Sdílet prostřednictvím

Security Control V2: Privilegovaný přístup

Poznámka:

Nejaktuálnější up-toverze srovnávacího testu zabezpečení Azure je k dispozici zde.

Privileged Access zahrnuje ovládací prvky pro ochranu privilegovaného přístupu k vašemu tenantovi a prostředkům Azure. To zahrnuje celou řadu ovládacích prvků, které chrání váš model správy, účty pro správu a pracovní stanice s privilegovaným přístupem před úmyslným a neúmyslným rizikem.

Informace o příslušné integrované službě Azure Policy najdete v podrobnostech o integrované iniciativě Dodržování právních předpisů srovnávacích testů zabezpečení Azure: Privilegovaný přístup

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-1 4.3, 4.8 AC-2

Omezte počet vysoce privilegovaných uživatelských účtů a chraňte je na vyšší úrovni. Nejdůležitější předdefinované role v Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce. S těmito oprávněními můžou uživatelé přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure:

  • Globální správce: Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure AD a ke službám, které používají identity Azure AD.

  • Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD i v rámci služby Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.

Poznámka: Pokud používáte vlastní role s určitými přiřazenými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit. Můžete také chtít použít podobné ovládací prvky jako účet správce důležitých obchodních prostředků.

Pomocí služby Azure AD Privileged Identity Management (PIM) můžete povolit privilegovaný přístup za běhu (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh pouze v případě, že ji uživatelé potřebují. PIM může také generovat výstrahy zabezpečení, pokud ve vaší organizaci Azure AD existuje podezřelá nebo nebezpečná aktivita.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-2: Omezení přístupu pro správu k důležitým obchodním systémům

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-2 13.2, 2.10 AC-2, SC-3, SC-7

Izolujte přístup k důležitým obchodním systémům tím, že omezíte, které účty mají udělený privilegovaný přístup k předplatným a skupinám pro správu, ve kterých jsou. Ujistěte se, že také omezíte přístup k systémům správy, identit a zabezpečení, které mají přístup správce k důležitým obchodním prostředkům, jako jsou řadiče domény služby Active Directory, nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení ohrožují, je mohou okamžitě zneužít k ohrožení důležitých obchodních prostředků.

Všechny typy řízení přístupu by měly být v souladu se strategií segmentace podniku, aby se zajistilo konzistentní řízení přístupu.

Zajistěte přiřazení samostatných privilegovaných účtů, které se liší od standardních uživatelských účtů používaných pro úlohy e-mailu, procházení a produktivity.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-3: Pravidelně kontrolujte a odsouhlaste přístup uživatelů

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-3 4.1, 16.9, 16.10 AC-2

Pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že účty a jejich úroveň přístupu jsou platné. Kontroly přístupu Azure AD můžete použít ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí. Generování sestav Azure AD může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. K vytvoření pracovního postupu sestavy kontroly přístupu, který usnadňuje proces kontroly přístupu, můžete také použít Azure AD Privileged Identity Management. Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala na vytvoření nadměrného počtu účtů správců a aby identifikovala účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Tyto uživatele musíte spravovat samostatně.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-4: Nastavení nouzového přístupu v Azure AD

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-4 16 AC-2, CP-2

Abyste zabránili náhodnému uzamčení vaší organizace Azure AD, nastavte účet tísňového přístupu pro přístup, pokud se nedají použít běžné účty pro správu. Účty pro nouzový přístup jsou obvykle vysoce privilegované a neměly by se přiřazovat konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezeny na scénáře nouzové situace nebo "rozbití skla", kdy nelze použít běžné administrativní účty. Měli byste zajistit, aby přihlašovací údaje (například heslo, certifikát nebo čipová karta) pro účty pro nouzový přístup byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat pouze v nouzovém stavu.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-5: Automatizace správy nároků

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-5 16 AC-2, AC-5, PM-10

Pomocí funkcí správy nároků Azure AD můžete automatizovat pracovní postupy žádostí o přístup, včetně přiřazení přístupu, kontrol a vypršení platnosti. Podporuje se také dvoufázové nebo vícefázové schvalování.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-6: Použití pracovních stanic s privilegovaným přístupem

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-6 4.6, 11.6, 12.12 AC-2, SC-3, SC-7

Zabezpečené a izolované pracovní stanice jsou zásadně důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a operátor kritické služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Pomocí Azure Active Directory, Microsoft Defenderu for Identity a/nebo Microsoft Intune nasaďte zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy. Zabezpečené pracovní stanice je možné centrálně spravovat za účelem vynucení zabezpečené konfigurace, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-7: Postupujte podle dostatečné správy (princip nejnižších oprávnění)

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-7 14.6 AC-2, AC-3, SC-3

Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám, služebním principalům a spravovaným identitám. Pro určité prostředky existují předdefinované role a tyto role je možné inventarizovat nebo dotazovat prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell a Azure portal. Oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, by měla být vždy omezená na to, co role vyžadují. Omezená privilegia doplňují přístup just-in-time (JIT) služby Azure AD Privileged Identity Management (PIM), a tato privilegia by se měla pravidelně kontrolovat.

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte jenom vlastní role.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):

PA-8: Volba procesu schvalování pro podporu Microsoftu

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID kódy
PA-8 16 AC-2, AC-3, AC-4

Ve scénářích podpory, ve kterých Microsoft potřebuje získat přístup k zákaznickým datům, poskytuje Customer Lockbox možnost explicitně zkontrolovat a schválit nebo odmítnout jednotlivé žádosti o přístup k datům zákazníků.

Odpovědnost: Zákazník

Zúčastněné strany zabezpečení zákazníků (další informace):