Управление безопасностью V2. Привилегированный доступ
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к вашему клиенту и ресурсам Azure. Сюда входит ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций с привилегированным доступом от преднамеренных и случайных рисков.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — привилегированный доступ.
PA-1. Защита и ограничение пользователей с высоким уровнем привилегий
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Ограничьте количество учетных записей пользователей с высоким уровнем привилегий и защитите эти учетные записи на более высоком уровне. Наиболее важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей", поскольку пользователи, которым назначены эти две роли, могут делегировать роли администратора. Пользователи, обладающие этими привилегиями, могут напрямую или косвенно читать и изменять каждый ресурс в вашей среде Azure.
Глобальный администратор. Пользователи с такой ролью имеют доступ ко всем функциям администрирования в Azure AD, а также к службам, которые используют удостоверения Azure AD.
Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначением ролей в Azure AD, а также в рамках управления привилегированными пользователями Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными пользователями и административными подразделениями.
Примечание. Могут быть и другие критически важные роли, которыми необходимо управлять при использовании пользовательских ролей с назначенными привилегированными определенными правами доступа. Кроме того, может потребоваться применить аналогичные элементы управления к учетной записи администратора критических бизнес-ресурсов.
Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD Privileged Identity Management (PIM). JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Ответственные за управление соответствием требованиям безопасности
PA-2: ограничение административного доступа к системам, критически важным для бизнеса
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Разграничьте доступ к критически важным для бизнеса системам путем ограничения круга учетных записей с привилегированным доступом к подпискам и группам управления, в которых они находятся. Убедитесь, что вы также ограничиваете доступ к системам управления, идентификации и безопасности, которые имеют административный доступ к критически важным для вашего бизнеса ресурсам, таким как контроллеры домена Active Directory (DC), инструменты безопасности и инструменты управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, получившие доступ к этим системам управления и безопасности, смогут немедленно взять их на вооружение, чтобы с их помощью взламывать важные для бизнеса ресурсы.
Для обеспечения постоянного контроля доступа все типы элементов управления доступом должны быть согласованы с корпоративной стратегией сегментации.
Обязательно назначьте отдельные привилегированные учетные записи, отличающиеся от стандартных учетных записей пользователей, используемых для задач электронной почты, просмотра и повышения производительности.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Ответственные за управление соответствием требованиям безопасности
PA-3. Регулярная проверка и согласование доступа пользователей
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Регулярно просматривайте учетные записи пользователей и назначение доступа, чтобы убедиться в том, что учетные записи и их уровень доступа является допустимым. Используя проверку доступа средствами Azure AD, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете использовать функции Azure AD Privileged Identity Management для создания рабочего процесса получения отчета о проверке доступа, который упростит процесс проверки. Кроме того, Azure AD Privileged Identity Management можно настроить для выдачи оповещения в случае, когда создается чрезмерно много учетных записей администраторов, и выявления устаревших или неправильно настроенных учетных записей администраторов.
Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Microsoft Azure Active Directory. Требуется управлять этими пользователями по отдельности.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Ответственные за управление соответствием требованиям безопасности
PA-4: настройка аварийного доступа в Azure AD
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
С целью предотвращения случайной блокировки вашей организации Azure AD, настройте учетную запись аварийного доступа для доступа, когда обычные административные учетные записи не могут использоваться. Учетные записи аварийного доступа обычно имеют высокий уровень привилегий и не должны назначаться конкретным пользователям. Учетные записи для аварийного доступа используются только в непредвиденных ситуациях, в которых невозможно использовать обычные учетные записи администратора. Следует убедиться, что учетные данные (например, пароль, сертификат или смарт-карта) для учетных записей аварийного доступа защищены и известны только тем лицам, которые имеют право использовать их только в экстренной ситуации.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Ответственные за управление соответствием требованиям безопасности
PA-5: автоматизация управления правами
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Используйте функции управления правами Azure AD для автоматизации рабочих процессов запроса доступа, в том числе назначения, проверки доступа и его отзыва по истечении срока действия. Поддерживается также утверждение в два и более этапа.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Ответственные за управление соответствием требованиям безопасности
PA-6: использование рабочих станций с привилегированным доступом
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач используйте надежно защищенные рабочие станции и (или) Бастион Azure. Чтобы развернуть защищенную и управляемую рабочую станцию для административных задач, используйте Azure Active Directory, Microsoft Defender для удостоверений и (или) Microsoft Intune. Защищенными рабочими станциями можно управлять централизованно для безопасной настройки, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Управление доступом на основе ролей в Azure (Azure RBAC) позволяет управлять доступом к ресурсам Azure, используя назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Привилегии, назначаемые для ресурсов в Azure RBAC, всегда должны ограничиваться только строго необходимым для той или иной роли. Ограничение привилегий дополняет подход JIT, используемый в Azure AD Privileged Identity Management (PIM), и эти привилегии следует периодически проверять.
Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Ответственные за управление соответствием требованиям безопасности
PA-8: выбор процесса утверждения для службы поддержки Майкрософт
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
В ситуациях, когда корпорации Майкрософт требуется доступ к данным клиентов для предоставления поддержки, защищенное хранилище дает возможность проверить и утвердить (или отклонить) каждый запрос клиента на доступ к данным.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):