Řízení zabezpečení V2: Privilegovaný přístup

  • Článek

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Privileged Access pokrývá ovládací prvky, které chrání privilegovaný přístup k vašemu tenantovi a prostředkům Azure. To zahrnuje celou řadu ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem.

Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Privilegovaný přístup

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
PA-1 4.3, 4.8 AC-2

Omezte počet vysoce privilegovaných uživatelských účtů a chraňte tyto účty na vyšší úrovni. Nejdůležitější předdefinované role v Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce. S těmito oprávněními můžou uživatelé přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure:

  • Globální správce: Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure AD a ke službám, které používají Azure AD identit.

  • Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a také v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.

Poznámka: Pokud používáte vlastní role s určitými přiřazenými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit. Můžete také chtít použít podobné ovládací prvky jako účet správce důležitých obchodních prostředků.

S využitím služby Azure AD Privileged Identity Management (PIM) můžete povolit privilegovaný přístup podle potřeby (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-2: Omezení přístupu pro správu k nejdůležitějším podnikovým systémům

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
PA-2 13.2, 2.10 AC-2, SC-3, SC-7

Izolujte přístup k důležitým obchodním systémům omezením toho, které účty mají udělený privilegovaný přístup k předplatným a skupinám pro správu, ve kterých jsou. Ujistěte se, že také omezíte přístup k systémům správy, identit a zabezpečení, které mají přístup správce k vašim důležitým obchodním prostředkům, jako jsou řadiče Doména služby Active Directory kontrolery (DC), nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými na důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení zneškodní, je okamžitě zneškodní, aby zneškodní důležité obchodní prostředky.

Všechny typy řízení přístupu by měly být sladěny se strategií segmentace vaší organizace, aby se zajistilo konzistentní řízení přístupu.

Ujistěte se, že chcete přiřadit samostatné privilegované účty, které se liší od standardních uživatelských účtů používaných pro e-maily, procházení a úlohy produktivity.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
PA-3 4.1, 16.9, 16.10 AC-2

Pravidelně kontrolujte uživatelské účty a přiřazení přístupu, abyste měli jistotu, že jsou účty a jejich úroveň přístupu platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management k vytvoření pracovního postupu sestavy kontroly přístupu, který usnadňuje proces kontroly. Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Tyto uživatele musíte spravovat samostatně.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-4: Nastavení nouzového přístupu v Azure AD

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
PA-4 16 AC-2, CP-2

Pokud chcete zabránit náhodnému uzamčení vaší organizace Azure AD, nastavte účet pro nouzový přístup pro přístup, když se nedají použít běžné účty pro správu. Účty pro nouzový přístup jsou obvykle vysoce privilegované a neměly by se přiřazovat konkrétním jednotlivcům. Jejich použití je omezené na nouzové nebo kritické situace, kdy se nedají použít běžné účty pro správu. Měli byste zajistit, aby přihlašovací údaje (například heslo, certifikát nebo čipová karta) pro účty pro nouzový přístup byly zabezpečené a aby o nich věděli jenom ti, kteří jsou oprávněni je použít jenom v případě nouze.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-5: Automatizace správy nároků

Azure ID Ovládací prvky CIS v7.1 ID NIST SP 800-53 r4 ID
PA-5 16 AC-2, AC-5, PM-10

Pomocí funkcí správy nároků Azure AD můžete automatizovat pracovní postupy žádostí o přístup, včetně přiřazení přístupu, kontrol a vypršení platnosti. Podporuje se také dvoufázové schválení.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-6: Použití pracovních stanic s privilegovaným přístupem

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
PA-6 4.6, 11.6, 12.12 AC-2, SC-3, SC-7

Zabezpečené, izolované pracovní stanice jsou velmi důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Pomocí služby Azure Active Directory, Microsoft Defender for Identity a/nebo Microsoft Intune nasaďte zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy. Zabezpečené pracovní stanice je možné centrálně spravovat za účelem vynucení zabezpečené konfigurace, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
PA-7 14.6 AC-2, AC-3, SC-3

Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, instančním objektům skupiny a spravovaným identitám. Pro určité prostředky existují předem definované předdefinované role a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell a Azure Portal. Oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, by měla být vždy omezená na to, co role vyžadují. Omezená oprávnění doplňují přístup Azure AD Privileged Identity Management (PIM) za běhu (JIT) a tato oprávnění by se měla pravidelně kontrolovat.

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte jenom vlastní role.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Azure ID Id ovládacích prvků CIS v7.1 NIST SP 800-53 r4 ID
PA-8 16 AC-2, AC-3, AC-4

Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k zákaznickým datům, poskytuje Customer Lockbox možnost explicitně zkontrolovat a schválit nebo odmítnout jednotlivé žádosti o přístup k datům zákazníků.

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):