Freigeben über


Sicherheitssteuerung v3: Privilegierter Zugriff

Privilegierter Zugriff umfasst Kontrollen zum Schutz des privilegierten Zugriffs auf Ihren Azure-Mandanten und Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Sicherheitsprinzip: Stellen Sie sicher, dass Sie alle Konten mit hohem geschäftlichen Einfluss identifizieren. Begrenzen Sie die Anzahl von privilegierten/administrativen Konten in Ihrer Cloud auf der Steuerungsebene, Verwaltungsebene und Daten-/Workloadebene.

Azure-Leitfaden: Azure Active Directory (Azure AD) ist der Standarddienst für Identitäts- und Zugriffsverwaltung in Azure. Die wichtigsten integrierten Rollen in Azure AD sind „Globaler Administrator“ und „Administrator für privilegierte Rollen“, da Benutzer, die diesen beiden Rollen zugeordnet sind, Administratorrollen delegieren können. Mit diesen Berechtigungen können Benutzer jede Ressource in Ihrer Azure-Umgebung direkt oder indirekt lesen und ändern:

  • Globaler Administrator/Unternehmensadministrator: Benutzer mit dieser Rolle haben Zugriff auf alle administrativen Funktionen in Azure AD sowie auf Dienste, die Azure AD-Identitäten verwenden.
  • Administrator für privilegierte Rollen: Benutzer mit dieser Rolle können Rollenzuweisungen in Azure AD und Azure AD Privileged Identity Management (PIM) verwalten. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von PIM und administrativer Einheiten.

Außerhalb von Azure AD verfügt Azure über integrierte Rollen, die für privilegierten Zugriff auf Ressourcenebene wichtig sein können.

  • Besitzer: Gewährt Vollzugriff zum Verwalten aller Ressourcen, einschließlich der Möglichkeit zum Zuweisen von Rollen im Zusammenhang mit der Azure RBAC.
  • Mitwirkender: Gewährt vollen Zugriff auf die Verwaltung aller Ressourcen, erlaubt aber nicht die Zuweisung von Rollen in Azure RBAC, die Verwaltung von Zuweisungen in Azure Blueprints oder die Freigabe von Bildergalerien.
  • Benutzerzugriffsadministrator: Kann den Benutzerzugriff auf Azure-Ressourcen verwalten. Hinweis: Möglicherweise verfügen Sie über weitere kritische Rollen, die geregelt werden müssen, wenn Sie auf Azure AD- oder Ressourcenebene benutzerdefinierte Rollen mit bestimmten zugewiesenen privilegierten Berechtigungen verwenden.

Stellen Sie sicher, dass Sie auch privilegierte Konten in anderen Verwaltungs-, Identitäts- und Sicherheitssystemen einschränken, die über Administratorzugriff auf Ihre unternehmenskritischen Ressourcen verfügen, z. B. Active Directory-Domänencontroller (DCs), Sicherheitstools und Systemverwaltungstools mit Agents, die auf unternehmenskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können diese sofort ausnutzen, um geschäftskritische Ressourcen zu gefährden.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-2: Vermeiden von ständigem Zugriff für Benutzerkonten und Berechtigungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
AC-2 N/V

Sicherheitsprinzip: Anstatt ständige Berechtigungen zu erstellen, verwenden Sie den Just-in-Time-Mechanismus (JIT), um privilegierten Zugriff auf die verschiedenen Ressourcenebenen zuzuweisen.

Azure-Leitfaden: Mit Azure AD Privileged Identity Management (PIM) können Sie privilegierten Just-in-Time-Zugriff (JIT) auf Azure-Ressourcen und Azure AD ermöglichen. JIT ist ein Modell, bei dem Benutzer temporäre Berechtigungen zum Ausführen privilegierter Aufgaben erhalten. Dieses Modell verhindert, dass böswillige oder nicht autorisierte Benutzer nach dem Ablauf der Berechtigungen Zugriff erhalten. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen. PIM kann auch Sicherheitswarnungen erzeugen, wenn es in Ihrer Azure AD-Organisation verdächtige oder unsichere Aktivitäten gibt.

Beschränken Sie den eingehenden Datenverkehr auf Ihre vertraulichen Verwaltungsports für virtuelle Computer (VM) mit dem Just-In-Time-Feature (JIT) von Microsoft Defender für Cloud für den VM-Zugriff. Dadurch wird sichergestellt, dass der privilegierte Zugriff auf den virtuellen Computer nur gewährt wird, wenn Benutzer ihn benötigen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-3: Verwalten des Lebenszyklus von Identitäten und Berechtigungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Sicherheitsprinzip: Verwenden Sie einen automatisierten Prozess oder eine technische Steuerung, um den Identitäts- und Zugriffslebenszyklus einschließlich Anforderung, Überprüfung, Genehmigung, Bereitstellung und Aufheben der Bereitstellung zu verwalten.

Azure-Leitfaden: Verwenden Sie Azure AD-Funktionen zur Berechtigungsverwaltung, um Anforderungsworkflows für den Zugriff (für Azure-Ressourcengruppen) zu automatisieren. So können Workflows für Azure-Ressourcengruppen Zugriffszuweisungen, Überprüfungen, Ablauf und duale oder mehrstufige Genehmigung verwalten.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-4: Regelmäßiges Überprüfen und Abstimmen des Benutzerzugriffs

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Sicherheitsprinzip: Führen Sie eine regelmäßige Überprüfung privilegierter Kontoberechtigungen durch. Stellen Sie sicher, dass der Zugriff, der den Konten gewährt wird, für die Verwaltung von Steuerungsebene, Verwaltungsebene und Workloads gültig ist.

Azure-Leitfaden: Überprüfen Sie alle privilegierten Konten und Zugriffsberechtigungen in Azure, einschließlich Azure-Mandant, Azure-Diensten, VM/IaaS, CI/CD-Prozessen sowie Unternehmensverwaltungs- und Sicherheitstools.

Verwenden Sie Azure AD-Zugriffsüberprüfungen, um Azure AD Rollen und Azure-Ressourcenzugriffsrollen, Gruppenmitgliedschaften und den Zugriff auf Unternehmensanwendungen zu überprüfen. Azure AD-Berichterstellung kann auch Protokolle bereitstellen, um veraltete Konten zu ermitteln, die für einen bestimmten Zeitraum nicht verwendet werden.

Darüber hinaus können Sie Azure AD Privileged Identity Management konfigurieren, sodass Sie eine Warnung erhalten, wenn übermäßig viele Administratorkonten für eine bestimmte Rolle erstellt werden, und um veraltete oder falsch konfigurierte Administratorkonten zu ermitteln.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-5: Notfallzugriff einrichten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
AC-2 N/V

Sicherheitsprinzip: Richten Sie Notfallzugriff ein, um sicherzustellen, dass Sie im Notfall nicht versehentlich aus Ihrer kritischen Cloudinfrastruktur (z. B. Ihrem Identitäts- und Zugriffsverwaltungssystem) ausgesperrt werden.

Konten für den Notfallzugriff sollten nur selten benötigt werden und können im Falle einer Kompromittierung großen Schaden in der Organisation anrichten. Ihre Verfügbarkeit für die Organisation ist jedoch auch für die wenigen Szenarien, in denen sie benötigt werden, von entscheidender Bedeutung.

Azure-Leitfaden: Um zu verhindern, dass Sie versehentlich aus Ihrer Azure AD-Organisation ausgesperrt werden, richten Sie ein Konto für den Notfallzugriff ein (z. B. ein Konto mit der Rolle „Globaler Administrator“), wenn normale Verwaltungskonten nicht verwendet werden können. Konten für den Notfallzugriff verfügen normalerweise über umfangreiche Berechtigungen und sollten keinen Einzelpersonen zugewiesen werden. Konten für den Notfallzugriff sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale Administratorkonten nicht verwendet werden können.

Sie sollten sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, Zertifikat oder Smartcard) für Konten für den Notfallzugriff sicher aufbewahrt werden und nur den Personen bekannt sind, die für deren Verwendung im Notfall autorisiert sind. Sie können auch zusätzliche Steuerelemente verwenden, z. B. duale Steuerelemente (wie das Aufteilen der Anmeldeinformationen in zwei Teile, über die jeweils separate Personen verfügen), um die Sicherheit dieses Prozesses zu erhöhen. Sie sollten auch die Anmelde- und Überwachungsprotokolle überwachen, um sicherzustellen, dass die Konten für den Notfallzugriff nur unter Autorisierung verwendet werden können.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-6: Verwenden von Privileged Access Workstations

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7

Sicherheitsprinzip: Gesicherte, isolierte Arbeitsstationen sind von entscheidender Bedeutung für die Sicherheit vertraulicher Rollen wie Administratoren, Entwickler und Betreiber kritischer Dienste.

Azure-Leitfaden: Verwenden Sie Azure Active Directory, Microsoft Defender und/oder Microsoft Intune, um Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAW) lokal oder in Azure für privilegierte Aufgaben bereitzustellen. Die PAW sollte zentral verwaltet werden, um eine gesicherte Konfiguration einschließlich starker Authentifizierung, Software- und Hardwarebaselines sowie eingeschränktem logischen und Netzwerkzugang durchzusetzen.

Sie können auch Azure Bastion verwenden, einen vollständig plattformverwalteten PaaS-Dienst, der in Ihrem virtuellen Netzwerk bereitgestellt werden kann. Azure Bastion ermöglicht im Browser die RDP-/SSH-Konnektivität mit Ihren virtuellen Computern direkt über das Azure-Portal.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Sicherheitsprinzip: Befolgen Sie das Prinzip der minimalen Administration (geringste Rechte), um Berechtigungen auf einer differenzierten Ebene zu verwalten. Verwenden Sie Features wie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um den Ressourcenzugriff über Rollenzuweisungen zu verwalten.

Leitfaden: Verwalten Sie mit der rollenbasierten Zugriffssteuerung in Azure (Azure RBAC) den Zugriff auf Azure-Ressourcen über Rollenzuweisungen. Mit RBAC können Rollen Benutzern, Gruppendienstprinzipalen und verwalteten Identitäten zugewiesen werden. Für bestimmte Ressourcen sind vordefinierte integrierte Rollen verfügbar. Diese Rollen können über Tools wie die Azure CLI, Azure PowerShell und das Azure-Portal inventarisiert oder abgefragt werden.

Die Berechtigungen, die Sie Ressourcen über Azure RBAC zuweisen, sollten immer auf die nötigsten Anforderungen der Rollen beschränkt sein. Eingeschränkte Berechtigungen ergänzen den JIT-Ansatz (Just-in-Time) von Azure AD Privileged Identity Management (PIM), und diese Berechtigungen sollten regelmäßig überprüft werden. Bei Bedarf können Sie PIM auch verwenden, um die Zeitdauerbedingung (zeitgebundene Zuweisung) in der Rollenzuweisung zu definieren, bei der ein Benutzer die Rolle nur innerhalb des Start- und Enddatums aktivieren oder verwenden kann.

Hinweis: Verwenden Sie integrierte Rollen zur Zuweisung von Berechtigungen, und erstellen Sie benutzerdefinierte Rollen nur bei Bedarf.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 N/V

Sicherheitsprinzip: Richten Sie einen Genehmigungsprozess und einen Zugriffspfad für die Anforderung und Genehmigung von Supportanfragen von Anbietern und den temporären Zugriff auf Ihre Daten über einen sicheren Kanal ein.

Azure-Leitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox, um jede Datenzugriffsanforderung von Microsoft zu überprüfen und zu genehmigen oder abzulehnen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):