安全控制:特权访问
特权访问包括用于保护对你的租户和资源的特权访问的控制措施,其中包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。
PA-1:隔离和限制高度特权/管理用户
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4、6.8 | AC-2、AC-6 | 7.1、7.2、8.1 |
安全原则:确保确定所有对业务影响较高的帐户。 限制云的控制平面、管理平面和数据/工作负载平面中的特权/管理帐户的数量。
Azure 指南:必须通过对 Azure 托管资源的直接或间接管理访问权限来保护所有角色。
Azure Active Directory (Azure AD) 是 Azure 的默认标识和访问管理服务。 Azure AD 中最重要的内置角色是全局管理员和特权角色管理员,因为分配到这两种角色的用户可以委派管理员角色。 有了这些特权,用户可直接或间接读取和修改 Azure 环境中的每项资源:
- 全局管理员/公司管理员:具有此角色的用户有权访问 Azure AD 中的所有管理功能以及使用 Azure AD 标识的服务。
- 特权角色管理员:具有此角色的用户可管理 Azure AD 和 Azure AD Privileged Identity Management (PIM) 中的角色分配。 此外,该角色可管理 PIM 和管理单元的各个方面。
在 Azure AD 外部,Azure 具有内置角色,这些角色对于资源级别的特权访问至关重要。
- 所有者:授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。
- 参与者:授予管理所有资源所需的完全访问权限,但不允许在 Azure RBAC 中分配角色、在 Azure 蓝图中管理分配或共享映像库。
- 用户访问管理员:可管理用户对 Azure 资源的访问权限。
注意:如果在 Azure AD 级别或资源级别使用自定义角色并分配了某些特权权限,则可能需要治理其他关键角色。
此外,在 Azure 企业协议 (EA) 门户中具有以下三个角色的用户也应受到限制,因为他们可用于直接或间接管理 Azure 订阅。
- 帐户所有者:具有此角色的用户可以管理订阅,包括创建和删除订阅。
- 企业管理员:分配有此角色的用户可以管理 (EA) 门户用户。
- 部门管理员:分配有此角色的用户可以更改部门内的帐户所有者。
最后,请确保还限制对业务关键资产具有管理访问权限的其他管理、标识和安全系统中的特权帐户,例如Active Directory 域控制器 (DC) 、安全工具和系统管理工具以及安装在业务关键系统上的代理的系统管理工具。 入侵这些管理和安全系统的攻击者可以立即将它们用作损害业务关键型资产的武器。
Azure 实现和其他上下文:
AWS 指南:必须通过对 AWS 托管资源的直接或间接管理访问权限来保护所有角色。
需要保护的特权/管理用户包括:
- 根用户:根用户是 AWS 帐户中最高级别的特权帐户。 根帐户应受到高度限制,并且仅在紧急情况下使用。 请参阅 PA-5 中的紧急访问控制 (设置紧急访问) 。
- 使用特权权限策略 (用户、组、角色) 的 IAM 标识:分配有权限策略(如 AdministratorAccess)的 IAM 标识可以完全访问 AWS 服务和资源。
如果使用 Azure Active Directory (Azure AD) 作为 AWS 的标识提供者,请参阅有关在 Azure AD 中管理特权角色的 Azure 指南。
确保还限制对业务关键资产具有管理访问权限的其他管理、标识和安全系统中的特权帐户,例如 AWS Cognito、安全工具和在业务关键系统上安装了代理的系统管理工具。 入侵这些管理和安全系统的攻击者可以立即将它们用作损害业务关键型资产的武器。
AWS 实现和其他上下文:
GCP 指南:必须通过对 GCP 托管资源的直接或间接管理访问权限来保护所有角色。
Google Cloud 中最重要的内置角色是超级管理员。 超级管理员可以在管理员控制台中执行所有任务,并且具有不可撤销的管理权限。 建议不要使用超级管理员帐户进行日常管理。
基本角色是高度宽松的旧角色,建议不要在生产环境中使用基本角色,因为它授予跨所有 Google Cloud 资源的广泛访问权限。 基本角色包括“查看者”、“编辑者”和“所有者”角色。 建议改用预定义或自定义角色。 值得注意的特权预定义角色包括:
- 组织管理员:具有此角色的用户可以管理 IAM 策略并查看组织、文件夹和项目的组织策略。
- 组织策略管理员:具有此角色的用户可以通过设置组织策略来定义组织想要对云资源配置施加哪些限制。
- 组织角色管理员:具有此角色的用户可以管理组织中的所有自定义角色及其下的项目。
- 安全管理员:具有此角色的用户可以获取和设置任何 IAM 策略。
- 拒绝管理员:具有此角色的用户有权读取和修改 IAM 拒绝策略。
此外,某些预定义角色在组织、文件夹和项目级别包含特权 IAM 权限。 这些 IAM 权限包括:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
此外,通过为不同项目的帐户分配角色,或通过 Google Kubernetes 引擎利用二进制授权来实现职责分离。
最后,请确保在对业务关键资产具有管理访问权限的其他管理、标识和安全系统中限制特权帐户,例如云 DNS、安全工具和在业务关键系统上安装了代理的系统管理工具。 入侵这些管理和安全系统的攻击者可以立即将它们用作损害业务关键型资产的武器。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-2:避免对用户帐户和权限的长期访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | AC-2 | 空值 |
安全原则:使用实时 (JIT) 机制来分配对不同资源层的特权访问权限,而不是创建长期特权。
Azure 指南:使用 Azure AD Privileged Identity Management (PIM) 启用实时 (JIT) 对 Azure 资源和 Azure AD 的特权访问。 JIT 是一种访问模式。在此模式下,用户会收到执行特权任务的临时权限,防止恶意用户或未授权用户在权限过期后获得访问权限。 只有在用户需要的情况下,才会授予访问权限。 当 Azure AD 组织中存在可疑或不安全的活动时,PIM 还会生成安全警报。
使用 Microsoft Defender for Cloud 的实时 (JIT) VM 访问功能限制到敏感虚拟机 (VM) 管理端口的入站流量。 这可确保仅当用户需要时才授予对 VM 的特权访问权限。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 安全令牌服务 (AWS STS) 创建临时安全凭据,以通过 AWS API 访问资源。 临时安全凭据的工作方式与 IAM 用户可以使用的长期访问密钥凭据几乎完全相同,但存在以下差异:
- 临时安全凭据的生存期短,从几分钟到几小时不等。
- 临时安全凭据不随用户一起存储,而是动态生成,并在收到请求时提供给用户。
AWS 实现和其他上下文:
GCP 指南:使用 IAM 条件访问使用允许策略中的条件角色绑定创建对资源的临时访问,该策略授予云标识用户。 配置日期/时间属性以强制实施基于时间的控制来访问特定资源。 临时访问的生存期可能很短,从分钟到几小时,或者可能基于星期几或小时授予。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-3:管理标识和权利的生命周期
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1、6.2 | AC-5、AC-6 | 7.1、7.2、8.1 |
安全原则:使用自动化过程或技术控制来管理标识和访问生命周期,包括请求、审查、审批、预配和取消预配。
Azure 指南:使用 Azure AD 权利管理功能自动执行 Azure 资源组) 的访问请求工作流 (。 这使 Azure 资源组的工作流能够管理访问分配、审查、到期以及两阶段或多阶段审批。
使用权限管理可跨多云基础结构检测、自动调整大小并持续监视分配给用户和工作负载标识的未使用和过多权限。
Azure 实现和其他上下文:
AWS 指南:使用 AWS 访问顾问拉取用户帐户的访问日志和资源的权利。 构建手动或自动化工作流以与 AWS IAM 集成,以管理访问分配、评审和删除。
注意:AWS 市场中提供用于管理标识和权利生命周期的第三方解决方案。
AWS 实现和其他上下文:
GCP 指南:使用 Google 的云审核日志拉取用户帐户的管理员活动以及资源权利的数据访问审核日志。 构建手动或自动化工作流以与 GCP IAM 集成,以管理访问分配、评审和删除。
使用 Google Cloud Identity Premium 提供核心标识和设备管理服务。 这些服务包括自动用户预配、应用允许列表和自动移动设备管理等功能。
注意:Google Cloud Marketplace 上提供了用于管理标识和权利生命周期的第三方解决方案。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-4:定期审查和协调用户访问权限
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.1、5.3、5.5 | AC-2、AC-6 | 7.1、7.2、8.1、A3.4 |
安全原则:定期审查特权帐户权利。 确保授予对帐户的访问权限对管理控制平面、管理平面和工作负载有效。
Azure 指南:查看 Azure 中的所有特权帐户和访问权限,包括 Azure 租户、Azure 服务、VM/IaaS、CI/CD 流程以及企业管理和安全工具。
使用 Azure AD 访问评审查看 Azure AD 角色、Azure 资源访问角色、组成员身份和对企业应用程序的访问权限。 Azure AD 报告还可以提供日志,以帮助发现过时的帐户或未使用过特定时间的帐户。
此外,Azure AD Privileged Identity Management 还可配置为在为特定角色创建过多的管理员帐户时发出警报,并识别过时或配置不正确的管理员帐户。
Azure 实现和其他上下文:
AWS 指南:查看 AWS 中的所有特权帐户和访问权限,包括 AWS 帐户、服务、VM/IaaS、CI/CD 流程以及企业管理和安全工具。
使用 IAM 访问顾问、Access Analyzer 和凭据报告查看资源访问角色、组成员身份和对企业应用程序的访问权限。 IAM 访问分析器和凭据报告报告还可以提供日志,以帮助发现过时的帐户或未使用过特定时间的帐户。
如果使用 Azure Active Directory (Azure AD) 作为 AWS 的标识提供者,请使用 Azure AD 访问评审定期查看特权帐户和访问权利。
AWS 实现和其他上下文:
GCP 指南:查看 Google Cloud 中的所有特权帐户和访问权限,包括云标识帐户、服务、VM/IaaS、CI/CD 流程以及企业管理和安全工具。
使用云审核日志和策略分析器查看资源访问角色和组成员身份。 在 Policy Analyzer 中创建分析查询,以了解哪些主体可以访问特定资源。
如果使用 Azure Active Directory (Azure AD) 作为 Google Cloud 的标识提供者,请使用 Azure AD 访问评审定期查看特权帐户和访问权利。
此外,Azure AD Privileged Identity Management 还可配置为在为特定角色创建过多的管理员帐户时发出警报,并识别过时或配置不正确的管理员帐户。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-5:设置紧急访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | AC-2 | 空值 |
安全原则:设置紧急访问,以确保在紧急情况下不会意外地锁定关键云基础结构 (,例如标识和访问管理系统) 。
紧急访问帐户应很少使用,如果泄露,会对组织造成巨大损害,但在极少数需要紧急访问帐户的情况下,紧急访问帐户对于组织的可用性又是至关重要的。
Azure 指南:若要防止意外锁定 Azure AD 组织,请设置紧急访问帐户 (例如,当无法使用正常管理帐户时,) 具有全局管理员角色的帐户进行访问。 紧急访问帐户通常拥有较高的权限,因此请不要将其分配给特定的个人。 紧急访问帐户只能用于紧急情况或“破窗式”情况,即不能使用正常管理帐户。
应确保妥善保管紧急访问帐户的凭据(例如密码、证书或智能卡),仅将其告诉只能在紧急情况下有权使用它们的个人。 还可以使用其他控件,例如双重控件 (例如,将凭据拆分为两部分,并将其分配给单独的人员) ,以提高此过程的安全性。 还应监视登录和审核日志,以确保仅在获得授权时才使用紧急访问帐户。
Azure 实现和其他上下文:
AWS 指南:不应将 AWS“根”帐户用于常规管理任务。 由于“root”帐户具有很高的特权,因此不应将其分配给特定个人。 当无法使用普通管理帐户时,它的使用应仅限于紧急或“打破玻璃”方案。 对于日常管理任务,应使用单独的特权用户帐户,并通过 IAM 角色分配适当的权限。
还应确保根帐户) 密码、MFA 令牌和访问密钥等 (凭据保持安全,并且只有有权仅在紧急情况下使用这些凭据的个人知道。 应为根帐户启用 MFA,还可以使用其他控件,例如双重控制 (例如,将凭据拆分为两部分,并将其分配给单独的人员) ,以增强此过程的安全性。
还应监视 CloudTrail 或 EventBridge 中的登录和审核日志,以确保仅在获得授权时才使用根访问帐户。
AWS 实现和其他上下文:
GCP 指南:Google Cloud Identity 超级管理员帐户不应用于常规管理任务。 由于超级管理员帐户具有很高的特权,因此不应将其分配给特定个人。 当无法使用普通管理帐户时,它的使用应仅限于紧急或“打破玻璃”方案。 对于日常管理任务,应使用单独的特权用户帐户,并通过 IAM 角色分配适当的权限。
还应确保超级管理员帐户) 密码、MFA 令牌和访问密钥等 (凭据保持安全,并且只有有权仅在紧急情况下使用这些凭据的个人知道。 应为超级管理员帐户启用 MFA,还可以使用其他控件,例如双重控制 (例如,将凭据拆分为两部分,并将其分配给单独的人员,) 以增强此过程的安全性。
还应监视云审核日志中的登录和审核日志,或查询策略分析器,以确保超级管理员帐户仅在获得授权时才使用。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-6:使用特权访问工作站
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.8、13.5 | AC-2、SC-2、SC-7 | 空值 |
安全原则:安全隔离的工作站对于管理员、开发人员和关键服务操作员等敏感角色的安全性至关重要。
Azure 指南:使用 Azure Active Directory、Microsoft Defender和/或Microsoft Intune在本地或 Azure 中 (PAW) 部署特权访问工作站,以执行特权任务。 应该集中管理 PAW,强制实施安全配置,包括强身份验证、软件和硬件基线,以及受限制的逻辑和网络访问。
你还可以使用 Azure Bastion,它是一项完全由平台管理的 PaaS 服务,可在虚拟网络中进行预配。 Azure Bastion 允许使用 Web 浏览器直接从Azure 门户与虚拟机建立 RDP/SSH 连接。
Azure 实现和其他上下文:
AWS 指南:在 AWS 系统管理器中使用会话管理器创建访问路径, () EC2 实例的连接会话,或者为特权任务创建与 AWS 资源的浏览器会话。 会话管理器允许通过端口转发与目标主机建立 RDP、SSH 和 HTTPS 连接。
还可以选择部署 (PAW) 通过 Azure Active Directory、Microsoft Defender和/或Microsoft Intune集中管理的特权访问工作站。 中央管理应强制实施安全配置,包括强身份验证、软件和硬件基线,以及受限的逻辑和网络访问。
AWS 实现和其他上下文:
GCP 指南:使用 Identity-Aware 代理 (IAP) Desktop 创建访问路径, (连接会话) 特权任务的计算实例。 IAP Desktop 允许通过端口转发与目标主机建立 RDP 和 SSH 连接。 此外,面向外部的 Linux 计算实例可以通过 Google Cloud 控制台通过浏览器中的 SSH 连接到 。
还可以选择部署特权访问工作站, (PAW) 通过 Google Workspace Endpoint Management 或 Microsoft 解决方案 (Azure Active Directory、Microsoft Defender和/或Microsoft Intune) 进行集中管理。 中央管理应强制实施安全配置,包括强身份验证、软件和硬件基线,以及受限的逻辑和网络访问。
还可以创建堡垒主机,以便使用定义的参数安全访问受信任的环境。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-7:遵循 Just Enough Administration(最小特权)原则
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3、6.8 | AC-2、AC-3、AC-6 | 7.1、7.2 |
安全原则:遵循恰到足的管理 (最低特权) 原则,以细化级别管理权限。 使用基于角色的访问控制 (RBAC) 等功能,通过角色分配管理资源访问。
Azure 指南:使用 Azure 基于角色的访问控制 (Azure RBAC) 通过角色分配管理 Azure 资源访问。 通过 RBAC,可以将角色分配给用户、组、服务主体和托管标识。 某些资源具有预定义的内置角色,可通过 Azure CLI、Azure PowerShell 和 Azure 门户等工具来清点或查询这些角色。
通过 Azure RBAC 分配给资源的权限应始终限制为角色所需的权限。 受限权限将补充 Azure AD Privileged Identity Management (PIM) 的实时 (JIT) 方法,应定期查看这些权限。 如果需要,还可以使用 PIM 定义有时间限制的分配,这是角色分配中的一个条件,用户只能在指定的开始和结束日期内激活角色。
注意:请使用 Azure 内置角色分配权限,仅在必要时创建自定义角色。
Azure 实现和其他上下文:
- 什么是 Azure 基于角色的访问控制 (Azure RBAC)
- 如何在 Azure 中配置 RBAC
- 如何使用 Azure AD 标识和访问评审
- Azure AD Privileged Identity Management - 时限性分配
AWS 指南:使用 AWS 策略管理 AWS 资源访问。 有六种类型的策略:基于标识的策略、基于资源的策略、权限边界、AWS 组织服务控制策略 (SCP) 、访问控制列表和会话策略。 可以将 AWS 托管策略用于常见权限用例。 但是,应注意托管策略可能携带过多的权限,不应分配给用户。
还可以使用 AWS ABAC (基于属性的访问控制) 根据附加到 IAM 资源的属性 (标记) 分配权限,包括 IAM 实体 (用户或角色) 和 AWS 资源。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud IAM Policy 通过角色分配管理 GCP 资源访问。 可以将 Google Cloud 的预定义角色用于常见权限用例。 但是,应注意预定义角色可能具有过多的权限,不应分配给用户。
此外,将策略智能与 IAM 推荐器配合使用,以识别和删除帐户中的过多权限。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
PA-8 确定云提供商支持的访问流程
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1、6.2 | AC-4、AC-2、AC-3 | 空值 |
安全原则:建立审批流程和访问路径,以请求和批准供应商支持请求,并通过安全通道临时访问数据。
Azure 指南:在 Microsoft 需要访问你的数据的支持方案中,请使用客户密码箱查看和批准或拒绝 Microsoft 提出的每个数据访问请求。
Azure 实现和其他上下文:
AWS 指南:在 AWS 支持团队需要访问你的数据的支持方案中,请在 AWS 支持门户中创建一个帐户以请求支持。 查看可用选项,例如提供只读数据访问,或 AWS 支持访问数据的屏幕共享选项。
AWS 实现和其他上下文:
GCP 指南:在 Google Cloud Customer Care 需要访问数据的支持方案中,请使用访问审批来评审和批准或拒绝 Cloud Customer Care 提出的每个数据访问请求。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息: