Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Privileged Access zahrnuje ovládací prvky, které chrání privilegovaný přístup k vašemu tenantovi a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5,4, 6,8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Princip zabezpečení: Ujistěte se, že identifikujete všechny účty s vysokým dopadem na firmu. Omezte počet privilegovaných nebo administrativních účtů v řídicí rovině cloudu, rovině správy a rovině dat nebo úloh.
Pokyny k Azure: Musíte zabezpečit všechny role s přímým nebo nepřímým přístupem pro správu k prostředkům hostovaným v Azure.
Azure Active Directory (Azure AD) je výchozí služba pro správu identit a přístupu v Azure. Nejdůležitější předdefinované role v Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce. S těmito oprávněními můžou uživatelé přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure:
- Globální správce / správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy ve službě Azure AD a ke službám, které používají identity Azure AD.
- Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD i v rámci služby Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.
Mimo Azure AD má Azure předdefinované role, které můžou být důležité pro privilegovaný přístup na úrovni prostředků.
- Vlastník: Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC.
- Přispěvatel: Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí.
- Správce uživatelských přístupů: Umožňuje spravovat přístup uživatelů k prostředkům Azure.
Poznámka: Pokud používáte vlastní role na úrovni Azure AD nebo na úrovni prostředku s určitými privilegovanými oprávněními, můžete mít jiné důležité role, které je potřeba řídit.
Uživatelé s následujícími třemi rolemi na portálu smlouvy Azure Enterprise (EA) by navíc měli být také omezeni, protože je můžete použít přímo nebo nepřímo ke správě předplatných Azure.
- Vlastník účtu: Uživatelé s touto rolí můžou spravovat předplatná, včetně vytváření a odstraňování předplatných.
- Podnikový správce: Uživatelé přiřazení k této roli můžou spravovat uživatele portálu (EA).
- Správce oddělení: Uživatelé přiřazení k této roli můžou měnit vlastníky účtů v rámci oddělení.
Nakonec zajistěte, abyste také omezili privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup pro správu k důležitým obchodním prostředkům, jako jsou řadiče domény služby Active Directory , nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými na důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení ohrožují, je mohou okamžitě zneužít k ohrožení důležitých obchodních prostředků.
Implementace Azure a další kontext:
- Oprávnění role správce v Azure AD
- Použijte výstrahy zabezpečení Azure Privileged Identity Management
- Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD
Pokyny pro AWS: Musíte zabezpečit všechny role s přímým nebo nepřímým přístupem pro správu k hostovaným prostředkům AWS.
Privilegovaní nebo administrativní uživatelé musí být zabezpečeni:
- Root uživatel: Root uživatel jsou účty s oprávněními na nejvyšší úrovni ve vašem účtu AWS. Kořenové účty by měly být vysoce omezené a měly by se používat jenom v nouzové situaci. Přečtěte si o řízení nouzového přístupu v PA-5 (nastavení nouzového přístupu).
- Identity IAM (uživatelé, skupiny, role) se zásadami privilegovaného oprávnění: Identity IAM přiřazené pomocí zásad oprávnění, jako je AdministratorAccess, můžou mít úplný přístup ke službám a prostředkům AWS.
Pokud jako zprostředkovatele identity pro AWS používáte Azure Active Directory (Azure AD), projděte si pokyny k Azure pro správu privilegovaných rolí v Azure AD.
Zajistěte, abyste také omezili privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup pro správu k důležitým obchodním prostředkům, jako jsou AWS Cognito, nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení ohrožují, je mohou okamžitě zneužít k ohrožení důležitých obchodních prostředků.
Implementace AWS a další kontext:
Pokyny pro GCP: Musíte zabezpečit všechny role s přímým nebo nepřímým přístupem pro správu k prostředkům hostovaným GCP.
Nejdůležitější integrovanou rolí v Google Cloudu je supersprávce. Supersprávce může provádět všechny úlohy v konzole pro správu a má neodvolatelná oprávnění správce. Nedoporučuje se používat účet supersprávce pro každodenní správu.
Základní role jsou vysoce permisivní starší role a doporučuje se, aby se základní role nepoužívaly v produkčních prostředích, protože uděluje široký přístup ke všem prostředkům Google Cloud. Mezi základní role patří role Čtenář, Editor a Vlastník. Místo toho doporučujeme použít předdefinované nebo vlastní role. Mezi privilegované předdefinované role patří:
- Správce organizace: Uživatelé s touto rolí můžou spravovat zásady IAM a zobrazovat zásady organizace pro organizace, složky a projekty.
- Správce zásad organizace: Uživatelé s touto rolí mohou definovat, jaká omezení chce organizace umístit na konfiguraci cloudových prostředků nastavením zásad organizace.
- Správce rolí organizace: Uživatelé s touto rolí mohou spravovat všechny vlastní role v organizaci a projekty pod ní.
- Správce zabezpečení: Uživatelé s touto rolí můžou získat a nastavit všechny zásady IAM.
- Odepřít správce: Uživatelé s touto rolí mají oprávnění ke čtení a úpravě zásad odepření IAM.
Některé předdefinované role navíc obsahují privilegovaná oprávnění IAM na úrovni organizace, složky a projektu. Mezi tato oprávnění IAM patří:
- správce organizace
- folderIAMAdmin
- projectIAMAdmin
Dále implementujte oddělení povinností tím, že přiřadíte role k účtům pro různé projekty nebo využijete binární autorizaci pomocí Google Kubernetes Engine.
Nakonec zajistěte, abyste také omezili privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup pro správu k důležitým podnikovým prostředkům, jako jsou Cloud DNS, nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení ohrožují, je mohou okamžitě zneužít k ohrožení důležitých obchodních prostředků.
Implementace GCP a další kontext:
- Osvědčené postupy pro účet supersprávce
- Referenční informace k základním a předdefinovaným rolím IAM
- Oddělení povinností a rolí správy identit a přístupu
Zúčastněné strany zabezpečení zákazníků (Další informace):
- Správa identit a klíčů
- Architektura zabezpečení
- Správa dodržování standardů zabezpečení
- Operace zabezpečení
PA-2: Vyhněte se stálému přístupu k uživatelským účtům a oprávněním
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| není k dispozici | AC-2 | není k dispozici |
Princip zabezpečení: Místo vytváření trvalých oprávnění použijte mechanismus JIT (just-in-time) k přiřazení privilegovaného přístupu k různým úrovním prostředků.
Pokyny k Azure: Povolení privilegovaného přístupu za běhu (JIT) k prostředkům Azure a Azure AD pomocí služby Azure AD Privileged Identity Management (PIM). JIT je model, ve kterém uživatelé dostávají dočasná oprávnění k provádění privilegovaných úloh, což brání škodlivým nebo neoprávněným uživatelům v získání přístupu po vypršení platnosti oprávnění. Přístup se uděluje jenom v případě, že ho uživatelé potřebují. PIM může také generovat výstrahy zabezpečení, pokud ve vaší organizaci Azure AD existuje podezřelá nebo nebezpečná aktivita.
Omezte příchozí provoz na porty pro správu citlivých virtuálních počítačů pomocí nástroje Microsoft Defender for Cloud just-in-time (JIT) pro funkci přístupu k virtuálním počítačům. Tím se zajistí privilegovaný přístup k virtuálnímu počítači jenom v případě, že ho uživatelé potřebují.
Implementace Azure a další kontext:
Pokyny k AWS: Použití služby tokenů zabezpečení AWS (AWS STS) k vytvoření dočasných přihlašovacích údajů zabezpečení pro přístup k prostředkům prostřednictvím rozhraní AWS API. Dočasné přihlašovací údaje zabezpečení fungují téměř stejně jako přihlašovací údaje dlouhodobého přístupového klíče, které můžou uživatelé IAM používat, s následujícími rozdíly:
- Dočasné přihlašovací údaje zabezpečení mají krátkodobou životnost od minut do hodin.
- Dočasné přihlašovací údaje zabezpečení se neukládají s uživatelem, ale při vyžádání se generují dynamicky a poskytují uživateli.
Implementace AWS a další kontext:
Pokyny pro GCP: Podmíněný přístup IAM se používá k vytváření dočasného přístupu k prostředkům pomocí podmíněných vazeb rolí v zásadách povolení, které jsou uděleny uživatelům služby Cloud Identity. Nakonfigurujte atributy data a času pro vynucení ovládacích prvků založených na čase pro přístup k určitému prostředku. Dočasný přístup může mít krátkodobou životnost, od minut do hodin nebo může být udělen na základě dnů nebo hodin v týdnu.
Implementace GCP a další kontext:
Zúčastněné strany zabezpečení zákazníků (Další informace):
- Správa identit a klíčů
- Architektura zabezpečení
- Správa dodržování standardů zabezpečení
- Operace zabezpečení
PA-3: Správa životního cyklu identit a nároků
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Princip zabezpečení: Použití automatizovaného procesu nebo technického řízení ke správě životního cyklu identit a přístupu, včetně žádosti, kontroly, schválení, zřízení a zrušení zřízení.
Pokyny k Azure: Použití funkcí správy nároků Azure AD k automatizaci pracovních postupů žádostí o přístup (pro skupiny prostředků Azure) To umožňuje pracovním postupům pro skupiny prostředků Azure spravovat přiřazení přístupu, kontroly, vypršení platnosti a dvoufázové nebo vícefázové schvalování.
Pomocí správy oprávnění můžete detekovat, automaticky nastavit správnou velikost a nepřetržitě monitorovat nepoužitá a nadměrná oprávnění přiřazená identitám uživatelů a úloh napříč více cloudovými infrastrukturami.
Implementace Azure a další kontext:
Pokyny k AWS: Použijte AWS Access Advisor k získání přístupových protokolů pro uživatelské účty a oprávnění k prostředkům. Vytvořte ruční nebo automatizovaný pracovní postup pro integraci se službou AWS IAM za účelem správy přiřazení přístupu, kontrol a odstranění.
Poznámka: Na webu AWS Marketplace jsou k dispozici řešení třetích stran pro správu životního cyklu identit a nároků.
Implementace AWS a další kontext:
- IAM Access Advisor
- Řešení pro správu identit a přístupu AWS Marketplace
Pokyny pro GCP: Pomocí protokolů auditu cloudu Googlu můžete vyžádat protokoly auditu aktivit správců a přístupu k datům pro uživatelské účty a nároky na prostředky. Vytvořte ruční nebo automatizovaný pracovní postup pro integraci s GCP IAM za účelem správy přiřazení přístupu, kontrol a odstranění.
Použijte Google Cloud Identity Premium k poskytování základních služeb pro správu identit a zařízení. Mezi tyto služby patří funkce, jako je automatické zřizování uživatelů, přidávání aplikací na seznam povolených a automatizovaná správa mobilních zařízení.
Poznámka: Na Google Cloud Marketplace jsou k dispozici řešení třetích stran pro správu životního cyklu identit a nároků.
Implementace GCP a další kontext:
- IAM Access Advisor
- Cloud Identity a Atlassian přístup: Správa životního cyklu uživatelů ve vaší organizaci
- Udělení a odvolání přístupu k rozhraní API
- Odvolání přístupu k projektu Google Cloud
Zúčastněné strany zabezpečení zákazníků (Další informace):
PA-4: Pravidelně kontrolujte a odsouhlaste přístup uživatelů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Princip zabezpečení: Pravidelná kontrola oprávnění k privilegovaným účtům Ujistěte se, že přístup udělený účtům je platný pro správu řídicí roviny, roviny správy a úloh.
Pokyny k Azure: Projděte si všechny privilegované účty a nároky na přístup v Azure, včetně tenantů Azure, služeb Azure, virtuálních počítačů/ IaaS, procesů CI/CD a podnikových nástrojů pro správu a zabezpečení.
Pomocí kontrol přístupu Azure AD zkontrolujte role Azure AD, role přístupu k prostředkům Azure, členství ve skupinách a přístup k podnikovým aplikacím. Reportování v Azure AD může také poskytovat protokoly, které pomáhají odhalit neaktivní účty nebo účty, které nebyly použity po určitou dobu.
Kromě toho je možné službu Azure AD Privileged Identity Management nakonfigurovat tak, aby upozorňovala, když se pro určitou roli vytvoří nadměrný počet účtů správců, a identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Implementace Azure a další kontext:
- Vytvořit revizi přístupu rolí prostředků Azure ve službě Privileged Identity Management (PIM)
- Jak používat kontroly identit a přístupu Azure AD
Pokyny pro AWS: Zkontrolujte všechny privilegované účty a přístupová oprávnění v AWS, včetně účtů AWS, služeb, virtuálních počítačů/ IaaS, procesů CI/CD a nástrojů pro správu a zabezpečení podniku.
Pomocí IAM Access Advisoru, Access Analyzeru a sestav přihlašovacích údajů můžete zkontrolovat role přístupu k prostředkům, členství ve skupinách a přístup k podnikovým aplikacím. Sestavy analyzátoru přístupu IAM a sestav přihlašovacích údajů můžou také poskytovat protokoly, které pomáhají zjišťovat zastaralé účty nebo účty, které se po určitou dobu nepoužívaly.
Pokud jako zprostředkovatele identity pro AWS používáte Azure Active Directory (Azure AD), pravidelně zkontrolujte privilegované účty a přístupové nároky pomocí kontroly přístupu k Azure AD.
Implementace AWS a další kontext:
- Analyzátor přístupu IAM
- Zpráva o pověření
- IAM Access Advisor
Pokyny pro GCP: Projděte si všechny privilegované účty a nároky na přístup v Google Cloudu, včetně účtů cloudových identit, služeb, virtuálních počítačů/ IaaS, procesů CI/CD a podnikových nástrojů pro správu a zabezpečení.
Pomocí protokolů auditu cloudu a Analyzátoru zásad zkontrolujte role přístupu k prostředkům a členství ve skupinách. Vytvořte analytické dotazy v Analyzátoru zásad, abyste pochopili a zjistili, které subjekty mají přístup ke konkrétním prostředkům.
Pokud jako zprostředkovatele identity pro Google Cloud používáte Azure Active Directory (Azure AD), pravidelně zkontrolujte privilegované účty a přístupové nároky pomocí kontroly přístupu k Azure AD.
Kromě toho je možné službu Azure AD Privileged Identity Management nakonfigurovat tak, aby upozorňovala, když se pro určitou roli vytvoří nadměrný počet účtů správců, a identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Implementace GCP a další kontext:
Zúčastněné strany zabezpečení zákazníků (Další informace):
PA-5: Nastavení nouzového přístupu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| není k dispozici | AC-2 | není k dispozici |
Princip zabezpečení: Nastavte nouzový přístup, abyste měli jistotu, že v případě tísňového volání nechtěně nezamknete kritickou cloudovou infrastrukturu (například váš systém správy identit a přístupu).
Účty pro nouzový přístup by se měly používat jen zřídka a v případě ohrožení zabezpečení mohou být pro organizaci velmi škodlivé, ale jejich dostupnost pro organizaci je pro několik scénářů, které jsou potřeba, velmi důležité.
Pokyny k Azure: Pokud chcete zabránit náhodnému uzamčení vaší organizace Azure AD, nastavte pro přístup účet tísňového volání (např. účet s rolí globálního správce) pro přístup, pokud se nedají použít běžné účty pro správu. Účty pro nouzový přístup jsou obvykle vysoce privilegované a neměly by se přiřazovat konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na nouzové nebo kritické situace, kdy se nedají použít běžné administrativní účty.
Měli byste zajistit, aby přihlašovací údaje (například heslo, certifikát nebo čipová karta) pro účty pro nouzový přístup byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat pouze v nouzovém stavu. Můžete také použít další ovládací prvky, jako jsou duální kontroly (např. rozdělení přihlašovacích údajů na dvě části a poskytnutí samostatným osobám), aby se zlepšilo zabezpečení tohoto procesu. Měli byste také monitorovat protokoly přihlášení a auditu, abyste měli jistotu, že se účty pro nouzový přístup použijí jenom v případě autorizace.
Implementace Azure a další kontext:
Pokyny pro AWS: Kořenové účty AWS by se neměly používat pro běžné úlohy správy. Protože je účet root vysoce privilegovaný, neměl by se přiřazovat konkrétním jednotlivcům. Použití by mělo být omezeno pouze na nouzové nebo krajní scénáře, kdy nelze použít standardní administrátorské účty. Pro každodenní úlohy správy by se měly používat samostatné privilegované uživatelské účty a přiřadit jim příslušná oprávnění prostřednictvím rolí IAM.
Měli byste také zajistit, aby přihlašovací údaje (například heslo, tokeny MFA a přístupové klíče) pro kořenové účty byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat pouze v nouzovém stavu. Pro kořenový účet by mělo být povolené vícefaktorové ověřování a můžete také použít další ovládací prvky, jako jsou duální kontroly (například rozdělení přihlašovacích údajů na dvě části a jeho poskytnutí samostatným osobám), aby se zlepšilo zabezpečení tohoto procesu.
Měli byste také monitorovat protokoly přihlášení a auditu v CloudTrail nebo EventBridge, abyste měli jistotu, že se účty kořenového přístupu použijí jenom při autorizaci.
Implementace AWS a další kontext:
Pokyny pro GCP: Účty supersprávce Google Cloud Identity by se neměly používat pro běžné úlohy správy. Protože je účet supersprávce vysoce privilegovaný, neměl by se přiřazovat konkrétním jednotlivcům. Použití by mělo být omezené pouze na nouzové situace, kdy není možné využít normální administrativní účty. Pro každodenní úlohy správy by se měly používat samostatné privilegované uživatelské účty a přiřadit jim příslušná oprávnění prostřednictvím rolí IAM.
Měli byste také zajistit, aby přihlašovací údaje (například heslo, tokeny MFA a přístupové klíče) pro účty supersprávců byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat pouze v nouzovém stavu. Vícefaktorové ověřování by mělo být povolené pro účet supersprávce a můžete také použít další ovládací prvky, jako jsou duální kontroly (například rozdělení přihlašovacích údajů na dvě části a jeho poskytnutí samostatným osobám), aby se zlepšilo zabezpečení tohoto procesu.
Měli byste také monitorovat protokoly přihlašování a auditu v Cloud Audit Logs, nebo použít Analyzátor zásad, abyste zajistili, že účty supersprávce jsou použity, ale pouze když je to povoleno.
Implementace GCP a další kontext:
Zúčastněné strany zabezpečení zákazníků (Další informace):
- Zabezpečení aplikací a DevSecOps
- Správa dodržování standardů zabezpečení
- Operace zabezpečení (SecOps)
PA-6: Použití pracovních stanic s privilegovaným přístupem
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | není k dispozici |
Princip zabezpečení: Zabezpečené, izolované pracovní stanice jsou zásadně důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a operátor důležitých služeb.
Pokyny k Azure: K nasazení pracovních stanic s privilegovaným přístupem v místním prostředí nebo v Azure v Azure použijte Azure Active Directory, Microsoft Defender nebo Microsoft Intune. Pracovní stanice s privilegovaným přístupem (PAW) by měla být centrálně spravována pro vynucení zabezpečené konfigurace, včetně silného ověřování, základní konfigurace softwaru a hardwaru a omezeného logického a síťového přístupu.
Můžete také použít Azure Bastion, což je plně platforma spravovaná služba PaaS, která se dá zřídit ve vaší virtuální síti. Azure Bastion umožňuje připojení RDP/SSH k virtuálním počítačům přímo z webu Azure Portal pomocí webového prohlížeče.
Implementace Azure a další kontext:
- Pochopte pracovní stanice s privilegovaným přístupem
- Nasazení pracovních stanic s privilegovaným přístupem
Pokyny pro AWS: Pomocí Správce relací v AWS Systems Manageru vytvořte přístupovou cestu (relaci připojení) k instanci EC2 nebo relaci prohlížeče k prostředkům AWS pro privilegované úlohy. Správce relací umožňuje připojení RDP, SSH a HTTPS k cílovým hostitelům prostřednictvím přesměrování portů.
Můžete se také rozhodnout nasadit pracovní stanice s privilegovaným přístupem centrálně spravované prostřednictvím Azure Active Directory, Microsoft Defenderu nebo Microsoft Intune. Centrální správa by měla vynutit zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Implementace AWS a další kontext:
Pokyny pro GCP: K vytvoření přístupové cesty (relace připojení) k výpočetní instanci pro privilegované úlohy použijte Desktop Identity-Aware Proxy (IAP). IAP Desktop umožňuje připojení RDP a SSH k cílovým hostitelům přes přesměrování portů. Výpočetní instance Linuxu, které jsou externí, se navíc můžou připojit přes prohlížeč SSH prostřednictvím konzoly Google Cloud.
Můžete se také rozhodnout nasadit pracovní stanice s privilegovaným přístupem centrálně spravované prostřednictvím správy koncových bodů pracovního prostoru Google nebo řešení Microsoftu (Azure Active Directory, Microsoft Defender a/nebo Microsoft Intune). Centrální správa by měla vynutit zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Můžete také vytvořit bastion hosty pro zabezpečený přístup k důvěryhodným prostředím s definovanými parametry.
Implementace GCP a další kontext:
- Zabezpečené připojení k instancím virtuálních počítačů
- Připojení k virtuálním počítačům s Linuxem pomocí Identity-Aware Proxy
- Připojení k virtuálním počítačům pomocí hostitele bastionu
Zúčastněné strany zabezpečení zákazníků (Další informace):
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Princip zabezpečení: Pokud chcete spravovat oprávnění na jemně odstupňované úrovni, postupujte podle principu just enough administration (nejméně oprávnění). Pomocí funkcí, jako je řízení přístupu na základě role (RBAC), můžete spravovat přístup k prostředkům prostřednictvím přiřazení rolí.
Doprovodné materiály k Azure: Použití řízení přístupu na základě role (Azure RBAC) ke správě přístupu k prostředkům Azure prostřednictvím přiřazení rolí. Prostřednictvím RBAC můžete přiřadit role uživatelům, skupinám, instančním objektům a spravovaným identitám. Pro určité prostředky existují předdefinované role a tyto role je možné inventarizovat nebo dotazovat prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell a Azure portal.
Oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, by měla být vždy omezená na to, co role vyžadují. Omezená oprávnění doplňují přístup JIT (just-in-time) služby Azure AD Privileged Identity Management (PIM) a tato oprávnění by se měla pravidelně kontrolovat. V případě potřeby můžete také pomocí PIM definovat přiřazení vázané na čas, což je podmínka v přiřazení role, kde uživatel může aktivovat roli pouze v zadaných počátečních a koncových datech.
Poznámka: Pomocí předdefinovaných rolí Azure přidělte oprávnění a v případě potřeby vytvořte jenom vlastní role.
Implementace Azure a další kontext:
- Co je řízení přístupu na základě role v Azure (Azure RBAC)
- Jak nakonfigurovat řízení přístupu podle rolí v Azure
- Jak používat kontroly identit a přístupu Azure AD
- Azure AD Privileged Identity Management – Přiřazení vázané na čas
Pokyny pro AWS: Použití zásad AWS ke správě přístupu k prostředkům AWS Existuje šest typů zásad: zásady založené na identitách, zásady založené na prostředcích, hranice oprávnění, zásady řízení služeb AWS Organizations (SCP), seznam řízení přístupu a zásady relací. Spravované zásady AWS můžete použít pro běžné případy použití oprávnění. Měli byste ale mít na paměti, že spravované zásady můžou mít nadměrná oprávnění, která by neměla být přiřazena uživatelům.
AWS ABAC (řízení přístupu na základě atributů) můžete také použít k přiřazení oprávnění na základě atributů (značek) připojených k prostředkům IAM, včetně entit IAM (uživatelů nebo rolí) a prostředků AWS.
Implementace AWS a další kontext:
Pokyny pro GCP: Ke správě přístupu k prostředkům GCP prostřednictvím přiřazení rolí použijte zásady Google Cloud IAM. Předdefinované role Google Cloud můžete použít pro běžné případy použití oprávnění. Měli byste však mít na paměti, že předdefinované role můžou mít nadměrná oprávnění, která by neměla být přiřazena uživatelům.
K identifikaci a odebrání nadměrných oprávnění z účtů navíc použijte funkci Policy Intelligence s doporučovačem IAM.
Implementace GCP a další kontext:
Zúčastněné strany zabezpečení zákazníků (Další informace):
- Zabezpečení aplikací a DevSecOps
- Správa dodržování standardů zabezpečení
- Řízení držení těla
- Správa identit a klíčů
PA-8 Určení procesu přístupu pro podporu poskytovatele cloudu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID kódy | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | není k dispozici |
Princip zabezpečení: Vytvořte schvalovací proces a cestu přístupu pro vyžádání a schvalování žádostí o podporu dodavatelů a dočasný přístup k vašim datům prostřednictvím zabezpečeného kanálu.
Pokyny k Azure: Ve scénářích podpory, ve kterých Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a schválení nebo odmítnutí jednotlivých žádostí o přístup k datům, které microsoft provedl.
Implementace Azure a další kontext:
Pokyny pro AWS: Ve scénářích podpory, kde týmy podpory AWS potřebují přístup k vašim datům, vytvořte na portálu podpory AWS účet, který požádá o podporu. Projděte si dostupné možnosti, jako je poskytnutí přístupu k datům jen pro čtení nebo možnost sdílení obrazovky pro podporu AWS pro přístup k vašim datům.
Implementace AWS a další kontext:
Pokyny pro GCP: Ve scénářích podpory, ve kterých péče o zákazníky Google Cloud potřebuje přístup k vašim datům, použijte schválení přístupu ke kontrole a schválení nebo odmítnutí všech žádostí o přístup k datům provedeným cloudovou zákaznickou péči.
Implementace GCP a další kontext:
Zúčastněné strany zabezpečení zákazníků (Další informace):