Управление безопасностью: привилегированный доступ
Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Принцип безопасности. Убедитесь, что вы выявляете все учетные записи с высоким уровнем влияния на бизнес. Ограничьте число привилегированных и административных учетных записей на уровне управления вашего облака, в плоскости управления и в плоскости данных и рабочих нагрузок.
Руководство по Azure. Необходимо защитить все роли с прямым или косвенным административным доступом к размещенным в Azure ресурсам.
Azure Active Directory (Azure AD) — это используемая по умолчанию служба управления идентификацией и доступом в Azure. Наиболее важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей", поскольку пользователи, которым назначены эти две роли, могут делегировать роли администратора. Пользователи, обладающие этими привилегиями, могут напрямую или косвенно читать и изменять каждый ресурс в вашей среде Azure.
- Глобальный администратор или администратор компании. Пользователи с этой ролью имеют доступ ко всем административным функциям в Azure AD, а также к службам, которые используют Azure AD удостоверения.
- Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначением ролей в Azure AD, а также в рамках управления привилегированными пользователями Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными пользователями и административными подразделениями.
Помимо Azure AD, Azure имеет встроенные роли, которые могут быть критически важными для привилегированного доступа на уровне ресурсов.
- Владелец. Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC).
- Участник. Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC, управлять назначениями в Azure Blueprints и предоставлять общий доступ к галереям изображений.
- Администратор доступа пользователей — может управлять доступом пользователей к ресурсам Azure.
Примечание: может потребоваться управление и другими критически важными ролями, если на уровне Azure AD или ресурсов есть настраиваемые роли, которым назначены определенные привилегированные разрешения.
Кроме того, пользователи со следующими тремя ролями на портале Azure Соглашение Enterprise (EA) также должны быть ограничены, так как они могут использоваться для прямого или косвенного управления подписками Azure.
- Владелец учетной записи. Пользователи с этой ролью могут управлять подписками, включая создание и удаление подписок.
- Администратор предприятия. Пользователи, которым назначена эта роль, могут управлять пользователями портала (EA).
- Администратор отдела. Пользователи, которым назначена эта роль, могут изменять владельцев учетных записей в отделе.
Наконец, обязательно ограничьте привилегированные учетные записи в других системах управления, идентификации и безопасности, имеющих административный доступ к критически важным для бизнеса ресурсам, таким как контроллеры домен Active Directory , средства безопасности и средства управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, получившие доступ к этим системам управления и безопасности, смогут немедленно взять их на вооружение, чтобы с их помощью взламывать важные для бизнеса ресурсы.
Реализация Azure и дополнительный контекст:
- Разрешения роли администратора в Azure Active Directory
- Использование оповещений системы безопасности в рамках управления привилегированными пользователями Azure
- Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD
Руководство AWS. Необходимо защитить все роли с прямым или косвенным административным доступом к ресурсам, размещенным в AWS.
Привилегированные и административные пользователи должны быть защищены:
- Корневой пользователь. Корневой пользователь — это привилегированные учетные записи самого высокого уровня в вашей учетной записи AWS. Корневые учетные записи должны быть строго ограничены и использоваться только в чрезвычайных ситуациях. См. раздел Управление аварийным доступом в PA-5 (Настройка аварийного доступа).
- Удостоверения IAM (пользователи, группы, роли) с политикой привилегированных разрешений. Удостоверения IAM, назначенные с помощью политики разрешений, например AdministratorAccess, могут иметь полный доступ к службам и ресурсам AWS.
Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений для AWS, см. руководство azure по управлению привилегированными ролями в Azure AD.
Убедитесь, что вы также ограничили привилегированные учетные записи в других системах управления, идентификации и безопасности, имеющих административный доступ к критически важным для бизнеса ресурсам, таким как AWS Cognito, средства безопасности и средства управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, получившие доступ к этим системам управления и безопасности, смогут немедленно взять их на вооружение, чтобы с их помощью взламывать важные для бизнеса ресурсы.
Реализация AWS и дополнительный контекст:
Руководство GCP. Необходимо защитить все роли с прямым или косвенным административным доступом к ресурсам, размещенным в GCP.
Самая важная встроенная роль в Google Cloud — это суперадминистратор. Суперадминистратор может выполнять все задачи в консоли Администратор и имеет необратимые административные разрешения. Рекомендуется не использовать учетную запись суперадминистраторов для повседневного администрирования.
Базовые роли являются очень разрешительными устаревшими ролями, и рекомендуется, чтобы базовые роли не использовались в рабочих средах, так как они предоставляют широкий доступ ко всем ресурсам Google Cloud. К основным ролям относятся роли "Зритель", "Редактор" и "Владелец". Вместо этого рекомендуется использовать предопределенные или настраиваемые роли. К примечаемым предопределенным привилегированным ролям относятся:
- Администратор организации. Пользователи с этой ролью могут управлять политиками IAM и просматривать политики организации для организаций, папок и проектов.
- Администратор политики организации. Пользователи с этой ролью могут определить, какие ограничения организация хочет наложить на конфигурацию облачных ресурсов, задав политики организации.
- Администратор ролей организации. Пользователи с этой ролью могут администрировать все пользовательские роли в организации и проектах под ней.
- Администратор безопасности. Пользователи с этой ролью могут получать и настраивать любую политику IAM.
- Запретить Администратор. Пользователи с этой ролью имеют разрешения на чтение и изменение политик запрета IAM.
Кроме того, некоторые предопределенные роли содержат привилегированные разрешения IAM на уровне организации, папки и проекта. К этим разрешениям IAM относятся:
- organizationAdmin
- папкаIAMAdmin
- projectIAMAdmin
Кроме того, реализуйте разделение обязанностей, назначив роли учетным записям для разных проектов или используя двоичную авторизацию с помощью Google Kubernetes Engine.
Наконец, убедитесь, что вы также ограничиваете привилегированные учетные записи в других системах управления, идентификации и безопасности, которые имеют административный доступ к критически важным для бизнеса ресурсам, таким как облачная служба DNS, средства безопасности и средства управления системой, с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, получившие доступ к этим системам управления и безопасности, смогут немедленно взять их на вооружение, чтобы с их помощью взламывать важные для бизнеса ресурсы.
Реализация GCP и дополнительный контекст:
- Рекомендации по учетной записи суперадминистратора
- Справочник по базовым и предопределенным ролям IAM
- Разделение обязанностей и роли управления удостоверениями и доступом
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Ответственные за управление соответствием требованиям безопасности
- Операции безопасности
PA-2. Старайтесь не применять постоянный доступ для пользовательских учетных записей и разрешений
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | AC-2 | Н/Д |
Принцип безопасности. Вместо создания постоянных привилегий используйте JIT-механизм для назначения привилегированного доступа к различным уровням ресурсов.
Руководство по Azure. Включите привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD управление привилегированными пользователями (PIM). JIT — это модель, в которой пользователи получают временные разрешения для выполнения привилегированных задач, что не позволяет злоумышленникам или неавторизованным пользователям получить доступ, когда срок действия этих разрешений истек. Доступ предоставляется только в том случае, если он необходим пользователю. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.
Используйте функцию JIT-доступа к виртуальным машинам в Microsoft Defender для облака, чтобы ограничить входящий трафик на те из них, что имеют критическую важность. Это гарантирует, что привилегированный доступ к виртуальной машине предоставляется только тогда, когда он нужен пользователям.
Реализация Azure и дополнительный контекст:
Руководство AWS. Используйте aws Security Token Service (AWS STS) для создания временных учетных данных безопасности для доступа к ресурсам через API AWS. Временные учетные данные безопасности работают почти так же, как и учетные данные ключа долгосрочного доступа, которые могут использовать пользователи IAM, со следующими отличиями:
- Временные учетные данные безопасности имеют краткосрочный срок службы от нескольких минут до нескольких часов.
- Временные учетные данные безопасности не хранятся вместе с пользователем, а создаются динамически и предоставляются пользователю по запросу.
Реализация AWS и дополнительный контекст:
Руководство GCP. Используйте условный доступ IAM для создания временного доступа к ресурсам с помощью привязок условных ролей в политиках разрешений, которые предоставляются пользователям Cloud Identity. Настройте атрибуты даты и времени, чтобы применить элементы управления на основе времени для доступа к определенному ресурсу. Временный доступ может иметь краткосрочный срок жизни, от нескольких минут до нескольких часов, или может быть предоставлен в зависимости от дней или часов недели.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Ответственные за управление соответствием требованиям безопасности
- Операции безопасности
PA-3. Контролируйте жизненный цикл удостоверений и прав
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Принцип безопасности. Используйте автоматизированный процесс или технический контроль для управления жизненным циклом идентификации и доступа, включая запрос, проверку, утверждение, подготовку и отзыв.
Руководство по Azure. Используйте функции управления правами Azure AD для автоматизации рабочих процессов запросов на доступ (для групп ресурсов Azure). Эти рабочие процессы для групп ресурсов Azure позволят контролировать назначения, проверки, сроки действия, а также двух- и многоуровневое утверждение доступа.
Используйте управление разрешениями для обнаружения, автоматического правильного размера и непрерывного мониторинга неиспользуемых и избыточных разрешений, назначенных удостоверениям пользователей и рабочих нагрузок в многооблачной инфраструктуре.
Реализация Azure и дополнительный контекст:
- Что собой представляют проверки доступа Azure AD
- Что собой представляет управление правами Azure AD
- Общие сведения об управлении разрешениями
Руководство по AWS. Используйте AWS Access Advisor, чтобы получить журналы доступа для учетных записей пользователей и прав для ресурсов. Создайте ручной или автоматизированный рабочий процесс для интеграции с AWS IAM для управления назначениями доступа, проверками и удалением.
Примечание. В AWS Marketplace доступны сторонние решения для управления жизненным циклом удостоверений и прав.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Используйте журналы облачного аудита Google для извлечения журналов аудита действий администратора и доступа к данным для учетных записей пользователей и прав для ресурсов. Создайте ручной или автоматизированный рабочий процесс для интеграции с GCP IAM для управления назначениями доступа, проверками и удалением.
Используйте Google Cloud Identity Premium для предоставления основных служб идентификации и управления устройствами. К этим службам относятся такие функции, как автоматическая подготовка пользователей, добавление в список разрешений приложений и автоматизированное управление мобильными устройствами.
Примечание. В Google Cloud Marketplace доступны сторонние решения для управления жизненным циклом удостоверений и прав.
Реализация GCP и дополнительный контекст:
- Помощник по доступу IAM
- Cloud Identity and Atlassian Access: управление жизненным циклом пользователей в организации
- Предоставление и отзыв доступа к API
- Отмена доступа к проекту Google Cloud
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
- Управление удостоверениями и ключами
- Безопасность приложений и DevSecOps
- Ответственные за управление соответствием требованиям безопасности
PA-4. Регулярно проверяйте и согласуйте пользовательский доступ
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Принцип безопасности. Регулярно проверяйте права привилегированных учетных записей. Убедитесь, что доступ, предоставленный учетным записям, действителен для администрирования уровня управления, плоскости управления и рабочих нагрузок.
Руководство по Azure. Просмотрите все привилегированные учетные записи и права доступа в Azure, включая клиенты Azure, службы Azure, виртуальные машины и IaaS, процессы CI/CD, а также корпоративные средства управления и безопасности.
Используйте Azure AD проверки доступа для проверки Azure AD ролей, ролей доступа к ресурсам Azure, членства в группах и доступа к корпоративным приложениям. Azure AD отчеты также могут предоставлять журналы для обнаружения устаревших учетных записей или учетных записей, которые не использовались в течение определенного периода времени.
Кроме того, Azure AD Privileged Identity Management можно настроить на выдачу оповещений в случае, когда создается слишком много учетных записей администратора для определенной роли, и на выявление неиспользуемых или некорректно настроенных административных записей.
Реализация Azure и дополнительный контекст:
- Создание проверки доступа ролей ресурсов Azure с помощью функций управления привилегированными пользователями
- Использование проверок доступа для идентификации Azure AD
Руководство по AWS. Просмотрите все привилегированные учетные записи и права доступа в AWS, включая учетные записи AWS, службы, виртуальные машины и IaaS, процессы CI/CD, а также средства управления и безопасности предприятия.
Используйте помощник по доступу IAM, анализатор доступа и отчеты об учетных данных для просмотра ролей доступа к ресурсам, членства в группах и доступа к корпоративным приложениям. Отчеты анализатора доступа IAM и отчетов об учетных данных также могут предоставлять журналы для обнаружения устаревших учетных записей или учетных записей, которые не использовались в течение определенного периода времени.
Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений для AWS, используйте Azure AD проверки доступа, чтобы периодически просматривать привилегированные учетные записи и права доступа.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Просмотрите все привилегированные учетные записи и права доступа в Google Cloud, включая учетные записи Cloud Identity, службы, виртуальные машины и IaaS, процессы CI/CD, а также корпоративные средства управления и безопасности.
Используйте журналы аудита облака и анализатор политик для просмотра ролей доступа к ресурсам и членства в группах. Создайте аналитические запросы в анализаторе политик, чтобы определить, какие субъекты могут получить доступ к определенным ресурсам.
Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений для Google Cloud, используйте Azure AD проверку доступа, чтобы периодически просматривать привилегированные учетные записи и права доступа.
Кроме того, Azure AD Privileged Identity Management можно настроить на выдачу оповещений в случае, когда создается слишком много учетных записей администратора для определенной роли, и на выявление неиспользуемых или некорректно настроенных административных записей.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по обеспечению безопасности клиентов (подробнее):
- Управление удостоверениями и ключами
- Безопасность приложений и DevSecOps
- Ответственные за управление соответствием требованиям безопасности
PA-5. Настройте доступ для чрезвычайных ситуаций
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | AC-2 | Н/Д |
Принцип безопасности. Настройте аварийный доступ, чтобы предотвратить случайную блокировку критически важной облачной инфраструктуры (например, системы управления удостоверениями и доступом) в чрезвычайных ситуациях.
Учетные записи чрезвычайного доступа должны использоваться редко, и в случае их компрометации компания может понести значительный ущерб, однако есть небольшое число ситуаций, когда они критически необходимы.
Руководство по Azure. Чтобы предотвратить случайную блокировку Azure AD организации, настройте учетную запись для экстренного доступа (например, учетную запись с ролью глобального администратора) для доступа, если обычные административные учетные записи не могут использоваться. Учетные записи аварийного доступа обычно имеют высокий уровень привилегий и не должны назначаться конкретным пользователям. Записи для чрезвычайных ситуаций нужно использовать только в ситуациях "при аварии разбейте стекло" вместо стандартных записей администратора.
Следует убедиться, что учетные данные (например, пароль, сертификат или смарт-карта) для учетных записей аварийного доступа защищены и известны только тем лицам, которые имеют право использовать их только в экстренной ситуации. Вы также можете использовать дополнительные элементы управления, такие как двойные элементы управления (например, разделение учетных данных на две части и предоставление их отдельным лицам) для повышения безопасности этого процесса. Кроме того, следует отслеживать журналы входа и аудита, чтобы убедиться, что учетные записи аварийного доступа используются только при авторизации.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Корневые учетные записи AWS не следует использовать для обычных административных задач. Так как "корневая" учетная запись имеет высокий привилегии, ее не следует назначать определенным пользователям. Его использование должно быть ограничено только аварийными сценариями или сценариями "пробки", когда нельзя использовать обычные административные учетные записи. Для ежедневных административных задач следует использовать отдельные привилегированные учетные записи пользователей и назначить соответствующие разрешения через роли IAM.
Необходимо также убедиться, что учетные данные (например, пароль, маркеры MFA и ключи доступа) для корневых учетных записей защищены и известны только тем лицам, которые имеют право использовать их только в чрезвычайных ситуациях. Для корневой учетной записи должна быть включена многофакторная проверка подлинности, и вы также можете использовать дополнительные элементы управления, такие как двойные элементы управления (например, разделение учетных данных на две части и предоставление их отдельным лицам) для повышения безопасности этого процесса.
Кроме того, необходимо отслеживать журналы входа и аудита в CloudTrail или EventBridge, чтобы гарантировать, что учетные записи корневого доступа используются только при авторизации.
Реализация AWS и дополнительный контекст:
Руководство GCP. Учетные записи суперадминистратора Google Cloud Identity не следует использовать для обычных административных задач. Так как учетная запись суперадминистратор имеет высокий привилегии, ее не следует назначать определенным пользователям. Его использование должно быть ограничено только аварийными сценариями или сценариями "пробки", когда нельзя использовать обычные административные учетные записи. Для ежедневных административных задач следует использовать отдельные привилегированные учетные записи пользователей и назначить соответствующие разрешения через роли IAM.
Необходимо также убедиться, что учетные данные (например, пароль, маркеры MFA и ключи доступа) для учетных записей суперадминистраторов защищены и известны только тем лицам, которые имеют право использовать их только в чрезвычайных ситуациях. Для учетной записи суперадминистраатора должна быть включена многофакторная проверка подлинности, и вы также можете использовать дополнительные элементы управления, такие как двойные элементы управления (например, разделение учетных данных на две части и предоставление их отдельным лицам) для повышения безопасности этого процесса.
Кроме того, следует отслеживать журналы входа и аудита в журналах аудита облака или запрашивать анализатор политик, чтобы убедиться, что учетные записи суперадминистраторов используются только при их авторизации.
Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevSecOps
- Ответственные за управление соответствием требованиям безопасности
- Информационная безопасность (SecOps)
PA-6: использование рабочих станций с привилегированным доступом
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Н/Д |
Принцип безопасности. Защищенные изолированные рабочие станции критически важны для безопасности конфиденциальных ролей, таких как администратор, разработчик и оператор критически важных служб.
Руководство по Azure. Используйте Azure Active Directory, Microsoft Defender и (или) Microsoft Intune для развертывания рабочих станций с привилегированным доступом в локальной среде или в Azure для выполнения привилегированных задач. Необходимо централизованно обеспечить защищенную конфигурацию этих рабочих станций, включая строгую проверку подлинности, базовую конфигурацию оборудования и программного обеспечения, а также ограничение логического и сетевого доступа.
Вы также можете использовать Бастион Azure, службу PaaS с полным платформенным управлением, которую можно подготовить внутри виртуальной сети. Бастион Azure позволяет подключаться по протоколу RDP или SSH к виртуальным машинам непосредственно из портал Azure с помощью веб-браузера.
Реализация Azure и дополнительный контекст:
- Рабочие станции с привилегированным доступом
- Развертывание рабочих станций с привилегированным доступом
Руководство AWS. Используйте Диспетчер сеансов в AWS Systems Manager, чтобы создать путь доступа (сеанс подключения) к экземпляру EC2 или сеанс браузера к ресурсам AWS для привилегированных задач. Диспетчер сеансов позволяет подключаться по протоколам RDP, SSH и HTTPS к целевым узлам через перенаправление портов.
Вы также можете развернуть рабочие станции с привилегированным доступом (PAW), управляемые централизованно с помощью Azure Active Directory, Microsoft Defender и (или) Microsoft Intune. Централизованное управление должно применять защищенную конфигурацию, включая строговую проверку подлинности, программные и аппаратные базовые показатели, а также ограниченный логический и сетевой доступ.
Реализация AWS и дополнительный контекст:
Руководство GCP. Используйте Identity-Aware Прокси-сервер (IAP) Desktop, чтобы создать путь доступа (сеанс подключения) к вычислительному экземпляру для привилегированных задач. IAP Desktop обеспечивает подключение по протоколу RDP и SSH к конечным узлам через перенаправление портов. Кроме того, к вычислительным экземплярам Linux с внешним видом можно подключиться через SSH-подключение в браузере через консоль Google Cloud.
Вы также можете развернуть рабочие станции с привилегированным доступом (PAW), управляемые централизованно с помощью Google Workspace Endpoint Management или решений Майкрософт (Azure Active Directory, Microsoft Defender и (или) Microsoft Intune). Централизованное управление должно применять защищенную конфигурацию, включая строговую проверку подлинности, программные и аппаратные базовые показатели, а также ограниченный логический и сетевой доступ.
Вы также можете создать узлы-бастионы для безопасного доступа к доверенным средам с определенными параметрами.
Реализация GCP и дополнительный контекст:
- Безопасное подключение к экземплярам виртуальных машин
- Подключение к виртуальным машинам Linux с помощью прокси-сервера Identity-Aware
- Подключение к виртуальным машинам с помощью узла-бастиона
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevSecOps
- Информационная безопасность (SecOps)
- Управление удостоверениями и ключами
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Принцип безопасности. Следуйте принципу достаточного администрирования (минимальных привилегий) для управления разрешениями на детальном уровне. Применяйте такие возможности, как управление доступом на основе ролей (RBAC), чтобы использовать назначение ролей для контроля доступа к ресурсам.
Руководство по Azure. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью назначений ролей. С помощью RBAC можно назначать роли пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.
Привилегии, назначаемые для ресурсов в Azure RBAC, всегда должны ограничиваться только строго необходимым для той или иной роли. Ограничение привилегий дополняет подход JIT, используемый в Azure AD Privileged Identity Management (PIM), и эти привилегии следует периодически проверять. При необходимости можно также использовать PIM для определения назначения с привязкой к времени, которое является условием в назначении роли, при котором пользователь может активировать роль только в течение указанной даты начала и окончания.
Примечание: назначайте разрешения с помощью встроенных ролей Azure и создавайте настраиваемые роли, только когда это необходимо.
Реализация Azure и дополнительный контекст:
- Что представляет собой управление доступом на основе ролей (Azure RBAC)
- Настройка RBAC в Azure
- Использование проверок доступа для идентификации Azure AD
- Azure AD Privileged Identity Management — назначение доступа с временным ограничением
Руководство ПО AWS. Используйте политику AWS для управления доступом к ресурсам AWS. Существует шесть типов политик: политики на основе удостоверений, политики на основе ресурсов, границы разрешений, политика управления службами (SCP) организаций AWS, список контроль доступа и политики сеансов. Вы можете использовать управляемые политики AWS для распространенных вариантов использования разрешений. Однако следует помнить, что управляемые политики могут иметь чрезмерные разрешения, которые не следует назначать пользователям.
Вы также можете использовать AWS ABAC (управление доступом на основе атрибутов) для назначения разрешений на основе атрибутов (тегов), присоединенных к ресурсам IAM, включая сущности IAM (пользователи или роли) и ресурсы AWS.
Реализация AWS и дополнительный контекст:
Руководство GCP. Используйте Политику IAM Google Cloud для управления доступом к ресурсам GCP с помощью назначений ролей. Вы можете использовать предопределенные роли Google Cloud для распространенных вариантов использования разрешений. Однако следует помнить, что предопределенные роли могут иметь чрезмерные разрешения, которые не следует назначать пользователям.
Кроме того, используйте аналитику политик с рекомендателем IAM для выявления и удаления избыточных разрешений для учетных записей.
Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevSecOps
- Ответственные за управление соответствием требованиям безопасности
- Управление состоянием
- Управление удостоверениями и ключами
PA-8. Определите процедуру доступа для службы поддержки поставщика облачных служб
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Н/Д |
Принцип безопасности. Установите процесс утверждения и путь доступа для запроса и утверждения запросов на поддержку поставщиков и временного доступа к данным через безопасный канал.
Руководство Azure. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки и утверждения или отклонения каждого запроса на доступ к данным, сделанного корпорацией Майкрософт.
Реализация Azure и дополнительный контекст:
Руководство AWS. В сценариях поддержки, в которых командам поддержки AWS требуется доступ к вашим данным, создайте учетную запись на портале поддержки AWS, чтобы запросить поддержку. Просмотрите доступные варианты, такие как предоставление доступа к данным только для чтения или демонстрация экрана для поддержки AWS для доступа к данным.
Реализация AWS и дополнительный контекст:
Руководство GCP. В сценариях поддержки, в которых Google Cloud Customer Care требуется доступ к вашим данным, используйте утверждение доступа для проверки и утверждения или отклонения всех запросов на доступ к данным, сделанных Cloud Customer Care.
Реализация GCP и дополнительный контекст:
Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):