Sicherheitssteuerung: Identitätsverwaltung
Identitätsverwaltung umfasst Kontrollmechanismen zum Einrichten sicherer Identitäts- und Zugriffssteuerungen mithilfe von Identitäts- und Zugriffsverwaltungssystemen. Dazu gehören das einmalige Anmelden, sichere Authentifizierungen, verwaltete Identitäten (und Dienstprinzipale) für Anwendungen, bedingter Zugriff und Überwachung von Anomalien bei Konten.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Sicherheitsprinzip: Verwenden Sie ein zentralisiertes Identitäts- und Authentifizierungssystem, um die Identitäten und Authentifizierungen Ihrer organization für Cloud- und Nicht-Cloudressourcen zu steuern.
Azure-Leitfaden: Azure Active Directory (Azure AD) ist der Identitäts- und Authentifizierungsverwaltungsdienst von Azure. Sie sollten Azure AD als Standard für die Identitäts- und Authentifizierungssteuerung Ihrer Organisation in folgenden Ressourcen verwenden:
- Microsoft-Cloudressourcen wie Azure Storage, Azure Virtual Machines (Linux und Windows), Azure Key Vault, PaaS und SaaS-Anwendungen.
- Die Ressourcen Ihrer Organisation, z. B. Anwendungen in Azure, Anwendungen von Drittanbietern, die in Ihren Unternehmensnetzwerkressourcen ausgeführt werden, und SaaS-Anwendungen von Drittanbietern
- Ihre Unternehmensidentitäten in Active Directory durch Synchronisierung mit Azure AD, um eine konsistente und zentral verwaltete Identitätsstrategie sicherzustellen
Vermeiden Sie für die angewendeten Azure-Dienste die Verwendung lokaler Authentifizierungsmethoden, und verwenden Sie stattdessen Azure Active Directory, um Ihre Dienstauthentifizierungen zu zentralisieren.
Hinweis: Sobald dies technisch möglich ist, sollten Sie lokale Active Directory-basierte Anwendungen zu Azure AD migrieren. Verwenden Sie eine Azure AD Enterprise-, eine Business-to-Business- oder eine Business-to-Consumer-Konfiguration.
Azure-Implementierung und zusätzlicher Kontext:
- Mandant in Azure AD
- Erstellen und Konfigurieren einer Azure AD-Instanz
- Definieren von Azure AD-Mandanten
- Verwenden externer Identitätsanbieter für eine Anwendung
AWS-Leitfaden: AWS IAM (Identity and Access Management) ist der Standard-Identitäts- und Authentifizierungsverwaltungsdienst von AWS. Verwenden Sie AWS IAM, um Ihre AWS-Identitäts- und Zugriffsverwaltung zu steuern. Alternativ können Sie über AWS und Azure Single Sign-On (SSO) auch Azure AD verwenden, um die Identitäts- und Zugriffssteuerung von AWS zu verwalten, um die separate Verwaltung doppelter Konten auf zwei Cloudplattformen zu vermeiden.
AWS unterstützt single Sign-On, mit dem Sie die Identitäten Von Drittanbietern Ihres Unternehmens (z. B. Windows Active Directory oder andere Identitätsspeicher) mit den AWS-Identitäten überbrücken können, um das Erstellen doppelter Konten für den Zugriff auf AWS-Ressourcen zu vermeiden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Das Iam-System (Identity and Access Management) von Google Cloud ist der Standard-Identitäts- und Authentifizierungsverwaltungsdienst von Google Cloud, der für Google Cloud Identity-Konten verwendet wird. Verwenden Sie Google Cloud IAM, um Ihre GCP-Identitäts- und Zugriffsverwaltung zu steuern. Alternativ können Sie über die Google Cloud Identity und azure Sigle Sign-On (SSO) auch Azure AD verwenden, um die Identitäts- und Zugriffssteuerung von GCP zu verwalten, um die separate Verwaltung doppelter Konten in einer Mutli-Cloud-Umgebung zu vermeiden.
Google Cloud Identity ist der Identitätsanbieter für alle Google-Dienste. Es unterstützt single Sign-On, mit dem Sie die Identitäten Von Drittanbietern Ihres Unternehmens (z. B. Windows Active Directory oder andere Identitätsspeicher) mit Google Cloud-Identitäten überbrücken können, um das Erstellen doppelter Konten für den Zugriff auf GCP-Ressourcen zu vermeiden.
Hinweis: Verwenden der Google Cloud Directory-Synchronisierung. Google bietet ein Connectortool, das sich in die meisten LDAP-Verwaltungssysteme für Unternehmen integriert und Identitäten nach einem zeitplangemäßen Zeitplan synchronisiert. Wenn Sie ein Cloud Identity-Konto konfigurieren und die Google Cloud Directory-Synchronisierung verwenden, können Sie konfigurieren, welche Ihrer Benutzerkonten – einschließlich Benutzer, Gruppen und Benutzerprofile, Aliase und mehr – nach einem Zeitplan zwischen Ihrem lokalen Identitätsverwaltungssystem und Ihrem GCP-System synchronisiert werden.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
- Funktion von Identitäts- und Schlüsselverwaltung in der Cloud
- Sicherheitsarchitektur
- Anwendungssicherheit und DevSecOps
- Statusverwaltung
IM-2: Schützen von Identitäts- und Authentifizierungssystemen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Sicherheitsprinzip: Schützen Sie Ihr Identitäts- und Authentifizierungssystem als eine hohe Priorität in der Cloudsicherheitspraxis Ihres organization. Allgemeine Sicherheitskontrollen:
- Einschränken privilegierter Rollen und Konten
- Anfordern einer sicheren Authentifizierung für den gesamten privilegierten Zugriff
- Überwachen und Überprüfen von Aktivitäten mit hohem Risiko
Azure-Leitfaden: Verwenden Sie die Azure AD-Sicherheitsbaseline und die Azure AD Identity Secure Score, um Den Sicherheitsstatus Ihrer Azure AD-Identität zu bewerten und Sicherheits- und Konfigurationslücken zu beheben. Die Azure AD Identity Secure Score bewertet Azure AD für die folgenden Konfigurationen:
- Verwenden eingeschränkter Administratorrollen
- Aktivieren der Benutzerrisiko-Richtlinie
- Festlegen mehrerer globaler Administratoren
- Aktivieren der Richtlinie zum Blockieren älterer Authentifizierungsmethoden
- Sicherstellen, dass alle Benutzer MFA für den sicheren Zugriff durchführen können
- Anfordern der MFA für Administratorrollen
- Aktivieren der Self-Service-Kennwortzurücksetzung
- Deaktivieren des Kennwortablaufs
- Aktivieren der Anmelderisiko-Richtlinie
- Verweigern, dass Benutzer ihre Einwilligung für nicht verwaltete Anwendungen erteilen
Verwenden Sie Azure AD Identity Protection, um identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beheben. Verwenden Sie Defender for Identity, um Ihre lokales Active Directory Domäne auf ähnliche Weise zu schützen.
Hinweis: Befolgen Sie die veröffentlichten bewährten Methoden für alle anderen Identitätskomponenten, einschließlich Ihrer lokales Active Directory und aller Funktionen von Drittanbietern, und die Infrastrukturen (z. B. Betriebssysteme, Netzwerke, Datenbanken), die sie hosten.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist die Identitätssicherheitsbewertung in Azure AD?
- Bewährte Methoden für den Schutz von Active Directory
- Was ist Identity Protection?
- Was ist Microsoft Defender for Identity?
AWS-Leitfaden: Verwenden Sie die folgenden bewährten Sicherheitsmethoden, um Ihr AWS IAM zu schützen:
- Einrichten von Stammbenutzerzugriffsschlüsseln des AWS-Kontos für den Notfallzugriff, wie unter PA-5 (Einrichten des Notfallzugriffs) beschrieben
- Befolgen der Prinzipien der geringsten Rechte für Zugriffszuweisungen
- Nutzen Sie IAM-Gruppen, um Richtlinien anstelle einzelner Benutzer anzuwenden.
- Befolgen Sie die Anleitungen zur starken Authentifizierung in IM-6 (Verwenden von Steuerelementen für starke Authentifizierung) für alle Benutzer
- Verwenden von AWS Organizations SCP (Service Control Policy) und Berechtigungsgrenzen
- Verwenden von IAM Access Advisor zum Überwachen des Dienstzugriffs
- Verwenden des IAM-Anmeldeinformationsberichts zum Nachverfolgen von Benutzerkonten und Anmeldeinformationen status
Hinweis: Befolgen Sie die veröffentlichten bewährten Methoden, wenn Sie über andere Identitäts- und Authentifizierungssysteme verfügen, z. B. befolgen Sie die Azure AD-Sicherheitsbaseline, wenn Sie Azure AD zum Verwalten der Identität und des Zugriffs von AWS verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die folgenden bewährten Sicherheitsmethoden, um Ihre Google Cloud IAM- und Cloud Identity-Dienste für Ihre Organisationen zu schützen:
- Richten Sie ein Superadministratorkonto für den Notfallzugriff ein, indem Sie die Empfehlungen in PA-5 ("Einrichten des Notfallzugriffs") befolgen.
- Erstellen Sie eine Superadministrator-E-Mail-Adresse (als Google Workspace- oder Cloud Identity-Superadministratorkonto), und dieses Konto sollte nicht für einen bestimmten Benutzer spezifisch sein, falls eine Notfallwiederherstellung erforderlich ist.
- Befolgen sie die Grundsätze der geringsten Rechte und der Aufgabentrennung
- Vermeiden der Verwendung eines Superadministratorkontos für tägliche Aktivitäten
- Verwenden Sie Google Cloud Identity-Gruppen, um Richtlinien anzuwenden, anstatt Richtlinien auf einzelne Benutzer anzuwenden.
- Befolgen Sie die Anleitungen zur starken Authentifizierung, wie in IM-6 ("Verwenden von Steuerelementen für starke Authentifizierung") für alle Benutzer mit erhöhten Rechten beschrieben.
- Verwenden von IAM-Richtlinien zum Einschränken des Zugriffs auf Ressourcen
- Verwenden des Organisationsrichtliniendiensts zum Steuern und Konfigurieren von Ressourceneinschränkungen
- Verwenden der IAM-Überwachungsprotokollierung in Cloudüberwachungsprotokollen zum Überprüfen privilegierter Aktivitäten
Hinweis: Befolgen Sie die veröffentlichten bewährten Methoden, wenn Sie über andere Identitäts- und Authentifizierungssysteme verfügen, z. B. die Azure AD-Sicherheitsbaseline, wenn Sie Azure AD zum Verwalten der GCP-Identität und des Zugriffs verwenden.
GCP-Implementierung und zusätzlicher Kontext:
- Bewährte Methoden für Das Superadministratorkonto
- Bewährte Sicherheitsmethoden für Administratorkonten
- Sichere Verwendung von IAM
- Verwalten des Zugriffs auf andere Ressourcen
- Einführung in den Organisationsrichtliniendienst
Kundensicherheitsbeteiligte (Weitere Informationen):
- Funktion von Identitäts- und Schlüsselverwaltung in der Cloud
- Sicherheitsarchitektur
- Anwendungssicherheit und DevSecOps
- Statusverwaltung
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| – | AC-2, AC-3, IA-4, IA-5, IA-9 | N/V |
Sicherheitsprinzip: Verwenden Sie verwaltete Anwendungsidentitäten, anstatt menschliche Konten für Anwendungen zu erstellen, um auf Ressourcen zuzugreifen und Code auszuführen. Verwaltete Anwendungsidentitäten bieten beispielsweise den Vorteil, dass sie die Gefährdung von Anmeldeinformationen verringern. Automatisieren Sie die Rotation von Anmeldeinformationen, um die Sicherheit der Identitäten zu gewährleisten.
Azure-Leitfaden: Verwenden Sie verwaltete Azure-Identitäten, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure AD-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Für Dienste, die keine verwalteten Identitäten unterstützen, können Sie mithilfe von Azure AD einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene erstellen. Sie sollten Dienstprinzipale mit Zertifikatanmeldeinformationen konfigurieren und für die Authentifizierung auf geheime Clientschlüssel zurückgreifen.
Azure-Implementierung und zusätzlicher Kontext:
- Von Azure verwaltete Identitäten
- Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen
- Azure-Dienstprinzipal
- Erstellen eines Dienstprinzipals mit Zertifikaten
AWS-Leitfaden: Verwenden Sie AWS IAM-Rollen, anstatt Benutzerkonten für Ressourcen zu erstellen, die dieses Feature unterstützen. IAM-Rollen werden von der Plattform im Back-End verwaltet, und die Anmeldeinformationen werden temporär und automatisch rotiert. Dadurch wird vermieden, dass langfristige Zugriffsschlüssel oder ein Benutzername/Kennwort für Anwendungen und hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien erstellt werden.
Sie können dienstverknüpfte Rollen verwenden, die mit vordefinierten Berechtigungsrichtlinien für den Zugriff zwischen AWS-Diensten verknüpft sind, anstatt Ihre eigenen Rollenberechtigungen für die IAM-Rollen anzupassen.
Hinweis: Verwenden Sie für Dienste, die keine IAM-Rollen unterstützen, Zugriffsschlüssel, aber befolgen Sie die bewährte Sicherheitsmethode wie IM-8 Einschränken der Offenlegung von Anmeldeinformationen und Geheimnissen, um Ihre Schlüssel zu schützen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie von Google verwaltete Dienstkonten, anstatt benutzerseitig verwaltete Konten für Ressourcen zu erstellen, die dieses Feature unterstützen. Von Google verwaltete Dienstkonten werden von der Plattform im Back-End verwaltet, und die Dienstkontoschlüssel sind temporär und werden automatisch rotiert. Dadurch wird vermieden, dass langfristige Zugriffsschlüssel oder ein Benutzername/Kennwort für Anwendungen und hartcodierte hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien erstellt werden.
Verwenden Sie Policy Intelligence, um verdächtige Aktivitäten für Dienstkonten zu verstehen und zu erkennen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-4: Authentifizieren von Servern und Diensten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| N/V | IA-9 | – |
Sicherheitsprinzip: Authentifizieren Sie Remoteserver und -dienste von Clientseite, um sicherzustellen, dass Sie eine Verbindung mit vertrauenswürdigen Servern und Diensten herstellen. Das gängigste Serverauthentifizierungsprotokoll ist Transport Layer Security (TLS), wobei der Client (häufig ein Browser oder ein Clientgerät) den Server verifiziert, indem überprüft wird, ob das Zertifikat des Servers von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
Hinweis: Die gegenseitige Authentifizierung kann verwendet werden, wenn sich der Server und der Client gegenseitig authentifizieren.
Azure-Leitfaden: Viele Azure-Dienste unterstützen standardmäßig die TLS-Authentifizierung. Stellen Sie bei Diensten, die standardmäßig keine TLS-Authentifizierung unterstützen oder das Deaktivieren von TLS unterstützen, sicher, dass es immer aktiviert ist, um die Server-/Clientauthentifizierung zu unterstützen. Ihre Clientanwendung sollte auch so konzipiert sein, dass die Server-/Clientidentität (durch Überprüfung des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Zertifikats des Servers) in der Handshakephase überprüft wird.
Hinweis: Dienste wie API Management und API Gateway unterstützen die gegenseitige TLS-Authentifizierung.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Viele AWS-Dienste unterstützen standardmäßig die TLS-Authentifizierung. Stellen Sie bei Diensten, die standardmäßig keine TLS-Authentifizierung unterstützen oder das Deaktivieren von TLS unterstützen, sicher, dass es immer aktiviert ist, um die Server-/Clientauthentifizierung zu unterstützen. Ihre Clientanwendung sollte auch so konzipiert sein, dass die Server-/Clientidentität (durch Überprüfung des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Zertifikats des Servers) in der Handshakephase überprüft wird.
Hinweis: Dienste wie API Gateway unterstützen die gegenseitige TLS-Authentifizierung.
AWS-Implementierung und zusätzlicher Kontext:
- Anheften von AWS Certificate Manager-Zertifikaten.
- SSL-Zertifikat für die Back-End-Authentifizierung
GCP-Leitfaden: Viele GCP-Dienste unterstützen standardmäßig die TLS-Authentifizierung. Stellen Sie bei Diensten, die dies standardmäßig nicht unterstützen oder das Deaktivieren von TLS unterstützen, sicher, dass es immer aktiviert ist, um die Server-/Clientauthentifizierung zu unterstützen. Ihre Clientanwendung sollte auch so konzipiert sein, dass die Server-/Clientidentität (durch Überprüfung des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Zertifikats des Servers) in der Handshakephase überprüft wird.
Hinweis: Dienste wie der Cloudlastenausgleich unterstützen die gegenseitige TLS-Authentifizierung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-5: Verwenden von einmaligem Anmelden (SSO) für den Anwendungszugriff
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 12,5 | IA-4, IA-2, IA-8 | – |
Sicherheitsprinzip: Verwenden Sie einmaliges Anmelden (Single Sign-On, SSO), um die Benutzererfahrung für die Authentifizierung bei Ressourcen zu vereinfachen, einschließlich Anwendungen und Daten über Clouddienste und lokale Umgebungen hinweg.
Azure-Leitfaden: Verwenden Sie Azure AD für den Zugriff auf Workloadanwendungen (kundenseitig) über das einmalige Anmelden (Single Sign-On, SSO) von Azure AD, wodurch doppelte Konten weniger erforderlich sind. Azure AD bietet Identitäts- und Zugriffsverwaltung für Azure-Ressourcen (in der Verwaltungsebene, einschließlich CLI, PowerShell, portal), Cloudanwendungen und lokalen Anwendungen.
Azure AD unterstützt auch einmaliges Anmelden für Unternehmensidentitäten wie Unternehmensbenutzeridentitäten sowie externe Benutzeridentitäten von vertrauenswürdigen Drittanbietern und öffentlichen Benutzern.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie AWS Cognito, um den Zugriff auf Ihre kundenorientierten Anwendungsworkloads durch einmaliges Anmelden (Single Sign-On, SSO) zu verwalten, damit Kunden ihre Drittanbieteridentitäten von verschiedenen Identitätsanbietern überbrücken können.
Verwenden Sie für den SSO-Zugriff auf die nativen AWS-Ressourcen (einschließlich AWS-Konsolenzugriff oder Dienstverwaltung und Zugriff auf Datenebene) AWS Sigle Sign-On, um doppelte Konten zu reduzieren.
Mit AWS SSO können Sie auch Unternehmensidentitäten (z. B. Identitäten aus Azure Active Directory) mit AWS-Identitäten sowie externen Benutzeridentitäten von vertrauenswürdigen Drittanbietern und öffentlichen Benutzern überbrücken.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Identity, um den Zugriff auf Ihre Workloadanwendung mit Kundenkontakt über das einmalige Anmelden von Google Cloud Identity zu verwalten, wodurch die Notwendigkeit doppelter Konten verringert wird. Google Cloud Identity bietet Identitäts- und Zugriffsverwaltung für GCP (in der Verwaltungsebene einschließlich Google Cloud CLI, Konsolenzugriff), Cloudanwendungen und lokalen Anwendungen.
Google Cloud Identity unterstützt auch einmaliges Anmelden für Unternehmensidentitäten wie Unternehmensbenutzeridentitäten aus Azure AD oder Active Directory sowie externe Benutzeridentitäten von vertrauenswürdigen Drittanbietern und öffentlichen Benutzern. GCP-Implementierung und zusätzlicher Kontext:
- Einmaliges Anmelden von Google Cloud Identity
- Azure AD-Benutzerbereitstellung und einmaliges Anmelden
Kundensicherheitsbeteiligte (weitere Informationen):
- Sicherheitsarchitektur
- Funktion von Identitäts- und Schlüsselverwaltung in der Cloud
- Anwendungssicherheit und DevSecOps
IM-6: Verwenden von strengen Authentifizierungskontrollen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Sicherheitsprinzip: Erzwingen Sie starke Authentifizierungskontrollen (sichere kennwortlose Authentifizierung oder mehrstufige Authentifizierung) mit Ihrem zentralisierten Identitäts- und Authentifizierungsverwaltungssystem für den gesamten Zugriff auf Ressourcen. Die nur auf Kennwortanmeldeinformationen basierende Authentifizierung gilt als veraltet, weil sie unsicher ist und gängigen Angriffsmethoden nicht standhält.
Konfigurieren Sie bei der Bereitstellung einer strengen Authentifizierung zuerst Administratoren und privilegierte Benutzer, um die höchste Ebene der strengen Authentifizierungsmethode sicherzustellen, und implementieren Sie dann schnell die entsprechende strenge Authentifizierungsrichtlinie für alle Benutzer.
Hinweis: Wenn für Legacyanwendungen und -szenarien eine kennwortbasierte Authentifizierung erforderlich ist, stellen Sie sicher, dass bewährte Methoden für die Kennwortsicherheit, z. B. Komplexitätsanforderungen, eingehalten werden.
Azure-Leitfaden: Azure AD unterstützt starke Authentifizierungssteuerelemente durch kennwortlose Methoden und mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
- Kennwortlose Authentifizierung: Verwenden Sie die kennwortlose Authentifizierung als Standardauthentifizierungsmethode. Für die kennwortlose Authentifizierung stehen drei Optionen zur Verfügung: Windows Hello for Business, Anmeldung der Microsoft Authenticator-App für Telefone und FIDO2-Sicherheitsschlüssel. Darüber hinaus können Kunden lokale Authentifizierungsmethoden wie Smartcards verwenden.
- Multi-Faktor-Authentifizierung: Azure MFA kann je nach Anmeldebedingungen und Risikofaktoren für alle Benutzer, für ausgewählte Benutzer oder auf Benutzerebene erzwungen werden. Aktivieren Sie Azure MFA, und befolgen Sie Microsoft Defender für die Cloudidentitäts- und Zugriffsverwaltungsempfehlungen für Ihre MFA-Einrichtung.
Wenn für die Azure AD-Authentifizierung noch die veraltete kennwortbasierte Authentifizierung verwendet wird, beachten Sie, dass für reine Cloudkonten (Benutzerkonten, die direkt in Azure erstellt wurden) eine Standardbaseline-Kennwortrichtlinie gilt. Und Hybridkonten (Benutzerkonten, die aus dem lokalen Active Directory stammen) folgen den lokalen Kennwortrichtlinien.
Bei Drittanbieteranwendungen und Diensten, die möglicherweise über Standard-IDs und Kennwörter verfügen, sollten Sie diese während der ersten Einrichtung des Diensts deaktivieren oder ändern.
Azure-Implementierung und zusätzlicher Kontext:
- Aktivieren von MFA in Azure
- Einführung in Optionen für die kennwortlose Authentifizierung für Azure Active Directory
- Azure AD-Standardkennwortrichtlinie
- Ausschließen von ungeeigneten Kennwörtern mit dem Azure AD-Kennwortschutz
- Blockieren älterer Authentifizierungsmethoden
AWS-Leitfaden: AWS IAM unterstützt starke Authentifizierungskontrollen über die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). MFA kann für alle Benutzer, ausgewählte Benutzer oder auf Benutzerebene basierend auf definierten Bedingungen erzwungen werden.
Wenn Sie Unternehmenskonten aus einem Drittanbieterverzeichnis (z. B. Windows Active Directory) mit AWS-Identitäten verwenden, befolgen Sie die entsprechenden Sicherheitsanweisungen, um eine starke Authentifizierung zu erzwingen. Wenn Sie Azure AD zum Verwalten des AWS-Zugriffs verwenden, lesen Sie den Azure-Leitfaden für dieses Steuerelement.
Hinweis: Bei Anwendungen von Drittanbietern und AWS-Diensten, die möglicherweise Standard-IDs und Kennwörter aufweisen, sollten Sie diese während der ersteinrichtung des Diensts deaktivieren oder ändern.
AWS-Implementierung und zusätzlicher Kontext:
- Verwenden der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) in AWS
- IAM unterstützte MFA-Formularfaktoren
GCP-Leitfaden: Google Cloud Identity unterstützt starke Authentifizierungskontrollen über die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). MFA kann für alle Benutzer, ausgewählte Benutzer oder auf Benutzerebene basierend auf definierten Bedingungen erzwungen werden. Um Cloud Identity (und Arbeitsbereich) Superadministratorkonten zu schützen, sollten Sie sicherheitsrelevante Schlüssel und das Google Advanced Protection-Programm verwenden, um maximale Sicherheit zu gewährleisten.
Wenn Sie Unternehmenskonten aus einem Drittanbieterverzeichnis (z. B. Windows Active Directory) mit Google Cloud-Identitäten verwenden, befolgen Sie die entsprechenden Sicherheitsanweisungen, um eine starke Authentifizierung zu erzwingen. Wenn Sie Azure AD zum Verwalten des Google Cloud-Zugriffs verwenden, lesen Sie die Azure-Anleitung für dieses Steuerelement.
Verwenden Sie Identity-Aware Proxy, um eine zentrale Autorisierungsebene für Anwendungen einzurichten, auf die über HTTPS zugegriffen wird, sodass Sie ein Zugriffssteuerungsmodell auf Anwendungsebene verwenden können, anstatt sich auf Firewalls auf Netzwerkebene zu verlassen.
Hinweis: Bei Anwendungen von Drittanbietern und GCP-Diensten, die möglicherweise Standard-IDs und Kennwörter aufweisen, sollten Sie diese während der anfänglichen Diensteinrichtung deaktivieren oder ändern.
GCP-Implementierung und zusätzlicher Kontext:
- Erzwingen einer einheitlichen MFA für unternehmenseigene Ressourcen
- Google Advanced Protection Program
- Übersicht über identitätsfähige Proxys
Kundensicherheitsbeteiligte (weitere Informationen):
- Sicherheitsarchitektur
- Funktion von Identitäts- und Schlüsselverwaltung in der Cloud
- Anwendungssicherheit und DevSecOps
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Sicherheitsprinzip: Überprüfen Sie explizit vertrauenswürdige Signale zum Zulassen oder Verweigern des Benutzerzugriffs auf Ressourcen als Teil eines Zero-Trust-Zugriffsmodells. Zu den zu überprüfenden Signalen sollten beispielsweise eine strenge Authentifizierung des Benutzerkontos, eine Verhaltensanalyse des Benutzerkontos, Gerätevertrauenswürdigkeit, Benutzer- oder Gruppenmitgliedschaft sowie Standorte gehören.
Azure-Leitfaden: Verwenden Sie den bedingten Azure AD-Zugriff für präzisere Zugriffssteuerungen, die auf benutzerdefinierten Bedingungen basieren, z. B. die Anforderung von Benutzeranmeldungen aus bestimmten IP-Bereichen (oder Geräten), MFA zu verwenden. Bedingter Azure AD-Zugriff ermöglicht Ihnen das Erzwingen von Zugriffssteuerungen für die Apps Ihrer Organisation auf der Grundlage bestimmter Bedingungen.
Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Azure AD-Zugriff in der Workload. Beachten Sie die folgenden häufig auftretenden Anwendungsfälle:
- Erzwingen der mehrstufigen Authentifizierung für Benutzer mit Administratorrollen
- Erzwingen der mehrstufigen Authentifizierung für Azure-Verwaltungsaufgaben
- Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwenden
- Erzwingen vertrauenswürdiger Speicherorte für die Azure AD Multi-Factor Authentication-Registrierung
- Blockieren oder Gewähren von Zugriff von bestimmten Standorten aus
- Blockieren riskanter Anmeldeverhalten
- Erzwingen von durch die Organisation verwaltete Geräte für bestimmte Anwendungen
Hinweis: Granulare Authentifizierungssitzungsverwaltungssteuerelemente können auch über eine Azure AD-Richtlinie für bedingten Zugriff implementiert werden, z. B. Anmeldehäufigkeit und persistente Browsersitzung.
Azure-Implementierung und zusätzlicher Kontext:
- Übersicht über den bedingten Zugriff in Azure
- Allgemeine Richtlinien für bedingten Zugriff
- Erkenntnisse und Berichterstellung zum bedingten Zugriff
- Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff
AWS-Leitfaden: Erstellen Sie eine IAM-Richtlinie und definieren Sie Bedingungen für präzisere Zugriffssteuerungen basierend auf benutzerdefinierten Bedingungen, z. B. die Anforderung von Benutzeranmeldungen aus bestimmten IP-Bereichen (oder Geräten), die mehrstufige Authentifizierung zu verwenden. Bedingungseinstellungen können einzelne oder mehrere Bedingungen sowie Logiken enthalten.
Richtlinien können aus sechs verschiedenen Dimensionen definiert werden: identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Berechtigungsgrenzen, AWS Organizations Service Control Policy (SCP), Access Control Lists (ACL) und Sitzungsrichtlinien.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Erstellen und Definieren von IAM-Bedingungen für präzisere attributbasierte Zugriffssteuerungen basierend auf benutzerdefinierten Bedingungen, z. B. die Anforderung von Benutzeranmeldungen aus bestimmten IP-Bereichen (oder Geräten) zur Verwendung der mehrstufigen Authentifizierung. Bedingungseinstellungen können einzelne oder mehrere Bedingungen sowie Logik enthalten.
Bedingungen werden in den Rollenbindungen der Zulassungsrichtlinie einer Ressource angegeben. Bedingungsattribute basieren auf der angeforderten Ressource , z. B. ihrem Typ oder Namen, oder auf Details zur Anforderung, z. B. dem Zeitstempel oder der Ziel-IP-Adresse.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
- Funktion von Identitäts- und Schlüsselverwaltung in der Cloud
- Anwendungssicherheit und DevSecOps
- Statusverwaltung
- Threat Intelligence
IM-8: Einschränken der Offenlegung von Anmeldeinformationen und Geheimnissen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Sicherheitsprinzip: Stellen Sie sicher, dass Anwendungsentwickler Anmeldeinformationen und Geheimnisse sicher behandeln:
- Vermeiden der Einbettung von Anmeldeinformationen und Geheimnissen in den Code und die Konfigurationsdateien
- Verwenden eines Schlüsseltresors oder eines sicheren Schlüsselspeicherdiensts zum Speichern der Anmeldeinformationen und Geheimnisse
- Scannen des Quellcodes nach Anmeldeinformationen
Hinweis: Dies wird häufig über einen sicheren Softwareentwicklungslebenszyklus (Secure Software Development Lifecycle, SDLC) und einen DevOps-Sicherheitsprozess gesteuert und erzwungen.
Azure-Leitfaden: Wenn die Verwendung einer verwalteten Identität keine Option ist, stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in den Code und die Konfigurationsdateien einzubetten.
Wenn Sie Azure DevOps und GitHub für Ihre Codeverwaltungsplattform verwenden:
- Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
- Verwenden Sie für GitHub das native Feature zum Geheimnisscan, um Anmeldeinformationen oder andere Formen von Geheimnissen im Code zu identifizieren.
Clients wie Azure Functions, Azure App Services und VMs können verwaltete Identitäten verwenden, um sicher auf Azure Key Vault zuzugreifen. Weitere Informationen finden Sie bei den Kontrollen zum Schutz von Daten im Zusammenhang mit der Verwendung von Azure Key Vault für die Verwaltung von Geheimnissen.
Hinweis: Azure Key Vault bietet automatische Rotation für unterstützte Dienste. Für Geheimnisse, die nicht automatisch gedreht werden können, stellen Sie sicher, dass sie regelmäßig manuell gedreht und gelöscht werden, wenn sie nicht mehr verwendet werden.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Wenn die Verwendung einer IAM-Rolle für den Anwendungszugriff keine Option ist, stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie AWS Secret Manager oder Systems Manager-Parameterspeicher gespeichert werden, anstatt sie in die Code- und Konfigurationsdateien einzubetten.
Verwenden Sie CodeGuru Reviewer für die statische Codeanalyse, die die in Ihrem Quellcode hartcodierten Geheimnisse erkennen kann.
Wenn Sie Azure DevOps und GitHub für Ihre Codeverwaltungsplattform verwenden:
- Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
- Verwenden Sie für GitHub das native Feature zum Geheimnisscan, um Anmeldeinformationen oder andere Formen von Geheimnissen im Code zu identifizieren.
Hinweis: Secrets Manager bietet eine automatische Geheimnisrotation für unterstützte Dienste. Für Geheimnisse, die nicht automatisch gedreht werden können, stellen Sie sicher, dass sie regelmäßig manuell gedreht und gelöscht werden, wenn sie nicht mehr verwendet werden.
AWS-Implementierung und zusätzlicher Kontext:
- AWS IAM-Rollen in EC2
- Integrierte AWS Secrets Manager-Dienste
- Erkennung von Geheimnissen des CodeGuru-Prüfers
GCP-Anleitung: Wenn die Verwendung eines von Google verwalteten Dienstkontos für den Anwendungszugriff keine Option ist, stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie dem Secret Manager von Google Cloud gespeichert werden, anstatt sie in die Code- und Konfigurationsdateien einzubetten.
Verwenden Sie die Google Cloud Code-Erweiterung für IDE's (Integrierte Entwicklungsumgebung) wie Visual Studio Code, um geheimnisse zu integrieren, die von Secret Manager verwaltet werden.
Wenn Sie Azure DevOps oder GitHub für Ihre Codeverwaltungsplattform verwenden:
- Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
- Verwenden Sie für GitHub das native Feature zum Geheimnisscan, um Anmeldeinformationen oder andere Formen von Geheimnissen im Code zu identifizieren.
Hinweis: Richten Sie rotationszeitpläne für geheimnisse, die im Geheimen Manager gespeichert sind, als bewährte Methode ein.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
IM-9: Schützen des Benutzerzugriffs auf vorhandene Anwendungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | – |
Sicherheitsprinzip: In einer Hybridumgebung, in der Sie über lokale Anwendungen oder nicht native Cloudanwendungen verfügen, die die Legacyauthentifizierung verwenden, sollten Sie Lösungen wie CASB (Cloud Access Security Broker), Anwendungsproxy, einmaliges Anmelden (Single Sign-On, SSO) in Betracht ziehen, um den Zugriff auf diese Anwendungen für die folgenden Vorteile zu steuern:
- Erzwingen einer zentralisierten strengen Authentifizierung
- Überwachen und Steuern riskanter Endbenutzeraktivitäten
- Überwachen und Beseitigen riskanter Legacyanwendungsaktivitäten
- Erkennen und Verhindern der Übertragung vertraulicher Daten
Azure-Leitfaden: Schützen Sie Ihre lokalen und nicht nativen Cloudanwendungen mithilfe der Legacyauthentifizierung, indem Sie eine Verbindung mit diesen herstellen:
- Azure AD Anwendungsproxy und konfigurieren die headerbasierte Authentifizierung, um remotebenutzern zugriff des einmaligen Anmeldens (Single Sign-On, SSO) auf die Anwendungen zu ermöglichen und gleichzeitig die Vertrauenswürdigkeit sowohl von Remotebenutzern als auch von Geräten mit bedingtem Azure AD-Zugriff explizit zu überprüfen. Verwenden Sie bei Bedarf eine Drittanbieterlösung Software-Defined Perimeter (SDP), die ähnliche Funktionen bieten kann.
- Microsoft Defender for Cloud Apps, die einen CASB-Dienst (Cloud Access Security Broker) zum Überwachen und Blockieren des Benutzerzugriffs auf nicht genehmigte SaaS-Anwendungen von Drittanbietern dient.
- Ihre vorhandenen Anwendungsbereitstellungscontroller und -netzwerke von Drittanbietern.
Hinweis: VPNs werden häufig für den Zugriff auf Legacyanwendungen verwendet und verfügen häufig nur über eine grundlegende Zugriffssteuerung und eingeschränkte Sitzungsüberwachung.
Azure-Implementierung und zusätzlicher Kontext:
- Azure AD-Anwendungsproxy
- Bewährte Methoden für Microsoft Cloud App Security
- Azure AD: Sicherer Hybridzugriff
AWS-Leitfaden: Befolgen Sie die Azure-Anleitung zum Schutz Ihrer lokalen und nicht nativen Cloudanwendungen mithilfe der Legacyauthentifizierung, indem Sie sie mit folgendem verbinden:
- Azure AD Anwendungsproxy und konfigurieren Sie headerbasiert, um den Zugriff des einmaligen Anmeldens (Single Sign-On, SSO) für Remotebenutzer zu ermöglichen, während die Vertrauenswürdigkeit sowohl von Remotebenutzern als auch von Geräten mit bedingtem Azure AD-Zugriff explizit überprüft wird. Verwenden Sie bei Bedarf eine Drittanbieterlösung Software-Defined Perimeter (SDP), die ähnliche Funktionen bieten kann.
- Microsoft Defender for Cloud Apps, die als CASB-Dienst (Cloud Access Security Broker) dient, um den Benutzerzugriff auf nicht genehmigte SaaS-Anwendungen von Drittanbietern zu überwachen und zu blockieren.
- Mit Ihren vorhandenen Drittanbietercontrollern und -netzwerken für die Anwendungsbereitstellung.
Hinweis: VPNs werden häufig für den Zugriff auf Legacyanwendungen verwendet und verfügen häufig nur über eine grundlegende Zugriffssteuerung und eingeschränkte Sitzungsüberwachung.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Identity-Aware Proxy (IAP), um den Zugriff auf HTTP-basierte Anwendungen außerhalb von Google Cloud zu verwalten, einschließlich lokaler Anwendungen. IAP verwendet signierte Header oder die Benutzer-API in einer App Engine-Standardumgebung. Verwenden Sie bei Bedarf eine SDP-Drittanbieterlösung (Software-Defined Perimeter), die ähnliche Funktionen bietet.
Sie haben auch die Möglichkeit, Microsoft Defender for Cloud Apps zu verwenden, der als CASB-Dienst (Cloud Access Security Broker) dient, um den Benutzerzugriff auf nicht genehmigte SaaS-Anwendungen von Drittanbietern zu überwachen und zu blockieren.
Hinweis: VPNs werden häufig für den Zugriff auf Legacyanwendungen verwendet und verfügen häufig nur über eine grundlegende Zugriffssteuerung und eingeschränkte Sitzungsüberwachung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):