Säkerhetskontroll V2: Privilegierad åtkomst

Anteckning

Det senaste Azure Security Benchmark finns här.

Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till din Azure-klientorganisation och dina resurser. Detta omfattar en rad kontroller för att skydda din administrativa modell, administrativa konton och arbetsstationer för privilegierad åtkomst mot avsiktliga och oavsiktliga risker.

Information om det inbyggda Azure Policy finns i Information om det inbyggda initiativet För regelefterlevnad i Azure Security Benchmark: Privileged Access

PA-1: Skydda och begränsa privilegierade användare

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-1 4.3, 4.8 AC-2

Begränsa antalet högprivilegierade användarkonton och skydda dessa konton på en förhöjd nivå. De mest kritiska inbyggda rollerna i Azure AD är Global administratör och Privilegierad rolladministratör, eftersom användare som har tilldelats dessa två roller kan delegera administratörsroller. Med dessa behörigheter kan användarna direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö:

  • Global administratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD, samt tjänster som använder Azure AD identiteter.

  • Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD, samt inom Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.

Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller med vissa privilegierade behörigheter tilldelade. Och du kanske också vill tillämpa liknande kontroller på administratörskontot för kritiska affärstillgångar.

Du kan aktivera just-in-time (JIT)-privilegierad åtkomst till Azure-resurser och Azure AD med hjälp av Azure AD Privileged Identity Management (PIM). JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-2: Begränsa administrativ åtkomst till affärskritiska system

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-2 13.2, 2.10 AC-2, SC-3, SC-7

Isolera åtkomsten till affärskritiska system genom att begränsa vilka konton som beviljas privilegierad åtkomst till de prenumerationer och hanteringsgrupper som de finns i. Se till att du även begränsar åtkomsten till de hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Active Directory-domän Controllers (DCs), säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.

Alla typer av åtkomstkontroller bör anpassas till din strategi för företagssegmentering för att säkerställa konsekvent åtkomstkontroll.

Se till att tilldela separata privilegierade konton som skiljer sig från de standardanvändarkonton som används för e-post, surfning och produktivitetsuppgifter.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-3 4.1, 16.9, 16.10 AC-2

Granska användarkonton och åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomstnivå är giltiga. Du kan använda Azure AD åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management för att skapa ett arbetsflöde för åtkomstgranskningsrapporter som underlättar granskningsprocessen. Dessutom kan Azure Privileged Identity Management konfigureras för att varna när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-4: Konfigurera nödåtkomst i Azure AD

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-4 16 AC-2, CP-2

Om du vill förhindra att du oavsiktligt blir utelåst från din Azure AD organisation konfigurerar du ett konto för åtkomst vid akutfall för åtkomst när normala administrativa konton inte kan användas. Konton för nödåtkomst har ofta hög behörighet och bör inte tilldelas till specifika individer. Konton för nödåtkomst är begränsade till nödsituationer där du inte kan använda normala administratörskonton. Du bör se till att autentiseringsuppgifterna (som lösenord, certifikat eller smartkort) för nödåtkomstkonton är skyddade och bara kända av personer som har behörighet att använda dem i nödfall.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-5: Automatisera berättigandehantering

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-5 16 AC-2, AC-5, PM-10

Använd Azure AD funktioner för berättigandehantering för att automatisera arbetsflöden för åtkomstbegäranden, inklusive åtkomsttilldelningar, granskningar och upphörande. Dubbla eller flerstegsgodkännande stöds också.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-6: Använd arbetsstationer med privilegierad åtkomst

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-6 4.6, 11.6, 12.12 AC-2, SC-3, SC-7

Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure Active Directory, Microsoft Defender for Identity och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. De skyddade arbetsstationerna kan hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-7 14.6 AC-2, AC-3, SC-3

Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du hantera Åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, grupptjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell och Azure Portal. De behörigheter som du tilldelar till resurser via Azure RBAC bör alltid begränsas till vad som krävs av rollerna. Begränsade privilegier kompletterar JIT-metoden (just-in-time) för Azure AD Privileged Identity Management (PIM), och dessa privilegier bör granskas regelbundet.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

PA-8: Välj godkännandeprocess för Microsoft-support

Azure-ID CIS-kontroller v7.1 ID:n NIST SP 800-53 r4 ID:n
PA-8 16 AC-2, AC-3, AC-4

I supportscenarier där Microsoft behöver åtkomst till kunddata ger Customer Lockbox dig möjlighet att uttryckligen granska och godkänna eller avvisa varje begäran om åtkomst till kunddata.

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):