Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Identitätsverwaltung umfasst Kontrollmechanismen zum Einrichten sicherer Identitäts- und Zugriffssteuerungen mithilfe von Identitäts- und Zugriffsverwaltungssystemen. Dazu gehören das einmalige Anmelden, sichere Authentifizierungen, verwaltete Identitäten (und Dienstprinzipale) für Anwendungen, bedingter Zugriff und Überwachung von Anomalien bei Konten.
IM-1: Verwenden Sie ein zentrales Identitäts- und Authentifizierungssystem
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 6,7; 12,5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Sicherheitsprinzip: Verwenden Sie ein zentrales Identitäts- und Authentifizierungssystem, um die Identitäten und Authentifizierungen Ihrer Organisation für Cloud- und Nicht-Cloudressourcen zu steuern.
Azure-Leitfaden: Azure Active Directory (Azure AD) ist der Identitäts- und Authentifizierungsverwaltungsdienst von Azure. Sie sollten Azure AD standardisieren, um die Identität und Authentifizierung Ihrer Organisation zu steuern in:
- Microsoft-Cloudressourcen wie Azure Storage, Azure Virtual Machines (Linux und Windows), Azure Key Vault, PaaS und SaaS-Anwendungen.
- Die Ressourcen Ihrer Organisation, z. B. Anwendungen auf Azure, Anwendungen von Drittanbietern, die auf Ihren Unternehmensnetzwerkressourcen ausgeführt werden, und SaaS-Anwendungen von Drittanbietern.
- Ihre Unternehmensidentitäten in Active Directory durch Synchronisierung mit Azure AD, um eine konsistente und zentral verwaltete Identitätsstrategie sicherzustellen.
Vermeiden Sie für die angewendeten Azure-Dienste die Verwendung lokaler Authentifizierungsmethoden, und verwenden Sie stattdessen Azure Active Directory, um Ihre Dienstauthentifizierungen zu zentralisieren.
Hinweis: Sobald dies technisch machbar ist, sollten Sie lokale Active Directory-basierte Anwendungen zu Azure AD migrieren. Dies kann ein Azure AD Enterprise-Verzeichnis, eine Business-zu-Business-Konfiguration oder eine Business-Zu-Consumer-Konfiguration sein.
Azure-Implementierung und zusätzlicher Kontext:
- Mandantschaft in Azure AD
- Erstellen und Konfigurieren einer Azure AD-Instanz
- Azure AD-Mandanten definieren
- Verwenden externer Identitätsanbieter für eine Anwendung
AWS-Leitfaden: AWS IAM (Identity and Access Management) ist der Standard-Identitäts- und Authentifizierungsverwaltungsdienst von AWS. Verwenden Sie AWS IAM, um Ihre AWS-Identitäts- und Zugriffsverwaltung zu steuern. Alternativ können Sie über AWS und Azure Single Sign-On (SSO) auch Azure AD verwenden, um die Identitäts- und Zugriffssteuerung von AWS zu verwalten und zu vermeiden, doppelte Konten separat auf zwei Cloudplattformen zu managen.
AWS unterstützt Single Sign-On, mit dem Sie die Drittanbieteridentitäten Ihres Unternehmens (z. B. Windows Active Directory oder andere Identitätsspeicher) mit den AWS-Identitäten verbinden können, um zu vermeiden, dass doppelte Konten für den Zugriff auf AWS-Ressourcen erstellt werden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Das Identity and Access Management (IAM)-System von Google Cloud ist der Standardmäßige Identitäts- und Authentifizierungsverwaltungsdienst von Google Cloud, der für Google Cloud Identity-Konten verwendet wird. Verwenden Sie Google Cloud IAM, um Ihre GCP-Identitäts- und Zugriffsverwaltung zu steuern. Alternativ können Sie über die Google Cloud Identity und Azure Sigle Sign-On (SSO) auch Azure AD verwenden, um die Identitäts- und Zugriffssteuerung von GCP zu verwalten, um doppelte Konten separat in einer Mutli-Cloud-Umgebung zu verwalten.
Google Cloud Identity ist der Identitätsanbieter für alle Google-Dienste. Es unterstützt Single Sign-On, mit denen Sie die Drittanbieteridentitäten Ihres Unternehmens (z. B. Windows Active Directory oder andere Identitätsspeicher) mit Google Cloud-Identitäten verbinden können, um zu vermeiden, dass doppelte Konten für den Zugriff auf GCP-Ressourcen erstellt werden.
Hinweis: Verwenden Sie die Google Cloud Directory-Synchronisierung. Google bietet ein Connector-Tool, das in die meisten LDAP-Verwaltungssysteme von Unternehmen integriert ist und Identitäten zeitgesteuert synchronisiert. Indem Sie ein Cloud Identity-Konto konfigurieren und google Cloud Directory Sync singen, können Sie konfigurieren, welche Ihrer Benutzerkonten – einschließlich Benutzern, Gruppen und Benutzerprofilen, Aliasen und mehr – zwischen Ihrem lokalen Identitätsverwaltungssystem und Ihrem GCP-System synchronisiert werden.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Sicherheitsarchitektur
- Anwendungssicherheit und DevSecOps
- Haltungsverwaltung
CHAT-2: Schützen von Identitäts- und Authentifizierungssystemen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Sicherheitsprinzip: Sichern Sie Ihr Identitäts- und Authentifizierungssystem als hohe Priorität in der Cloudsicherheitspraxis Ihrer Organisation. Zu den allgemeinen Sicherheitskontrollen gehören:
- Einschränken privilegierter Rollen und Konten
- Erfordern einer starken Authentifizierung für alle privilegierten Zugriffe
- Überwachen und Prüfen von Aktivitäten mit hohem Risiko
Azure-Leitfaden: Verwenden Sie die Azure AD-Sicherheitsbasislinie und die Azure AD Identity Secure Score, um Ihren Azure AD-Identitätssicherheitsstatus zu bewerten und Sicherheits- und Konfigurationslücken zu beheben. Die Azure AD Identity Secure Score wertet Azure AD für die folgenden Konfigurationen aus:
- Verwenden von eingeschränkten Administrativen Rollen
- Benutzerrisikorichtlinie aktivieren
- Festlegen mehrerer globaler Administratoren
- Aktivieren der Richtlinie zum Blockieren älterer Authentifizierungsmethoden
- Stellen Sie sicher, dass alle Benutzer die mehrstufige Authentifizierung abschließen können, um sicheren Zugriff zu erhalten.
- Anfordern der MFA für Administratorrollen
- Aktivieren der Self-Service-Kennwortzurücksetzung
- Passwörter nicht ablaufen lassen
- Aktivieren der Anmelderisikorichtlinie
- Benutzer dürfen keine Zustimmung zu nicht verwalteten Anwendungen erteilen
Verwenden Sie Azure AD Identity Protection, um identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beheben. Um Ihre lokale Active Directory-Domäne zu schützen, verwenden Sie Defender for Identity.
Hinweis: Folgen Sie veröffentlichten bewährten Methoden für alle anderen Identitätskomponenten, einschließlich Ihrer lokalen Active Directory- und Drittanbieterfunktionen sowie der Infrastrukturen (z. B. Betriebssysteme, Netzwerke, Datenbanken), die sie hosten.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist die Identitätssicherheitsbewertung in Azure AD?
- Bewährte Methoden zum Sichern von Active Directory
- Was ist Identitätsschutz?
- Was ist Microsoft Defender for Identity?
AWS-Leitfaden: Verwenden Sie die folgenden bewährten Sicherheitsmethoden, um Ihre AWS IAM zu sichern:
- Einrichten von Root-Benutzerzugriffsschlüsseln für ein AWS-Konto für den Notfallzugriff, wie in PA-5 beschrieben (Einrichten des Notfallzugriffs)
- Befolgen der Grundsätze der geringsten Rechte für Zugriffszuweisungen
- Nutzen Sie IAM-Gruppen, um Richtlinien anstelle einzelner Benutzer anzuwenden.
- Befolgen Sie die Anleitung zur starken Authentifizierung in IM-6 (Verwendung starker Authentifizierungskontrollen) für alle Benutzer.
- Verwenden Sie AWS-Organizations SCP (Service Control Policy) und Berechtigungsgrenzen
- Verwenden des IAM Access Advisor zum Überwachen des Dienstzugriffs
- Verwenden Sie den IAM-Anmeldeinformationsbericht, um Benutzerkonten und den Anmeldeinformationsstatus nachzuverfolgen.
Hinweis: Befolgen Sie die veröffentlichten bewährten Methoden, wenn Sie über andere Identitäts- und Authentifizierungssysteme verfügen, z. B. den Azure AD-Sicherheitsgrundplan, wenn Sie Azure AD zum Verwalten von AWS-Identität und -Zugriff verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die folgenden bewährten Sicherheitsmethoden, um Ihre Google Cloud IAM- und Cloud Identity-Dienste für Ihre Organisationen zu schützen:
- Richten Sie ein Superadministratorkonto für den Notfallzugriff ein, indem Sie den Empfehlungen in PA-5 folgen ("Einrichten des Notfallzugriffs").
- Erstellen Sie eine E-Mail-Adresse eines Superadministrators (als Google Workspace- oder Cloud Identity-Superadministratorkonto), und dieses Konto sollte nicht spezifisch für einen bestimmten Benutzer sein, falls eine Notfallwiederherstellung erforderlich ist.
- Prinzipien des geringsten Privilegs und der Trennung von Aufgaben folgen
- Vermeiden Sie die Verwendung eines super Admin-Kontos für tägliche Aktivitäten
- Nutzen Sie Google Cloud Identity-Gruppen, um Richtlinien anzuwenden, anstatt Richtlinien auf einzelne Benutzer anzuwenden.
- Befolgen Sie eine Anleitung zur starken Authentifizierung, wie in IM-6 beschrieben ("Sichere Authentifizierungssteuerelemente verwenden") für alle Benutzer mit erhöhten Berechtigungen.
- Verwenden von IAM-Richtlinien zum Einschränken des Zugriffs auf Ressourcen
- Verwenden des Organisationsrichtliniendiensts zum Steuern und Konfigurieren von Einschränkungen für Ressourcen
- Verwenden Sie die IAM-Überwachungsprotokollierung in den Cloud-Audit-Protokollen, um privilegierte Aktivitäten zu überprüfen.
Hinweis: Befolgen Sie die veröffentlichten bewährten Methoden, wenn Sie über andere Identitäts- und Authentifizierungssysteme verfügen, z. B. den Azure AD-Sicherheitsgrundplan, wenn Sie Azure AD zum Verwalten der GCP-Identität und des Zugriffs verwenden.
GCP-Implementierung und zusätzlicher Kontext:
- Bewährte Methoden für das Superadministratorkonto
- Bewährte Methoden für Sicherheit für Administratorkonten
- Sichere Verwendung von IAM
- Verwalten des Zugriffs auf andere Ressourcen
- Einführung in den Organisationsrichtliniendienst
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Sicherheitsarchitektur
- Anwendungssicherheit und DevSecOps
- Haltungsverwaltung
IM-3: Anwendungsidentitäten sicher und automatisch verwalten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| Nicht verfügbar | AC-2, AC-3, IA-4, IA-5, IA-9 | Nicht verfügbar |
Sicherheitsprinzip: Verwenden Sie verwaltete Anwendungsidentitäten, anstatt Menschliche Konten für Anwendungen zu erstellen, um auf Ressourcen zuzugreifen und Code auszuführen. Verwaltete Anwendungsidentitäten bieten Vorteile, z. B. die Verringerung der Gefährdung von Anmeldeinformationen. Automatisieren Sie die Drehung von Anmeldeinformationen, um die Sicherheit der Identitäten sicherzustellen.
Azure-Leitfaden: Verwenden von von Azure verwalteten Identitäten, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure AD-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig verwaltet, regelmäßig geändert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Verwenden Sie Für Dienste, die verwaltete Identitäten nicht unterstützen, Azure AD, um einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene zu erstellen. Es wird empfohlen, Dienstprinzipale mit Zertifikatanmeldeinformationen zu konfigurieren und für die Authentifizierung auf geheime Clientschlüssel zurückzugreifen.
Azure-Implementierung und zusätzlicher Kontext:
- Verwaltete Azure-Identitäten
- Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen
- Azure-Dienstprinzipal
- Dienstprinzipal mit Zertifikaten erstellen
AWS-Leitfaden: Verwenden Sie AWS IAM-Rollen, anstatt Benutzerkonten für Ressourcen zu erstellen, die dieses Feature unterstützen. IAM-Rollen werden von der Plattform im Back-End verwaltet, und die Anmeldeinformationen werden temporär und automatisch gedreht. Dadurch wird verhindert, dass langfristige Zugriffstasten oder ein Benutzername/Kennwort für Anwendungen und hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien erstellt werden.
Sie können dienstverknüpfte Rollen verwenden, die mit vordefinierten Berechtigungsrichtlinien für den Zugriff zwischen AWS-Diensten verknüpft sind, anstatt Ihre eigenen Rollenberechtigungen für die IAM-Rollen anzupassen.
Hinweis: Verwenden Sie für Dienste, die keine IAM-Rollen unterstützen, Zugriffsschlüssel, aber befolgen Sie bewährte Sicherheitsmethoden, z. B. IM-8 Einschränken der Offenlegung von Anmeldeinformationen und Geheimnissen, um Ihre Schlüssel zu schützen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie googleverwaltete Dienstkonten, anstatt benutzerkontenverwaltete Konten für Ressourcen zu erstellen, die dieses Feature unterstützen. Google-verwaltete Dienstkonten werden von der Plattform im Back-End verwaltet, und die Dienstkontoschlüssel werden temporär und automatisch gedreht. Dies vermeidet die Erstellung langfristiger Zugriffstasten oder eines Benutzernamens/Kennworts für Anwendungen und hartcodierte hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien.
Verwenden Sie Richtlinienintelligenz, um verdächtige Aktivitäten für Dienstkonten zu verstehen und zu erkennen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
CHAT-4: Authentifizieren von Servern und Diensten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| Nicht verfügbar | IA-9 | Nicht verfügbar |
Sicherheitsprinzip: Authentifizieren Sie Remoteserver und -dienste von Ihrer Clientseite, um sicherzustellen, dass Sie eine Verbindung mit vertrauenswürdigen Servern und Diensten herstellen. Das am häufigsten verwendete Serverauthentifizierungsprotokoll ist Transport Layer Security (TLS), bei dem das clientseitige (häufig ein Browser oder Clientgerät) den Server überprüft, indem überprüft wird, ob das Zertifikat des Servers von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
Hinweis: Die gegenseitige Authentifizierung kann verwendet werden, wenn sowohl der Server als auch der Client sich gegenseitig authentifizieren.
Azure-Leitfaden: Viele Azure-Dienste unterstützen die TLS-Authentifizierung standardmäßig. Stellen Sie für Dienste, die die TLS-Authentifizierung standardmäßig nicht unterstützen oder das Deaktivieren von TLS unterstützen, sicher, dass sie immer aktiviert ist, um die Server-/Clientauthentifizierung zu unterstützen. Ihre Clientanwendung sollte auch so konzipiert sein, dass die Server-/Clientidentität (durch Überprüfung des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Serverszertifikats) in der Handshake-Phase überprüft wird.
Hinweis: Dienste wie API-Verwaltung und API-Gateway unterstützen die gegenseitige TLS-Authentifizierung.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Viele AWS-Dienste unterstützen standardmäßig die TLS-Authentifizierung. Stellen Sie für Dienste, die die TLS-Authentifizierung standardmäßig nicht unterstützen oder das Deaktivieren von TLS unterstützen, sicher, dass sie immer aktiviert ist, um die Server-/Clientauthentifizierung zu unterstützen. Ihre Clientanwendung sollte auch so konzipiert sein, dass die Server-/Clientidentität (durch Überprüfung des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Serverszertifikats) in der Handshake-Phase überprüft wird.
Hinweis: Dienste wie API-Gateway unterstützen die gegenseitige TLS-Authentifizierung.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Anleitung: Viele GCP-Dienste unterstützen standardmäßig die TLS-Authentifizierung. Stellen Sie für Dienste, die dies standardmäßig nicht unterstützen oder das Deaktivieren von TLS unterstützen, sicher, dass sie immer aktiviert ist, um die Server-/Clientauthentifizierung zu unterstützen. Ihre Clientanwendung sollte auch so konzipiert sein, dass die Server-/Clientidentität (durch Überprüfung des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Serverszertifikats) in der Handshake-Phase überprüft wird.
Hinweis: Dienste wie Cloud Load Balancing unterstützen die gegenseitige TLS-Authentifizierung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-5: Verwenden des einmaligen Anmeldens (Single Sign-On, SSO) für den Anwendungszugriff
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 12,5 | IA-4, IA-2, IA-8 | Nicht verfügbar |
Sicherheitsprinzip: Verwenden Sie einmaliges Anmelden (Single Sign-On, SSO), um die Benutzerfreundlichkeit für die Authentifizierung für Ressourcen zu vereinfachen, einschließlich Anwendungen und Daten über Clouddienste und lokale Umgebungen hinweg.
Azure-Leitfaden: Verwenden Sie Azure AD für den Zugriff auf Arbeitsauslastungsanwendungen (Kundenzugriff) über azure AD Single Sign-On (SSO), wodurch die Notwendigkeit doppelter Konten reduziert wird. Azure AD bietet Identitäts- und Zugriffsverwaltung für Azure-Ressourcen (einschließlich CLI, PowerShell, Portal), Cloudanwendungen und lokale Anwendungen.
Azure AD unterstützt außerdem SSO für Unternehmensidentitäten wie Unternehmensbenutzeridentitäten sowie externe Benutzeridentitäten von vertrauenswürdigen Drittanbietern und öffentlichen Benutzern.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie AWS Cognito, um Zugriffsanforderungen an Ihre kundenorientierten Anwendungsworkloads über einmaliges Anmelden (Single Sign-On, SSO) zu verwalten, damit Kunden ihre Drittanbieteridentitäten von verschiedenen Identitätsanbietern überbrücken können.
Für den SSO-Zugriff auf die nativen AWS-Ressourcen (einschließlich AWS-Konsolenzugriff oder Dienstverwaltung und Zugriff auf Datenebene) verwenden Sie AWS Sigle Sign-On, um den Bedarf an doppelten Konten zu reduzieren.
AWS SSO ermöglicht es Ihnen auch, Unternehmensidentitäten (z. B. Identitäten aus Azure Active Directory) mit AWS-Identitäten sowie externe Benutzeridentitäten von vertrauenswürdigen Drittanbietern und öffentlichen Benutzern zu überbrücken.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Identity, um den Zugriff auf Ihre Kundenarbeitsauslastungsanwendung über google Cloud Identity Single Sign-On zu verwalten, wodurch die Notwendigkeit doppelter Konten reduziert wird. Google Cloud Identity bietet die Identitäts- und Zugriffsverwaltung für GCP (in der Verwaltungsebene einschließlich Google Cloud CLI, Konsolenzugriff), Cloudanwendungen und lokale Anwendungen.
Google Cloud Identity unterstützt auch SSO für Unternehmensidentitäten wie Unternehmensbenutzeridentitäten aus Azure AD oder Active Directory sowie externe Benutzeridentitäten von vertrauenswürdigen Drittanbietern und öffentlichen Benutzern. GCP-Implementierung und zusätzlicher Kontext:
- Einmaliges Anmelden bei Google Cloud Identity
- Azure AD-Benutzerbereitstellung und einmaliges Anmelden
Kundensicherheitsbeteiligte (Weitere Informationen):
Chat-6: Verwenden sicherer Authentifizierungssteuerelemente
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Sicherheitsprinzip: Erzwingen Sie starke Authentifizierungskontrollen (sichere kennwortlose Authentifizierung oder mehrstufige Authentifizierung) mit Ihrem zentralen Identitäts- und Authentifizierungsverwaltungssystem für den gesamten Zugriff auf Ressourcen. Die Authentifizierung, die auf Kennwortanmeldeinformationen basiert, gilt als legacy, da sie unsicher ist und sich nicht bei beliebten Angriffsmethoden befindet.
Wenn Sie eine starke Authentifizierung bereitstellen, konfigurieren Sie Administratoren und privilegierte Benutzer zuerst, um die höchste Ebene der starken Authentifizierungsmethode sicherzustellen, gefolgt von der Einführung der entsprechenden richtlinie für starke Authentifizierung für alle Benutzer.
Hinweis: Wenn die kennwortbasierte Legacyauthentifizierung für Legacyanwendungen und Szenarien erforderlich ist, stellen Sie sicher, dass bewährte Methoden für die Kennwortsicherheit wie Komplexitätsanforderungen eingehalten werden.
Azure-Leitfaden: Azure AD unterstützt sichere Authentifizierungskontrollen durch kennwortlose Methoden und mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
- Kennwortlose Authentifizierung: Verwenden Sie die kennwortlose Authentifizierung als Standardauthentifizierungsmethode. Es gibt drei Optionen in der kennwortlosen Authentifizierung: Windows Hello for Business, Microsoft Authenticator-App-App-Anmeldung und FIDO2-Sicherheitsschlüssel. Darüber hinaus können Kunden lokale Authentifizierungsmethoden wie Smartcards verwenden.
- Mehrstufige Authentifizierung: Azure MFA kann für alle Benutzer, ausgewählte Benutzer oder auf Benutzerebene basierend auf Anmeldebedingungen und Risikofaktoren erzwungen werden. Aktivieren Sie Azure MFA, und folgen Sie den Empfehlungen für Microsoft Defender for Cloud Identity and Access Management für Ihre MFA-Einrichtung.
Wenn die legacy kennwortbasierte Authentifizierung weiterhin für die Azure AD-Authentifizierung verwendet wird, beachten Sie, dass reine Cloudkonten (benutzerkonten, die direkt in Azure erstellt wurden) über eine standardmäßige Standardkennwortrichtlinie verfügen. Und Hybridkonten (Benutzerkonten, die aus lokalem Active Directory stammen) folgen den lokalen Kennwortrichtlinien.
Für Anwendungen und Dienste von Drittanbietern, die möglicherweise Standard-IDs und Kennwörter enthalten, sollten Sie sie während der ersteinrichtung des Diensts deaktivieren oder ändern.
Azure-Implementierung und zusätzlicher Kontext:
- Aktivieren von MFA in Azure
- Einführung in kennwortlose Authentifizierungsoptionen für Azure Active Directory
- Azure AD-Standardkennwortrichtlinie
- Entfernen von ungültigen Kennwörtern mithilfe von Azure AD Password Protection
- Blockieren der Legacy-Authentifizierung
AWS-Leitfaden: AWS IAM unterstützt starke Authentifizierungskontrollen durch mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). MFA kann für alle Benutzer, ausgewählte Benutzer oder auf Benutzerebene basierend auf definierten Bedingungen erzwungen werden.
Wenn Sie Unternehmenskonten aus einem Drittanbieterverzeichnis (z. B. Windows Active Directory) mit AWS-Identitäten verwenden, befolgen Sie die entsprechenden Sicherheitsanweisungen, um eine starke Authentifizierung zu erzwingen. Lesen Sie den Azure-Leitfaden für dieses Steuerelement, wenn Sie Azure AD zum Verwalten des AWS-Zugriffs verwenden.
Hinweis: Für Anwendungen von Drittanbietern und AWS-Diensten, die möglicherweise Standard-IDs und Kennwörter aufweisen, sollten Sie diese während der ersteinrichtung des Diensts deaktivieren oder ändern.
AWS-Implementierung und zusätzlicher Kontext:
- Verwenden der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) in AWS
- IAM unterstützte MFA-Formfaktoren
GCP-Leitfaden: Google Cloud Identity unterstützt starke Authentifizierungskontrollen durch mehrstufige Authentifizierung (MFA). MFA kann für alle Benutzer, ausgewählte Benutzer oder auf Benutzerebene basierend auf definierten Bedingungen erzwungen werden. Um Cloud Identity (und Workspace)-Superadministratorkonten zu schützen, sollten Sie die Verwendung von Sicherheitsschlüsseln und dem Google Advanced Protection-Programm für maximale Sicherheit in Betracht ziehen.
Wenn Sie Unternehmenskonten aus einem Drittanbieterverzeichnis (z. B. Windows Active Directory) mit Google Cloud-Identitäten verwenden, befolgen Sie die entsprechenden Sicherheitsanweisungen, um eine starke Authentifizierung zu erzwingen. Lesen Sie den Azure-Leitfaden für dieses Steuerelement, wenn Sie Azure AD zum Verwalten des Google Cloud-Zugriffs verwenden.
Verwenden Sie Identity-Aware Proxy, um eine zentrale Autorisierungsschicht für Anwendungen einzurichten, auf die von HTTPS zugegriffen wird, sodass Sie ein Zugriffssteuerungsmodell auf Anwendungsebene verwenden können, anstatt auf Firewalls auf Netzwerkebene zu vertrauen.
Hinweis: Für Anwendungen von Drittanbietern und GCP-Diensten, die möglicherweise Standard-IDs und Kennwörter aufweisen, sollten Sie sie während der ersteinrichtung des Diensts deaktivieren oder ändern.
GCP-Implementierung und zusätzlicher Kontext:
- Erzwingung von einheitlicher MFA für Unternehmenseigene Ressourcen
- Google Advanced Protection-Programm
- Übersicht überIdentity-Aware Proxy
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Sicherheitsprinzip: Überprüfen Sie explizit vertrauenswürdige Signale, um den Benutzerzugriff auf Ressourcen im Rahmen eines Zero-Trust-Zugriffsmodells zuzulassen oder zu verweigern. Signale, die überprüft werden sollen, sollten eine starke Authentifizierung von Benutzerkonten, Verhaltensanalysen von Benutzerkonten, Gerätevertrauenswürdigkeit, Benutzer- oder Gruppenmitgliedschaft, Speicherorte usw. umfassen.
Azure-Leitfaden: Verwenden Sie bedingten Azure AD-Zugriff für genauere Zugriffssteuerungen basierend auf benutzerdefinierten Bedingungen, z. B. die Anforderung von Benutzeranmeldungen aus bestimmten IP-Bereichen (oder Geräten), um MFA zu verwenden. Mit dem bedingten Azure AD-Zugriff können Sie Zugriffssteuerungen für die Apps Ihrer Organisation basierend auf bestimmten Bedingungen erzwingen.
Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Azure AD-Zugriff in der Workload. Berücksichtigen Sie die folgenden gängigen Anwendungsfälle:
- Erfordern der mehrstufigen Authentifizierung für Benutzer in Administratorrollen
- Erfordern der mehrstufigen Authentifizierung für Azure-Verwaltungsaufgaben
- Blockieren von Anmeldungen für Benutzer, die versuchen, ältere Authentifizierungsprotokolle zu verwenden
- Erfordern von vertrauenswürdigen Standorten für die Azure AD Multi-Factor-Authentifizierungsregistrierung
- Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten
- Blockieren riskanter Anmeldeverhalten
- Erfordern von unternehmenseigenen, verwalteten Geräten für bestimmte Anwendungen
Hinweis: Granulare Authentifizierungssitzungsverwaltungssteuerelemente können auch über die Azure AD-Richtlinie für bedingten Zugriff implementiert werden, z. B. Anmeldehäufigkeit und persistente Browsersitzung.
Azure-Implementierung und zusätzlicher Kontext:
- Übersicht über den bedingten Azure-Zugriff
- Allgemeine Richtlinien für bedingten Zugriff
- Einblicke und Berichterstellung für bedingten Zugriff
- Konfigurieren der Authentifizierungssitzungsverwaltung mit bedingtem Zugriff
AWS-Leitfaden: Erstellen Sie EINE IAM-Richtlinie und definieren Sie Bedingungen für präzisere Zugriffssteuerungen basierend auf benutzerdefinierten Bedingungen, z. B. die Anforderung von Benutzeranmeldungen aus bestimmten IP-Bereichen (oder Geräten), um die mehrstufige Authentifizierung zu verwenden. Bedingungseinstellungen können einzelne oder mehrere Bedingungen sowie Logiken enthalten.
Richtlinien können aus sechs verschiedenen Dimensionen definiert werden: identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Berechtigungsgrenzen, AWS Organisations-Dienststeuerungsrichtlinie (SCP), Zugriffssteuerungslisten (Access Control Lists, ACL) und Sitzungsrichtlinien.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Anleitung: Erstellen und Definieren von IAM-Bedingungen für differenziertere attributbasierte Zugriffssteuerungen basierend auf benutzerdefinierten Bedingungen, z. B. das Anfordern von Benutzeranmeldungen aus bestimmten IP-Bereichen (oder Geräten), um die mehrstufige Authentifizierung zu verwenden. Bedingungseinstellungen können einzelne oder mehrere Bedingungen sowie Logik enthalten.
Bedingungen werden in den Rollenbindungen der Zulassungsrichtlinie einer Ressource angegeben. Bedingungsattribute basieren auf der angeforderten Ressource, z. B. ihrem Typ oder Namen, oder auf Details zur Anforderung, z. B. auf dem Zeitstempel oder der Ziel-IP-Adresse.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Identitäts- und Schlüsselverwaltung
- Anwendungssicherheit und DevSecOps
- Haltungsverwaltung
- Bedrohungserkennung
Chat-8: Einschränken der Offenlegung von Anmeldeinformationen und geheimen Schlüsseln
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 16,9, 16,12 | IA-5 | 3.5, 6.3, 8.2 |
Sicherheitsprinzip: Sicherstellen, dass Anwendungsentwickler Anmeldeinformationen und geheime Schlüssel sicher behandeln:
- Vermeiden Sie das Einbetten der Anmeldeinformationen und geheimen Schlüssel in die Code- und Konfigurationsdateien.
- Verwenden des Schlüsseltresors oder eines Sicheren Schlüsselspeicherdiensts zum Speichern der Anmeldeinformationen und geheimen Schlüssel
- Suchen Sie nach Anmeldeinformationen im Quellcode.
Hinweis: Dies wird häufig durch einen sicheren Softwareentwicklungslebenszyklus (SDLC) und DevOps-Sicherheitsprozess gesteuert und erzwungen.
Azure-Leitfaden: Wenn die Verwendung einer verwalteten Identität keine Option ist, stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Orten wie dem Azure Key Vault gespeichert werden, anstatt sie in den Code- und Konfigurationsdateien einzubetten.
Wenn Sie Azure DevOps und GitHub für Ihre Codeverwaltungsplattform verwenden:
- Implementieren Sie den Azure DevOps-Anmeldeinformationsscanner, um Anmeldeinformationen innerhalb des Codes zu identifizieren.
- Verwenden Sie für GitHub das systemeigene Feature zum Scannen von geheimen Schlüsseln, um Anmeldeinformationen oder andere Geheimschlüssel im Code zu identifizieren.
Clients wie Azure Functions, Azure Apps-Dienste und VMs können verwaltete Identitäten verwenden, um sicher auf Azure Key Vault zuzugreifen. Siehe Datenschutzsteuerelemente im Zusammenhang mit der Verwendung von Azure Key Vault für die Verwaltung von geheimen Schlüsseln.
Hinweis: Azure Key Vault bietet für unterstützte Dienste eine automatische Rotation an. Stellen Sie bei geheimen Schlüsseln, die nicht automatisch gedreht werden können, sicher, dass sie regelmäßig gedreht und gelöscht werden, wenn sie nicht mehr verwendet werden.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Wenn die Verwendung einer IAM-Rolle für den Anwendungszugriff keine Option ist, stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie dem AWS Secrets Manager oder dem AWS Systems Manager Parameter Store gespeichert werden, anstatt sie in den Code und die Konfigurationsdateien einzubetten.
Verwenden Sie CodeGuru Reviewer für statische Codeanalyse, die geheime Schlüssel in Ihrem Quellcode erkennen kann.
Wenn Sie Azure DevOps und GitHub für Ihre Codeverwaltungsplattform verwenden:
- Implementieren Sie den Azure DevOps-Anmeldeinformationsscanner, um Anmeldeinformationen innerhalb des Codes zu identifizieren.
- Verwenden Sie für GitHub das systemeigene Feature zum Scannen von geheimen Schlüsseln, um Anmeldeinformationen oder andere Arten von geheimen Schlüsseln im Code zu identifizieren.
Hinweis: Secrets Manager bietet eine automatische Rotation von Geheimnissen für unterstützte Dienste. Stellen Sie bei geheimen Schlüsseln, die nicht automatisch gedreht werden können, sicher, dass sie regelmäßig gedreht und gelöscht werden, wenn sie nicht mehr verwendet werden.
AWS-Implementierung und zusätzlicher Kontext:
- AWS IAM-Rollen in EC2
- Integrierte Dienste des AWS Secrets Managers
- CodeGuru Reviewer Erkennung von Geheimnissen
GCP-Leitfaden: Wenn die Verwendung eines von Google verwalteten Dienstkontos für den Anwendungszugriff keine Option ist, stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie dem Google Cloud Secret Manager gespeichert werden, anstatt sie im Code und in Konfigurationsdateien einzubetten.
Verwenden Sie die Google Cloud Code-Erweiterung für die IDE (integrierte Entwicklungsumgebung) wie Visual Studio Code, um geheime Schlüssel, die von Secret Manager verwaltet werden, in Ihren Code zu integrieren.
Wenn Sie Azure DevOps oder GitHub für Ihre Codeverwaltungsplattform verwenden:
- Implementieren Sie den Azure DevOps-Anmeldeinformationsscanner, um Anmeldeinformationen innerhalb des Codes zu identifizieren.
- Verwenden Sie für GitHub das systemeigene Feature zum Scannen von geheimen Schlüsseln, um Anmeldeinformationen oder andere Arten von geheimen Schlüsseln im Code zu identifizieren.
Hinweis: Richten Sie Rotationspläne für Geheimnisse ein, die im Secret Manager gespeichert sind, als bewährte Praxis.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-9: Sichern des Benutzerzugriffs auf vorhandene Anwendungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(n) v3.2.1 |
|---|---|---|
| 6,7; 12,5 | AC-2, AC-3, SC-11 | Nicht verfügbar |
Sicherheitsprinzip: In einer Hybridumgebung, in der Sie lokale Anwendungen oder nicht systemeigene Cloudanwendungen mit älteren Authentifizierungen verwenden, sollten Sie Lösungen wie cloudzugriffssicherheitsbroker (CASB), Anwendungsproxy, Einmaliges Anmelden (Single Sign-On, SSO) in Betracht ziehen, um den Zugriff auf diese Anwendungen für die folgenden Vorteile zu steuern:
- Erzwingen einer zentralen starken Authentifizierung
- Überwachen und Steuern riskanter Endbenutzeraktivitäten
- Überwachen und Beheben von riskanten Aktivitäten in Legacy-Anwendungen.
- Erkennen und Verhindern von Übertragungen sensibler Daten
Azure-Leitfaden: Schützen Sie Ihre lokalen und nicht nativen Cloudanwendungen, indem Sie die veraltete Authentifizierung nutzen und diese verbinden mit:
- Azure AD-Anwendungsproxy und konfiguriert die headerbasierte Authentifizierung, um Einmaliges Anmelden (Single Sign-On, SSO) für den Zugriff auf Anwendungen von Remotebenutzern zu ermöglichen, während die Vertrauenswürdigkeit sowohl von Remotebenutzern als auch von Geräten mit bedingtem Azure AD-Zugriff explizit überprüft wird. Verwenden Sie bei Bedarf eine Drittanbieterlösung Software-Defined Perimeter (SDP), die ähnliche Funktionen bieten kann.
- Microsoft Defender für Cloud-Apps, das einem Cloudzugriffssicherheitsbroker (CASB)-Dienst dient, um den Benutzerzugriff auf nicht genehmigte SaaS-Anwendungen von Drittanbietern zu überwachen und zu blockieren.
- Ihre vorhandenen Anwendungsbereitstellungscontroller und -netzwerke von Drittanbietern.
Hinweis: VPNs werden häufig für den Zugriff auf Ältere Anwendungen verwendet und verfügen häufig nur über grundlegende Zugriffssteuerung und eingeschränkte Sitzungsüberwachung.
Azure-Implementierung und zusätzlicher Kontext:
- Azure AD-Anwendungsproxy
- Bewährte Methoden für Microsoft Cloud App Security
- Sicherer Azure AD-Hybridzugriff
AWS-Leitfaden: Befolgen Sie den Leitfaden von Azure, um Ihre lokalen und nicht-native Cloudanwendungen mithilfe der Legacyauthentifizierung zu schützen, indem Sie sie verbinden mit:
- Azure AD-Anwendungsproxy und header-basierte Konfiguration, um einmaliges Anmelden (Single Sign-On, SSO) für den Zugriff auf die Anwendungen für Remotebenutzer zu ermöglichen, während die Vertrauenswürdigkeit sowohl von Remotebenutzern als auch von Geräten durch Azure AD Conditional Access explizit überprüft wird. Verwenden Sie bei Bedarf eine Drittanbieterlösung Software-Defined Perimeter (SDP), die ähnliche Funktionen bieten kann.
- Microsoft Defender für Cloud-Apps, das als CASB-Dienst (Cloud Access Security Broker) dient, um den Benutzerzugriff auf nicht genehmigte SaaS-Anwendungen von Drittanbietern zu überwachen und zu blockieren.
- Ihre vorhandenen Anwendungsbereitstellungscontroller und -netzwerke von Drittanbietern
Hinweis: VPNs werden häufig für den Zugriff auf Ältere Anwendungen verwendet und verfügen häufig nur über grundlegende Zugriffssteuerung und eingeschränkte Sitzungsüberwachung.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Von Google Cloud Identity-Aware Proxy (IAP) zum Verwalten des Zugriffs auf HTTP-basierte Anwendungen außerhalb der Google Cloud, einschließlich lokaler Anwendungen. IAP funktioniert mit signierten Headern oder der Benutzer-API innerhalb einer App Engine-Standardumgebung. Verwenden Sie bei Bedarf die Software-Defined-Perimeterlösung (SDP) von Drittanbietern, die ähnliche Funktionen bieten kann.
Sie haben auch die Möglichkeit, Microsoft Defender für Cloud-Apps zu verwenden, die als CASB-Dienst (Cloud Access Security Broker) dient, um den Benutzerzugriff auf nicht genehmigte SaaS-Anwendungen von Drittanbietern zu überwachen und zu blockieren.
Hinweis: VPNs werden häufig für den Zugriff auf Ältere Anwendungen verwendet und verfügen häufig nur über eine grundlegende Zugriffssteuerung und eingeschränkte Sitzungsüberwachung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):