Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Privilegierter Zugriff umfasst Kontrollmechanismen zum Schutz des privilegierten Zugriffs auf Ihren Mandanten und Ihre Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken.
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sie alle Konten mit hohen Auswirkungen auf das Geschäft identifizieren. Beschränken Sie die Anzahl der privilegierten/administrativen Konten in der Steuerungsebene, Verwaltungsebene und Daten/Workload-Ebene Ihrer Cloud.
Azure-Leitfaden: Sie müssen alle Rollen mit direktem oder indirektem Administratorzugriff auf von Azure gehostete Ressourcen sichern.
Azure Active Directory (Azure AD) ist der standardmäßige Identitäts- und Zugriffsverwaltungsdienst von Azure. Die wichtigsten integrierten Rollen in Azure AD sind globaler Administrator und privilegierter Rollenadministrator, da Benutzer, die diesen beiden Rollen zugewiesen sind, Administratorrollen delegieren können. Mit diesen Berechtigungen können Benutzer jede Ressource in Ihrer Azure-Umgebung direkt oder indirekt lesen und ändern:
- Globaler Administrator/Unternehmensadministrator: Benutzer mit dieser Rolle haben Zugriff auf alle administrativen Funktionen in Azure AD sowie auf Dienste, die Azure AD-Identitäten verwenden.
- Administrator für privilegierte Rollen: Benutzer mit dieser Rolle können Rollenzuweisungen in Azure AD sowie in Azure AD Privileged Identity Management (PIM) verwalten. Darüber hinaus ermöglicht diese Rolle die Verwaltung aller Aspekte von PIM und administrativen Einheiten.
Außerhalb von Azure AD verfügt Azure über integrierte Rollen, die für den privilegierten Zugriff auf Ressourcenebene von entscheidender Bedeutung sein können.
- Besitzer: Gewährt vollzugriff auf die Verwaltung aller Ressourcen, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen.
- Mitwirkender: Gewährt vollständigen Zugriff auf die Verwaltung aller Ressourcen, ermöglicht jedoch nicht das Zuweisen von Rollen im Azure RBAC, das Verwalten von Zuweisungen in Azure Blueprints oder das Teilen von Bildgalerien.
- Benutzerzugriffsadministrator: Ermöglicht Ihnen die Verwaltung des Benutzerzugriffs auf Azure-Ressourcen.
Hinweis: Möglicherweise verfügen Sie über andere wichtige Rollen, die geregelt werden müssen, wenn Sie benutzerdefinierte Rollen auf Azure AD-Ebene oder Ressourcenebene mit bestimmten zugewiesenen berechtigungen verwenden.
Darüber hinaus sollten Benutzer mit den folgenden drei Rollen im Azure Enterprise Agreement (EA)-Portal ebenfalls eingeschränkt werden, da sie zum direkten oder indirekten Verwalten von Azure-Abonnements verwendet werden können.
- Kontobesitzer: Benutzer mit dieser Rolle können Abonnements verwalten, einschließlich des Erstellens und Löschens von Abonnements.
- Unternehmensadministrator: Benutzer, denen diese Rolle zugewiesen ist, können Portalbenutzer verwalten (EA).
- Abteilungsadministrator: Benutzer, denen diese Rolle zugewiesen ist, können Kontoinhaber innerhalb der Abteilung ändern.
Stellen Sie schließlich sicher, dass Sie auch privilegierte Konten in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die administrativen Zugriff auf Ihre geschäftskritischen Ressourcen haben, z. B. Active Directory-Domänencontroller (DCs), Sicherheitstools und Systemverwaltungstools mit Agenten, die auf geschäftskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können sie sofort zur Kompromittierung geschäftskritischer Ressourcen aufwaffnen.
Azure-Implementierung und zusätzlicher Kontext:
- Administratorrollenberechtigungen in Azure AD
- Verwenden von Azure Privileged Identity Management-Sicherheitswarnungen
- Schützen des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Azure AD
AWS-Leitfaden: Sie müssen alle Rollen mit direktem oder indirektem Administratorzugriff auf AWS-gehostete Ressourcen sichern.
Zu den privilegierten/administrativen Benutzern, die gesichert werden müssen, gehören:
- Root-Benutzer: Der Root-Benutzer ist das privilegierte Konto mit der höchsten Ebene in Ihrem AWS-Konto. Root-Konten sollten stark eingeschränkt sein und nur in Notsituationen verwendet werden. Weitere Informationen finden Sie unter Zugriffssteuerungen für Notfälle in PA-5 (Einrichten des Notfallzugriffs).
- IAM-Identitäten (Benutzer, Gruppen, Rollen) mit der privilegierten Berechtigungsrichtlinie: IAM-Identitäten, denen eine Berechtigungsrichtlinie wie AdministratorAccess zugewiesen ist, können vollen Zugriff auf AWS-Services und -Ressourcen haben.
Wenn Sie Azure Active Directory (Azure AD) als Identitätsanbieter für AWS verwenden, lesen Sie die Azure-Anleitung zum Verwalten der privilegierten Rollen in Azure AD.
Stellen Sie sicher, dass Sie auch privilegierte Konten in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die administrativen Zugriff auf Ihre geschäftskritischen Ressourcen haben, wie z. B. AWS Cognito, Sicherheitstools und Systemverwaltungstools mit Agenten, die auf geschäftskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können sie sofort zur Kompromittierung geschäftskritischer Ressourcen aufwaffnen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Sie müssen alle Rollen mit direktem oder indirektem Administratorzugriff auf GCP-gehostete Ressourcen sichern.
Die wichtigste integrierte Rolle in Google Cloud ist der Super Administrator. Der Super Admin kann alle Aufgaben in der Admin-Konsole ausführen und verfügt über unwiderrufliche Administratorberechtigungen. Es wird davon abgeraten, das Super-Admin-Konto für die tägliche Verwaltung zu verwenden.
Basic-Rollen sind sehr freizügige Legacy-Rollen, und es wird empfohlen, grundlegende Rollen nicht in Produktionsumgebungen zu verwenden, da sie einen umfassenden Zugriff auf alle Google Cloud-Ressourcen gewähren. Zu den grundlegenden Rollen gehören die Rollen "Betrachter", "Bearbeiter" und "Besitzer". Es wird stattdessen empfohlen, vordefinierte oder benutzerdefinierte Rollen zu verwenden. Zu den bemerkenswerten privilegierten vordefinierten Rollen gehören:
- Organisationsadministrator: Benutzer mit dieser Rolle können IAM-Richtlinien verwalten und Organisationsrichtlinien für Organisationen, Ordner und Projekte anzeigen.
- Administrator für Organisationsrichtlinien: Benutzer mit dieser Rolle können definieren, welche Einschränkungen eine Organisation für die Konfiguration von Cloud-Ressourcen festlegen möchte, indem sie Organisationsrichtlinien festlegen.
- Organisationsrollenadministrator: Benutzer mit dieser Rolle können alle benutzerdefinierten Rollen in der Organisation und die darunter liegenden Projekte verwalten.
- Sicherheitsadministrator: Benutzer mit dieser Rolle können jede IAM-Richtlinie abrufen und festlegen.
- Deny Admin: Benutzer mit dieser Rolle verfügen über Berechtigungen zum Lesen und Ändern von IAM-Verweigerungsrichtlinien.
Darüber hinaus enthalten bestimmte vordefinierte Rollen privilegierte IAM-Berechtigungen auf Organisations-, Ordner- und Projektebene. Zu diesen IAM-Berechtigungen gehören:
- OrganisationAdmin
- OrdnerIAMAdmin
- ProjektIAMAdmin
Implementieren Sie außerdem die Aufgabentrennung, indem Sie Konten für verschiedene Projekte Rollen zuweisen oder die binäre Autorisierung mit Google Kubernetes Engine nutzen.
Stellen Sie schließlich sicher, dass Sie privilegierte Konten auch in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die administrativen Zugriff auf Ihre geschäftskritischen Ressourcen haben, z. B. Cloud-DNS, Sicherheitstools und Systemverwaltungstools mit Agenten, die auf geschäftskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können sie sofort zur Kompromittierung geschäftskritischer Ressourcen aufwaffnen.
GCP-Implementierung und zusätzlicher Kontext:
- Bewährte Methoden für das Superadministratorkonto
- Referenz zu grundlegenden und vordefinierten IAM-Rollen
- Trennung von Aufgaben und Identity and Access Management-Rollen
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Sicherheitsarchitektur
- Sicherheitskonformitätsmanagement
- Sicherheitsvorgänge
PA-2: Vermeiden des ständigen Zugriffs für Benutzerkonten und Berechtigungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Nicht verfügbar | AC-2 | Nicht verfügbar |
Sicherheitsprinzip: Anstatt ständige Berechtigungen zu erstellen, verwenden Sie einen Just-In-Time-Mechanismus (JIT), um den verschiedenen Ressourcenebenen privilegierten Zugriff zuzuweisen.
Azure-Leitfaden: Aktivieren des privilegierten Just-In-Time-Zugriffs (JIT) auf Azure-Ressourcen und Azure AD mithilfe von Azure AD Privileged Identity Management (PIM). JIT ist ein Modell, bei dem Benutzer temporäre Berechtigungen zum Ausführen privilegierter Aufgaben erhalten, was verhindert, dass böswillige oder nicht autorisierte Benutzer Zugriff erhalten, nachdem die Berechtigungen abgelaufen sind. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen. PIM kann auch Sicherheitswarnungen generieren, wenn in Ihrer Azure AD-Organisation verdächtige oder unsichere Aktivitäten vorhanden sind.
Beschränken Sie eingehenden Datenverkehr auf die Verwaltungsports Ihrer vertraulichen virtuellen Maschinen (VM) mit dem Just-in-Time-Feature (JIT) von Microsoft Defender for Cloud für den VM-Zugriff. Dadurch wird sichergestellt, dass privilegierter Zugriff auf die VM nur dann gewährt wird, wenn Benutzer ihn benötigen.
Azure-Implementierung und zusätzlicher Kontext:
- Bereitstellung des Just-in-Time-Zugriffs in Azure PIM
- Grundlegendes zum Just-In-Time(JIT)-VM-Zugriff
AWS-Leitfaden: Verwenden Sie AWS Security Token Service (AWS STS), um temporäre Sicherheitsanmeldeinformationen für den Zugriff auf die Ressourcen über die AWS-API zu erstellen. Temporäre Sicherheitsanmeldeinformationen funktionieren fast identisch mit den Anmeldeinformationen für den langfristigen Zugriffsschlüssel, die Ihre IAM-Benutzer verwenden können, mit den folgenden Unterschieden:
- Temporäre Sicherheitsanmeldeinformationen haben eine kurze Lebensdauer von Minuten bis Stunden.
- Temporäre Sicherheitsanmeldeinformationen werden nicht beim Benutzer gespeichert, sondern dynamisch generiert und dem Benutzer bei Bedarf zur Verfügung gestellt.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie den bedingten IAM-Zugriff, um temporären Zugriff auf Ressourcen mithilfe bedingter Rollenbindungen in Zulassungsrichtlinien zu erstellen, der Cloud Identity-Nutzern gewährt wird. Konfigurieren Sie Datums-/Uhrzeitattribute, um zeitbasierte Steuerelemente für den Zugriff auf eine bestimmte Ressource durchzusetzen. Der vorübergehende Zugriff kann eine kurzfristige Lebensdauer von Minuten bis Stunden haben oder auf der Grundlage von Tagen oder Stunden der Woche gewährt werden.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über IAM-Bedingungen
- Konfigurieren des temporären Zugriffs
- Übersicht über Access Context Manager
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Sicherheitsarchitektur
- Sicherheitskonformitätsmanagement
- Sicherheitsvorgänge
PA-3: Verwalten des Lebenszyklus von Identitäten und Berechtigungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Sicherheitsprinzip: Verwenden Sie einen automatisierten Prozess oder eine technische Kontrolle, um den Identitäts- und Zugriffslebenszyklus zu verwalten, einschließlich der Anforderung, Überprüfung, Genehmigung, Bereitstellung und Deprovisionierung.
Azure-Leitfaden: Verwenden Sie Azure AD-Berechtigungsverwaltungsfeatures, um Workflows für Zugriffsanforderungen (für Azure-Ressourcengruppen) zu automatisieren. Auf diese Weise können Workflows für Azure-Ressourcengruppen Zugriffszuweisungen, Überprüfungen, Ablauf und duale oder mehrstufige Genehmigungen verwalten.
Verwenden Sie die Berechtigungsverwaltung, um ungenutzte und übermäßige Berechtigungen, die Benutzer- und Workload-Identitäten in Multi-Cloud-Infrastrukturen zugewiesen sind, zu erkennen, automatisch zu dimensionieren und kontinuierlich zu überwachen.
Azure-Implementierung und zusätzlicher Kontext:
- Was sind Azure AD-Zugriffsüberprüfungen?
- Was ist die Azure AD-Berechtigungsverwaltung?
- Überblick über die Berechtigungsverwaltung
AWS-Leitfaden: Verwenden Sie AWS Access Advisor, um die Zugriffsprotokolle für die Benutzerkonten und Berechtigungen für Ressourcen abzurufen. Erstellen Sie einen manuellen oder automatisierten Workflow zur Integration in AWS IAM, um Zugriffszuweisungen, Überprüfungen und Löschungen zu verwalten.
Hinweis: Im AWS Marketplace sind Lösungen von Drittanbietern verfügbar, um den Lebenszyklus von Identitäten und Berechtigungen zu verwalten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die Cloud-Audit-Logs von Google, um die Audit-Logs für Administratoraktivitäten und Datenzugriff für die Nutzerkonten und Berechtigungen für Ressourcen abzurufen. Erstellen Sie einen manuellen oder automatisierten Workflow für die Integration mit GCP IAM, um Zugriffszuweisungen, Überprüfungen und Löschungen zu verwalten.
Mit Google Cloud Identity Premium können Sie zentrale Identitäts- und Geräteverwaltungsdienste bereitstellen. Zu diesen Diensten gehören Funktionen wie die automatisierte Benutzerbereitstellung, App-Whitelisting und die automatisierte Verwaltung mobiler Geräte.
Hinweis: Im Google Cloud Marketplace sind Lösungen von Drittanbietern verfügbar, mit denen Sie den Lebenszyklus von Identitäten und Berechtigungen verwalten können.
GCP-Implementierung und zusätzlicher Kontext:
- IAM Access Berater
- Cloud Identity und Atlassian Access: User Lifecycle Management in Ihrem Unternehmen
- Gewähren und Widerrufen des Zugriffs auf die API
- Zugriff auf ein Google Cloud-Projekt widerrufen
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Anwendungssicherheit und DevSecOps
- Sicherheitskonformitätsmanagement
PA-4: Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Sicherheitsprinzip: Führen Sie eine regelmäßige Überprüfung der Berechtigungen für privilegierte Konten durch. Stellen Sie sicher, dass der den Konten gewährte Zugriff für die Verwaltung der Steuerungsebene, der Verwaltungsebene und der Arbeitslasten gültig ist.
Azure-Leitfaden: Überprüfen Sie alle privilegierten Konten und die Zugriffsberechtigungen in Azure, einschließlich Azure-Mandanten, Azure-Diensten, VM/IaaS-, CI/CD-Prozessen sowie Unternehmensverwaltungs- und Sicherheitstools.
Verwenden Sie Azure AD-Zugriffsüberprüfungen, um Azure AD-Rollen, Azure-Ressourcenzugriffsrollen, Gruppenmitgliedschaften und den Zugriff auf Unternehmensanwendungen zu überprüfen. Die Azure AD-Berichterstellung kann auch Protokolle bereitstellen, um veraltete Konten oder Konten, die für einen bestimmten Zeitraum nicht verwendet wurden, zu ermitteln.
Darüber hinaus kann Azure AD Privileged Identity Management so konfiguriert werden, dass sie benachrichtigt werden, wenn eine übermäßige Anzahl von Administratorkonten für eine bestimmte Rolle erstellt wird, und um Administratorkonten zu identifizieren, die veraltet oder nicht ordnungsgemäß konfiguriert sind.
Azure-Implementierung und zusätzlicher Kontext:
- Erstellen einer Zugriffsüberprüfung von Azure-Ressourcenrollen in Privileged Identity Management (PIM)
- Verwenden von Azure AD-Identitäts- und Zugriffsüberprüfungen
AWS-Leitfaden: Überprüfen Sie alle privilegierten Konten und die Zugriffsberechtigungen in AWS, einschließlich AWS-Konten, Services, VM/IaaS, CI/CD-Prozessen sowie Unternehmensverwaltungs- und Sicherheitstools.
Verwenden Sie IAM Access Advisor, Access Analyzer und Credential Reports, um Ressourcenzugriffsrollen, Gruppenmitgliedschaften und den Zugriff auf Unternehmensanwendungen zu überprüfen. IAM Access Analyzer und Credential Reports können auch Protokolle bereitstellen, um veraltete Konten oder Konten zu erkennen, die für einen bestimmten Zeitraum nicht verwendet wurden.
Wenn Sie Azure Active Directory (Azure AD) als Identitätsanbieter für AWS verwenden, verwenden Sie die Azure AD-Zugriffsüberprüfung, um die privilegierten Konten und Zugriffsberechtigungen regelmäßig zu überprüfen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Überprüfen Sie alle privilegierten Konten und die Zugriffsberechtigungen in Google Cloud, einschließlich Cloud Identity-Konten, -Diensten, VM/IaaS-, CI/CD-Prozessen sowie Unternehmensverwaltungs- und Sicherheitstools.
Verwenden Sie Cloud Audit Logs und Policy Analyzer, um Ressourcenzugriffsrollen und Gruppenmitgliedschaften zu überprüfen. Erstellen Sie Analyseabfragen in der Richtlinienanalyse, um zu ermitteln, welche Prinzipale auf bestimmte Ressourcen zugreifen können.
Wenn Sie Azure Active Directory (Azure AD) als Identitätsanbieter für Google Cloud verwenden, verwenden Sie die Azure AD-Zugriffsüberprüfung, um die privilegierten Konten und Zugriffsberechtigungen regelmäßig zu überprüfen.
Darüber hinaus kann Azure AD Privileged Identity Management so konfiguriert werden, dass sie benachrichtigt werden, wenn eine übermäßige Anzahl von Administratorkonten für eine bestimmte Rolle erstellt wird, und um Administratorkonten zu identifizieren, die veraltet oder nicht ordnungsgemäß konfiguriert sind.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Anwendungssicherheit und DevSecOps
- Sicherheitskonformitätsmanagement
PA-5: Einrichten des Notfallzugriffs
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Nicht verfügbar | AC-2 | Nicht verfügbar |
Sicherheitsprinzip: Richten Sie einen Notfallzugriff ein, um sicherzustellen, dass Sie im Notfall nicht versehentlich aus Ihrer kritischen Cloud-Infrastruktur (z. B. Ihrem Identitäts- und Zugriffsmanagementsystem) ausgesperrt werden.
Notfallzugriffskonten sollten selten verwendet werden und können bei Kompromittierung sehr schädlich für die Organisation sein, aber ihre Verfügbarkeit für die Organisation ist auch für die wenigen Szenarien von entscheidender Bedeutung, wenn sie erforderlich sind.
Azure-Leitfaden: Um zu verhindern, dass Sie versehentlich aus Ihrer Azure AD-Organisation ausgesperrt werden, richten Sie ein Konto für den Notfallzugriff (z. B. ein Konto mit der Rolle "Globaler Administrator") für den Zugriff ein, wenn normale Administratorkonten nicht verwendet werden können. Notfallzugriffskonten sind in der Regel hochgradig privilegierte und sollten bestimmten Personen nicht zugewiesen werden. Konten für den Notfallzugriff sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale Administratorkonten nicht verwendet werden können.
Sie sollten sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, Zertifikat oder Smartcard) für Notfallzugriffskonten sicher und nur für Personen bekannt sind, die berechtigt sind, sie nur in einem Notfall zu verwenden. Sie können auch zusätzliche Steuerelemente verwenden, z. B. doppelte Kontrollen (z. B. das Aufteilen der Anmeldeinformationen in zwei Teile und die Weitergabe an separate Personen), um die Sicherheit dieses Prozesses zu erhöhen. Sie sollten auch die Anmelde- und Überwachungsprotokolle überwachen, um sicherzustellen, dass Konten mit Notfallzugriff nur verwendet werden, wenn sie autorisiert sind.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: AWS-"root"-Konten sollten nicht für reguläre Verwaltungsaufgaben verwendet werden. Da das "root"-Konto mit hohen Privilegien versehen ist, sollte es nicht bestimmten Personen zugewiesen werden. Die Verwendung sollte auf Notfall- oder "Break-Glass"-Szenarien beschränkt sein, in denen normale Administratorkonten nicht verwendet werden können. Für die täglichen administrativen Aufgaben sollten separate privilegierte Benutzerkonten verwendet und die entsprechenden Berechtigungen über IAM-Rollen zugewiesen werden.
Sie sollten auch sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, MFA-Token und Zugriffsschlüssel) für Root-Konten sicher aufbewahrt werden und nur Personen bekannt sind, die berechtigt sind, sie nur im Notfall zu verwenden. MFA sollte für das Root-Konto aktiviert sein, und Sie können auch zusätzliche Steuerelemente verwenden, z. B. doppelte Steuerelemente (z. B. das Aufteilen der Anmeldeinformationen in zwei Teile und deren Weitergabe an separate Personen), um die Sicherheit dieses Prozesses zu erhöhen.
Sie sollten auch die Anmelde- und Überwachungsprotokolle in CloudTrail oder EventBridge überwachen, um sicherzustellen, dass Root-Zugriffskonten nur verwendet werden, wenn sie autorisiert sind.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Google Cloud Identity-Superadministratorkonten sollten nicht für reguläre Verwaltungsaufgaben verwendet werden. Da das Super-Admin-Konto mit hohen Berechtigungen versehen ist, sollte es nicht bestimmten Personen zugewiesen werden. Die Verwendung sollte auf Notfall- oder "Break-Glass"-Szenarien beschränkt sein, in denen normale Administratorkonten nicht verwendet werden können. Für die täglichen administrativen Aufgaben sollten separate privilegierte Benutzerkonten verwendet und die entsprechenden Berechtigungen über IAM-Rollen zugewiesen werden.
Sie sollten auch sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, MFA-Token und Zugriffsschlüssel) für Super-Admin-Konten sicher aufbewahrt werden und nur Personen bekannt sind, die berechtigt sind, sie nur im Notfall zu verwenden. MFA sollte für das Super-Admin-Konto aktiviert sein, und Sie können auch zusätzliche Steuerelemente verwenden, z. B. doppelte Kontrollen (z. B. das Aufteilen der Anmeldeinformationen in zwei Teile und deren Weitergabe an separate Personen), um die Sicherheit dieses Prozesses zu erhöhen.
Sie sollten auch die Anmelde- und Überwachungsprotokolle in Cloud Audit-Protokollen überwachen oder den Policy Analyzer abfragen, um sicherzustellen, dass Super-Admin-Konten nur verwendet werden, wenn sie autorisiert sind.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-6: Verwenden von Arbeitsstationen mit privilegiertem Zugriff
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Nicht verfügbar |
Sicherheitsprinzip: Gesicherte, isolierte Arbeitsstationen sind von entscheidender Bedeutung für die Sicherheit sensibler Rollen wie Administrator, Entwickler und Betreiber kritischer Dienste.
Azure-Leitfaden: Verwenden Sie Azure Active Directory, Microsoft Defender und/oder Microsoft Intune, um Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAW) lokal oder in Azure für privilegierte Aufgaben bereitzustellen. Die PAW sollte zentral verwaltet werden, um eine gesicherte Konfiguration zu erzwingen, einschließlich starker Authentifizierung, Software- und Hardwarebasispläne sowie eingeschränkter logischer und Netzwerkzugriff.
Sie können auch Azure Bastion verwenden, bei dem es sich um einen vollständig plattformverwalteten PaaS-Dienst handelt, der in Ihrem virtuellen Netzwerk bereitgestellt werden kann. Azure Bastion ermöglicht RDP/SSH-Konnektivität mit Ihren virtuellen Computern direkt über das Azure-Portal mithilfe eines Webbrowsers.
Azure-Implementierung und zusätzlicher Kontext:
- Privilegierten Zugriff auf Arbeitsstationen verstehen
- Bereitstellung von Arbeitsstationen mit privilegiertem Zugriff
AWS-Leitfaden: Verwenden Sie Session Manager in AWS Systems Manager, um einen Zugriffspfad (eine Verbindungssitzung) zur EC2-Instance oder eine Browsersitzung zu den AWS-Ressourcen für privilegierte Aufgaben zu erstellen. Session Manager ermöglicht RDP-, SSH- und HTTPS-Verbindungen zu Ihren Zielhosts über Portweiterleitung.
Sie können sich auch für die Bereitstellung von Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAW) entscheiden, die zentral über Azure Active Directory, Microsoft Defender und/oder Microsoft Intune verwaltet werden. Die zentrale Verwaltung sollte eine sichere Konfiguration erzwingen, einschließlich starker Authentifizierung, Software- und Hardware-Baselines sowie eingeschränktem logischem und Netzwerkzugriff.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Identity-Aware Proxy (IAP) Desktop, um einen Zugriffspfad (eine Verbindungssitzung) zur Compute-Instanz für privilegierte Aufgaben zu erstellen. IAP Desktop ermöglicht RDP- und SSH-Verbindungen zu Ihren Zielhosts über Portweiterleitung. Darüber hinaus können Linux-Compute-Instanzen, die extern ausgerichtet sind, über eine SSH-in-Browser-Funktion über die Google Cloud Console verbunden werden.
Sie können sich auch für die Bereitstellung von Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAW) entscheiden, die zentral über Google Workspace Endpoint Management oder Microsoft-Lösungen (Azure Active Directory, Microsoft Defender und/oder Microsoft Intune) verwaltet werden. Die zentrale Verwaltung sollte eine sichere Konfiguration erzwingen, einschließlich starker Authentifizierung, Software- und Hardware-Baselines sowie eingeschränktem logischem und Netzwerkzugriff.
Sie können auch Bastion-Hosts für den sicheren Zugriff auf vertrauenswürdige Umgebungen mit definierten Parametern erstellen.
GCP-Implementierung und zusätzlicher Kontext:
- Sicheres Herstellen einer Verbindung mit VM-Instanzen
- Herstellen einer Verbindung mit Linux-VMs über Identity-Aware Proxy
- Herstellen einer Verbindung mit VMs über einen geschützten Host
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Sicherheitsprinzip: Befolgen Sie das Prinzip der gerade ausreichenden Verwaltung (geringste Rechte), um Berechtigungen auf differenzierter Ebene zu verwalten. Verwenden Sie Features wie die rollenbasierte Zugriffssteuerung (RBAC), um den Ressourcenzugriff über Rollenzuweisungen zu verwalten.
Azure-Leitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um den Zugriff auf Azure-Ressourcen über Rollenzuweisungen zu verwalten. Über RBAC können Sie Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten Rollen zuweisen. Es gibt vordefinierte integrierte Rollen für bestimmte Ressourcen, und diese Rollen können über Tools wie Azure CLI, Azure PowerShell und das Azure-Portal inventarisiert oder abgefragt werden.
Die Berechtigungen, die Sie Ressourcen über Azure RBAC zuweisen, sollten immer auf die anforderungen der Rollen beschränkt sein. Eingeschränkte Berechtigungen ergänzen den Just-in-Time-Ansatz (JIT) von Azure AD Privileged Identity Management (PIM), und diese Berechtigungen sollten regelmäßig überprüft werden. Bei Bedarf können Sie PIM auch verwenden, um eine zeitgebundene Zuweisung zu definieren, was eine Bedingung in einer Rollenzuweisung ist, bei der ein Benutzer die Rolle nur innerhalb des angegebenen Start- und Enddatums aktivieren kann.
Hinweis: Verwenden Sie integrierte Azure-Rollen, um Berechtigungen zuzuweisen und bei Bedarf nur benutzerdefinierte Rollen zu erstellen.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC)
- Konfigurieren von RBAC in Azure
- Verwenden von Azure AD-Identitäts- und Zugriffsüberprüfungen
- Azure AD Privileged Identity Management – zeitgebundene Zuordnung
AWS-Leitfaden: Verwenden Sie die AWS-Richtlinie, um den Zugriff auf AWS-Ressourcen zu verwalten. Es gibt sechs Arten von Richtlinien: identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Berechtigungsgrenzen, AWS Organizations Service Control Policy (SCP), Access Control List und Sitzungsrichtlinien. Sie können von AWS verwaltete Richtlinien für gängige Anwendungsfälle für Berechtigungen verwenden. Sie sollten jedoch bedenken, dass verwaltete Richtlinien möglicherweise übermäßige Berechtigungen enthalten, die den Benutzern nicht zugewiesen werden sollten.
Sie können auch AWS ABAC (attributbasierte Zugriffskontrolle) verwenden, um Berechtigungen basierend auf Attributen (Tags) zuzuweisen, die IAM-Ressourcen zugeordnet sind, einschließlich IAM-Entitäten (Benutzer oder Rollen) und AWS-Ressourcen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die Google Cloud IAM-Richtlinie, um den GCP-Ressourcenzugriff über Rollenzuweisungen zu verwalten. Sie können die vordefinierten Rollen von Google Cloud für gängige Anwendungsfälle für Berechtigungen verwenden. Sie sollten jedoch beachten, dass vordefinierte Rollen über übermäßige Berechtigungen verfügen können, die den Benutzern nicht zugewiesen werden sollten.
Verwenden Sie außerdem Policy Intelligence mit dem IAM Recommender, um überschüssige Berechtigungen von Konten zu identifizieren und zu entfernen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Anwendungssicherheit und DevSecOps
- Sicherheitskonformitätsmanagement
- Haltungsverwaltung
- Identitäts- und Schlüsselverwaltung
PA-8 Ermitteln des Zugriffsprozesses für die Unterstützung von Cloudanbietern
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Nicht verfügbar |
Sicherheitsprinzip: Richten Sie einen Genehmigungsprozess und einen Zugriffspfad für die Anforderung und Genehmigung von Supportanfragen von Anbietern und den temporären Zugriff auf Ihre Daten über einen sicheren Kanal ein.
Azure-Leitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie die Kunden-Lockbox, um jede von Microsoft gestellte Datenzugriffsanforderung zu überprüfen und entweder zu genehmigen oder abzulehnen.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: In Support-Szenarien, in denen AWS-Support-Teams auf Ihre Daten zugreifen müssen, erstellen Sie ein Konto im AWS Support-Portal, um Support anzufordern. Überprüfen Sie die verfügbaren Optionen, z. B. das Bereitstellen von schreibgeschütztem Datenzugriff oder die Bildschirmfreigabeoption für den AWS-Support für den Zugriff auf Ihre Daten.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: In Supportszenarien, in denen der Google Cloud-Kundendienst auf Ihre Daten zugreifen muss, verwenden Sie die Zugriffsgenehmigung, um alle Datenzugriffsanfragen des Cloud-Kundendienstes zu überprüfen und entweder zu genehmigen oder abzulehnen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):