Azure Active Directory 的 Azure 安全基线

此安全基线将 Azure 安全基准 2.0 版中的指南应用到 Azure Active Directory。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制是按适用于 Azure Active Directory 的 Azure 安全基准和相关的指导定义的。

当某个功能具有相关的Azure Policy定义时,它们列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Azure Active Directory 的控件以及建议逐字使用全局指导的控件。 若要了解 Azure Active Directory 如何完全映射到 Azure 安全基准,请参阅完整的 Azure Active Directory 安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-6:简化网络安全规则

指导:使用 Azure 虚拟网络服务标记,在为 Azure Active Directory 资源配置的网络安全组或 Azure 防火墙上定义网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 通过在规则的相应“源”或“目标”字段中指定服务标记名称(例如“AzureActiveDirectory”),可允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。

责任:客户

NS-7:安全域名服务 (DNS)

指导:Azure Active Directory 不公开其基础 DNS 配置,这些设置由 Microsoft 维护。

责任:Microsoft

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:使用 Azure Active Directory (Azure AD) 作为默认标识和访问管理服务。 你应该使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft 云资源,如 Azure 门户、Azure 存储、Azure 虚拟机(Linux 和 Windows)、Azure Key Vault、PaaS 和 SaaS 应用程序。
  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应优先处理 Azure AD 保护事宜。 Azure AD 提供标识安全分数,帮助你评估与 Microsoft 的最佳做法建议相关的标识安全状况。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

注意:Azure AD 支持外部标识,使没有 Microsoft 帐户的用户可以使用其外部标识登录到其应用程序和资源。

责任:客户

IM-2:安全且自动地管理应用程序标识

指导:对服务或自动化之类的非人工帐户使用 Azure 资源的托管标识,建议使用 Azure 托管标识功能,而不是创建更加强大的人工帐户来访问或执行资源。 可以通过预定义的访问授权规则以原生方式向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务/资源进行身份验证,而无需使用在源代码或配置文件中硬编码的凭据。 不能将 Azure 托管标识分配给 Azure AD 资源,但 Azure AD 是使用向其他服务的资源分配的托管标识进行身份验证的机制。

责任:客户

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:使用 Azure Active Directory 来提供对 Azure 资源、云应用程序和本地应用程序的标识和访问管理。 此内容包括企业标识(例如员工)以及外部标识(如合作伙伴和供应商)。 这样,单一登录 (SSO) 便可以管理和保护对本地和云中的组织数据和资源的访问。 将所有用户、应用程序和设备连接到 Azure AD,实现无缝的安全访问和更好的可见性和控制。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-1:保护和限制具有较高权限的用户

指导:Azure AD 中最重要的内置角色是全局管理员和特权角色管理员,因为分配到这两种角色的用户可以委托管理员角色:

  • 全局管理员:具有此角色的用户可访问 Azure AD 中的所有管理功能,还可访问使用 Azure AD 标识的服务。

  • 特权角色管理员:具有此角色的用户可管理 Azure AD 和 Azure AD Privileged Identity Management (PIM) 中的角色分配。 此外,该角色可管理 PIM 和管理单元的各个方面。

注意:如果你使用的是分配了某些特权的自定义角色,则可能有其他关键角色需要进行管理。 此外,你可能还需要将类似的控制措施应用于关键业务资产的管理员帐户。

Azure AD 具有高特权帐户:这些用户和服务主体被直接或间接分配到全局管理员或特权角色管理员角色以及 Azure AD 和 Azure 中的其他高特权角色,或者符合获得这些角色的条件。

请限制高特权帐户的数量并在提升的级别保护这些帐户,因为具有此特权的用户可以直接或间接地读取和修改 Azure 环境中的每个资源。

你可使用Azure AD Privileged Identity Management (PIM) 提供对 Azure 资源和 Azure AD 的实时 (JIT) 特权访问权限。 JIT 仅在用户需要执行特权任务时授予临时权限。 当 Azure AD 组织中存在可疑或不安全的活动时,PIM 还会生成安全警报。

责任:客户

PA-3:定期审查和协调用户访问权限

指导:定期审查用户帐户访问权限分配,以确保帐户及其访问权限有效,重点关注全局管理员和特权角色管理员等高特权角色。 可以使用 Azure Active Directory (Azure AD) 访问评审来审查 Azure AD 角色和 Azure 角色的组成员身份、对企业应用程序的访问权限以及角色分配。 Azure AD 报告提供日志来帮助发现过时的帐户。 你还可使用 Azure AD Privileged Identity Management 来创建访问评审报表工作流以便于执行评审。

此外,Azure Privileged Identity Management 还可配置为在创建过多管理员帐户时发出警报,并识别过时或配置不正确的管理员帐户。

责任:客户

PA-6:使用特权访问工作站

指导:安全的独立工作站对于确保敏感角色(如管理员、开发人员和关键服务操作员)的安全至关重要。 使用高度安全的用户工作站和/或 Azure Bastion 执行管理任务。 使用 Azure Active Directory、Microsoft Defender 高级威胁防护 (ATP) 和/或 Microsoft Intune 部署安全的托管用户工作站,用于执行管理任务。 可通过集中管理安全的工作站来强制实施安全配置,包括强身份验证、软件和硬件基线、受限的逻辑和网络访问。

责任:客户

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:通过将用户分配到具有用户完成管理任务所需最低权限的角色,客户可以为其 Azure Active Directory (Azure AD) 部署配置最小特权。

责任:客户

PA-8:选择 Microsoft 支持的审批流程

指导:Azure Active Directory 不支持客户密码箱。 Microsoft 可以通过非密码箱方式与客户协作,以便获得批准来访问客户数据。

责任:共享

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-2:保护敏感数据

指导:考虑按照下面的指南来实现对敏感数据的保护:

  • 隔离: 目录是 Azure Active Directory (Azure AD) 服务用来存储和处理客户数据的数据边界。 客户应在目录中设置“国家/地区”属性,以便确定其 Azure AD 客户数据最应该驻留的位置。

  • 分段: 全局管理员角色可以完全控制所有目录数据,以及用于管理访问和处理指令的规则。 一个目录可以被分割成若干个管理单元,并可以预配由这些单元的管理员管理的用户和组。全局管理员可以向组织中的其他主体分配预定义的角色或他们可创建的自定义角色,以便将职责委托给这些主体。

  • 访问权限: 可对用户、组、角色、应用程序或设备应用权限。 此分配可以是永久性的,也可以是临时性的,具体取决于 Privileged Identity Management 配置。

  • 加密: Azure AD 对所有静态或传输中的数据进行加密。 此服务不允许客户使用其自己的加密密钥对目录数据进行加密。

若要了解所选国家/地区到目录的物理位置的具体映射,请参阅“数据所在位置”一文。

客户会使用各种 Azure AD 工具、功能和应用程序来与其目录交互,请参阅“Azure Active Directory - 数据所在位置”一文

责任:客户

DP-4:加密传输中的敏感信息

指导:为了对访问控制进行补充,应该对传输中的数据使用加密技术防止“带外”攻击(例如流量捕获),以确保攻击者无法轻松读取或修改数据。

Azure AD 支持使用 TLS v1.2 或更高版本进行的传输中数据加密。

虽然这对于专用网络上的流量来说是可选的,但对于外部和公共网络上的流量来说,这是至关重要的。 对于 HTTP 流量,请确保连接到 Azure 资源的任何客户端能够协商 TLS v1.2 或更高版本。 对于远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是使用未加密的协议。 应当禁用已过时的 SSL、TLS 和 SSH 版本和协议,以及弱密码。

默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

责任:客户

DP-5:加密静态敏感数据

指导:为了对访问控制进行补充,Azure AD 使用加密对静态数据进行加密,以防“带外”攻击(例如访问基础存储)。 这有助于确保攻击者无法轻松读取或修改数据。

责任:Microsoft

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队可以了解与资产相关的风险

指南:确保在 Azure 租户和订阅中向安全团队授予了安全读取者权限,以便他们可以使用 Azure 安全中心监视安全风险。

根据安全团队责任划分方式的不同,监视安全风险可能是中心安全团队或本地团队的责任。 也就是说,安全见解和风险必须始终在组织内集中聚合。

安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。

注意:若要了解工作负载和服务,可能需要更多权限。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:将 Azure Active Directory (Azure AD) 标识保护内置的威胁检测功能用于 Azure AD 资源。

Azure AD 会生成活动日志,这些日志通常用于检测和搜寻威胁。 Azure AD 登录日志会记录用户、服务和应用的身份验证和授权活动。 Azure AD 审核日志会跟踪对 Azure AD 租户的更改,其中包括会提升或降低安全状况的更改。

责任:客户

LT-2:启用 Azure 标识和访问管理的威胁检测

指导:Azure Active Directory (Azure AD) 提供以下用户日志,这些日志可在 Azure AD 报告中查看,也可与 Azure Monitor、Azure Sentinel 或其他 SIEM/监视工具集成,以用于更复杂的监视和分析用例:

  • 登录 - 登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。
  • 审核日志 - 通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。
  • 风险登录 - 风险登录是指可能由非用户帐户合法拥有者进行的登录尝试。
  • 有风险的用户 - 有风险的用户指示可能已被入侵的用户帐户。

默认会启用标识保护风险检测,并且无需执行加入过程。 粒度或风险数据是由许可证 SKU 决定的。

责任:客户

LT-4:为 Azure 资源启用日志记录

指导:Azure Active Directory (Azure AD) 生成活动日志。 与某些 Azure 服务不同,Azure AD 并没有对活动日志和资源日志进行区分。 Azure 门户的 Azure AD 部分中自动提供活动日志,这些日志可导出到 Azure Monitor、Azure 事件中心、Azure 存储、SIEM 和其他位置。

  • 登录 - 登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。

  • 审核日志 - 通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。

Azure AD 还提供与安全相关的日志,你可在 Azure AD 报表中查看这些日志,也可将这些日志与 Azure Monitor、Azure Sentinel 或其他 SIEM/监视工具集成,以用于更复杂的监视和分析用例:

  • 风险登录 - 风险登录是指可能由非用户帐户合法拥有者进行的登录尝试。
  • 有风险的用户 - 有风险的用户指示可能已被入侵的用户帐户。

默认会启用标识保护风险检测,并且无需执行加入过程。 粒度或风险数据是由许可证 SKU 决定的。

责任:客户

LT-5:集中管理和分析安全日志

指导:如果客户需要将安全日志集中在一起,以便简化威胁搜寻和安全状况分析过程,我们建议遵循以下准则:

  • 集中记录存储和分析来实现关联。 对于 Azure AD 内的每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。

  • 确保正在将 Azure 活动日志集成到中央日志记录。 通过 Azure Monitor 引入日志,以聚合终结点设备、网络资源和其他安全系统生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区来查询和执行分析,并使用 Azure 存储帐户进行长期存档存储。

  • 另外,请启用 Azure Sentinel 或第三方 SIEM 并将数据载入其中。

许多组织选择将 Azure Sentinel 用于频繁使用的“热”数据,并将 Azure 存储用于不太频繁使用的“冷”数据。

责任:客户

LT-6:配置日志存储保留期

指导:确保用于存储 Azure Active Directory 登录日志、审核日志和风险数据日志的所有存储帐户或 Log Analytics 工作区都根据组织的合规性规定设置了日志保留期。

在 Azure Monitor 中,可根据组织的合规性规则设置 Log Analytics 工作区保持期。 将 Azure 存储、Data Lake 或 Log Analytics 工作区帐户用于长期存储和存档存储。

责任:客户

LT-7:使用批准的时间同步源

指导:Azure Active Directory (Azure AD) 不支持配置你自己的时间同步源。 Azure AD 服务依赖于 Microsoft 时间同步源,不会向客户公开以允许其进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-1:为所有 Azure 服务建立安全配置

指导:Microsoft 标识和访问管理解决方案可帮助 IT 部门保护对本地和云中的应用程序和资源的访问。 组织务必要遵循安全最佳做法,以确保其标识和访问管理实现是安全的,并且对于攻击有较高的可复原能力。

根据标识和访问管理实现策略,组织应按照 Microsoft 最佳做法的指导,为标识基础结构提供保护。

此外,与外部合作伙伴协作的组织还应评估和实现适当的管理、安全和合规配置,以降低安全风险并保护敏感资源。

责任:客户

PV-2:为所有 Azure 服务维护安全配置

指导:Microsoft 安全功能分数为组织提供了一种衡量安全状况的方法,并提供了有助于保护组织免受威胁的建议。 建议组织定期审查其安全分数,以便采取建议的改进措施,从而改善标识安全状况。

责任:客户

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源进行渗透测试或红队活动,并确保修正所有关键安全发现。 请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:共享

后续步骤