Roller, ansvarsområden och behörigheter
Utse de parter som ansvarar för specifika funktioner i Azure.
Att tydligt dokumentera och dela de kontakter som ansvarar för var och en av dessa funktioner skapar konsekvens och underlättar kommunikationen. Baserat på våra erfarenheter av många molnanpassningsprojekt kommer detta att undvika förvirring som kan leda till mänskliga fel och automatiseringsfel som skapar säkerhetsrisker.
Ange grupper (eller enskilda roller) som ska ansvara för viktiga funktioner.
| Grupproll eller enskild roll | Ansvar |
|---|---|
| Nätverkssäkerhet | Normalt befintligt nätverkssäkerhetsteam. Konfiguration och underhåll av Azure Firewall, virtuella nätverksapparater (och associerad routning), Web Application Firewall (WAF), nätverkssäkerhetsgrupper, programsäkerhetsgrupper (ASG) och annan trafik mellan nätverk. |
| Nätverkshantering | Normalt befintligt nätverksdriftsteam. Företagsomfattande allokering av virtuella nätverk och undernät. |
| Säkerhet för serverslutpunkter | Vanligtvis IT-drift, säkerhet eller gemensamt. Övervaka och åtgärda serversäkerhet (korrigering, konfiguration, slutpunktssäkerhet). |
| Incidentövervakning och -svar | Vanligtvis säkerhetsdriftsteam. Incidentövervakning och svar för att undersöka och åtgärda säkerhetsincidenter i säkerhetsinformations- och händelsehantering (SIEM) eller källkonsolen, till exempel Microsoft Defender for Cloud Azure AD Identity Protection. |
| Principhantering | Vanligtvis GRC-team + arkitektur. Tillämpa styrning baserat på riskanalys och efterlevnadskrav. Ange riktning för användning av rollbaserad åtkomstkontroll i Azure (Azure RBAC), Microsoft Defender for Cloud, administratörsskyddsstrategi och Azure Policy för att styra Azure-resurser. |
| Säkerhet och standarder för identiteter | Vanligtvis säkerhetsteamet + identitetsteamet gemensamt. Ange riktning för Azure AD-kataloger, PIM/PAM-användning, MFA, konfiguration av lösenord/synkronisering, programidentitetsstandarder. |
Anteckning
Programroller och ansvarsområden bör omfatta olika åtkomstnivå för varje driftfunktion. Du kan till exempel publicera produktionsutgågår, komma åt kunddata, manipulera databasposter och så vidare. Programteam bör innehålla centrala funktioner som visas i tabellen ovan.
Tilldela behörigheter
Bevilja roller lämpliga behörigheter som börjar med minsta behörighet och lägg till fler baserat på dina operativa behov. Ge tydliga riktlinjer till de tekniska team som implementerar behörigheter. Den här klarheten gör det enklare att identifiera och korrigera som minskar mänskliga fel, till exempel överbehörighet.
Tilldela behörigheter till hanteringsgruppen för segmentet i stället för de enskilda prenumerationerna. Detta kommer att öka konsekvensen och säkerställa program för framtida prenumerationer. Undvik i allmänhet detaljerade och anpassade behörigheter.
Överväg de inbyggda rollerna i Azure innan du skapar anpassade roller för att bevilja lämpliga behörigheter till virtuella datorer och andra objekt.
Gruppmedlemskap i säkerhetsansvariga kan vara lämpligt för mindre team/organisationer där säkerhetsteamen har omfattande driftsansvar.
När du tilldelar behörigheter för ett segment bör du tänka på konsekvens samtidigt som du ger flexibilitet att hantera flera organisationsmodeller. Dessa modeller kan vara allt från en enda centraliserad IT-grupp till mestadels oberoende IT- och DevOps-team.
Referensmodellexempel
I det här avsnittet används den här referensmodellen för att demonstrera överväganden för tilldelning av behörigheter för olika segment. Microsoft rekommenderar att du börjar med de här modellerna och anpassar dig efter din organisation.
Referensbehörigheter för kärntjänster
Det här segmentet är värd för delade tjänster som används i hela organisationen. Dessa delade tjänster omfattar vanligtvis Active Directory Domain Services, DNS/DHCP, systemhanteringsverktyg som finns på virtuella IaaS-datorer (Infrastruktur som en tjänst) i Azure.
Säkerhetssynlighet för alla resurser: För säkerhetsteam beviljar du skrivskyddade åtkomst till säkerhetsattribut för alla tekniska miljöer. Den här åtkomstnivån krävs för att utvärdera riskfaktorer, identifiera potentiella åtgärder och ge råd till organisationens intressenter som accepterar risken. Mer information finns i Synlighet för säkerhetsteamet.
Principhantering för vissa eller alla resurser: För att övervaka och framtvinga efterlevnad av externa (eller interna) föreskrifter, standarder och säkerhetspolicyer tilldelar du lämplig behörighet till dessa roller. Vilka roller och behörigheter du väljer beror på organisationens kultur och förväntningar på principprogrammet. Se Microsoft Cloud Adoption Framework för Azure.
Innan du definierar principerna bör du tänka på följande:
- Hur granskas och rapporteras organisationens säkerhet? Finns det obligatorisk rapportering?
- Fungerar de befintliga säkerhetsrutinerna?
- Finns det några krav som är specifika för bransch-, myndighets- eller regelkrav?
Ange grupper (eller enskilda roller) för centrala funktioner som påverkar delade tjänster och program.
När principerna har angetts kan du kontinuerligt förbättra dessa standarder inkrementellt. Se till att säkerhetsstatusen inte försämras med tiden genom granskning och övervakning av efterlevnad. Information om hur du hanterar säkerhetsstandarder för en organisation finns i styrning, risk och efterlevnad (GRC).
Central IT-drift för alla resurser: Bevilja behörigheter till den centrala IT-avdelningen (ofta infrastrukturteamet) för att skapa, ändra och ta bort resurser som virtuella datorer och lagring. RollernaDeltagare eller Ägare är lämpliga för den här funktionen.
Central nätverksgrupp över nätverksresurser: För att säkerställa konsekvens och undvika tekniska konflikter tilldelar du nätverksresursansvar till en enda central nätverksorganisation. Dessa resurser bör omfatta virtuella nätverk, undernät, nätverkssäkerhetsgrupper (NSG) och virtuella datorer som är värdar för virtuella nätverksutrustning. Tilldela nätverksresursansvar till en enda central nätverksorganisation. Rollen Nätverksdeltagare är lämplig för den här gruppen. Mer information finns i Centralisera nätverkshantering och säkerhet
Behörigheter för resursroll: För de flesta kärntjänster beviljas administratörsbehörigheter som krävs för att hantera dem via programmet (Active Directory, DNS/DHCP, System Management Tools), så inga ytterligare Azure-resursbehörigheter krävs. Om din organisationsmodell kräver att dessa team hanterar sina egna virtuella datorer, lagring eller andra Azure-resurser kan du tilldela dessa behörigheter till dessa roller.
Arbetsbelastningssegment med autonoma DevOps-team hanterar de resurser som är associerade med varje program. De faktiska rollerna och deras behörigheter beror på programmets storlek och komplexitet, programmets storlek och komplexitet samt organisationens och programmets kultur.
Tjänstadministratör (Break Glass-konto): Använd endast tjänstadministratörsrollen för sporpor och inledande konfiguration. Använd inte den här rollen för dagliga uppgifter. Mer information finns i Åtkomst vid akutfall (Break Glass-konton).
Segmentreferensbehörigheter
Den här segmentbehörighetsdesignen ger konsekvens samtidigt som den ger flexibilitet att hantera alla organisationsmodeller från en enda central IT-grupp till huvudsakligen oberoende IT- och DevOps-team.
Säkerhetssynlighet för alla resurser: För säkerhetsteam beviljar du skrivskyddade åtkomst till säkerhetsattribut för alla tekniska miljöer. Den här åtkomstnivån krävs för att utvärdera riskfaktorer, identifiera potentiella åtgärder och ge råd till organisationens intressenter som accepterar risken. Se Säkerhetsteamets synlighet.
Principhantering för vissa eller alla resurser: För att övervaka och framtvinga efterlevnad av externa (eller interna) föreskrifter, standarder och säkerhetsprincipen tilldelar du lämpliga behörigheter till dessa roller. Vilka roller och behörigheter du väljer beror på organisationens kultur och förväntningar på principprogrammet. Se Microsoft Cloud Adoption Framework för Azure.
IT-drift för alla resurser: Bevilja behörighet att skapa, ändra och ta bort resurser. Syftet med segmentet (och resulterande behörigheter) beror på din organisationsstruktur.
Segment med resurser som hanteras av en central IT-organisation kan ge den centrala IT-avdelningen (ofta infrastrukturteamet) behörighet att ändra dessa resurser.
Segment som hanteras av oberoende affärsenheter eller funktioner (till exempel ett IT-team för personalavdelningen) kan ge dessa team behörighet till alla resurser i segmentet.
Segment med autonoma DevOps-team behöver inte bevilja behörigheter för alla resurser eftersom resursrollen (nedan) ger behörighet till programteamen. Använd tjänstadministratörskontot (nödkonto) för att få hjälp.
Central nätverksgrupp över nätverksresurser: För att säkerställa konsekvens och undvika tekniska konflikter tilldelar du nätverksresursansvar till en enda central nätverksorganisation. Dessa resurser bör omfatta virtuella nätverk, undernät, nätverkssäkerhetsgrupper (NSG) och virtuella datorer som är värdar för virtuella nätverksutrustning. Se Centralisera nätverkshantering och säkerhet.
Behörigheter för resursroll: Segment med autonoma DevOps-team hanterar de resurser som är associerade med varje program. De faktiska rollerna och deras behörigheter beror på programmets storlek och komplexitet, programmets storlek och komplexitet samt organisationens och programmets kultur.
Tjänstadministratör (Break Glass-konto): Använd endast tjänstadministratörsrollen för fjärrer (och inledande konfiguration om det behövs). Använd inte den här rollen för dagliga uppgifter. Mer information finns i Emergency Access (Break Glass-konton).
Synlighet för säkerhetsteam
Ett programteam måste vara medvetna om säkerhetsinitiativ för att anpassa sina planer för säkerhetsförbättringar till resultatet av dessa aktiviteter. Ge säkerhetsteam skrivskyddad åtkomst till säkerhetsaspekterna för alla tekniska resurser i deras behörighet.
Säkerhetsorganisationer behöver insyn i den tekniska miljön för att kunna utvärdera och rapportera om organisationens risker. Utan den här synligheten måste säkerheten förlita sig på information som tillhandahålls från grupper, drift av miljön, som har en potentiell intressekonflikt (och andra prioriteringar).
Observera att säkerhetsteam kan beviljas ytterligare behörigheter separat om de har driftansvar eller krav på att framtvinga efterlevnad för Azure-resurser.
I Azure kan du till exempel tilldela säkerhetsteam behörigheten Säkerhetsläsare som ger åtkomst för att mäta säkerhetsrisker (utan att ge åtkomst till själva data).
För företagssäkerhetsgrupper med stort ansvar för säkerheten i Azure kan du tilldela den här behörigheten med hjälp av:
Rothanteringsgrupp – för team som ansvarar för att utvärdera och rapportera risker för alla resurser
Segmenthanteringsgrupper – för team med begränsat ansvar (krävs vanligtvis på grund av organisationens gränser eller regelkrav)
Viktigt
Eftersom säkerheten kommer att ha bred åtkomst till miljön (och insyn i potentiellt sårbarheter som kan utnyttjas), bör säkerhetsteamen behandlas som konton med kritisk påverkan och tillämpa samma skydd som administratörer. Avsnittet Administration beskriver dessa kontroller för Azure.
Föreslagna åtgärder
- Definiera en process för att anpassa kommunikations-, undersöknings- och jaktaktiviteter till programteamet.
- Enligt principen om minsta behörighet upprättar du åtkomstkontroll till alla molnmiljöresurser för säkerhetsteam med tillräcklig åtkomst för att få nödvändig insyn i den tekniska miljön och utföra sina uppgifter för att utvärdera och rapportera om organisationens risker.
Läs mer
Engagera organisationens säkerhetsteam
Hantera anslutna klienter
Har ditt säkerhetsteam insyn i alla befintliga prenumerationer och molnmiljöer? Hur identifierar de nya?
Se till att säkerhetsorganisationen är medveten om alla registreringar och associerade prenumerationer som är anslutna till din befintliga miljö (via ExpressRoute eller Site-Site VPN) och övervakning som en del av det övergripande företaget.
Dessa Azure-resurser är en del av din företagsmiljö och säkerhetsorganisationer behöver insyn i dem. Säkerhetsorganisationer behöver den här åtkomsten för att utvärdera risker och för att identifiera om organisationens principer och tillämpliga regelkrav följs.
Organisationernas molninfrastruktur bör vara väldokumenterad, med säkerhetsteamets åtkomst till alla resurser som krävs för övervakning och insikter. Frekventa genomsökningar av de molnanslutna tillgångarna bör utföras för att säkerställa att inga ytterligare prenumerationer eller klienter har lagts till utanför organisationens kontroller. Gå regelbundet igenom Microsofts vägledning för att säkerställa att bästa praxis för åtkomst till säkerhetsteamet följs.
Föreslagna åtgärder
Se till att alla Azure-miljöer som ansluter till produktionsmiljön och nätverket tillämpar organisationens policy och IT-styrningskontroller för säkerhet.
Du kan identifiera befintliga anslutna klienter med hjälp av ett verktyg som tillhandahålls av Microsoft. Vägledning om behörigheter
Nästa steg
Begränsa åtkomsten till Azure-resurser baserat på behovsbaserad, med början från principen om säkerhet med minsta behörighet och lägg till mer baserat på dina operativa behov.
Relaterade länkar
Överväganden om hur du använder hanteringsgrupper för att återspegla organisationens struktur i en Azure Active Directory-klientorganisation (Azure AD) finns i CAF: Hanteringsgrupp och prenumerationsorganisation.
Tillbaka till huvudartikeln: Överväganden för identitets- och åtkomsthantering i Azure
I en organisation arbetar flera team tillsammans för att se till att arbetsbelastningen och stödinfrastrukturen är säkra. För att undvika förvirring som kan skapa säkerhetsrisker bör du definiera tydliga ansvarsrader och ansvarsfördelning.
Baserat på Microsofts erfarenhet av många projekt för molnanpassning undviker skapandet av tydligt definierade roller och ansvarsområden för specifika funktioner i Azure förvirring som kan leda till mänskliga fel och automatiseringsfel som skapar säkerhetsrisker.
Tydliga ansvarsrader
Har teamen en tydlig vy över ansvarsområden och åtkomstnivåer för enskilda/grupper?