Создание базового плана Системы управления идентификацией и доступом

  • 5 мин

Система управления идентификацией и доступом (IAM) является ключом к предоставлению доступа и повышению безопасности корпоративных ресурсов. Для защиты облачных ресурсов и управления ими необходимо управлять идентификацией и доступом для администраторов Azure, разработчиков и пользователей приложений.

Рекомендации по обеспечению безопасности IAM

В следующих разделах представлены рекомендации IAM, содержащиеся в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Важно!

Чтобы выполнить некоторые из этих действий, необходимо быть администратором экземпляра Microsoft Entra.

Ограничение доступа к порталу администрирования Microsoft Entra — уровень 1

Пользователи, не являющиеся администраторами, не должны иметь доступа к порталу администрирования Microsoft Entra, так как данные конфиденциальны и в соответствии с правилами наименьших привилегий.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Параметры пользователя.

  4. В параметрах пользователей на портале Администратор istration убедитесь, что для параметра "Ограничить доступ к порталу администрирования Microsoft Entra" задано значение "Да". Если задано значение "Да" , все неадминистраторы не могут получать доступ к данным на портале администрирования Microsoft Entra. Этот параметр не ограничивает доступ к использованию PowerShell или другого клиента, например Visual Studio.

  5. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Включение многофакторной проверки подлинности для пользователей Microsoft Entra

  • Включение многофакторной проверки подлинности для привилегированных пользователей Microsoft Entra ID — уровень 1
  • Включение многофакторной проверки подлинности для пользователей, не привилегированных пользователей Microsoft Entra — уровень 2

Включите многофакторную проверку подлинности для всех пользователей Microsoft Entra.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В строке меню Все пользователи выберите MFA для каждого пользователя.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. В окне многофакторной проверки подлинности убедитесь, что для всех пользователей задано состояние многофакторной проверки подлинности. Чтобы включить многофакторную проверку подлинности, выберите пользователя. В этом разделе описано, как включить>многофакторную проверку подлинности.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

Не сохраняйте многофакторную проверку подлинности на доверенных устройствах — уровень 2

Функция сохранения данных многофакторной проверки подлинности для устройств и браузеров, которым доверяют пользователи, является бесплатной для всех пользователей многофакторной проверки подлинности. Пользователи могут обходить последовательные проверки в течение определенного количества дней после успешного входа на устройство с использованием многофакторной проверки подлинности.

Если учетная запись или устройство окажутся скомпрометированы, то запоминание состояния многофакторной проверки подлинности для доверенных устройств может негативно повлиять на безопасность. Рекомендуется отключить сохранение многофакторной проверки подлинности для доверенных устройств.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В строке меню Все пользователи выберите MFA для каждого пользователя.

  4. В окне многофакторной проверки подлинности выберите пользователя. В разделе Быстрые действия выберите Управление параметрами пользователя.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Выберите многофакторную проверку подлинности на всех запоминаемых устройствах проверка box, а затем нажмите кнопку "Сохранить".

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Нет гостевых пользователей или ограниченный доступ — уровень 1

Убедитесь, что гостевые пользователи не существуют, или, если они требуются для выполнения бизнес-задач, убедитесь, что гостевые разрешения ограничены.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. Нажмите кнопку Добавить фильтры.

  4. В поле Фильтры выберите Тип пользователя. В поле Значение выберите Гость. Выберите Применить, чтобы убедиться, что гостевые пользователи не существуют.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Если вы изменили параметры, в строке меню выберите Сохранить.

Параметры пароля

  • Уведомление пользователей о сбросе пароля — уровень 1
  • Уведомление всех администраторов, если другие администраторы сбрасывают свои пароли — уровень 2
  • Два метода сброса паролей — уровень 1

При установленной многофакторной проверке подлинности злоумышленнику придется скомпрометировать обе формы проверки подлинности, прежде чем он сможет злонамеренно сбросить пароль пользователя. Убедитесь, что для сброса пароля требуются две формы проверки подлинности удостоверения.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Сбросить пароль.

  4. В меню слева в разделе Управлениевыберите Способы проверки подлинности.

  5. Задайте для параметра Количество способов, необходимых для сброса значение 2.

  6. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Установка интервала для повторного подтверждения методов проверки подлинности пользователя — уровень 1

Если повторное подтверждение проверки подлинности отключено, зарегистрированным пользователям не будет предлагаться повторно подтверждать свою информацию для проверки подлинности. Более безопасный вариант — включить повторное подтверждение проверки подлинности с заданным интервалом.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. На панели меню слева выберите Сброс пароля.

  4. В меню слева в разделе Управление выберите Регистрация.

  5. Убедитесь, что для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинностине задано 0. По умолчанию — 180 дней.

  6. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Параметр приглашения гостевых пользователей — уровень 2

Только администраторы должны иметь возможность приглашать гостевых пользователей. Ограничение приглашений администраторами гарантирует, что только авторизованные учетные записи будут иметь доступ к ресурсам Azure.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Параметры пользователя.

  4. В области Параметры пользователей в разделе Внешние пользователи выберите Управление параметрами внешнего взаимодействия.

  5. В области Параметры внешнего взаимодействия в разделе Параметры приглашения гостевых пользователей выберите Приглашать гостевых пользователей могут лишь пользователи, которым назначены конкретные роли администраторов.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Если вы изменили параметры, в строке меню выберите Сохранить.

Пользователи могут создавать и администрировать группы безопасности — уровень 2

Если эта функция включена, все пользователи в идентификаторе Microsoft Entra могут создавать новые группы безопасности. Создание группы безопасности должно быть разрешено только администраторам.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Группы.

  3. В области Все группы в меню слева в разделе Параметры выберите Общие.

  4. В разделе Группы безопасности убедитесь, что для параметра Пользователи могут создавать группы безопасности с помощью порталов Azure, API или PowerShell установлено значение Нет.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Если вы изменили параметры, в строке меню выберите Сохранить.

Самостоятельное управление группами включено — уровень 2

Если ваш бизнес не требует делегирования самостоятельного управления группами разным пользователям, рекомендуется отключить эту функцию.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Группы.

  3. В области Все группы в меню слева в разделе Параметры выберите Общие.

  4. В разделе Самостоятельное управление группами убедитесь, что для всех параметров установлено значение Нет.

  5. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot that shows Microsoft Entra self-service group options set to No.

Параметры приложения — разрешить пользователям регистрировать приложения — уровень 2

Потребуйте от администраторов регистрировать пользовательские приложения.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Параметры пользователя.

  4. В области Параметры пользователя убедитесь, что для параметра Регистрация приложений задано значение Нет.

  5. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot that shows Microsoft Entra users with app registrations set to No.