Sdílet prostřednictvím


Fáze 2: Oprávnění správné velikosti a automatizace principu nejnižších oprávnění

Tato část referenční příručky k operacím Správa oprávnění Microsoft Entra popisuje kontroly a akce, které byste měli provést k nápravě klíčových zjištění ve vašem prostředí a implementaci přístupu ZA běhu (JIT) s oprávněními na vyžádání.

Průběžná náprava a oprávnění správné velikosti

Doporučený vlastník: Operace zabezpečení informací

Určení odpovědnosti za nápravu a monitorování

Pro optimální provoz produktu Správa oprávnění Microsoft Entra vyžaduje nepřetržité provádění klíčových provozních úloh a procesů. Nastavte klíčové úkoly a vlastníky pro údržbu vašeho prostředí.

Úkol Vlastník
Monitorování a údržba PCI na základě cílů Operace zabezpečení informací
Posouzení a zkoumání zjištění sestav Operace zabezpečení informací
Třídění a zkoumání výstrah Operace zabezpečení informací
Kontrola dotazů auditu Zajištění zabezpečení a audit
Sledování průběhu a hlášení o průběhu Operace zabezpečení informací

Snížení úrovně PCI na cílové úrovně

Je důležité snížit skóre PCI napříč autorizačními systémy na základě prahových hodnot PCI a zásad definovaných vaší organizací. Reakce na zjištění pomáhá lépe zabezpečit vaše prostředí. Tři zjištění s největším dopadem na snížení skóre PCI jsou super identity, neaktivní identity a nadměrné zřízení identit.

Super identity

Super identity mají v autorizačním systému nejvyšší oprávnění. Patří sem lidské a nelidé identity, jako jsou uživatelé, instanční objekty a bezserverové funkce. Příliš mnohosuperch

Osvědčený postup: Doporučujeme pro autorizační systém pět nebo méně uživatelů a/nebo skupinových super identit. Používejte malý počet super aplikací, instančních objektů, bezserverových funkcí a účtů služeb. Uveďte jasné odůvodnění a odůvodnění jejich použití.

Pokyny k nápravě

  • U očekávaných super identit, jako jsou správci infrastruktury, použijte značky ck_exclude_from_pci a ck_exclude_from_reports .
    • ck_exclude_from_pci značka odebere identitu z výpočtu skóre PCI autorizačního systému.
    • ck_exclude_from_reports značka odebere identitu ze sestavy Analýzy oprávnění, takže není označená jako super identita.
  • Nastavení správné velikosti oprávnění ostatních super identit a použití přístupového modelu JIT
    • Použití nástrojů pro nápravu správy oprávnění k správné velikosti
    • Konfigurace oprávnění na vyžádání pro dosažení modelu přístupu JIT

Neaktivní identity

Tyto identity neprováděly akce po dobu 90 dnů.

Osvědčený postup: Pravidelně zvětšujte oprávnění neaktivních identit, což může být potenciální vektory útoku pro chybné aktéry.

Pokyny k nápravě

Zkontrolujte neaktivní identity a zjistěte nápravu:

  • Pokud je potřeba neaktivní identita, použijte značku ck_exclude_from_reports k odebrání identity ze sestavy Analýzy oprávnění, takže se neozve jako neaktivní identita.
  • Pokud neaktivní identita není ve vašem prostředí potřebná, doporučujeme odvolat nepoužívané oprávnění identity nebo mu přiřadit stav jen pro čtení. Zjistěte, jak odvolat přístup k vysoce rizikovým a nepoužívaným úkolům nebo přiřadit stav jen pro čtení.

Nadměrně zřízených identit

Přeskupené identity nebo nadlimitní identity po dobu 90 dnů nepoužívaly mnoho jejich oprávnění.

Osvědčený postup: Pravidelná oprávnění správné velikosti těchto identit za účelem snížení rizika zneužití oprávnění, ať už náhodného nebo škodlivého. Tato akce snižuje potenciální poloměr výbuchu během incidentu zabezpečení.

Pokyny k nápravě

Opravte nadměrně zřízených identit s nejméně privilegovanými předdefinovanými rolemi nebo vlastními rolemi s správnou velikostí.

Poznámka:

Mějte na paměti limity vlastních rolí. Pokud se vaše organizace blíží dosažení těchto limitů, doporučujeme přístup s nejnižšími privilegovanými předdefinovanými rolemi.

U nejméně privilegovaných předdefinovaných rolí doporučujeme použít Správa oprávnění Microsoft Entra k určení oprávnění, která identita používá, a pak přiřadit předdefinovanou roli, která odpovídá tomuto využití.

U vlastních rolí se správnou velikostí doporučujeme napravit nadměrně zřízených identit podle týmů nebo skupin:

  1. Identifikujte tým nebo skupinu, které potřebují správná oprávnění. Například správci nebo vývojáři webové služby.

  2. Vytvořte novou správnou roli na základě toho, co tým aktuálně používá.

  3. Přejděte na Nápravné>role/ Zásady>vytvářejí roli nebo zásady.

  4. Vyberte uživatele z týmu nebo skupiny.

    Snímek obrazovky s vybranými uživateli vyhledávání

  5. Klikněte na Další a v části Vybrané úkoly ověřte oprávnění v nové roli. Ty se automaticky naplní na základě historické aktivity uživatelů/skupin, které jste vybrali.

    Snímek obrazovky s vybranými úkoly na kartě Akce

  6. Podle potřeby přidejte další oprávnění týmu.

  7. Vytvořte novou roli nebo zásadu.

  8. Odvolání aktuálních oprávnění týmu

  9. Přiřaďte členům týmu správnou velikost role nebo zásady.

Poznámka:

Doporučujeme začít nastavením správné velikosti nelidské identity, jako jsou instanční objekty a účty počítačů. Aktivita nelidských identit se méně pravděpodobně bude lišit na denní bázi, což snižuje riziko potenciálních přerušení služeb způsobených správnou velikostí.

Další informace o nástrojích pro nápravu, které jsou k dispozici v rámci Správa oprávnění Microsoft Entra:

Sledování průběhu a měření úspěšnosti

Aby bylo možné splnit organizační cíle, povolte procesům sledovat a hlásit průběh. Mezi integrované nástroje Správa oprávnění Microsoft Entra patří:

  • Sestava historie PCI: Získejte pravidelný podrobný přehled o tom, jak se skóre PCI v autorizačních systémech a složkách mění v průběhu času. Změřte, jak dobře vaše organizace plní a udržuje cíle PCI. Doporučujeme naplánovat opakovanou sestavu historie PCI pro klíčové účastníky. Ujistěte se, že tempo odpovídá internímkontrolm
  • Sestava analýzy oprávnění: Změřte průběh nápravy a naplánujte odeslání sestavy klíčovým zúčastněným stranám a/nebo pravidelně exportujte verzi sestavy PDF pro autorizační systémy. Tento postup umožňuje vaší organizaci měřit průběh nápravy v průběhu času. Pomocí tohoto přístupu můžete například zjistit, kolik neaktivních identit se každý týden vyčistí a jaký dopad to mělo na skóre PCI.
  • Řídicí panel pro správu oprávnění: Získejte přehled o autorizačních systémech a jejich skóre PCI. Pomocí oddílu Nejvyšší seznam změn PCI můžete řadit systémy autorizace podle skóre PCI a určit prioritu nápravné aktivity. Podívejte se také na změnu PCI za posledních 7 dnů, abyste zjistili, které systémy autorizace mají největší pokrok a které můžou potřebovat další kontrolu. V části PCI Heat Mapa vyberte autorizační systémy, abyste mohli získat přístup k grafu trendu PCI pro tento autorizační systém. Všimněte si, jak se PCI mění během 90denního období.

Zprovoznění oprávnění na vyžádání

Doporučený vlastník: Architektura zabezpečení informací

Oprávnění na vyžádání dokončí JIT a obrázek s dostatečným přístupem tím, že v případě potřeby organizacím umožní udělit uživatelům časově svázaná oprávnění.

Pokud chcete zprovoznit oprávnění na vyžádání, vytvořte a udržujte dobře definovaný proces pro implementaci oprávnění na vyžádání ve vašem prostředí. Následující tabulka popisuje úkoly a doporučené vlastníky.

Úloha Doporučený vlastník
Určení systémů autorizace, které se mají používat s oprávněními na vyžádání Architektura zabezpečení informací
Definujte procesy správy pro onboarding nových autorizačních systémů do modelu Oprávnění na vyžádání. Vyberte a vytrénujte schvalovatele a žadatele a pak delegujte oprávnění. Další podrobnosti najdete v následující části. Architektura zabezpečení informací
Aktualizace standardních postupů provozního modelu pro počáteční přiřazení uživatelských oprávnění a proces žádosti o ad hoc oprávnění Architektura zabezpečení informací

Určení schvalovatelů

Schvalovatelé kontrolují žádosti o oprávnění na vyžádání a mají oprávnění ke schválení nebo zamítnutí žádostí. Vyberte Schvalovatele pro autorizační systémy, které chcete použít s oprávněními na vyžádání. Pro každý autorizační systém doporučujeme alespoň dva schvalovatele .

Vytvoření skupin zabezpečení Microsoft Entra pro schvalovatele

Pro delegování oprávnění vytvoří váš tým IAM skupiny zabezpečení Microsoft Entra, které se mapují na vaše schvalovatele. Ujistěte se, že schvalovatelé se sdíleným vlastnictvím a odpovědností jsou ve stejné skupině zabezpečení.

Doporučujeme používat PIM pro skupiny. To poskytuje přístup JIT k oprávněním schvalovatele ke schválení nebo zamítnutí oprávnění na vyžádání.

Pokud chcete vytvořit skupiny zabezpečení Microsoft Entra ID, přečtěte si téma Správa skupin a členství ve skupinách.

Přiřazení oprávnění schvalovatelům

Po vytvoření skupin zabezpečení Microsoft Entra udělí správce správy oprávnění skupinám zabezpečení jejich oprávnění schvalovatele ve správě oprávnění. Ujistěte se, že skupiny zabezpečení mají udělená oprávnění schvalovatele pro systémy autorizace, za které zodpovídají. Přečtěte si další informace o rolích Správa oprávnění Microsoft Entra a úrovních oprávnění.

Určení a vytvoření skupiny zabezpečení správce žadatele

Určete alespoň dva správce žadatele, kteří ve vašem prostředí vytvářejí žádosti o oprávnění na vyžádání jménem identit. Například pro identity počítačů. Vytvořte skupinu zabezpečení Microsoft Entra pro tyto správce žadatele.

Doporučujeme používat PIM pro skupiny. To poskytuje přístup JIT k oprávněním žadatele potřebným k provádění žádostí o oprávnění na vyžádání jménem jiných uživatelů.

Pokud chcete vytvořit skupiny zabezpečení Microsoft Entra ID, přečtěte si téma Správa skupin a členství ve skupinách.

Povolit uživatelům provádět žádosti o oprávnění na vyžádání

Správce správy oprávnění přidá identity žadatele do skupiny zabezpečení Správce žadatele pro každý autorizační systém. Přidání identity žadatele umožňuje provádět žádosti o oprávnění na vyžádání pro jakýkoli autorizační systém, pro který má oprávnění. Členové skupiny zabezpečení správce žadatele mohou požádat o oprávnění jménem identit pro zadaný autorizační systém. Přečtěte si další informace o rolích Správa oprávnění Microsoft Entra a úrovních oprávnění.

Určení zásad organizace pro oprávnění na vyžádání

Nastavení oprávnění na vyžádání můžete nakonfigurovat tak, aby odpovídala potřebám organizace. Doporučujeme vytvořit zásady pro:

  • Dostupné role a zásady pro uživatele, které si můžou vyžádat: Pomocí filtrů rolí a zásad určete, co si uživatelé mohou vyžádat. Zabraňte nekvalifikovaným uživatelům v vyžádání vysoce rizikových a vysoce privilegovaných rolí, jako je vlastník předplatného.
  • Omezení doby trvání požadavku: Zadejte maximální povolenou dobu trvání pro oprávnění získaná prostřednictvím oprávnění na vyžádání. Odsouhlaste limit doby trvání, který odpovídá způsobu, jakým uživatelé požadují a získávají přístup k oprávněním.
  • Zásady jednorázového hesla (OTP): Pro žadatele můžete vyžadovat e-mailové OTPs. Kromě toho můžete požadovat, aby schvalovatelé schvalovatelé mohli žádosti schválit nebo odmítnout e-mailem. Tyto konfigurace použijte pro jeden nebo oba scénáře.
  • Automatické schvalování pro AWS: Jako možnost oprávnění na vyžádání pro AWS můžete nakonfigurovat konkrétní žádosti o zásady, které se mají automaticky schválit. Do seznamu automatického schvalování můžete například přidat běžné zásady s nízkým rizikem a ušetřit čas pro žadatele a schvalovatele.

Zjistěte, jak nastavit výběr požadavků a automatického schvalování.

Vytvoření vlastních šablon rolí nebo zásad pro organizaci

V Správa oprávnění Microsoft Entra jsou šablony rolí a zásad sady oprávnění, které můžete vytvořit pro oprávnění na vyžádání. Vytvořte šablony, které se mapuje na běžné akce prováděné ve vašem prostředí. Uživatelé pak mají šablony, které budou požadovat sady oprávnění, a ne průběžně vybírat jednotlivá oprávnění.

Pokud je například vytvoření virtuálního počítače běžnou úlohou, vytvořte šablonu vytvořit virtuální počítač s požadovanými oprávněními. Uživatelé nemusí vědět ani ručně vybrat všechna požadovaná oprávnění k úkolu.

Informace o vytváření šablon rolí nebo zásad najdete v tématu Zobrazení rolí/zásad a žádostí o oprávnění na řídicím panelu Náprava.

Další kroky