Управление безопасностью: управление доступом и удостоверениями

Примечание

Актуальная оценка системы безопасности Azure доступна здесь.

Рекомендации по управлению доступом и удостоверениями в первую очередь ориентированы на проблемы по следующим аспектам: управление доступом на основе удостоверений, блокировка административного доступа, предупреждения о связанных с удостоверениями событиях, аномальное поведение учетной записи и управление доступом на основе ролей.

3.1. Инвентаризация учетных записей администраторов

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.1	4.1	Customer

В AAD есть встроенные роли, которые должны назначаться явным образом и доступны для запросов. С пмощью модуля PowerShell для AAD вы можете выполнять произвольные запросы для обнаружения учетных записей, принадлежащих группам администраторов.

• Получение роли каталога в Azure AD с помощью PowerShell

• Как получить сведения об участниках роли каталога в Azure AD с помощью PowerShell

3.2. Изменение паролей по умолчанию, где применимо

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.2	4.2	Customer

В Azure AD нет концепции паролей по умолчанию. Другие ресурсы Azure, использующие пароли, устанавливают собственные требования к минимальной длине и сложности создаваемого пароля, которые будут разными для каждой службы. Вы самостоятельно несете ответственность за сторонние приложения и службы Marketplace, которые могут использовать пароли по умолчанию.

3.3. Применение выделенных административных учетных записей

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.3	4.3	Customer

Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Используйте рекомендации, приведенные в разделе «Управление доступом и разрешения» Центра безопасности Azure, относящиеся к отслеживанию числа административных учетных записей.

Кроме того, с помощью привилегированных ролей Azure AD Privileged Identity Management можно применить технологии JIT/JEA для служб Майкрософт и Azure Resource Manager.

• Дополнительные сведения о службе Privileged Identity Management

3.4. Использование единого входа с Azure Active Directory

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.4	4.4.	Customer

Во всех случаях, когда это возможно, используйте единый вход Azure Active Directory вместо отдельных учетных данных для каждой службы. Используйте рекомендации, приведенные в разделе «Управление доступом и разрешения» Центра безопасности Azure.

• Основные сведения о едином входе с использованием Azure AD

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.5	4.5, 11.5, 12.11, 16.3	Customer

Включите многофакторную проверку подлинности Azure AD и следуйте рекомендациям по управлению идентификацией и доступом в Центре безопасности Azure.

• Включение MFA в Azure

• Мониторинг идентификации и доступа в Центре безопасности Azure

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач

Идентификатор Azure	Идентификаторы CIS	Обязательство
3,6	4.6, 11.6, 12.12	Customer

Используйте рабочие станции привилегированного доступа (PAW) с настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.

• Использование рабочих станций с привилегированным доступом

• Включение MFA в Azure

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Идентификатор Azure	Идентификаторы CIS	Обязательство
3,7	4.8, 4.9	Customer

С помощью отчетов о безопасности Azure Active Directory вы можете создавать журналы и оповещения при возникновении подозрительных или небезопасных действий в окружении. Используйте Центр безопасности Azure для мониторинга действий идентификации и доступа.

• Как определить пользователей Azure AD, помеченных для события риска

• Мониторинг пользовательских действий идентификации и доступа в Центре безопасности Azure

3.8. Управление ресурсами Azure только из утвержденных расположений

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.8	11,7	Customer

Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.

• Как настроить именованные расположения

3.9. Использование Azure Active Directory

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.9	16.1, 16.2, 16.4, 16.5, 16.6	Customer

Используйте Azure Active Directory как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

• Создание и настройка экземпляра Azure AD

3.10. Регулярная проверка и согласование доступа пользователей

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.10	16.9, 16.10	Customer

Azure AD предоставляет журналы для облегчения поиска устаревших учетных записей. Кроме того, используйте проверки доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

• Основные сведения об отчетах Azure AD

• Использование проверок доступа для идентификации Azure

3.11. Отслеживание попыток доступа к отключенным учетным записям

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.11	16.12	Customer

У вас есть доступ к отчетам о действиях входа в Azure AD, журналу событий риска и аудита. Эти источники позволяют интегрироваться с любым средством мониторинга или SIEM.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Azure Active Directory и отправив журналы аудита и журналы входа в рабочую область Log Analytics. Вы можете настроить необходимые оповещения в рабочей области Log Analytics.

• Как интегрировать журналы действий Azure в Azure Monitor

3.12. Предупреждение при подозрительном входе в учетную запись

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.12	16.13	Customer

Используйте функции защиты идентификации и обнаружения рисков Azure AD, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий, связанных с удостоверениями пользователей. Вы также можете включить данные в Azure Sentinel для дальнейшего изучения.

• Просмотр рискованных входов в Azure AD

• Как настроить и включить политики рисков с помощью защиты идентификации

• Подключение к Azure Sentinel

3.13. Предоставление корпорации Майкрософт доступа к соответствующим данным клиентов в рамках сценариев поддержки

Идентификатор Azure	Идентификаторы CIS	Обязательство
3.13	16	Customer

В ситуациях, когда корпорации Майкрософт требуется доступ к данным клиентов для предоставления поддержки, защищенное хранилище для клиентов позволяет проверить и утвердить (или отклонить) запросы на доступ к данным клиентов.

• Основные сведения о защищенном хранилище

Дальнейшие действия

• Переходите к следующей статье из серии об управлении безопасностью в Azure: Защита данных.