Управление безопасностью: управление удостоверениями
Управление удостоверениями охватывает элементы управления для создания безопасных удостоверений и управления доступом с помощью систем управления удостоверениями и доступом, включая использование единого входа, строгой проверки подлинности, управляемых удостоверений (и субъектов-служб) для приложений, условного доступа и мониторинга аномалий учетных записей.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Принцип безопасности. Используйте централизованную систему идентификации и проверки подлинности для управления удостоверениями и проверками подлинности организации для облачных и необлачных ресурсов.
Руководство по Azure. Azure Active Directory (Azure AD) — это служба управления удостоверениями и проверкой подлинности Azure. Azure AD следует использовать в качестве стандартной службы для управления удостоверениями и проверкой подлинности в вашей организации для следующих ресурсов:
- Облачные ресурсы Майкрософт, такие как служба хранилища Azure, Виртуальные машины Azure (Linux и Windows), приложения Azure Key Vault, PaaS и SaaS.
- Ресурсы организации, такие как приложения в Azure, сторонние приложения, работающие в корпоративных сетевых ресурсах, и приложения SaaS сторонних производителей.
- Корпоративные удостоверения в Active Directory, синхронизируемые с Azure AD для обеспечения единообразной и централизованной стратегии использования удостоверений.
Для служб Azure, которые применяются, избегайте использования локальных методов проверки подлинности и вместо этого используйте Azure Active Directory для централизации проверки подлинности службы.
Примечание. Как только это станет технически возможным, необходимо перенести локальные приложения Active Directory в Azure AD. Это может быть корпоративный каталог Azure AD, конфигурация "Бизнес-бизнес" или конфигурация "Бизнес-потребитель".
Реализация Azure и дополнительный контекст:
- Аренда в Azure AD
- Создание и настройка экземпляра Azure AD
- Определение клиентов Azure AD
- Использование внешних поставщиков удостоверений для приложения
Руководство по AWS. AWS IAM (управление удостоверениями и доступом) — это служба управления удостоверениями и проверкой подлинности AWS по умолчанию. Используйте AWS IAM для управления удостоверениями и доступом AWS. Кроме того, с помощью AWS и Единого Sign-On Azure (SSO) можно также использовать Azure AD для управления удостоверениями и доступом AWS, чтобы избежать управления повторяющимися учетными записями отдельно на двух облачных платформах.
AWS поддерживает единый Sign-On который позволяет объединять сторонние удостоверения организации (например, Windows Active Directory или другие хранилища удостоверений) с удостоверениями AWS, чтобы избежать создания дублирующихся учетных записей для доступа к ресурсам AWS.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Система управления удостоверениями и доступом Google Cloud (IAM) — это служба управления удостоверениями и проверкой подлинности Google Cloud по умолчанию, используемая для учетных записей Google Cloud Identity. Используйте Google Cloud IAM для управления удостоверениями GCP и доступом. Кроме того, с помощью Google Cloud Identity и Azure Sigle Sign-On (SSO) вы также можете использовать Azure AD для управления удостоверениями и доступом GCP, чтобы избежать управления дубликатами учетных записей отдельно в многооблачной среде.
Google Cloud Identity — это поставщик удостоверений для всех служб Google. Он поддерживает единый Sign-On что позволяет объединять сторонние удостоверения организации (например, Windows Active Directory или другие хранилища удостоверений) с удостоверениями Google Cloud, чтобы избежать создания дублирующихся учетных записей для доступа к ресурсам GCP.
Примечание. Использование Google Cloud Directory Sync. Google предоставляет средство соединителя, которое интегрируется с большинством корпоративных систем управления LDAP и синхронизирует удостоверения по расписанию. Настроив учетную запись Cloud Identity и создав Google Cloud Directory Sync, вы можете настроить, какие учетные записи пользователей( включая пользователей, группы и профили пользователей, псевдонимы и многое другое) будут синхронизированы по расписанию между локальной системой управления удостоверениями и системой GCP.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Безопасность приложений и DevSecOps
- Управление состоянием
IM-2: Защита систем удостоверений и проверки подлинности
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Принцип безопасности. Защита системы идентификации и проверки подлинности в качестве высокого приоритета в облачной практике безопасности вашей организации. Общие элементы управления безопасностью включают:
- Ограничение привилегированных ролей и учетных записей
- Строгая проверка подлинности для всех операций привилегированного доступа
- Мониторинг и аудит действий с высоким риском
Руководство по Azure. Используйте базовые показатели безопасности Azure AD и оценку безопасности Azure AD удостоверений, чтобы оценить состояние безопасности Azure AD удостоверения и устранить пробелы в безопасности и конфигурации. Оценка безопасности Azure AD identity оценивает Azure AD для следующих конфигураций:
- Использование ограниченных административных ролей
- Включение политики безопасности для рисков пользователей
- Назначение более одного глобального администратора
- Активация политики для блокировки устаревших методов проверки подлинности
- Обеспечение многофакторной проверки подлинности для всех пользователей в целях безопасного доступа
- Обязательная MFA для ролей администраторов
- Включение самостоятельного сброса пароля
- Отсутствие ограничения срока действия паролей
- Включение политики рисков при входе
- Запрет пользователям предоставлять согласие для неуправляемых приложений
Используйте защиту идентификации Azure AD для обнаружения, исследования и устранения рисков на основе удостоверений. Чтобы аналогичным образом защитить домен локальная служба Active Directory, используйте Defender для удостоверений.
Примечание. Следуйте опубликованным рекомендациям по всем остальным компонентам идентификации, включая локальная служба Active Directory и любые сторонние возможности, а также инфраструктуры (например, операционные системы, сети, базы данных), в которых они размещаются.
Реализация Azure и дополнительный контекст:
- Что собой представляет оценка безопасности удостоверений в Azure AD
- Рекомендации по защите Active Directory
- Что собой представляет защита идентификации?
- Что такое Microsoft Defender для удостоверений?
Руководство по AWS. Используйте следующие рекомендации по обеспечению безопасности для защиты AWS IAM:
- Настройка ключей доступа корневых пользователей учетной записи AWS для аварийного доступа, как описано в разделе PA-5 (Настройка аварийного доступа)
- Следуйте принципам минимальных привилегий для назначений доступа
- Используйте группы IAM для применения политик вместо отдельных пользователей.
- Следуйте указаниям по строгой проверке подлинности в IM-6 (использование элементов управления строгой проверкой подлинности) для всех пользователей
- Использование aws Organizations SCP (политика управления службами) и границы разрешений
- Использование помощника по доступу IAM для аудита доступа к службе
- Использование отчета об учетных данных IAM для отслеживания учетных записей пользователей и состояния учетных данных
Примечание. Следуйте опубликованным рекомендациям, если у вас есть другие системы идентификации и проверки подлинности, например, следуйте базовым показателям безопасности Azure AD, если вы используете Azure AD для управления удостоверениями и доступом AWS.
Реализация AWS и дополнительный контекст:
Руководство GCP. Используйте следующие рекомендации по обеспечению безопасности для защиты в google Cloud IAM и облачных службах удостоверений для ваших организаций:
- Настройте учетную запись суперадминистраатора для доступа в чрезвычайных ситуациях, следуя рекомендациям в PA-5 ("Настройка аварийного доступа").
- Создайте адрес электронной почты суперадминистраста (например, учетную запись суперадминистраста Google Workspace или Cloud Identity), и эта учетная запись не должна быть специфичной для конкретного пользователя на случай, если потребуется аварийное восстановление.
- Соблюдайте принципы минимальных привилегий и разделения обязанностей
- Избегайте использования учетной записи суперадминистраатора для повседневных действий
- Используйте группы Google Cloud Identity для применения политик вместо применения политик к отдельным пользователям.
- Следуйте указаниям по строгой проверке подлинности, как описано в разделе IM-6 ("Использование элементов управления строгой проверкой подлинности") для всех пользователей с повышенными привилегиями.
- Использование политик IAM для ограничения доступа к ресурсам
- Использование службы политик организации для управления и настройки ограничений ресурсов
- Использование журнала аудита IAM в журналах аудита облака для просмотра привилегированных действий
Примечание. Если вы используете Azure AD для управления удостоверениями и доступом GCP, следуйте другим системам идентификации и проверки подлинности, например, соблюдайте базовые показатели безопасности Azure AD.
Реализация GCP и дополнительный контекст:
- Рекомендации по учетной записи суперадминистратора
- Рекомендации по обеспечению безопасности для учетных записей администратора
- Безопасное использование IAM
- Управление доступом к другим ресурсам
- Общие сведения о службе политик организации
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Безопасность приложений и DevSecOps
- Управление состоянием
IM-3: Безопасное и автоматическое управление удостоверениями приложений
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | AC-2, AC-3, IA-4, IA-5, IA-9 | Н/Д |
Принцип безопасности. Используйте управляемые удостоверения приложений вместо создания учетных записей человека для доступа приложений к ресурсам и выполнения кода. Удостоверения управляемых приложений предоставляют такие преимущества, как снижения объема раскрытия учетных данных. Автоматизируйте смену учетных данных, чтобы обеспечить безопасность удостоверений.
Руководство по Azure. Используйте управляемые удостоверения Azure, которые могут выполнять проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD. За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
В службах, не поддерживающих управляемые удостоверения, используйте Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Рекомендуется настроить субъекты-службы с учетными данными сертификата и возвращаться к секретам клиента для проверки подлинности.
Реализация Azure и дополнительный контекст:
- Управляемые удостоверения Azure
- Службы с поддержкой управляемых удостоверений для ресурсов Azure
- Субъект-служба Azure
- Создание субъекта-службы с использованием сертификатов
Руководство по AWS. Используйте роли IAM AWS вместо создания учетных записей пользователей для ресурсов, поддерживающих эту функцию. Роли IAM управляются платформой на серверной части, а учетные данные являются временными и автоматически сменяются. Это позволяет избежать создания долгосрочных ключей доступа, имени пользователя или пароля для приложений и жестко заданных учетных данных в исходном коде или файлах конфигурации.
Для доступа между службами AWS вместо настройки собственных разрешений для ролей IAM можно использовать связанные со службами роли, присоединенные с помощью предварительно определенных политик разрешений.
Примечание. Для служб, которые не поддерживают роли IAM, используйте ключи доступа, но следуйте рекомендациям по безопасности, таким как IM-8. Ограничьте раскрытие учетных данных и секретов для защиты ключей.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Используйте управляемые Google учетные записи служб вместо создания управляемых пользователем учетных записей для ресурсов, поддерживающих эту функцию. Учетные записи служб, управляемые Google, управляются платформой на серверной части, а ключи учетной записи службы являются временными и автоматически сменяются. Это позволяет избежать создания долгосрочных ключей доступа, имени пользователя или пароля для приложений и жестко заданных учетных данных в исходном коде или файлах конфигурации.
Используйте аналитику политик, чтобы понять и распознать подозрительные действия учетных записей служб.
Реализация GCP и дополнительный контекст:
- Общие сведения об учетных записях служб
- Средства для понимания использования учетной записи службы
- Аналитика политик
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
IM-4: Проверка подлинности сервера и служб
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | IA-9 | Н/Д |
Принцип безопасности. Выполните проверку подлинности удаленных серверов и служб на стороне клиента, чтобы убедиться, что вы подключаетесь к доверенным серверам и службам. Наиболее распространенным протоколом проверки подлинности сервера является TLS. В рамках этого протокола клиент (как правило, браузер или клиентское устройство) подтверждает подлинность сервера, проверяя, был ли сертификат сервера выдан доверенным центром сертификации.
Примечание. Взаимная проверка подлинности может использоваться при проверке подлинности сервера и клиента друг друга.
Руководство по Azure. Многие службы Azure по умолчанию поддерживают проверку подлинности TLS. Для служб, которые не поддерживают проверку подлинности TLS по умолчанию или не поддерживают отключение TLS, убедитесь, что она всегда включена для поддержки проверки подлинности сервера или клиента. Клиентское приложение также должно быть разработано для проверки удостоверения сервера или клиента (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе подтверждения.
Примечание. Такие службы, как Управление API и шлюз API, поддерживают взаимную проверку подлинности TLS.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Многие службы AWS по умолчанию поддерживают проверку подлинности TLS. Для служб, которые не поддерживают проверку подлинности TLS по умолчанию или не поддерживают отключение TLS, убедитесь, что она всегда включена для поддержки проверки подлинности сервера или клиента. Клиентское приложение также должно быть разработано для проверки удостоверения сервера или клиента (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе подтверждения.
Примечание. Службы, такие как шлюз API, поддерживают взаимную проверку подлинности TLS.
Реализация AWS и дополнительный контекст:
- Закрепление сертификата диспетчера сертификатов AWS.
- SSL-сертификат для проверки подлинности серверной части
Руководство по GCP. Многие службы GCP по умолчанию поддерживают проверку подлинности TLS. Для служб, которые не поддерживают эту функцию по умолчанию или поддерживают отключение TLS, убедитесь, что он всегда включен для поддержки проверки подлинности сервера или клиента. Клиентское приложение также должно быть разработано для проверки удостоверения сервера или клиента (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе подтверждения.
Примечание. Службы, такие как облачная балансировка нагрузки, поддерживают взаимную проверку подлинности TLS.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
IM-5: Использование единого входа (SSO) для доступа к приложениям
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 12,5 | IA-4, IA-2, IA-8 | Н/Д |
Принцип безопасности. Используйте единый вход ( SSO), чтобы упростить взаимодействие с пользователем для проверки подлинности ресурсов, включая приложения и данные в облачных службах и локальных средах.
Руководство по Azure. Используйте Azure AD для доступа к приложениям рабочей нагрузки (для клиентов) с помощью Azure AD единого входа, что сокращает потребность в повторяющихся учетных записях. Azure AD обеспечивает управление удостоверениями и доступом к ресурсам Azure (в плоскости управления, включая CLI, PowerShell, портал), облачным приложениям и локальным приложениям.
Azure AD также поддерживает единый вход для корпоративных удостоверений, таких как удостоверения корпоративных пользователей, а также внешних удостоверений от доверенных сторонних и общедоступных пользователей.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Используйте AWS Cognito для управления доступом к рабочим нагрузкам клиентских приложений с помощью единого входа( SSO), чтобы клиенты могли объединять свои сторонние удостоверения от разных поставщиков удостоверений.
Для единого входа к собственным ресурсам AWS (включая доступ к консоли AWS или управление службами и доступ на уровне плоскости данных) используйте AWS Sigle Sign-On, чтобы уменьшить потребность в повторяющихся учетных записях.
AWS SSO также позволяет объединять корпоративные удостоверения (например, удостоверения из Azure Active Directory) с удостоверениями AWS, а также с удостоверениями внешних пользователей от доверенных сторонних и общедоступных пользователей.
Реализация AWS и дополнительный контекст:
Руководство GCP. Используйте Google Cloud Identity для управления доступом к приложению рабочей нагрузки для клиентов с помощью единого входа Google Cloud Identity, что сокращает потребность в повторяющихся учетных записях. Google Cloud Identity обеспечивает управление удостоверениями и доступом для GCP (в плоскости управления, включая Google Cloud CLI, доступ к консоли), облачные приложения и локальные приложения.
Google Cloud Identity также поддерживает единый вход для корпоративных удостоверений, например удостоверений корпоративных пользователей из Azure AD или Active Directory, а также удостоверений внешних пользователей доверенных сторонних и общедоступных пользователей. Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
IM-6: Использование элементов управления строгой проверки подлинности
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Принцип безопасности. Примените элементы управления строгой проверкой подлинности (строжную проверку подлинности без пароля или многофакторную проверку подлинности) с помощью централизованной системы управления удостоверениями и проверкой подлинности для доступа ко всем ресурсам. Проверка подлинности учетных данных только на основе паролей считается устаревшей, так как она небезопасна и не обеспечивает защиты от популярных способов атак.
При развертывании строгой проверки подлинности сначала следует настроить администраторов и привилегированных пользователей, чтобы обеспечить наивысший уровень защиты для используемого способа строгой проверки подлинности, а затем развернуть соответствующую политику строгой проверки подлинности для всех пользователей.
Примечание. Если для устаревших приложений и сценариев требуется проверка подлинности на основе паролей, убедитесь, что выполнены рекомендации по обеспечению безопасности паролей, такие как требования к сложности паролей.
Руководство Azure. Azure AD поддерживает надежные элементы управления проверкой подлинности с помощью методов без пароля и многофакторной проверки подлинности (MFA).
- Проверка подлинности без пароля. Используйте проверку подлинности без пароля в качестве способа проверки подлинности по умолчанию. Существует три варианта проверки подлинности без пароля: Windows Hello для бизнеса, вход с помощью телефона приложения Microsoft Authenticator и ключи безопасности FIDO2. Кроме того, клиенты могут использовать локальные методы проверки подлинности, такие как смарт-карты.
- Многофакторная проверка подлинности. Azure MFA можно применить ко всем пользователям, к выбранным пользователям или на уровне отдельных пользователей с учетом факторов риска и условий входа. Включите Azure MFA и следуйте Microsoft Defender для облачных рекомендаций по управлению удостоверениями и доступом для настройки MFA.
Если для проверки подлинности Azure AD по-прежнему используется устаревшая проверка подлинности на основе пароля, учитывайте, что политика паролей для базового уровня по умолчанию есть только у облачных учетных записей (учетных записей пользователей, созданных непосредственно в Azure). Гибридные учетные записи (учетные записи пользователей из локальной службы Active Directory) следуют локальным политикам паролей.
Для сторонних приложений и служб, которые могут иметь идентификаторы и пароли по умолчанию, необходимо отключить или изменить их во время начальной настройки службы.
Реализация Azure и дополнительный контекст:
- Включение MFA в Azure
- Общие сведения о способах выполнения беспарольной проверки подлинности в Azure Active Directory
- Политика паролей по умолчанию в Azure AD
- Исключение неправильных паролей с помощью защиты паролем Azure AD
- Блокировать устаревших методов проверки подлинности
Руководство AWS. AWS IAM поддерживает надежные элементы управления проверкой подлинности с помощью многофакторной проверки подлинности (MFA). Многофакторную проверку подлинности можно применять для всех пользователей, отдельных пользователей или на уровне каждого пользователя в зависимости от определенных условий.
Если вы используете корпоративные учетные записи из стороннего каталога (например, Windows Active Directory) с удостоверениями AWS, следуйте соответствующим рекомендациям по безопасности, чтобы обеспечить строговую проверку подлинности. Если вы используете Azure AD для управления доступом к AWS, см. руководство по Azure для этого элемента управления.
Примечание. Для сторонних приложений и служб AWS, которые могут иметь идентификаторы и пароли по умолчанию, их следует отключить или изменить во время начальной настройки службы.
Реализация AWS и дополнительный контекст:
Руководство GCP. Google Cloud Identity поддерживает строгую проверку подлинности с помощью многофакторной проверки подлинности (MFA). Многофакторную проверку подлинности можно применять для всех пользователей, отдельных пользователей или на уровне каждого пользователя в зависимости от определенных условий. Для защиты учетных записей суперадминистраторов Cloud Identity (и рабочей области) рекомендуется использовать ключи безопасности и программу Google Advanced Protection Для обеспечения максимальной безопасности.
Если вы используете корпоративные учетные записи из стороннего каталога (например, Windows Active Directory) с удостоверениями Google Cloud, следуйте соответствующим рекомендациям по обеспечению безопасности для принудительной проверки подлинности. Если вы используете Azure AD для управления доступом к Google Cloud, см. руководство по Azure для этого элемента управления.
Используйте прокси-сервер Identity-Aware, чтобы установить центральный уровень авторизации для приложений, к которым осуществляется доступ по протоколу HTTPS, поэтому вместо использования брандмауэров уровня сети можно использовать модель управления доступом на уровне приложений.
Примечание. Для сторонних приложений и служб GCP, которые могут иметь идентификаторы и пароли по умолчанию, их следует отключить или изменить во время начальной настройки службы.
Реализация GCP и дополнительный контекст:
- Применение единой многофакторной проверки подлинности для корпоративных ресурсов
- Google Advanced Protection Program
- Общие сведения о прокси-сервере с поддержкой удостоверений
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
IM-7: Ограничение доступа к ресурсам на основе условий
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Принцип безопасности. Явно проверяйте доверенные сигналы, чтобы разрешить или запретить доступ пользователей к ресурсам в рамках модели доступа с нулевым доверием. Проверяемые сигналы должны включать строгую проверку подлинности учетной записи пользователя, анализ поведения учетной записи пользователя, надежность устройства, членство пользователей и групп, расположения и т. д.
Руководство Azure. Используйте Azure AD условный доступ для более детализированных элементов управления доступом на основе определяемых пользователем условий, таких как требование входа пользователя из определенных диапазонов IP-адресов (или устройств) для использования MFA. Условный доступ Azure AD позволяет принудительно применять политики управления доступом к приложениям в организации на основе определенных условий.
Определите применимые условия и критерии для условного доступа Azure AD в рабочей нагрузке. Учитывайте следующие распространенные сценарии использования:
- по требованию многофакторной проверки подлинности для пользователей с административными ролями;
- по требованию многофакторной проверки подлинности для задач управления Azure;
- блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности;
- по требованию надежных расположений для многофакторной проверки подлинности Azure AD при регистрации;
- блокировка или предоставление доступа из конкретных расположений;
- блокировка рискованного поведения при входе;
- по требованию управляемых организацией устройств для определенных приложений.
Примечание. Детализированные элементы управления сеансом проверки подлинности также можно реализовать с помощью Azure AD политики условного доступа, например частоты входа и постоянного сеанса браузера.
Реализация Azure и дополнительный контекст:
- Общие сведения об условном доступе в Azure
- Распространенные политики условного доступа
- Аналитика и отчеты условного доступа
- Настройка управления сеансом проверки подлинности с условным доступом.
Руководство AWS. Создайте политику IAM и определите условия для более детализированных элементов управления доступом на основе определяемых пользователем условий, таких как требование входа пользователей из определенных диапазонов IP-адресов (или устройств) для использования многофакторной проверки подлинности. Параметры условий могут включать в себя одно или несколько условий, а также логику.
Политики можно определить из шести различных аспектов: политики на основе удостоверений, политики на основе ресурсов, границы разрешений, политика управления службами (SCP) организаций AWS, контроль доступа списки (ACL) и политики сеансов.
Реализация AWS и дополнительный контекст:
Руководство GCP. Создайте и определите условия IAM для более детализированных элементов управления доступом на основе атрибутов на основе определяемых пользователем условий, таких как требование входа пользователя из определенных диапазонов IP-адресов (или устройств) для использования многофакторной проверки подлинности. Параметры условий могут включать одно или несколько условий, а также логику.
Условия указываются в привязках ролей политики разрешений ресурса. Атрибуты условия основаны на запрошенном ресурсе, например его типе или имени, или на сведениях о запросе, например на его метке времени или IP-адресе назначения.
Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Безопасность приложений и DevSecOps
- Управление состоянием
- Анализ угроз
IM-8. Ограничение раскрытия учетных данных и секретов
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Принцип безопасности. Убедитесь, что разработчики приложений безопасно обрабатывают учетные данные и секреты:
- Не включайте учетные данные и секреты в файлы кода и конфигурации.
- Используйте хранилище ключей или безопасную службу хранилища ключей для хранения учетных данных и секретов.
- Проводите сканирование исходного кода на наличие учетных данных.
Примечание. Для реализации и контроля этих требований часто используются жизненный цикл разработки защищенных приложений (SDLC) и процесс обеспечения безопасности DevOps.
Руководство Azure. Если использовать управляемое удостоверение нельзя, убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо того, чтобы внедрять их в файлы кода и конфигурации.
Если вы используете Azure DevOps и GitHub для платформы управления кодом:
- Реализуйте сканер учетных данных Azure DevOps для обнаружения учетных данных в коде.
- В GitHub можно использовать собственную функцию сканирования секретов, которая обнаруживает учетные данные или другие виды секретов в коде.
Клиенты, такие как Функции Azure, службы приложений Azure и виртуальные машины, могут использовать управляемые удостоверения для безопасного доступа к Azure Key Vault. Ознакомьтесь с элементами управления для защиты данных, связанными с использованием Azure Key Vault для управления секретами.
Примечание. Azure Key Vault обеспечивает автоматическую смену поддерживаемых служб. Для секретов, которые не могут быть автоматически сменяются, убедитесь, что они периодически сменяются вручную и очищаются, когда они больше не используются.
Реализация Azure и дополнительный контекст:
Руководство AWS. При использовании роли IAM для доступа к приложениям не рекомендуется, убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как AWS Secret Manager или Хранилище параметров System Manager, а не встраивают их в файлы кода и конфигурации.
Используйте codeGuru Reviewer для статического анализа кода, который может обнаруживать секреты, жестко заданные в исходном коде.
Если вы используете Azure DevOps и GitHub для платформы управления кодом:
- Реализуйте сканер учетных данных Azure DevOps для обнаружения учетных данных в коде.
- Для GitHub можно использовать функцию проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.
Примечание. Диспетчер секретов обеспечивает автоматическую смену секретов для поддерживаемых служб. Для секретов, которые не могут быть автоматически сменяются, убедитесь, что они периодически сменяются вручную и очищаются, когда они больше не используются.
Реализация AWS и дополнительный контекст:
- Роли AWS IAM в EC2
- Интегрированные службы AWS Secrets Manager
- Обнаружение секретов рецензента CodeGuru
Руководство GCP. При использовании учетной записи службы, управляемой Google, для доступа к приложениям не рекомендуется, убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Диспетчер секретов Google Cloud, а не встраивают их в файлы кода и конфигурации.
Используйте расширение Google Cloud Code в интегрированной среде разработки( интегрированной среде разработки), например Visual Studio Code, чтобы интегрировать в код секреты, управляемые диспетчером секретов.
Если вы используете Azure DevOps или GitHub для платформы управления кодом:
- Реализуйте сканер учетных данных Azure DevOps для обнаружения учетных данных в коде.
- Для GitHub можно использовать функцию проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.
Примечание. Рекомендуется настроить расписания смены секретов, хранящихся в диспетчере секретов.
Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
IM-9: Защита доступа пользователей к существующим приложениям
| Идентификаторы CIS Controls версии 8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | Н/Д |
Принцип безопасности. В гибридной среде, где у вас есть локальные или не собственные облачные приложения, использующие устаревшую проверку подлинности, рассмотрите такие решения, как брокер безопасности облачного доступа (CASB), прокси приложения, единый вход (SSO), чтобы управлять доступом к этим приложениям, чтобы обеспечить следующие преимущества:
- Обеспечение централизованной строгой проверки подлинности
- Отслеживание и контроль рискованных действий конечных пользователей
- Мониторинг рискованных действий устаревших приложений и устранение их последствий
- Обнаружение и предотвращение передачи конфиденциальных данных
Руководство Azure. Защитите локальные и не собственные облачные приложения с помощью устаревшей проверки подлинности, подключив их к:
- Azure AD Application Proxy и настроить проверку подлинности на основе заголовков, чтобы разрешить единый вход (SSO) к приложениям для удаленных пользователей при явной проверке надежности как удаленных пользователей, так и устройств с Azure AD условным доступом. При необходимости используйте стороннее решение Software-Defined периметра (SDP), которое может предлагать аналогичные функции.
- Microsoft Defender for Cloud Apps, которая обслуживает службу брокера безопасности доступа в облаке (CASB) для мониторинга и блокировки доступа пользователей к неутвержденным сторонним приложениям SaaS.
- Существующие сторонние контроллеры и сети доставки приложений.
Примечание. VPN обычно используются для доступа к устаревшим приложениям и часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.
Реализация Azure и дополнительный контекст:
- Azure Active Directory Application Proxy
- Рекомендации по работе с Microsoft Cloud App Security
- Безопасный гибридный доступ Azure AD
Руководство AWS. Следуйте рекомендациям Azure, чтобы защитить локальные и не собственные облачные приложения с помощью устаревшей проверки подлинности, подключив их к:
- Azure AD Application Proxy и настройте на основе заголовков, чтобы разрешить единый вход (SSO) к приложениям для удаленных пользователей, при этом явно проверяя надежность как удаленных пользователей, так и устройств с Azure AD условным доступом. При необходимости используйте стороннее решение Software-Defined периметра (SDP), которое может предлагать аналогичные функции.
- Microsoft Defender for Cloud Apps, которая выступает в качестве службы брокера безопасности доступа к облаку (CASB) для мониторинга и блокировки доступа пользователей к неутвержденным сторонним приложениям SaaS.
- Существующим сторонним контроллерам и сетям доставки приложений.
Примечание. VPN обычно используются для доступа к устаревшим приложениям и часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Используйте Google Cloud Identity-Aware Proxy (IAP) для управления доступом к приложениям на основе HTTP за пределами Google Cloud, включая локальные приложения. IAP работает с использованием подписанных заголовков или API пользователей в стандартной среде обработчика приложений. При необходимости используйте стороннее решение программно-определяемого периметра (SDP), которое может предложить аналогичные функции.
Вы также можете использовать Microsoft Defender for Cloud Apps который выступает в качестве службы брокера безопасности доступа в облако (CASB) для мониторинга и блокировки доступа пользователей к неутвержденным сторонним приложениям SaaS.
Примечание. VPN обычно используются для доступа к устаревшим приложениям и часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.
Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):