Vytvoření směrného plánu správy identit a přístupu

  • 5 min

Správa identit a přístupu (IAM) je klíčem k udělení přístupu a vylepšení zabezpečení podnikových prostředků. V rámci zabezpečení a řízení cloudových prostředků musíte spravovat identity a přístup pro vaše správce Azure, vývojáře aplikací a uživatele aplikací.

Doporučení zabezpečení IAM

Následující části popisují doporučení IAM, která jsou ve srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 1.3.0. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení. Mějte na paměti, že možnosti úrovně 2 můžou některé funkce nebo aktivity omezit, proto pečlivě zvažte, které možnosti zabezpečení se rozhodnete vynutit.

Důležité

Abyste mohli provést některé z těchto kroků, musíte být správcem instance Microsoft Entra.

Omezení přístupu k portálu pro správu Microsoft Entra – úroveň 1

Uživatelé, kteří nejsou správci, by neměli mít přístup k portálu pro správu Microsoft Entra, protože data jsou citlivá a v rámci pravidel nejnižších oprávnění.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V nabídce vlevo vyberte Uživatelské nastavení.

  4. V uživatelském nastavení na portálu Správa istrace se ujistěte, že je možnost Omezit přístup k portálu pro správu Microsoft Entra nastavená na Ano. Nastavením této hodnoty na Ano zabráníte všem uživatelům, kteří nejsou správci, přístup k jakýmkoli datům na portálu pro správu Microsoft Entra. Nastavení neomezuje přístup k používání PowerShellu nebo jiného klienta, jako je například Visual Studio.

  5. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Povolení vícefaktorového ověřování pro uživatele Microsoft Entra

  • Povolení vícefaktorového ověřování pro privilegované uživatele Microsoft Entra ID – úroveň 1
  • Povolení vícefaktorového ověřování pro neprivilegované uživatele Microsoft Entra – úroveň 2

Povolte vícefaktorové ověřování pro všechny uživatele Microsoft Entra.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V řádku nabídek Všichni uživatelé vyberte MFA pro jednotlivé uživatele.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. V okně vícefaktorového ověřování se ujistěte, že je stav vícefaktorového ověřování nastavený na Povoleno pro všechny uživatele. Pokud chcete povolit vícefaktorové ověřování, vyberte uživatele. V části Rychlé kroky vyberte Povolit>vícefaktorové ověřování.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

Nepamatujte si vícefaktorové ověřování na důvěryhodných zařízeních – úroveň 2

Zapamatování funkce vícefaktorového ověřování pro zařízení a prohlížeče, kterým uživatel důvěřuje, je bezplatná funkce pro všechny uživatele s vícefaktorovým ověřováním. Uživatelé můžou obejít následné ověření po zadaný počet dní po úspěšném přihlášení k zařízení pomocí vícefaktorového ověřování.

Pokud dojde k ohrožení zabezpečení účtu nebo zařízení, mějte na paměti, že vícefaktorové ověřování pro důvěryhodná zařízení může negativně ovlivnit zabezpečení. Doporučením zabezpečení je vypnout zapamatování vícefaktorového ověřování pro důvěryhodná zařízení.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V řádku nabídek Všichni uživatelé vyberte MFA pro jednotlivé uživatele.

  4. V okně vícefaktorového ověřování vyberte uživatele. V části Rychlé kroky vyberte Spravovat uživatelská nastavení.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Zaškrtněte políčko Obnovit vícefaktorové ověřování u všech zapamatovaného zařízení a pak vyberte Uložit.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Počet uživatelů typu host s omezeným přístupem – úroveň 1

Ujistěte se, že neexistují žádní uživatelé typu host nebo pokud firma vyžaduje uživatele typu host, ujistěte se, že jsou omezená oprávnění hosta.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. Vyberte tlačítko Přidat filtry.

  4. Pro filtry vyberte Typ uživatele. Jako hodnotu vyberte Host. Výběrem možnosti Použít ověřte, že neexistují žádní uživatelé typu host.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Možnosti pro hesla

  • Upozornění uživatelů na resetování hesla – úroveň 1
  • Upozornění všech správců na resetování hesla jiného správce – úroveň 2
  • Vyžadování dvou metod při resetování hesel – úroveň 1

Při vícefaktorové sadě ověřování by útočník musel ohrozit oba formuláře ověřování identit, aby mohl zneuživatele resetovat heslo uživatele. Ujistěte se, že resetování hesla vyžaduje dvě formy ověřování identit.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V nabídce vlevo vyberte Resetování hesla.

  4. V nabídce vlevo v části Spravovat vyberte Metody ověřování.

  5. Nastavte Počet metod nutných pro resetování na 2.

  6. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Nastavení intervalu pro opětovné potvrzení u metod ověřování uživatelů – úroveň 1

Pokud je opětovné potvrzení ověřování vypnuté, zaregistrovaní uživatelé nebudou vyzváni k potvrzení ověřovacích údajů. Bezpečnější možností je zapnout opětovné potvrzení ověřování pro nastavený interval.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V levém podokně nabídek vyberte Resetování hesla.

  4. V nabídce vlevo v části Spravovat vyberte Možnost Registrace.

  5. Ujistěte se, že počet dní, než se uživatelům zobrazí výzva k opětovnému potvrzení, že jejich ověřovací údaje nejsou nastavené na 0. Výchozí hodnota je 180 dní.

  6. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Nastavení pozvání hosta – úroveň 2

Pozvat uživatele typu host by měli jenom správci. Omezením pozvánek na správce zajistíte, že k prostředkům Azure mají přístup jenom autorizované účty.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V nabídce vlevo vyberte Uživatelské nastavení.

  4. V podokně Nastavení uživatele v části Externí uživatelé vyberte Spravovat nastavení externí spolupráce.

  5. V nastavení externí spolupráce vyberte v části Nastavení pozvání hosta možnost Pozvat pouze uživatele přiřazené ke konkrétním rolím správce, kteří můžou pozvat uživatele typu host.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Uživatelé můžou vytvářet a spravovat skupiny zabezpečení – úroveň 2

Když je tato funkce povolená, můžou všichni uživatelé v Microsoft Entra ID vytvářet nové skupiny zabezpečení. Vytváření skupin zabezpečení by mělo být omezeno na správce.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Skupiny.

  3. V podokně Všechny skupiny v levé nabídce v části Nastavení vyberte Obecné.

  4. V případě skupin zabezpečení se ujistěte, že uživatelé můžou vytvářet skupiny zabezpečení na portálech Azure Portal, rozhraní API nebo PowerShellu na hodnotu Ne.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Samoobslužná správa skupin povolena – úroveň 2

Pokud vaše firma nevyžaduje delegování samoobslužné správy skupin různým uživatelům, doporučujeme tuto funkci zakázat.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Skupiny.

  3. V podokně Všechny skupiny v levé nabídce v části Nastavení vyberte Obecné.

  4. V části Samoobslužná správa skupin se ujistěte, že jsou všechny možnosti nastavené na Ne.

  5. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Screenshot that shows Microsoft Entra self-service group options set to No.

Možnosti pro aplikace – povolení registrace aplikací ze strany uživatelů – úroveň 2

Vyžadujte, aby vlastní aplikace registrovali správci.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.

  2. V nabídce vlevo v části Spravovat vyberte Uživatelé.

  3. V nabídce vlevo vyberte Uživatelské nastavení.

  4. V podokně Uživatelská nastavení se ujistěte, že je Registrace aplikací nastavená na Ne.

  5. Pokud změníte jakékoli nastavení, na řádku nabídek vyberte Uložit.

Screenshot that shows Microsoft Entra users with app registrations set to No.