Säkerhetskontroll: Privilegierad åtkomst
Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till din klientorganisation och resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktliga och oavsiktliga risker.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Säkerhetsprincip: Se till att du identifierar alla konton med hög påverkan på verksamheten. Begränsa antalet privilegierade/administrativa konton i molnets kontrollplan, hanteringsplan och data/arbetsbelastningsplan.
Azure-vägledning: Du måste skydda alla roller med direkt eller indirekt administrativ åtkomst till Azure-värdbaserade resurser.
Azure Active Directory (Azure AD) är Azures standardtjänst för identitets- och åtkomsthantering. De mest kritiska inbyggda rollerna i Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som tilldelats dessa två roller kan delegera administratörsroller. Med dessa behörigheter kan användarna direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö:
- Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD samt tjänster som använder Azure AD identiteter.
- Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD, samt inom Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.
Utanför Azure AD har Azure inbyggda roller som kan vara viktiga för privilegierad åtkomst på resursnivå.
- Ägare: Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC.
- Deltagare: Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure RBAC, hanterar tilldelningar i Azure Blueprints eller delar bildgallerier.
- Administratör för användaråtkomst: Låter dig hantera användaråtkomst till Azure-resurser.
Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller på Azure AD-nivå eller resursnivå med vissa privilegierade behörigheter tilldelade.
Dessutom bör användare med följande tre roller i Azure Enterprise-avtal-portalen (EA) också begränsas eftersom de kan användas för att direkt eller indirekt hantera Azure-prenumerationer.
- Kontoägare: Användare med den här rollen kan hantera prenumerationer, inklusive skapande och borttagning av prenumerationer.
- Företagsadministratör: Användare som har tilldelats den här rollen kan hantera (EA)-portalanvändare.
- Avdelningsadministratör: Användare som har tilldelats den här rollen kan ändra kontoägare inom avdelningen.
Se slutligen till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Active Directory-domän Controllers (DCs), säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
Azure-implementering och ytterligare kontext:
- Behörigheter för administratörsrollen i Azure AD
- Använda säkerhetsaviseringar från Privileged Identity Management i Azure
- Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD
AWS-vägledning: Du måste skydda alla roller med direkt eller indirekt administrativ åtkomst till AWS-värdbaserade resurser.
Privilegierade/administrativa användare måste skyddas:
- Rotanvändare: Rotanvändaren är de högsta privilegierade kontona i ditt AWS-konto. Rotkonton bör vara mycket begränsade och endast användas i nödsituationer. Se nödåtkomstkontroller i PA-5 (Konfigurera åtkomst till nödsituationer).
- IAM-identiteter (användare, grupper, roller) med principen för privilegierad behörighet: IAM-identiteter som tilldelats en behörighetsprincip som AdministratorAccess kan ha fullständig åtkomst till AWS-tjänster och resurser.
Om du använder Azure Active Directory (Azure AD) som identitetsprovider för AWS läser du Azure-vägledningen för att hantera privilegierade roller i Azure AD.
Se till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel AWS Cognito, säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Du måste skydda alla roller med direkt eller indirekt administrativ åtkomst till GCP-värdbaserade resurser.
Den mest kritiska inbyggda rollen i Google Cloud är superadministratören. Superadministratören kan utföra alla uppgifter i Admin-konsolen och har oåterkalleliga administrativa behörigheter. Det rekommenderas att du inte använder superadministratörskontot för daglig administration.
Grundläggande roller är mycket tillåtande äldre roller och det rekommenderas att grundläggande roller inte används i produktionsmiljöer eftersom de ger bred åtkomst över alla Google Cloud-resurser. Grundläggande roller är rollerna Läsare, Redigerare och Ägare. Vi rekommenderar i stället att du använder fördefinierade eller anpassade roller. De viktiga privilegierade fördefinierade rollerna är:
- Organisationsadministratör: Användare med den här rollen kan hantera IAM-principer och visa organisationsprinciper för organisationer, mappar och projekt.
- Administratör för organisationsprincip: Användare med den här rollen kan definiera vilka begränsningar en organisation vill införa för konfigurationen av molnresurser genom att ange organisationsprinciper.
- Administratör för organisationsroll: Användare med den här rollen kan administrera alla anpassade roller i organisationen och projekt under den.
- Säkerhets Admin: Användare med den här rollen kan hämta och ange valfri IAM-princip.
- Neka Admin: Användare med den här rollen har behörighet att läsa och ändra IAM neka principer.
Dessutom innehåller vissa fördefinierade roller privilegierade IAM-behörigheter på organisations-, mapp- och projektnivå. Dessa IAM-behörigheter omfattar:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Implementera dessutom ansvarsfördelning genom att tilldela roller till konton för olika projekt eller genom att använda binär auktorisering med Google Kubernetes Engine.
Se slutligen till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Cloud DNS, säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
GCP-implementering och ytterligare kontext:
- Metodtips för superadministratörskonto
- Referens för grundläggande och fördefinierade roller i IAM
- Ansvarsfördelning, identitets- och åtkomsthanteringsroller
Kunders säkerhetsintressenter (Läs mer):
- Identitets- och nyckelhantering
- Säkerhetsarkitektur
- Hantering av säkerhetsefterlevnad
- Säkerhetsåtgärder
PA-2: Undvik stående åtkomst för användarkonton och behörigheter
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Ej tillämpligt | AC-2 | Ej tillämpligt |
Säkerhetsprincip: I stället för att skapa stående privilegier använder du jit-mekanismen (just-in-time) för att tilldela privilegierad åtkomst till de olika resursnivåerna.
Azure-vägledning: Aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD med Azure AD Privileged Identity Management (PIM). JIT är en modell där användare får tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket förhindrar att skadliga eller obehöriga användare får åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.
Begränsa inkommande trafik till dina känsliga vm-hanteringsportar (VM) med Microsoft Defender för molnets just-in-time-funktion (JIT) för VM-åtkomst. Detta säkerställer att privilegierad åtkomst till den virtuella datorn endast beviljas när användarna behöver den.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS Security Token Service (AWS STS) för att skapa tillfälliga säkerhetsautentiseringsuppgifter för åtkomst till resurserna via AWS-API:et. Tillfälliga säkerhetsautentiseringsuppgifter fungerar nästan identiskt med de autentiseringsuppgifter för långsiktig åtkomstnyckel som dina IAM-användare kan använda, med följande skillnader:
- Tillfälliga säkerhetsautentiseringsuppgifter har en kortsiktig livslängd, från minuter till timmar.
- Tillfälliga säkerhetsautentiseringsuppgifter lagras inte med användaren utan genereras dynamiskt och tillhandahålls till användaren när det begärs.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd villkorsstyrd IAM-åtkomst för att skapa tillfällig åtkomst till resurser med hjälp av bindningar för villkorsstyrda roller i tillåtna principer, som beviljas molnidentitetsanvändare. Konfigurera datum-/tidsattribut för att framtvinga tidsbaserade kontroller för åtkomst till en viss resurs. Tillfällig åtkomst kan ha en kortsiktig livslängd, från minuter till timmar, eller kan beviljas baserat på dagar eller timmar i veckan.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
- Identitets- och nyckelhantering
- Säkerhetsarkitektur
- Hantering av säkerhetsefterlevnad
- Säkerhetsåtgärder
PA-3: Hantera livscykeln för identiteter och rättigheter
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Säkerhetsprincip: Använd en automatiserad process eller teknisk kontroll för att hantera identitets- och åtkomstlivscykeln, inklusive begäran, granskning, godkännande, etablering och avetablering.
Azure-vägledning: Använd Azure AD funktioner för berättigandehantering för att automatisera arbetsflöden för åtkomstbegäran (för Azure-resursgrupper). Detta gör att arbetsflöden för Azure-resursgrupper kan hantera åtkomsttilldelningar, granskningar, förfallodatum och dubbla eller flerstegsgodkännande.
Använd Behörighetshantering för att identifiera, automatiskt ange rätt storlek och kontinuerligt övervaka oanvända och överdrivna behörigheter som tilldelats användar- och arbetsbelastningsidentiteter i infrastrukturer med flera moln.
Azure-implementering och ytterligare kontext:
- Vad är Azure AD åtkomstgranskningar?
- Vad är Azure AD berättigandehantering
- Översikt över behörighetshantering
AWS-vägledning: Använd AWS Access Advisor för att hämta åtkomstloggarna för användarkonton och rättigheter för resurser. Skapa ett manuellt eller automatiserat arbetsflöde för att integrera med AWS IAM för att hantera åtkomsttilldelningar, granskningar och borttagningar.
Obs! Det finns lösningar från tredje part som är tillgängliga på AWS Marketplace för att hantera livscykeln för identiteter och rättigheter.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Googles cloud audit logs för att hämta granskningsloggar för administratörsaktivitet och dataåtkomst för användarkonton och rättigheter för resurser. Skapa ett manuellt eller automatiserat arbetsflöde för att integrera med GCP IAM för att hantera åtkomsttilldelningar, granskningar och borttagningar.
Använd Google Cloud Identity Premium för att tillhandahålla grundläggande identitets- och enhetshanteringstjänster. Dessa tjänster omfattar funktioner som automatisk användaretablering, lista över tillåtna appar och automatisk hantering av mobila enheter.
Obs! Det finns lösningar från tredje part som är tillgängliga på Google Cloud Marketplace för att hantera livscykeln för identiteter och rättigheter.
GCP-implementering och ytterligare kontext:
- IAM-åtkomstkontroll
- Molnidentitet och Atlassian Access: Hantering av användarlivscykel i hela organisationen
- Bevilja och återkalla åtkomst till API:et
- Återkalla åtkomst till ett Google Cloud-projekt
Intressenter för kundsäkerhet (Läs mer):
PA-4: Granska och stämma av användaråtkomst regelbundet
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Säkerhetsprincip: Utför regelbunden granskning av privilegierade kontorättigheter. Se till att åtkomsten som beviljas till kontona är giltig för administration av kontrollplan, hanteringsplan och arbetsbelastningar.
Azure-vägledning: Granska alla privilegierade konton och åtkomsträttigheter i Azure, inklusive Azure-klientorganisationer, Azure-tjänster, VM/IaaS, CI/CD-processer och hanterings- och säkerhetsverktyg för företag.
Använd Azure AD åtkomstgranskningar för att granska Azure AD roller, Åtkomstroller för Azure-resurser, gruppmedlemskap och åtkomst till företagsprogram. Azure AD rapportering kan också tillhandahålla loggar som hjälper dig att identifiera inaktuella konton eller konton som inte har använts under en viss tidsperiod.
Dessutom kan Azure AD Privileged Identity Management konfigureras för att varna när ett stort antal administratörskonton skapas för en viss roll och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.
Azure-implementering och ytterligare kontext:
- Skapa en åtkomstgranskning av Azure-resursroller i Privileged Identity Management (PIM)
- Så här använder du identitets- och åtkomstgranskningar i Azure AD
AWS-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i AWS, inklusive AWS-konton, tjänster, VM/IaaS, CI/CD-processer och verktyg för företagshantering och säkerhet.
Använd IAM Access Advisor, Access Analyzer och Credential Reports för att granska resursåtkomstroller, gruppmedlemskap och åtkomst till företagsprogram. IAM Access Analyzer- och Credential Reports-rapporter kan också tillhandahålla loggar som hjälper dig att identifiera inaktuella konton eller konton som inte har använts under en viss tid.
Om du använder Azure Active Directory (Azure AD) som identitetsprovider för AWS använder du Azure AD åtkomstgranskning för att regelbundet granska privilegierade konton och åtkomsträttigheter.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i Google Cloud, inklusive molnidentitetskonton, tjänster, VM/IaaS, CI/CD-processer och verktyg för företagshantering och säkerhet.
Använd Cloud Audit Logs och Policy Analyzer för att granska resursåtkomstroller och gruppmedlemskap. Skapa analysfrågor i Policy Analyzer för att förstå vilka huvudkonton som kan komma åt specifika resurser.
Om du använder Azure Active Directory (Azure AD) som identitetsprovider för Google Cloud använder du Azure AD åtkomstgranskning för att regelbundet granska privilegierade konton och åtkomsträttigheter.
Dessutom kan Azure AD Privileged Identity Management konfigureras för att varna när ett stort antal administratörskonton skapas för en viss roll och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
PA-5: Konfigurera åtkomst vid akutfall
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | AC-2 | Ej tillämpligt |
Säkerhetsprincip: Konfigurera nödåtkomst för att säkerställa att du inte oavsiktligt är utelåst från din kritiska molninfrastruktur (till exempel ditt identitets- och åtkomsthanteringssystem) i en nödsituation.
Konton för nödåtkomst bör sällan användas och kan vara mycket skadliga för organisationen om de komprometteras, men deras tillgänglighet för organisationen är också mycket viktig för de få scenarier när de behövs.
Azure-vägledning: Konfigurera ett konto för nödåtkomst (t.ex. ett konto med rollen Global administratör) för åtkomst när normala administrativa konton inte kan användas för att förhindra att du av misstag blir utelåst från din Azure AD organisation. Konton för nödåtkomst har ofta hög behörighet och bör inte tilldelas till specifika individer. Konton för nödåtkomst är begränsade till nödsituations- eller "break glass"-scenarier där normala administrativa konton inte kan användas.
Du bör se till att autentiseringsuppgifterna (som lösenord, certifikat eller smartkort) för nödåtkomstkonton är skyddade och bara kända av personer som har behörighet att använda dem i nödfall. Du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge dem till separata personer) för att förbättra säkerheten för den här processen. Du bör också övervaka inloggnings- och granskningsloggarna för att säkerställa att konton för nödåtkomst endast används när de auktoriseras.
Azure-implementering och ytterligare kontext:
AWS-vägledning: AWS-rotkonton bör inte användas för vanliga administrativa uppgifter. Eftersom "rotkontot" är mycket privilegierat bör det inte tilldelas till specifika individer. Användningen bör begränsas till endast nödsituations- eller "break glass"-scenarier när normala administrativa konton inte kan användas. För dagliga administrativa uppgifter ska separata privilegierade användarkonton användas och tilldelas lämpliga behörigheter via IAM-roller.
Du bör också se till att autentiseringsuppgifterna (till exempel lösenord, MFA-token och åtkomstnycklar) för rotkonton hålls säkra och kända endast för personer som har behörighet att använda dem endast i en nödsituation. MFA bör aktiveras för rotkontot och du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge den till separata personer) för att förbättra säkerheten för den här processen.
Du bör också övervaka inloggnings- och granskningsloggarna i CloudTrail eller EventBridge för att säkerställa att rotåtkomstkonton endast används när de auktoriseras.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Superadministratörskonton för Google Cloud Identity bör inte användas för regelbundna administrativa uppgifter. Eftersom superadministratörskontot har hög behörighet bör det inte tilldelas till specifika personer. Användningen bör begränsas till endast nödsituations- eller "break glass"-scenarier när normala administrativa konton inte kan användas. För dagliga administrativa uppgifter ska separata privilegierade användarkonton användas och tilldelas lämpliga behörigheter via IAM-roller.
Du bör också se till att autentiseringsuppgifterna (till exempel lösenord, MFA-token och åtkomstnycklar) för superadministratörskonton hålls säkra och kända endast för personer som har behörighet att endast använda dem i en nödsituation. MFA bör aktiveras för superadministratörskontot och du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge den till separata personer) för att förbättra säkerheten för den här processen.
Du bör också övervaka inloggnings- och granskningsloggarna i cloud-granskningsloggar, eller fråga principanalyseraren, för att säkerställa att superadministratörskonton endast används när de är auktoriserade.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
PA-6: Använd arbetsstationer med privilegierad åtkomst
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Ej tillämpligt |
Säkerhetsprincip: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör.
Azure-vägledning: Använd Azure Active Directory, Microsoft Defender och/eller Microsoft Intune för att distribuera paw-datorer (Privilegierad åtkomst) lokalt eller i Azure för privilegierade uppgifter. PAW-datorn bör hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.
Du kan också använda Azure Bastion som är en fullständigt plattformshanterad PaaS-tjänst som kan etableras i ditt virtuella nätverk. Azure Bastion tillåter RDP/SSH-anslutning till dina virtuella datorer direkt från Azure Portal med hjälp av en webbläsare.
Azure-implementering och ytterligare kontext:
- Förstå arbetsstationer för privilegierad åtkomst
- Distribution av arbetsstationer med privilegierad åtkomst
AWS-vägledning: Använd Sessionshanteraren i AWS Systems Manager för att skapa en åtkomstsökväg (en anslutningssession) till EC2-instansen eller en webbläsarsession till AWS-resurserna för privilegierade uppgifter. Sessionshanteraren tillåter RDP-, SSH- och HTTPS-anslutning till målvärdarna via portvidarebefordring.
Du kan också välja att distribuera en PAW(Privileged Access Workstation) som hanteras centralt via Azure Active Directory, Microsoft Defender och/eller Microsoft Intune. Den centrala hanteringen bör framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.
AWS-implementering och ytterligare kontext:
Vägledning för GCP: Använd Identity-Aware Proxy (IAP) Desktop för att skapa en åtkomstsökväg (en anslutningssession) till beräkningsinstansen för privilegierade uppgifter. IAP Desktop tillåter RDP- och SSH-anslutning till dina målvärdar via portvidarebefordring. Dessutom kan Linux-beräkningsinstanser som är externa anslutas till via en SSH-in-browser via Google Cloud-konsolen.
Du kan också välja att distribuera en PAW(Privileged Access Workstation) som hanteras centralt via Google Workspace Endpoint Management eller Microsoft-lösningar (Azure Active Directory, Microsoft Defender och/eller Microsoft Intune). Den centrala hanteringen bör framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.
Du kan också skapa skyddsvärdar för säker åtkomst till betrodda miljöer med definierade parametrar.
GCP-implementering och ytterligare kontext:
- Ansluta säkert till VM-instanser
- Ansluta till virtuella Linux-datorer med hjälp av Identity-Aware Proxy
- Ansluta till virtuella datorer med hjälp av en skyddsvärd
Intressenter för kundsäkerhet (Läs mer):
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Säkerhetsprincip: Följ principen för precis tillräcklig administration (minst behörighet) för att hantera behörigheter på detaljerad nivå. Använd funktioner som rollbaserad åtkomstkontroll (RBAC) för att hantera resursåtkomst via rolltilldelningar.
Azure-vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via rolltilldelningar. Via RBAC kan du tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell och Azure Portal.
De behörigheter som du tilldelar till resurser via Azure RBAC bör alltid begränsas till vad som krävs av rollerna. Begränsade privilegier kompletterar JIT-metoden (just-in-time) för Azure AD Privileged Identity Management (PIM), och dessa privilegier bör granskas regelbundet. Om det behövs kan du också använda PIM för att definiera en tidsbunden tilldelning, vilket är ett villkor i en rolltilldelning där en användare bara kan aktivera rollen inom de angivna start- och slutdatumen.
Obs! Använd inbyggda Roller i Azure för att allokera behörigheter och endast skapa anpassade roller när det behövs.
Azure-implementering och ytterligare kontext:
- Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)
- Så här konfigurerar du RBAC i Azure
- Så här använder du identitets- och åtkomstgranskningar i Azure AD
- Azure AD Privileged Identity Management – tidsbunden tilldelning
AWS-vägledning: Använd AWS-princip för att hantera åtkomst till AWS-resurser. Det finns sex typer av principer: identitetsbaserade principer, resursbaserade principer, behörighetsgränser, AWS-organisationers tjänstkontrollprincip (SCP), Access Control lista och sessionsprinciper. Du kan använda AWS-hanterade principer för vanliga behörighetsanvändningsfall. Du bör dock vara medveten om att hanterade principer kan ha för höga behörigheter som inte ska tilldelas till användarna.
Du kan också använda AWS ABAC (attributbaserad åtkomstkontroll) för att tilldela behörigheter baserat på attribut (taggar) som är kopplade till IAM-resurser, inklusive IAM-entiteter (användare eller roller) och AWS-resurser.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud IAM Policy för att hantera GCP-resursåtkomst via rolltilldelningar. Du kan använda Google Clouds fördefinierade roller för vanliga behörighetsanvändningsfall. Du bör dock vara medveten om att fördefinierade roller kan ha för höga behörigheter som inte ska tilldelas till användarna.
Dessutom kan du använda Principinformation med IAM-rekommenderaren för att identifiera och ta bort överdrivna behörigheter från konton.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
- Programsäkerhet och DevSecOps
- Hantering av säkerhetsefterlevnad
- Statushantering
- Identitets- och nyckelhantering
PA-8 Fastställa åtkomstprocess för molnleverantörssupport
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Ej tillämpligt |
Säkerhetsprincip: Upprätta en godkännandeprocess och åtkomstsökväg för att begära och godkänna leverantörssupportförfrågningar och tillfällig åtkomst till dina data via en säker kanal.
Azure-vägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och antingen godkänna eller avvisa varje begäran om dataåtkomst som görs av Microsoft.
Azure-implementering och ytterligare kontext:
AWS-vägledning: I supportscenarier där AWS-supportteam behöver komma åt dina data skapar du ett konto i AWS-supportportalen för att begära support. Granska de tillgängliga alternativen, till exempel att tillhandahålla skrivskyddad dataåtkomst eller skärmdelningsalternativet för AWS-stöd för åtkomst till dina data.
AWS-implementering och ytterligare kontext:
GCP-vägledning: I supportscenarier där Google Cloud Customer Care behöver komma åt dina data använder du Åtkomstgodkännande för att granska och antingen godkänna eller avvisa varje dataåtkomstbegäran som görs av Cloud Customer Care.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):