente a partir do portal do Azure através de um browser.
Implementação do Azure e contexto adicional:
- Compreender as estações de trabalho de acesso privilegiado
- Implementação de estações de trabalho de acesso privilegiado
Orientação do AWS: utilize o Session Manager no AWS Systems Manager para criar um caminho de acesso (uma sessão de ligação) para a instância EC2 ou uma sessão do browser para os recursos do AWS para tarefas com privilégios. O Session Manager permite a conectividade RDP, SSH e HTTPS aos anfitriões de destino através do reencaminhamento de portas.
Também pode optar por implementar estações de trabalho de acesso privilegiado (PAW) geridas centralmente através do Azure Active Directory, Microsoft Defender e/ou Microsoft Intune. A gestão central deve impor a configuração segura, incluindo autenticação forte, linhas de base de software e hardware e acesso restrito à rede e lógica.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize Identity-Aware Ambiente de Trabalho do Proxy (IAP) para criar um caminho de acesso (uma sessão de ligação) para a instância de computação para tarefas com privilégios. O IAP Desktop permite a conectividade RDP e SSH aos anfitriões de destino através do reencaminhamento de portas. Além disso, as instâncias de computação do Linux com acesso externo podem estar ligadas através de um SSH-in-browser através da consola do Google Cloud.
Também pode optar por implementar estações de trabalho de acesso privilegiado (PAW) geridas centralmente através da Gestão de Pontos Finais da Área de Trabalho do Google ou soluções da Microsoft (Azure Active Directory, Microsoft Defender e/ou Microsoft Intune). A gestão central deve impor a configuração segura, incluindo autenticação forte, linhas de base de software e hardware e acesso restrito à rede e lógica.
Também pode criar anfitriões bastion para acesso seguro a ambientes fidedignos com parâmetros definidos.
Implementação do GCP e contexto adicional:
- Ligar de forma segura a instâncias de VM
- Ligar a VMs do Linux com o Proxy de Identity-Aware
- Ligar a VMs com um anfitrião bastion
Intervenientes na segurança do cliente (Saiba mais):
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Princípio de segurança: siga o princípio de administração (mínimo privilégio) suficiente para gerir permissões a um nível detalhado. Utilize funcionalidades como o controlo de acesso baseado em funções (RBAC) para gerir o acesso a recursos através de atribuições de funções.
Orientação do Azure: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções. Através do RBAC, pode atribuir funções a utilizadores, grupos, principais de serviço e identidades geridas. Existem funções incorporadas predefinidas para determinados recursos e estas funções podem ser inventariadas ou consultadas através de ferramentas como a CLI do Azure, Azure PowerShell e o portal do Azure.
Os privilégios que atribui aos recursos através do RBAC do Azure devem estar sempre limitados ao que é exigido pelas funções. Os privilégios limitados complementarão a abordagem just-in-time (JIT) do Azure AD Privileged Identity Management (PIM) e esses privilégios devem ser revistos periodicamente. Se necessário, também pode utilizar o PIM para definir uma atribuição vinculada ao tempo, que é uma condição numa atribuição de função em que um utilizador só pode ativar a função nas datas de início e de fim especificadas.
Nota: utilize funções incorporadas do Azure para alocar permissões e criar apenas funções personalizadas quando necessário.
Implementação do Azure e contexto adicional:
- O que é o controlo de acesso baseado em funções do Azure (RBAC do Azure)
- Como configurar o RBAC no Azure
- Como utilizar as revisões de identidades e acessos do Azure AD
- Azure AD Privileged Identity Management - Atribuição vinculada ao tempo
Orientação do AWS: utilize a política do AWS para gerir o acesso a recursos do AWS. Existem seis tipos de políticas: políticas baseadas em identidade, políticas baseadas em recursos, limites de permissões, política de controlo de serviços (SCP) das Organizações do AWS, Lista de Controlo de Acesso e políticas de sessão. Pode utilizar políticas geridas do AWS para casos comuns de utilização de permissões. No entanto, deve ter em atenção que as políticas geridas podem ter permissões excessivas que não devem ser atribuídas aos utilizadores.
Também pode utilizar o ABAC do AWS (controlo de acesso baseado em atributos) para atribuir permissões com base em atributos (etiquetas) anexados a recursos de IAM, incluindo entidades IAM (utilizadores ou funções) e recursos do AWS.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize a Política IAM do Google Cloud para gerir o acesso a recursos GCP através de atribuições de funções. Pode utilizar as funções predefinidas do Google Cloud para casos comuns de utilização de permissões. No entanto, deve ter em atenção que as funções predefinidas podem ter permissões excessivas que não devem ser atribuídas aos utilizadores.
Além disso, utilize o Policy Intelligence com o Recomendador de IAM para identificar e remover permissões excessivas das contas.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
- Segurança das aplicações e DevSecOps
- Gestão de Conformidade de Segurança
- Gestão de postura
- Gestão de identidades e chaves
PA-8 Determinar o processo de acesso para o suporte do fornecedor de cloud
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/D |
Princípio de segurança: estabeleça um processo de aprovação e um caminho de acesso para pedir e aprovar pedidos de suporte do fornecedor e acesso temporário aos seus dados através de um canal seguro.
Orientação do Azure: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e aprovar ou rejeitar cada pedido de acesso a dados feito pela Microsoft.
Implementação do Azure e contexto adicional:
Orientação do AWS: em cenários de suporte em que as equipas de suporte do AWS precisam de aceder aos seus dados, crie uma conta no portal de Suporte do AWS para pedir suporte. Reveja as opções disponíveis, como fornecer acesso a dados só de leitura ou a opção de partilha de ecrã para o suporte do AWS para aceder aos seus dados.
Implementação do AWS e contexto adicional:
Orientação do GCP: em cenários de suporte em que o Google Cloud Customer Care precisa de aceder aos seus dados, utilize a Aprovação do Access para rever e aprovar ou rejeitar cada pedido de acesso a dados efetuados pelo Suporte ao Cliente da Cloud.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):