Teilen über


Sicherheitssteuerung: Privilegierter Zugriff

Privilegierter Zugriff umfasst Kontrollmechanismen zum Schutz des privilegierten Zugriffs auf Ihren Mandanten und Ihre Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Sicherheitsprinzip: Stellen Sie sicher, dass Sie alle Konten mit hohen geschäftlichen Auswirkungen identifizieren. Begrenzen Sie die Anzahl von privilegierten/administrativen Konten in Ihrer Cloud auf der Steuerungsebene, Verwaltungsebene und Daten-/Workloadebene.


Azure-Leitfaden: Sie müssen alle Rollen mit direktem oder indirektem Administratorzugriff auf in Azure gehostete Ressourcen schützen.

Azure Active Directory (Azure AD) ist der Standarddienst für Identitäts- und Zugriffsverwaltung in Azure. Die wichtigsten integrierten Rollen in Azure AD sind „Globaler Administrator“ und „Administrator für privilegierte Rollen“, da Benutzer, die diesen beiden Rollen zugeordnet sind, Administratorrollen delegieren können. Mit diesen Berechtigungen können Benutzer jede Ressource in Ihrer Azure-Umgebung direkt oder indirekt lesen und ändern:

  • Globaler Administrator/Unternehmensadministrator: Benutzer mit dieser Rolle haben Zugriff auf alle administrativen Features in Azure AD sowie auf Dienste, die Azure AD-Identitäten verwenden.
  • Administrator für privilegierte Rollen: Benutzer mit dieser Rolle können Rollenzuweisungen in Azure AD und Azure AD Privileged Identity Management (PIM) verwalten. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von PIM und administrativer Einheiten.

Außerhalb von Azure AD verfügt Azure über integrierte Rollen, die für privilegierten Zugriff auf Ressourcenebene wichtig sein können.

  • Besitzer: Gewährt Vollzugriff zum Verwalten aller Ressourcen, einschließlich der Möglichkeit zum Zuweisen von Rollen im Zusammenhang mit der Azure RBAC.
  • Mitwirkender: Gewährt vollen Zugriff auf die Verwaltung aller Ressourcen, erlaubt aber nicht die Zuweisung von Rollen in Azure RBAC, die Verwaltung von Zuweisungen in Azure Blueprints oder die Freigabe von Bildergalerien.
  • Benutzerzugriffsadministrator: Kann den Benutzerzugriff auf Azure-Ressourcen verwalten.

Hinweis: Möglicherweise verfügen Sie über weitere kritische Rollen, die geregelt werden müssen, wenn Sie auf Azure AD- oder Ressourcenebene benutzerdefinierte Rollen mit bestimmten zugewiesenen privilegierten Berechtigungen verwenden.

Darüber hinaus sollten Benutzer mit den folgenden drei Rollen im Azure Enterprise Agreement-Portal (EA) ebenfalls eingeschränkt werden, da sie zum direkten oder indirekten Verwalten von Azure-Abonnements verwendet werden können.

  • Kontobesitzer: Benutzer mit dieser Rolle können Abonnements verwalten, einschließlich des Erstellens und Löschens von Abonnements.
  • Unternehmensadministrator: Benutzer, denen diese Rolle zugewiesen ist, können Ea-Portalbenutzer verwalten.
  • Abteilungsadministrator: Benutzer, denen diese Rolle zugewiesen ist, können Kontobesitzer innerhalb der Abteilung ändern.

Stellen Sie schließlich sicher, dass Sie auch privilegierte Konten in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die über Administratorzugriff auf Ihre unternehmenskritischen Ressourcen verfügen, z. B. Active Directory-Domäne Controller (DCs), Sicherheitstools und Systemverwaltungstools mit Agents, die auf unternehmenskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können diese sofort ausnutzen, um geschäftskritische Ressourcen zu gefährden.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Sie müssen alle Rollen mit direktem oder indirektem Administratorzugriff auf von AWS gehostete Ressourcen schützen.

Zu den privilegierten/administrativen Benutzern, die geschützt werden müssen, gehören:

  • Stammbenutzer: Der Stammbenutzer ist das privilegierte Konto der höchsten Ebene in Ihrem AWS-Konto. Stammkonten sollten stark eingeschränkt sein und nur in Notfällen verwendet werden. Weitere Informationen finden Sie unter Notfallzugriffssteuerungen in PA-5 (Einrichten des Notfallzugriffs).
  • IAM-Identitäten (Benutzer, Gruppen, Rollen) mit der Richtlinie für privilegierte Berechtigungen: IAM-Identitäten, die einer Berechtigungsrichtlinie wie AdministratorAccess zugewiesen sind, können vollzugriff auf AWS-Dienste und -Ressourcen haben.

Wenn Sie Azure Active Directory (Azure AD) als Identitätsanbieter für AWS verwenden, lesen Sie die Azure-Anleitung zum Verwalten der privilegierten Rollen in Azure AD.

Stellen Sie sicher, dass Sie auch privilegierte Konten in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die Administratorzugriff auf Ihre unternehmenskritischen Ressourcen haben, z. B. AWS Cognito, Sicherheitstools und Systemverwaltungstools mit Agents, die auf unternehmenskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können diese sofort ausnutzen, um geschäftskritische Ressourcen zu gefährden.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Sie müssen alle Rollen mit direktem oder indirektem Administratorzugriff auf von GCP gehostete Ressourcen schützen.

Die wichtigste integrierte Rolle in Google Cloud ist der Superadministrator. Der Superadministrator kann alle Aufgaben in der Admin-Konsole ausführen und verfügt über unwiderrufliche Administratorberechtigungen. Es wird davon abgeraten, das Superadministratorkonto für die tägliche Verwaltung zu verwenden.

Grundlegende Rollen sind sehr freizügige Legacyrollen, und es wird empfohlen, dass grundlegende Rollen nicht in Produktionsumgebungen verwendet werden, da sie umfassenden Zugriff auf alle Google Cloud-Ressourcen gewähren. Zu den grundlegenden Rollen gehören die Rollen "Viewer", "Editor" und "Besitzer". Stattdessen wird empfohlen, vordefinierte oder benutzerdefinierte Rollen zu verwenden. Zu den wichtigen privilegierten vordefinierten Rollen gehören:

  • Organisationsadministrator: Benutzer mit dieser Rolle können IAM-Richtlinien verwalten und organization Richtlinien für Organisationen, Ordner und Projekte anzeigen.
  • Organisationsrichtlinienadministrator: Benutzer mit dieser Rolle können definieren, welche Einschränkungen ein organization für die Konfiguration von Cloudressourcen festlegen möchte, indem sie Organisationsrichtlinien festlegen.
  • Organisationsrollenadministrator: Benutzer mit dieser Rolle können alle benutzerdefinierten Rollen im organization und darunter liegenden Projekten verwalten.
  • Sicherheits-Admin: Benutzer mit dieser Rolle können eine beliebige IAM-Richtlinie abrufen und festlegen.
  • Admin verweigern: Benutzer mit dieser Rolle verfügen über Berechtigungen zum Lesen und Ändern von IAM-Ablehnungsrichtlinien.

Darüber hinaus enthalten bestimmte vordefinierte Rollen privilegierte IAM-Berechtigungen auf organization-, Ordner- und Projektebene. Zu diesen IAM-Berechtigungen gehören:

  • organizationAdmin
  • folderIAMAdmin
  • projectIAMAdmin

Implementieren Sie außerdem die Aufgabentrennung, indem Sie Konten für verschiedene Projekte Rollen zuweisen oder binäre Autorisierung mit Google Kubernetes Engine nutzen.

Stellen Sie schließlich sicher, dass Sie auch privilegierte Konten in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die Administratorzugriff auf Ihre unternehmenskritischen Ressourcen haben, z. B. Cloud-DNS, Sicherheitstools und Systemverwaltungstools mit Agents, die auf unternehmenskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können diese sofort ausnutzen, um geschäftskritische Ressourcen zu gefährden.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

PA-2: Vermeiden von ständigem Zugriff für Benutzerkonten und Berechtigungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
AC-2 N/V

Sicherheitsprinzip: Anstatt stehende Berechtigungen zu erstellen, verwenden Sie den JIT-Mechanismus (Just-In-Time), um den verschiedenen Ressourcenebenen privilegierten Zugriff zuzuweisen.


Azure-Leitfaden: Aktivieren Des privilegierten Just-in-Time-Zugriffs (JIT) auf Azure-Ressourcen und Azure AD mithilfe von Azure AD Privileged Identity Management (PIM). JIT ist ein Modell, bei dem Benutzer temporäre Berechtigungen zum Ausführen privilegierter Aufgaben erhalten. Dieses Modell verhindert, dass böswillige oder nicht autorisierte Benutzer nach dem Ablauf der Berechtigungen Zugriff erhalten. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen. PIM kann auch Sicherheitswarnungen erzeugen, wenn es in Ihrer Azure AD-Organisation verdächtige oder unsichere Aktivitäten gibt.

Beschränken Sie den eingehenden Datenverkehr auf Ihre vertraulichen Verwaltungsports für virtuelle Computer (VM) mit dem Just-In-Time-Feature (JIT) von Microsoft Defender für Cloud für den VM-Zugriff. Dadurch wird sichergestellt, dass privilegierter Zugriff auf den virtuellen Computer nur gewährt wird, wenn Benutzer ihn benötigen.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie AWS Security Token Service (AWS STS), um temporäre Sicherheitsanmeldeinformationen für den Zugriff auf die Ressourcen über die AWS-API zu erstellen. Temporäre Sicherheitsanmeldeinformationen funktionieren fast identisch mit den Anmeldeinformationen für den langfristigen Zugriffsschlüssel, die Ihre IAM-Benutzer verwenden können, mit den folgenden Unterschieden:

  • Temporäre Sicherheitsanmeldeinformationen haben eine kurze Lebensdauer von Minuten bis Stunden.
  • Temporäre Sicherheitsanmeldeinformationen werden nicht beim Benutzer gespeichert, sondern dynamisch generiert und dem Benutzer auf Anforderung zur Verfügung gestellt.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie den bedingten IAM-Zugriff, um temporären Zugriff auf Ressourcen mithilfe bedingter Rollenbindungen in Zulassungsrichtlinien zu erstellen, der Cloud Identity-Benutzern gewährt wird. Konfigurieren Sie Datums-/Uhrzeitattribute, um zeitbasierte Steuerelemente für den Zugriff auf eine bestimmte Ressource zu erzwingen. Temporärer Zugriff kann eine kurze Lebensdauer haben, von Minuten bis Stunden, oder kann basierend auf Tagen oder Stunden der Woche gewährt werden.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

PA-3: Verwalten des Lebenszyklus von Identitäten und Berechtigungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Sicherheitsprinzip: Verwenden Sie einen automatisierten Prozess oder eine technische Steuerung, um den Identitäts- und Zugriffslebenszyklus zu verwalten, einschließlich der Anforderung, Überprüfung, Genehmigung, Bereitstellung und Aufhebung der Bereitstellung.


Azure-Leitfaden: Verwenden Sie Azure AD-Berechtigungsverwaltungsfeatures, um Zugriffsanforderungsworkflows (für Azure-Ressourcengruppen) zu automatisieren. So können Workflows für Azure-Ressourcengruppen Zugriffszuweisungen, Überprüfungen, Ablauf und duale oder mehrstufige Genehmigung verwalten.

Verwenden Sie die Berechtigungsverwaltung, um ungenutzte und übermäßige Berechtigungen, die Benutzer- und Workloadidentitäten in Multi-Cloud-Infrastrukturen zugewiesen sind, automatisch mit der richtigen Größe zu erkennen und kontinuierlich zu überwachen.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie AWS Access Advisor, um die Zugriffsprotokolle für die Benutzerkonten und Berechtigungen für Ressourcen zu pullen. Erstellen Sie einen manuellen oder automatisierten Workflow zur Integration in AWS IAM, um Zugriffszuweisungen, Überprüfungen und Löschungen zu verwalten.

Hinweis: Im AWS Marketplace sind Lösungen von Drittanbietern verfügbar, um den Lebenszyklus von Identitäten und Berechtigungen zu verwalten.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie die Cloudüberwachungsprotokolle von Google, um die Administratoraktivitäten und Datenzugriffsüberwachungsprotokolle für die Benutzerkonten und Berechtigungen für Ressourcen abzurufen. Erstellen Sie einen manuellen oder automatisierten Workflow zur Integration in GCP IAM, um Zugriffszuweisungen, Überprüfungen und Löschungen zu verwalten.

Verwenden Sie Google Cloud Identity Premium, um zentrale Identitäts- und Geräteverwaltungsdienste bereitzustellen. Zu diesen Diensten gehören Features wie automatisierte Benutzerbereitstellung, App-Whitelisting und automatisierte Verwaltung mobiler Geräte.

Hinweis: Im Google Cloud Marketplace stehen Lösungen von Drittanbietern zur Verwaltung des Lebenszyklus von Identitäten und Berechtigungen zur Verfügung.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

PA-4: Regelmäßiges Überprüfen und Abstimmen des Benutzerzugriffs

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Sicherheitsprinzip: Führen Sie eine regelmäßige Überprüfung der Berechtigungen für privilegierte Konten durch. Stellen Sie sicher, dass der den Konten gewährte Zugriff für die Verwaltung von Steuerungsebene, Verwaltungsebene und Workloads gültig ist.


Azure-Leitfaden: Überprüfen Sie alle privilegierten Konten und die Zugriffsberechtigungen in Azure, einschließlich Azure-Mandanten, Azure-Diensten, VM/IaaS, CI/CD-Prozessen sowie Unternehmensverwaltungs- und Sicherheitstools.

Verwenden Sie Azure AD-Zugriffsüberprüfungen, um Azure AD-Rollen, Azure-Ressourcenzugriffsrollen, Gruppenmitgliedschaften und den Zugriff auf Unternehmensanwendungen zu überprüfen. Die Azure AD-Berichterstellung kann auch Protokolle bereitstellen, um veraltete Konten oder Konten zu ermitteln, die für einen bestimmten Zeitraum nicht verwendet wurden.

Darüber hinaus können Sie Azure AD Privileged Identity Management konfigurieren, sodass Sie eine Warnung erhalten, wenn übermäßig viele Administratorkonten für eine bestimmte Rolle erstellt werden, und um veraltete oder falsch konfigurierte Administratorkonten zu ermitteln.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Überprüfen Sie alle privilegierten Konten und die Zugriffsberechtigungen in AWS, einschließlich AWS-Konten, Dienste, VM/IaaS, CI/CD-Prozesse sowie Unternehmensverwaltungs- und Sicherheitstools.

Verwenden Sie IAM Access Advisor, Access Analyzer und Anmeldeinformationsberichte, um Ressourcenzugriffsrollen, Gruppenmitgliedschaften und den Zugriff auf Unternehmensanwendungen zu überprüfen. Iam Access Analyzer und Anmeldeinformationsberichte können auch Protokolle bereitstellen, um veraltete Konten oder Konten zu ermitteln, die für einen bestimmten Zeitraum nicht verwendet wurden.

Wenn Sie Azure Active Directory (Azure AD) als Identitätsanbieter für AWS verwenden, verwenden Sie die Azure AD-Zugriffsüberprüfung, um die privilegierten Konten und Zugriffsberechtigungen regelmäßig zu überprüfen.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Überprüfen Sie alle privilegierten Konten und die Zugriffsberechtigungen in Google Cloud, einschließlich CloudIdentitätskonten, Dienste, VM/IaaS, CI/CD-Prozesse sowie Unternehmensverwaltungs- und Sicherheitstools.

Verwenden Sie Cloudüberwachungsprotokolle und Die Richtlinienanalyse, um Ressourcenzugriffsrollen und Gruppenmitgliedschaften zu überprüfen. Erstellen Sie Analyseabfragen in Policy Analyzer, um zu ermitteln, welche Prinzipale auf bestimmte Ressourcen zugreifen können.

Wenn Sie Azure Active Directory (Azure AD) als Identitätsanbieter für Google Cloud verwenden, verwenden Sie die Azure AD-Zugriffsüberprüfung, um die privilegierten Konten und Zugriffsberechtigungen regelmäßig zu überprüfen.

Darüber hinaus können Sie Azure AD Privileged Identity Management konfigurieren, sodass Sie eine Warnung erhalten, wenn übermäßig viele Administratorkonten für eine bestimmte Rolle erstellt werden, und um veraltete oder falsch konfigurierte Administratorkonten zu ermitteln.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

PA-5: Notfallzugriff einrichten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
AC-2 N/V

Sicherheitsprinzip: Richten Sie den Notfallzugriff ein, um sicherzustellen, dass Sie im Notfall nicht versehentlich von Ihrer kritischen Cloudinfrastruktur (z. B. Ihrem Identitäts- und Zugriffsverwaltungssystem) ausgesperrt werden.

Konten für den Notfallzugriff sollten nur selten benötigt werden und können im Falle einer Kompromittierung großen Schaden in der Organisation anrichten. Ihre Verfügbarkeit für die Organisation ist jedoch auch für die wenigen Szenarien, in denen sie benötigt werden, von entscheidender Bedeutung.


Azure-Leitfaden: Um zu verhindern, dass Ihre Azure AD-organization versehentlich gesperrt wird, richten Sie ein Konto für den Notfallzugriff (z. B. ein Konto mit der Rolle "Globaler Administrator") für den Zugriff ein, wenn normale Administratorkonten nicht verwendet werden können. Konten für den Notfallzugriff verfügen normalerweise über umfangreiche Berechtigungen und sollten keinen Einzelpersonen zugewiesen werden. Konten für den Notfallzugriff sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale Administratorkonten nicht verwendet werden können.

Sie sollten sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, Zertifikat oder Smartcard) für Konten für den Notfallzugriff sicher aufbewahrt werden und nur den Personen bekannt sind, die für deren Verwendung im Notfall autorisiert sind. Sie können auch zusätzliche Kontrollen wie duale Kontrollen (z. B. die Aufteilung der Anmeldeinformationen in zwei Teile und die Bereitstellung an separate Personen) verwenden, um die Sicherheit dieses Prozesses zu erhöhen. Sie sollten auch die Anmelde- und Überwachungsprotokolle überwachen, um sicherzustellen, dass Konten für den Notfallzugriff nur verwendet werden, wenn sie autorisiert sind.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: AWS-"Root"-Konten sollten nicht für reguläre Verwaltungsaufgaben verwendet werden. Da das Stammkonto sehr privilegiert ist, sollte es nicht bestimmten Personen zugewiesen werden. Die Verwendung sollte nur auf Notfall- oder "Break Glass"-Szenarien beschränkt sein, wenn normale Verwaltungskonten nicht verwendet werden können. Für tägliche Verwaltungsaufgaben sollten separate privilegierte Benutzerkonten verwendet und über IAM-Rollen die entsprechenden Berechtigungen zugewiesen werden.

Außerdem sollten Sie sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, MFA-Token und Zugriffsschlüssel) für Stammkonten geschützt sind und nur Personen bekannt sind, die berechtigt sind, sie nur im Notfall zu verwenden. MFA sollte für das Stammkonto aktiviert werden, und Sie können auch zusätzliche Steuerelemente verwenden, z. B. duale Kontrollen (z. B. Aufteilen der Anmeldeinformationen in zwei Teile und Zuweisen an separate Personen), um die Sicherheit dieses Prozesses zu erhöhen.

Sie sollten auch die Anmelde- und Überwachungsprotokolle in CloudTrail oder EventBridge überwachen, um sicherzustellen, dass Stammzugriffskonten nur verwendet werden, wenn sie autorisiert sind.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Google Cloud Identity-Superadministratorkonten sollten nicht für reguläre Verwaltungsaufgaben verwendet werden. Da das Superadministratorkonto sehr privilegiert ist, sollte es nicht bestimmten Personen zugewiesen werden. Die Verwendung sollte nur auf Notfall- oder "Break Glass"-Szenarien beschränkt sein, wenn normale Verwaltungskonten nicht verwendet werden können. Für tägliche Verwaltungsaufgaben sollten separate privilegierte Benutzerkonten verwendet und über IAM-Rollen die entsprechenden Berechtigungen zugewiesen werden.

Außerdem sollten Sie sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, MFA-Token und Zugriffsschlüssel) für Superadministratorkonten geschützt sind und nur Personen bekannt sind, die berechtigt sind, sie nur im Notfall zu verwenden. MFA sollte für das Superadministratorkonto aktiviert werden, und Sie können auch zusätzliche Steuerelemente verwenden, z. B. duale Kontrollen (z. B. Aufteilen der Anmeldeinformationen in zwei Teile und Zuweisen an separate Personen), um die Sicherheit dieses Prozesses zu erhöhen.

Sie sollten auch die Anmelde- und Überwachungsprotokolle in Cloudüberwachungsprotokollen überwachen oder den Policy Analyzer abfragen, um sicherzustellen, dass Superadministratorkonten nur verwendet werden, wenn sie autorisiert sind.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

PA-6: Verwenden von Privileged Access Workstations

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7

Sicherheitsprinzip: Gesicherte, isolierte Arbeitsstationen sind von entscheidender Bedeutung für die Sicherheit sensibler Rollen wie Administrator, Entwickler und kritischer Dienstbetreiber.


Azure-Leitfaden: Verwenden Sie Azure Active Directory, Microsoft Defender und/oder Microsoft Intune, um Arbeitsstationen mit privilegiertem Zugriff (PAW) lokal oder in Azure für privilegierte Aufgaben bereitzustellen. Die PAW sollte zentral verwaltet werden, um eine gesicherte Konfiguration einschließlich starker Authentifizierung, Software- und Hardwarebaselines sowie eingeschränktem logischen und Netzwerkzugang durchzusetzen.

Sie können auch Azure Bastion verwenden, einen vollständig plattformverwalteten PaaS-Dienst, der in Ihrem virtuellen Netzwerk bereitgestellt werden kann. Azure Bastion ermöglicht die RDP-/SSH-Konnektivität mit Ihren virtuellen Computern direkt über die Azure-Portal mithilfe eines Webbrowsers.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie Session Manager in AWS Systems Manager, um einen Zugriffspfad (eine Verbindungssitzung) zum EC2-instance oder eine Browsersitzung auf die AWS-Ressourcen für privilegierte Aufgaben zu erstellen. Session Manager ermöglicht RDP-, SSH- und HTTPS-Konnektivität mit Ihren Zielhosts über Portweiterleitung.

Sie können auch eine Arbeitsstation mit privilegiertem Zugriff (PAW) bereitstellen, die zentral über Azure Active Directory, Microsoft Defender und/oder Microsoft Intune verwaltet werden. Die zentrale Verwaltung sollte eine gesicherte Konfiguration erzwingen, einschließlich einer starken Authentifizierung, Software- und Hardwarebaselines sowie eingeschränktem logischem und Netzwerkzugriff.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie Identity-Aware Proxy (IAP) Desktop, um einen Zugriffspfad (eine Verbindungssitzung) auf die Compute-instance für privilegierte Aufgaben zu erstellen. IAP Desktop ermöglicht RDP- und SSH-Konnektivität mit Ihren Zielhosts durch Portweiterleitung. Darüber hinaus können Linux-Computeinstanzen, die extern sind, über eine SSH-in-Browser-Verbindung über die Google Cloud-Konsole verbunden werden.

Sie können auch eine Arbeitsstation mit privilegiertem Zugriff (Paw) bereitstellen, die zentral über Google Workspace Endpoint Management oder Microsoft-Lösungen (Azure Active Directory, Microsoft Defender und/oder Microsoft Intune) verwaltet werden. Die zentrale Verwaltung sollte eine gesicherte Konfiguration erzwingen, einschließlich einer starken Authentifizierung, Software- und Hardwarebaselines sowie eingeschränktem logischem und Netzwerkzugriff.

Sie können auch Bastionhosts für den sicheren Zugriff auf vertrauenswürdige Umgebungen mit definierten Parametern erstellen.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Sicherheitsprinzip: Befolgen Sie das Prinzip der gerade ausreichenden Verwaltung (geringste Rechte), um Berechtigungen auf fein abgestufter Ebene zu verwalten. Verwenden Sie Features wie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um den Ressourcenzugriff über Rollenzuweisungen zu verwalten.


Azure-Leitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um den Azure-Ressourcenzugriff über Rollenzuweisungen zu verwalten. Mithilfe von RBAC können Sie Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten Rollen zuweisen. Für bestimmte Ressourcen sind vordefinierte integrierte Rollen verfügbar. Diese Rollen können über Tools wie die Azure CLI, Azure PowerShell und das Azure-Portal inventarisiert oder abgefragt werden.

Die Berechtigungen, die Sie Ressourcen über Azure RBAC zuweisen, sollten immer auf die nötigsten Anforderungen der Rollen beschränkt sein. Eingeschränkte Berechtigungen ergänzen den JIT-Ansatz (Just-in-Time) von Azure AD Privileged Identity Management (PIM), und diese Berechtigungen sollten regelmäßig überprüft werden. Bei Bedarf können Sie PIM auch verwenden, um eine zeitgebundene Zuweisung zu definieren. Dies ist eine Bedingung in einer Rollenzuweisung, bei der ein Benutzer die Rolle nur innerhalb des angegebenen Start- und Enddatums aktivieren kann.

Hinweis: Verwenden Sie integrierte Rollen zur Zuweisung von Berechtigungen, und erstellen Sie benutzerdefinierte Rollen nur bei Bedarf.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Verwenden Sie AWS-Richtlinie zum Verwalten des AWS-Ressourcenzugriffs. Es gibt sechs Arten von Richtlinien: identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Berechtigungsgrenzen, AWS Organizations Service Control Policy (SCP), Access Control List und Sitzungsrichtlinien. Sie können verwaltete AWS-Richtlinien für gängige Berechtigungsanwendungsfälle verwenden. Beachten Sie jedoch, dass verwaltete Richtlinien möglicherweise übermäßige Berechtigungen enthalten, die den Benutzern nicht zugewiesen werden sollten.

Sie können auch AWS ABAC (attributbasierte Zugriffssteuerung) verwenden, um Berechtigungen basierend auf Attributen (Tags) zuzuweisen, die IAM-Ressourcen zugeordnet sind, einschließlich IAM-Entitäten (Benutzer oder Rollen) und AWS-Ressourcen.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Verwenden Sie die Google Cloud IAM-Richtlinie, um den GCP-Ressourcenzugriff über Rollenzuweisungen zu verwalten. Sie können die vordefinierten Rollen von Google Cloud für allgemeine Berechtigungsanwendungsfälle verwenden. Beachten Sie jedoch, dass vordefinierte Rollen möglicherweise übermäßige Berechtigungen aufweisen, die den Benutzern nicht zugewiesen werden sollten.

Verwenden Sie außerdem Policy Intelligence mit dem IAM-Empfehlungsmodul, um übermäßige Berechtigungen zu identifizieren und aus Konten zu entfernen.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (weitere Informationen):

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 N/V

Sicherheitsprinzip: Richten Sie einen Genehmigungsprozess und einen Zugriffspfad für das Anfordern und Genehmigen von Supportanfragen von Anbietern und den temporären Zugriff auf Ihre Daten über einen sicheren Kanal ein.


Azure-Leitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie kundeninterne Lockbox, um jede von Microsoft gestellte Datenzugriffsanforderung zu überprüfen und zu genehmigen oder abzulehnen.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Erstellen Sie in Supportszenarien, in denen AWS-Supportteams auf Ihre Daten zugreifen müssen, ein Konto im AWS-Supportportal, um Support anzufordern. Überprüfen Sie die verfügbaren Optionen, z. B. das Bereitstellen schreibgeschützter Datenzugriff oder die Bildschirmfreigabeoption für aws-Support für den Zugriff auf Ihre Daten.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: In Supportszenarien, in denen der Google Cloud Customer Care auf Ihre Daten zugreifen muss, verwenden Sie die Zugriffsgenehmigung, um jede Datenzugriffsanforderung von Cloud Customer Care zu überprüfen und entweder zu genehmigen oder abzulehnen.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):