Řízení zabezpečení: Privilegovaný přístup
Privilegovaný přístup zahrnuje ovládací prvky pro ochranu privilegovaného přístupu k vašemu tenantovi a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem.
PA-1: Oddělte a omezte vysoce privilegované uživatele nebo uživatele s oprávněními pro správu.
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Princip zabezpečení: Ujistěte se, že identifikujete všechny účty s vysokým obchodním dopadem. Omezte počet privilegovaných/administrativních účtů v rovině řízení cloudu, rovině správy a rovině dat nebo úloh.
Pokyny pro Azure: Všechny role musíte zabezpečit přímým nebo nepřímým přístupem pro správu k prostředkům hostovaným v Azure.
Azure Active Directory (Azure AD) je výchozí služba azure pro správu identit a přístupu. Nejdůležitějšími předdefinovanými rolemi v Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce. S těmito oprávněními můžou uživatelé přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure:
- Globální správce nebo správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy v Azure AD i ke službám, které používají Azure AD identity.
- Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD i v rámci Azure AD Privileged Identity Management (PIM). Kromě toho tato role umožňuje správu všech aspektů PIM a jednotek pro správu.
Mimo Azure AD má Azure předdefinované role, které můžou být důležité pro privilegovaný přístup na úrovni prostředků.
- Vlastník: Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC.
- Přispěvatel: Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints ani sdílet galerie obrázků.
- Správce uživatelských přístupů: Umožňuje spravovat uživatelský přístup k prostředkům Azure.
Poznámka: Pokud používáte vlastní role na úrovni Azure AD nebo na úrovni prostředku s přiřazenými určitými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit.
Kromě toho by měli být omezeni také uživatelé s následujícími třemi rolemi na portálu Azure smlouva Enterprise (EA), protože je můžete použít k přímé nebo nepřímé správě předplatných Azure.
- Vlastník účtu: Uživatelé s touto rolí můžou spravovat předplatná, včetně vytváření a odstraňování předplatných.
- Podnikový správce: Uživatelé s touto rolí můžou spravovat uživatele portálu (EA).
- Správce oddělení: Uživatelé s touto rolí můžou měnit vlastníky účtů v rámci oddělení.
Nakonec se ujistěte, že jste také omezili privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup pro správu k důležitým podnikovým prostředkům, jako jsou řadiče Doména služby Active Directory, nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení narušují, můžou okamžitě zneškodnit důležité obchodní prostředky.
Implementace Azure a další kontext:
- Oprávnění role správce v Azure AD
- Používání upozornění zabezpečení služby Azure Privileged Identity Management
- Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD
Pokyny pro AWS: Všechny role musíte zabezpečit pomocí přímého nebo nepřímého přístupu pro správu k hostovaným prostředkům AWS.
Mezi privilegované uživatele nebo uživatele pro správu, které je potřeba zabezpečit, patří:
- Uživatel root: Uživatel root je nejvyšší úrovně privilegovaných účtů ve vašem účtu AWS. Kořenové účty by měly být vysoce omezené a měly by se používat jenom v nouzových situacích. Projděte si řízení nouzového přístupu v PA-5 (Nastavení nouzového přístupu).
- Identity IAM (uživatelé, skupiny, role) se zásadami privilegovaných oprávnění: Identity IAM přiřazené zásadami oprávnění, jako je Například AdministratorAccess, můžou mít úplný přístup ke službám a prostředkům AWS.
Pokud jako zprostředkovatele identity pro AWS používáte Azure Active Directory (Azure AD), projděte si pokyny azure ke správě privilegovaných rolí v Azure AD.
Ujistěte se, že jste také omezili privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup pro správu k důležitým firemním prostředkům, jako je AWS Cognito, nástroje pro zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých podnikových systémech. Útočníci, kteří tyto systémy správy a zabezpečení narušují, můžou okamžitě zneškodnit důležité obchodní prostředky.
Implementace AWS a další kontext:
Pokyny ke GCP: Všechny role musíte zabezpečit přímým nebo nepřímým přístupem pro správu k hostovaným prostředkům GCP.
Nejdůležitější integrovanou rolí v Google Cloudu je supersprávce. Supersprávce může provádět všechny úlohy v konzole Správa a má neodvolatelná oprávnění správce. Nedoporučujeme používat účet supersprávce pro každodenní správu.
Základní role jsou vysoce permisivní starší role a doporučuje se, aby se základní role nepoužívaly v produkčních prostředích, protože udělují široký přístup ke všem prostředkům Google Cloud. Mezi základní role patří role Čtenář, Editor a Vlastník. Místo toho doporučujeme použít předdefinované nebo vlastní role. Mezi předdefinované role s privilegovanými oprávněními patří:
- Správce organizace: Uživatelé s touto rolí můžou spravovat zásady IAM a zobrazovat zásady organizace pro organizace, složky a projekty.
- Správce zásad organizace: Uživatelé s touto rolí můžou definovat, jaká omezení chce organizace nastavit při konfiguraci cloudových prostředků nastavením zásad organizace.
- Správce role organizace: Uživatelé s touto rolí můžou spravovat všechny vlastní role v organizaci a projektech pod ní.
- Správa zabezpečení: Uživatelé s touto rolí můžou získat a nastavit jakékoli zásady IAM.
- Odepřít Správa: Uživatelé s touto rolí mají oprávnění ke čtení a úpravám zásad odepření IAM.
Některé předdefinované role navíc obsahují privilegovaná oprávnění IAM na úrovni organizace, složky a projektu. Mezi tato oprávnění IAM patří:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Dále implementujte oddělení povinností přiřazením rolí účtům pro různé projekty nebo využitím binární autorizace pomocí modulu Google Kubernetes Engine.
Nakonec zajistěte, abyste také omezili privilegované účty v jiných systémech správy, identit a zabezpečení, které mají přístup pro správu k důležitým firemním prostředkům, jako je cloud DNS, nástroje pro zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení narušují, můžou okamžitě zneškodnit důležité obchodní prostředky.
Implementace GCP a další kontext:
- Osvědčené postupy pro účet supersprávce
- Referenční informace k základním a předdefinovaným rolím IAM
- Oddělení povinností a rolí správy identit a přístupu
Účastníci zabezpečení zákazníků (další informace) :
- Správa identit a klíčů
- Architektura zabezpečení
- Správa dodržování předpisů zabezpečení
- Operace zabezpečení
PA-2: Vyhněte se stálému přístupu k uživatelským účtům a oprávněním
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| – | AC-2 | – |
Princip zabezpečení: Místo vytváření trvalých oprávnění použijte k přiřazení privilegovaného přístupu k různým úrovním prostředků mechanismus JIT (just-in-time).
Pokyny pro Azure: Povolení privilegovaného přístupu za běhu (JIT) k prostředkům Azure a Azure AD pomocí Azure AD Privileged Identity Management (PIM). JIT je model, ve kterém uživatelé získají dočasná oprávnění k provádění privilegovaných úloh, která brání škodlivým nebo neoprávněným uživatelům získat přístup po vypršení platnosti oprávnění. Přístup je udělen pouze v případech, kdy ho uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.
Omezte příchozí provoz na porty pro správu citlivých virtuálních počítačů pomocí funkce Microsoft Defender pro přístup k virtuálním počítačům za běhu (JIT) v cloudu. Tím se zajistí, že se privilegovaný přístup k virtuálnímu počítači udělí jenom v případě, že ho uživatelé potřebují.
Implementace Azure a další kontext:
Pokyny pro AWS: Pomocí služby AWS Security Token Service (AWS STS) vytvořte dočasné přihlašovací údaje zabezpečení pro přístup k prostředkům prostřednictvím rozhraní API AWS. Dočasné přihlašovací údaje zabezpečení fungují téměř stejně jako přihlašovací údaje dlouhodobého přístupového klíče, které můžou uživatelé IAM používat, s následujícími rozdíly:
- Dočasné přihlašovací údaje zabezpečení mají krátkodobou životnost od minut po hodiny.
- Dočasné přihlašovací údaje zabezpečení se neukládají u uživatele, ale jsou generovány dynamicky a poskytují se uživateli na vyžádání.
Implementace AWS a další kontext:
Pokyny ke GCP: Pomocí podmíněného přístupu IAM vytvořte dočasný přístup k prostředkům pomocí vazeb podmíněné role v zásadách povolení, které se udělují uživatelům cloudové identity. Nakonfigurujte atributy data a času, které vynutí ovládací prvky založené na čase pro přístup ke konkrétnímu prostředku. Dočasný přístup může mít krátkodobou životnost, od minut po hodiny, nebo může být udělen na základě dnů nebo hodin v týdnu.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Správa identit a klíčů
- Architektura zabezpečení
- Správa dodržování předpisů zabezpečení
- Operace zabezpečení
PA-3: Správa životního cyklu identit a nároků
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Princip zabezpečení: Použijte automatizovaný proces nebo technické řízení ke správě životního cyklu identity a přístupu, včetně žádosti, kontroly, schválení, zřízení a zrušení zřízení.
Pokyny k Azure: Použití funkcí správy nároků Azure AD k automatizaci pracovních postupů žádostí o přístup (pro skupiny prostředků Azure). To umožňuje pracovním postupům pro skupiny prostředků Azure spravovat přiřazení přístupu, kontroly, vypršení platnosti a dvoufázové nebo vícefázové schválení.
Správa oprávnění slouží ke zjišťování, automatickému nastavení správné velikosti a průběžnému monitorování nepoužívaných a nadměrných oprávnění přiřazených identitám uživatelů a úloh napříč více cloudovými infrastrukturami.
Implementace Azure a další kontext:
Pokyny pro AWS: Pomocí AWS Access Advisoru načítáte protokoly přístupu pro uživatelské účty a oprávnění k prostředkům. Vytvořte ruční nebo automatizovaný pracovní postup pro integraci s AWS IAM za účelem správy přiřazení přístupu, kontrol a odstranění.
Poznámka: Na AWS Marketplace jsou k dispozici řešení třetích stran pro správu životního cyklu identit a nároků.
Implementace AWS a další kontext:
Pokyny ke GCP: Pomocí protokolů cloudového auditu od Googlu načítáte protokoly auditu aktivit správce a přístupu k datům pro uživatelské účty a oprávnění pro prostředky. Vytvořte ruční nebo automatizovaný pracovní postup pro integraci s GCP IAM za účelem správy přiřazení přístupu, kontrol a odstranění.
K poskytování základních služeb pro správu identit a zařízení použijte Google Cloud Identity Premium. Tyto služby zahrnují funkce, jako je automatizované zřizování uživatelů, přidávání aplikací na seznam povolených a automatizovaná správa mobilních zařízení.
Poznámka: Na Google Cloud Marketplace jsou k dispozici řešení třetích stran pro správu životního cyklu identit a nároků.
Implementace GCP a další kontext:
- IAM Access Advisor
- Cloudová identita a přístup k atlassianu: Správa životního cyklu uživatelů v celé organizaci
- Udělení a odvolání přístupu k rozhraní API
- Odvolání přístupu k projektu Google Cloud
Účastníci zabezpečení zákazníků (další informace):
PA-4: Pravidelná kontrola a odsouhlasení přístupu uživatelů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Princip zabezpečení: Pravidelně kontrolujte oprávnění privilegovaného účtu. Ujistěte se, že přístup udělený účtům je platný pro správu řídicí roviny, roviny řízení a úloh.
Pokyny k Azure: Zkontrolujte všechny privilegované účty a přístupová oprávnění v Azure, včetně tenantů Azure, služeb Azure, virtuálních počítačů nebo IaaS, procesů CI/CD a nástrojů pro správu a zabezpečení podniku.
Pomocí Azure AD kontrol přístupu můžete zkontrolovat role Azure AD, role pro přístup k prostředkům Azure, členství ve skupinách a přístup k podnikovým aplikacím. Azure AD generování sestav může také poskytovat protokoly, které pomáhají zjišťovat zastaralé účty nebo účty, které se po určitou dobu nepoužívaly.
Kromě toho je možné nakonfigurovat Azure AD Privileged Identity Management tak, aby upozorňovaly na vytvoření nadměrného počtu účtů správců pro určitou roli a identifikovaly účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Implementace Azure a další kontext:
- Vytvoření kontroly přístupu rolí prostředků Azure v Privileged Identity Management (PIM)
- Používání kontrol přístupu a identit Azure AD
Pokyny pro AWS: Zkontrolujte všechny privilegované účty a přístupová oprávnění v AWS, včetně účtů AWS, služeb, virtuálních počítačů/IaaS, procesů CI/CD a nástrojů pro správu a zabezpečení podniku.
Pomocí IAM Access Advisoru, Access Analyzeru a sestav přihlašovacích údajů můžete zkontrolovat role přístupu k prostředkům, členství ve skupinách a přístup k podnikovým aplikacím. Sestavy analyzátoru přístupu IAM a sestav přihlašovacích údajů mohou také poskytovat protokoly, které pomáhají zjišťovat zastaralé účty nebo účty, které se po určitou dobu nepoužívaly.
Pokud jako zprostředkovatele identity pro AWS používáte Azure Active Directory (Azure AD), pomocí kontroly přístupu Azure AD pravidelně kontrolujte privilegované účty a přístupová oprávnění.
Implementace AWS a další kontext:
Pokyny ke GCP: Zkontrolujte všechny privilegované účty a přístupová oprávnění v Google Cloudu, včetně účtů cloudových identit, služeb, virtuálních počítačů/IaaS, procesů CI/CD a nástrojů pro správu a zabezpečení podniku.
Pomocí protokolů auditu cloudu a Analyzátoru zásad můžete zkontrolovat role přístupu k prostředkům a členství ve skupinách. Vytvořte analytické dotazy v Analyzátoru zásad, abyste zjistili, které objekty zabezpečení mají přístup ke konkrétním prostředkům.
Pokud jako zprostředkovatele identity pro Google Cloud používáte Azure Active Directory (Azure AD), pomocí kontroly přístupu Azure AD pravidelně kontrolujte privilegované účty a přístupová oprávnění.
Kromě toho je možné nakonfigurovat Azure AD Privileged Identity Management tak, aby upozorňovaly na vytvoření nadměrného počtu účtů správců pro určitou roli a identifikovaly účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
PA-5: Nastavení nouzového přístupu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | AC-2 | – |
Princip zabezpečení: Nastavte nouzový přístup, abyste v případě nouze nechtěně nezablokovali kritickou cloudovou infrastrukturu (například systém pro správu identit a přístupu).
Účty pro nouzový přístup by se měly používat zřídka a v případě ohrožení by mohly být pro organizaci velmi škodlivé, ale jejich dostupnost pro organizaci je také kriticky důležitá pro několik scénářů, kdy jsou potřeba.
Pokyny pro Azure: Pokud chcete zabránit náhodnému uzamčení vaší Azure AD organizace, nastavte účet pro nouzový přístup (např. účet s rolí globálního správce) pro přístup, když není možné použít normální účty pro správu. Účty pro nouzový přístup jsou obvykle vysoce privilegované a neměly by se přiřazovat konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na nouzové nebo "prosklené" scénáře, kdy není možné použít běžné účty pro správu.
Měli byste zajistit, aby přihlašovací údaje (například heslo, certifikát nebo čipová karta) pro účty pro nouzový přístup byly zabezpečené a aby o nich věděli jenom ti, kteří jsou oprávněni je použít jenom v případě nouze. Můžete také použít další ovládací prvky, jako jsou duální kontroly (např. rozdělení přihlašovacích údajů na dvě části a jejich předání samostatným osobám), abyste zvýšili zabezpečení tohoto procesu. Měli byste také monitorovat protokoly přihlašování a auditu, abyste měli jistotu, že se účty pro nouzový přístup používají jenom v případě, že jsou autorizované.
Implementace Azure a další kontext:
Pokyny pro AWS: Kořenové účty AWS by se neměly používat pro běžné úlohy správy. Vzhledem k tomu, že "kořenový" účet je vysoce privilegovaný, neměl by se přiřazovat konkrétním jednotlivcům. Jeho použití by mělo být omezeno pouze na nouzové nebo "prosklené" scénáře, kdy není možné použít běžné účty pro správu. Pro každodenní úlohy správy by se měly používat samostatné privilegované uživatelské účty, které by měly mít přiřazená příslušná oprávnění prostřednictvím rolí IAM.
Měli byste také zajistit, aby přihlašovací údaje (například heslo, tokeny MFA a přístupové klíče) pro kořenové účty byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat pouze v případě nouze. Pro kořenový účet by mělo být povolené vícefaktorové ověřování a můžete také použít další ovládací prvky, jako jsou duální kontroly (např. rozdělení přihlašovacích údajů na dvě části a jejich předání samostatným osobám), aby se zvýšilo zabezpečení tohoto procesu.
Měli byste také monitorovat protokoly přihlašování a auditu v CloudTrail nebo EventBridge, abyste měli jistotu, že se účty pro přístup root používají jenom v případě, že jsou autorizované.
Implementace AWS a další kontext:
Pokyny GCP: Účty supersprávce Google Cloud Identity by se neměly používat pro běžné úlohy správy. Protože je účet supersprávce vysoce privilegovaný, neměl by se přiřazovat konkrétním jednotlivcům. Jeho použití by mělo být omezeno pouze na nouzové nebo "prosklené" scénáře, kdy není možné použít běžné účty pro správu. Pro každodenní úlohy správy by se měly používat samostatné privilegované uživatelské účty, které by měly mít přiřazená příslušná oprávnění prostřednictvím rolí IAM.
Měli byste také zajistit, aby přihlašovací údaje (například heslo, tokeny vícefaktorového ověřování a přístupové klíče) pro účty supersprávce byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat pouze v případě nouze. Pro účet supersprávce by mělo být povolené vícefaktorové ověřování a můžete také použít další ovládací prvky, jako jsou duální kontroly (např. rozdělení přihlašovacích údajů na dvě části a jejich předání samostatným osobám), aby se zvýšilo zabezpečení tohoto procesu.
Měli byste také monitorovat protokoly přihlašování a auditu v protokolech auditu cloudu nebo se dotazovat na Analyzátor zásad, abyste zajistili, že účty supersprávce se používají jenom v případě, že jsou autorizované.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení aplikací a DevSecOps
- Správa dodržování předpisů zabezpečení
- Operace zabezpečení (SecOps)
PA-6: Použití pracovních stanic s privilegovaným přístupem
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | – |
Princip zabezpečení: Zabezpečené izolované pracovní stanice jsou kriticky důležité pro zabezpečení citlivých rolí, jako jsou správce, vývojář a operátor kritické služby.
Pokyny Pro Azure: Pomocí Azure Active Directory, Microsoft Defender nebo Microsoft Intune nasaďte pracovní stanice s privilegovaným přístupem (PAW) místně nebo v Azure pro privilegované úlohy. Pracovní stanice s privilegovaným přístupem by měla být centrálně spravovaná, aby se vynucuje zabezpečená konfigurace, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Můžete také použít Azure Bastion, což je plně platforma spravovaná služba PaaS, kterou je možné zřídit ve vaší virtuální síti. Azure Bastion umožňuje připojení RDP/SSH k vašim virtuálním počítačům přímo z Azure Portal pomocí webového prohlížeče.
Implementace Azure a další kontext:
- Principy pracovních stanic s privilegovaným přístupem
- Nasazení pracovních stanic s privilegovaným přístupem
Pokyny pro AWS: Pomocí Správce relací v AWS Systems Manageru vytvořte přístupovou cestu (relaci připojení) k instanci EC2 nebo relaci prohlížeče k prostředkům AWS pro privilegované úlohy. Správce relací umožňuje připojení RDP, SSH a HTTPS k cílovým hostitelům prostřednictvím přesměrování portů.
Můžete se také rozhodnout nasadit pracovní stanice s privilegovaným přístupem centrálně spravované prostřednictvím Azure Active Directory, Microsoft Defender nebo Microsoft Intune. Centrální správa by měla vynucovat zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Implementace AWS a další kontext:
Pokyny ke GCP: K vytvoření přístupové cesty (relace připojení) k výpočetní instanci pro Identity-Aware privilegované úlohy použijte desktopový server IAP (proxy server). IAP Desktop umožňuje připojení RDP a SSH k cílovým hostitelům prostřednictvím přesměrování portů. Kromě toho se k výpočetním instancím Linuxu, které jsou přístupné externě, můžou připojit přes SSH v prohlížeči prostřednictvím konzoly Google Cloud.
Můžete se také rozhodnout nasadit pracovní stanice s privilegovaným přístupem centrálně spravované prostřednictvím správy koncových bodů pracovního prostoru Google nebo řešení Microsoftu (Azure Active Directory, Microsoft Defender nebo Microsoft Intune). Centrální správa by měla vynucovat zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Můžete také vytvořit hostitele bastionu pro zabezpečený přístup k důvěryhodným prostředím s definovanými parametry.
Implementace GCP a další kontext:
- Zabezpečené připojení k instancím virtuálních počítačů
- Připojení k virtuálním počítačům s Linuxem pomocí Identity-Aware Proxy
- Připojení k virtuálním počítačům pomocí hostitele bastionu
Účastníci zabezpečení zákazníků (další informace):
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Princip zabezpečení: Pokud chcete spravovat oprávnění na podrobné úrovni, postupujte podle dostatečného principu správy (nejnižších oprávnění). Pomocí funkcí, jako je řízení přístupu na základě role (RBAC), můžete spravovat přístup k prostředkům prostřednictvím přiřazení rolí.
Pokyny k Azure: Řízení přístupu na základě role v Azure (Azure RBAC) slouží ke správě přístupu k prostředkům Azure prostřednictvím přiřazení rolí. Prostřednictvím RBAC můžete přiřadit role uživatelům, skupinám, instančním objektům a spravovaným identitám. Pro určité prostředky jsou předdefinované předdefinované role a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell a Azure Portal.
Oprávnění, která přiřadíte prostředkům prostřednictvím Azure RBAC, by měla být vždy omezená na to, co role vyžadují. Omezená oprávnění doplňují přístup podle potřeby (JIT) Azure AD Privileged Identity Management (PIM) a tato oprávnění by se měla pravidelně kontrolovat. V případě potřeby můžete také použít PIM k definování časově vázaného přiřazení, což je podmínka v přiřazení role, kdy uživatel může roli aktivovat pouze v rámci zadaného počátečního a koncového data.
Poznámka: Pomocí předdefinovaných rolí Azure můžete přidělovat oprávnění a vytvářet vlastní role jenom v případě potřeby.
Implementace Azure a další kontext:
- Co je řízení přístupu na základě role v Azure (Azure RBAC)
- Konfigurace řízení přístupu na základě role Azure
- Používání kontrol přístupu a identit Azure AD
- Azure AD Privileged Identity Management – časově vázané přiřazení
Pokyny pro AWS: Použití zásad AWS ke správě přístupu k prostředkům AWS Existuje šest typů zásad: zásady založené na identitách, zásady na základě prostředků, hranice oprávnění, zásady řízení služby AWS Organizations Service Control Policy (SCP), Access Control Seznam a zásady relací. Spravované zásady AWS můžete použít pro běžné případy použití oprávnění. Měli byste ale mít na paměti, že spravované zásady můžou obsahovat nadměrná oprávnění, která by se uživatelům neměla přiřazovat.
Můžete také použít AWS ABAC (řízení přístupu na základě atributů) k přiřazení oprávnění na základě atributů (značek) připojených k prostředkům IAM, včetně entit IAM (uživatelů nebo rolí) a prostředků AWS.
Implementace AWS a další kontext:
Pokyny ke GCP: Pomocí zásad Google Cloud IAM můžete spravovat přístup k prostředkům GCP prostřednictvím přiřazení rolí. Pro běžné případy použití oprávnění můžete použít předdefinované role služby Google Cloud. Měli byste ale mít na paměti, že předdefinované role můžou obsahovat nadměrná oprávnění, která by se uživatelům neměla přiřazovat.
Kromě toho můžete pomocí funkce Policy Intelligence s nástrojem pro doporučování IAM identifikovat a odebírat nadměrné oprávnění z účtů.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení aplikací a DevSecOps
- Správa dodržování předpisů zabezpečení
- Správa stavu
- Správa identit a klíčů
PA-8 – Určení procesu přístupu pro podporu poskytovatele cloudu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | – |
Princip zabezpečení: Vytvořte schvalovací proces a přístupovou cestu pro vyžádání a schvalování žádostí o podporu dodavatelů a dočasný přístup k vašim datům prostřednictvím zabezpečeného kanálu.
Pokyny pro Azure: Ve scénářích podpory, kdy Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a schválení nebo zamítnutí každé žádosti o přístup k datům, které Microsoft provedl.
Implementace Azure a další kontext:
Pokyny pro AWS: Ve scénářích podpory, kdy týmy podpory AWS potřebují přístup k vašim datům, vytvořte účet na portálu podpory AWS a požádejte o podporu. Projděte si dostupné možnosti, jako je poskytnutí přístupu k datům jen pro čtení nebo možnost sdílení obrazovky pro podporu AWS pro přístup k vašim datům.
Implementace AWS a další kontext:
Pokyny ke GCP: Ve scénářích podpory, kdy služba Google Cloud Customer Care potřebuje získat přístup k vašim datům, použijte schválení přístupu ke kontrole a schválení nebo zamítnutí všech žádostí o přístup k datům, které má služba Cloud Customer Care.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :