Säkerhetskontroll v3: Identitetshantering
Identitetshantering omfattar kontroller för att upprätta säkra identitets- och åtkomstkontroller med hjälp av Azure Active Directory, inklusive användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstens huvudnamn) för program, villkorlig åtkomst och kontoavvikelser.
IM-1: Använd centraliserat identitets- och autentiseringssystem
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Säkerhetsprincip: Använd ett centraliserat identitets- och autentiseringssystem för att styra organisationens identiteter och autentiseringar för molnresurser och icke-molnresurser.
Azure-vägledning: Azure Active Directory (Azure AD) är Azures identitets- och autentiseringshanteringstjänst. Du bör standardisera Azure AD för att styra organisationens identitet och autentisering i:
- Microsofts molnresurser, till exempel Azure Storage, Azure Virtual Machines (Linux och Windows), Azure Key Vault,PaaS- och SaaS-program.
- Din organisations resurser, till exempel program i Azure, program från tredje part som körs på företagets nätverksresurser och SaaS-program från tredje part.
- Dina företagsidentiteter i Active Directory genom synkronisering till Azure AD för att säkerställa en konsekvent och centralt hanterad identitetsstrategi.
Obs! Så snart det är tekniskt möjligt bör du migrera lokal Active Directory baserade program till Azure AD. Detta kan vara en Azure AD Företagskatalog, Business to Business-konfiguration eller Konfiguration av företag till konsument.
Implementering och ytterligare kontext:
- Innehav i Azure AD
- Så skapar och konfigurerar du en Azure AD-instans
- Definiera Azure AD-klientorganisationer
- Använda externa identitetsprovidrar för ett program
Intressenter för kundsäkerhet (läs mer):
IM-2: Skydda identitets- och autentiseringssystem
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Säkerhetsprincip: Skydda ditt identitets- och autentiseringssystem som en hög prioritet i organisationens molnsäkerhetspraxis. Vanliga säkerhetskontroller är:
- Begränsa privilegierade roller och konton
- Kräv stark autentisering för all privilegierad åtkomst
- Övervaka och granska aktiviteter med hög risk
Azure-vägledning: Använd Azure AD säkerhetsbaslinje och Azure AD identitetssäkerhetspoäng för att utvärdera din Azure AD identitetssäkerhetsstatus och åtgärda säkerhets- och konfigurationsluckor. Säkerhetspoängen för Azure AD identitet utvärderar Azure AD för följande konfigurationer: –Använd begränsade administrativa roller
- Aktivera användarriskprincip
- Utse fler än en global administratör
- Aktivera princip för att blockera äldre autentisering
- Se till att alla användare kan slutföra multifaktorautentisering för säker åtkomst
- Kräv MFA för administrativa roller
- Aktivera lösenordsåterställning via självbetjäning
- Upphör inte att gälla för lösenord
- Aktivera principen för inloggningsrisk
- Tillåt inte att användare beviljar medgivande till ohanterade program
Obs! Följ publicerade metodtips för alla andra identitetskomponenter, inklusive lokal Active Directory och eventuella funktioner från tredje part, samt de infrastrukturer (till exempel operativsystem, nätverk och databaser) som är värdar för dem.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | AC-2, AC-3, IA-4, IA-5, IA-9 | Ej tillämpligt |
Säkerhetsprincip: Använd hanterade programidentiteter i stället för att skapa mänskliga konton för program för att komma åt resurser och köra kod. Hanterade programidentiteter ger fördelar som att minska exponeringen av autentiseringsuppgifter. Automatisera rotationen av autentiseringsuppgifter för att säkerställa säkerheten för identiteterna.
Azure-vägledning: Använd hanterade Azure-identiteter som kan autentisera mot Azure-tjänster och resurser som stöder Azure AD autentisering. Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
För tjänster som inte stöder hanterade identiteter använder du Azure AD för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå. Vi rekommenderar att du konfigurerar tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgår till klienthemligheter för autentisering.
Implementering och ytterligare kontext:
- Hanterade Identiteter i Azure
- Tjänster som stöder hanterade identiteter för Azure-resurser
- Huvudnamn för Azure-tjänsten
- Skapa ett huvudnamn för tjänsten med certifikat
Intressenter för kundsäkerhet (läs mer):
IM-4: Autentisera server och tjänster
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IA-9 | Ej tillämpligt |
Säkerhetsprincip: Autentisera fjärrservrar och tjänster från klientsidan för att säkerställa att du ansluter till betrodd server och tjänster. Det vanligaste protokollet för serverautentisering är TLS (Transport Layer Security), där klientsidan (ofta en webbläsare eller klientenhet) verifierar servern genom att verifiera att serverns certifikat har utfärdats av en betrodd certifikatutfärdare.
Obs! Ömsesidig autentisering kan användas när både servern och klienten autentiserar varandra.
Azure-vägledning: Många Azure-tjänster stöder TLS-autentisering som standard. För de tjänster som stöder TLS-aktivering/inaktiveringsväxel av användaren kontrollerar du att den alltid är aktiverad för att stödja server-/tjänstautentisering. Klientprogrammet bör också utformas för att verifiera server/tjänstidentitet (genom att verifiera serverns certifikat som utfärdats av en betrodd certifikatutfärdare) i handskakningsfasen.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IM-5: Använd enkel inloggning (SSO) för programåtkomst
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 12.5 | IA-4, IA-2, IA-8 | Ej tillämpligt |
Säkerhetsprincip: Använd enkel inloggning (SSO) för att förenkla användarupplevelsen för autentisering till resurser, inklusive program och data i molntjänster och lokala miljöer.
Azure-vägledning: Använd Azure AD för åtkomst till arbetsbelastningsprogram via Azure AD enkel inloggning (SSO), vilket undanröjer behovet av flera konton. Azure AD tillhandahåller identitets- och åtkomsthantering för Azure-resurser (hanteringsplan som CLI, PowerShell, portalen), molnprogram och lokala program.
Azure AD stöder enkel inloggning för företagsidentiteter, till exempel företagsanvändaridentiteter, samt externa användaridentiteter från betrodda tredje part och offentliga användare.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IM-6: Använd starka autentiseringskontroller
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Säkerhetsprincip: Framtvinga starka autentiseringskontroller (stark lösenordsfri autentisering eller multifaktorautentisering) med ditt centraliserade system för identitets- och autentiseringshantering för all åtkomst till resurser. Enbart autentisering baserat på lösenordsautentiseringsuppgifter betraktas som äldre eftersom den är osäker och inte står upp mot populära attackmetoder.
När du distribuerar stark autentisering konfigurerar du först administratörer och privilegierade användare för att säkerställa den högsta nivån av den starka autentiseringsmetoden, snabbt följt av att lansera lämplig stark autentiseringsprincip för alla användare.
Obs! Om äldre lösenordsbaserad autentisering krävs för äldre program och scenarier ska du se till att bästa praxis för lösenordssäkerhet, till exempel komplexitetskrav, följs.
Azure-vägledning: Azure AD stöder starka autentiseringskontroller via lösenordslösa metoder och multifaktorautentisering (MFA).
- Lösenordsfri autentisering: Använd lösenordsfri autentisering som standardautentiseringsmetod. Det finns tre alternativ för lösenordsfri autentisering: Windows Hello för företag, inloggning via telefon i Microsoft Authenticator-appen och FIDO 2Keys. Dessutom kan kunder använda lokala autentiseringsmetoder som smartkort.
- Multifaktorautentisering: Azure MFA kan tillämpas på alla användare, välja användare eller per användare baserat på inloggningsvillkor och riskfaktorer. Aktivera Azure MFA och följ rekommendationer för identitets- och åtkomsthantering i Azure Defender för molnet för din MFA-konfiguration.
Om äldre lösenordsbaserad autentisering fortfarande används för Azure AD autentisering bör du vara medveten om att molnbaserade konton (användarkonton som skapats direkt i Azure) har en standardprincip för baslinjelösenord. Och hybridkonton (användarkonton som kommer från lokal Active Directory) följer de lokala lösenordsprinciperna.
För program och tjänster från tredje part som kan ha standard-ID och lösenord bör du inaktivera eller ändra dem under den inledande tjänstkonfigurationen.
Implementering och ytterligare kontext:
- Aktivera MFA i Azure
- Introduktion till alternativ för lösenordsfri autentisering för Azure Active Directory
- Standardprincip för lösenord för Azure AD
- Eliminera felaktiga lösen ord med Azure AD-lösenordsskydd
- Blockera äldre autentisering
Intressenter för kundsäkerhet (läs mer):
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Säkerhetsprincip: Verifiera uttryckligen betrodda signaler för att tillåta eller neka användaråtkomst till resurser, som en del av en nollförtroendeåtkomstmodell. Signaler att verifiera bör omfatta stark autentisering av användarkonto, beteendeanalys av användarkonto, enhetens pålitlighet, användar- eller gruppmedlemskap, platser och så vidare.
Azure-vägledning: Använd Azure AD villkorlig åtkomst för mer detaljerade åtkomstkontroller baserat på användardefinierade villkor, till exempel att kräva användarinloggningar från vissa IP-intervall (eller enheter) för att använda MFA. Azure AD villkorlig åtkomst kan du framtvinga åtkomstkontroller för din organisations appar baserat på vissa villkor.
Definiera tillämpliga villkor och kriterier för Azure AD villkorlig åtkomst i arbetsbelastningen. Tänk på följande vanliga användningsfall:
- Kräva multifaktorautentisering för användare med administrativa roller
- Kräva multifaktorautentisering för Azure-hanteringsuppgifter
- Blockera inloggningar för användare som försöker använda äldre autentiseringsprotokoll
- Kräva betrodda platser för Azure AD Multi-Factor Authentication-registrering
- Blockera eller bevilja åtkomst från specifika platser
- Blockera riskfyllda inloggningsbeteenden
- Kräva organisationshanterade enheter för specifika program
Obs! En detaljerad hantering av autentiseringssessioner kan också användas till via Azure AD princip för villkorlig åtkomst för kontroller som inloggningsfrekvens och beständig webbläsarsession.
Implementering och ytterligare kontext:
- Översikt över villkorsstyrd åtkomst i Azure
- Vanliga principer för villkorsstyrd åtkomst
- Insikter och rapportering för villkorsstyrd åtkomst
- Konfigurera autentiseringsessionshantering med villkorsstyrd åtkomst
Intressenter för kundsäkerhet (läs mer):
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Säkerhetsprincip: Se till att programutvecklare hanterar autentiseringsuppgifter och hemligheter på ett säkert sätt:
- Undvik att bädda in autentiseringsuppgifter och hemligheter i kod- och konfigurationsfilerna
- Använd nyckelvalv eller en säker nyckellagringstjänst för att lagra autentiseringsuppgifter och hemligheter
- Sök efter autentiseringsuppgifter i källkoden.
Obs! Detta styrs och framtvingas ofta via en säker livscykel för programvaruutveckling (SDLC) och DevOps-säkerhetsprocessen.
Azure-vägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- och konfigurationsfilerna.
- Implementera Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i koden.
- För GitHub använder du funktionen för intern genomsökning av hemligheter för att identifiera autentiseringsuppgifter eller andra typer av hemligheter i koden.
Klienter som Azure Functions, Azure Apps-tjänster och virtuella datorer kan använda hanterade identiteter för att få åtkomst till Azure Key Vault på ett säkert sätt. Se Dataskyddskontroller relaterade till användningen av Azure Key Vault för hantering av hemligheter.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IM-9: Skydda användaråtkomst till befintliga program
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | Ej tillämpligt |
Säkerhetsprincip: I en hybridmiljö, där du har lokala program eller icke-interna molnprogram som använder äldre autentisering, bör du överväga lösningar som CASB (Cloud Access Security Broker), programproxy, enkel inloggning (SSO) för att styra åtkomsten till dessa program för följande fördelar:
- Framtvinga centraliserad stark autentisering
- Övervaka och kontrollera riskfyllda slutanvändaraktiviteter
- Övervaka och åtgärda riskfyllda äldre programaktiviteter
- Identifiera och förhindra överföring av känsliga data
Azure-vägledning: Skydda dina lokala och icke-interna molnprogram med äldre autentisering genom att ansluta dem till:
- Azure AD Programproxy tillsammans med huvudbaserad autentisering för publicering av äldre lokala program till fjärranvändare med enkel inloggning (SSO) samtidigt som du uttryckligen validerar tillförlitligheten för både fjärranslutna användare och enheter med Azure AD villkorlig åtkomst. Om det behövs använder du en lösning från tredje part Software-Defined Perimeter (SDP) som kan erbjuda liknande funktioner.
- Dina befintliga leveranskontrollanter och nätverk för program från tredje part
- Microsoft Defender for Cloud Apps använder den som en CASB-tjänst (Cloud Access Security Broker) för att tillhandahålla kontroller för övervakning av en användares programsessioner och blockeringsåtgärder (för både äldre lokala program och molnprogram som en tjänst (SaaS).
Obs! VPN-nätverk används ofta för att komma åt äldre program, de har ofta bara grundläggande åtkomstkontroll och begränsad sessionsövervakning.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):