Biztonságvezérlés: Emelt szintű hozzáférés
A Privileged Access a bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét szolgáló vezérlőket tartalmazza, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférésű munkaállomások szándékos és véletlen kockázatokkal szembeni védelmét biztosító vezérlőket.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Biztonsági elv: Győződjön meg arról, hogy az összes nagy üzleti hatással rendelkező fiókot azonosítja. Korlátozza a kiemelt/rendszergazdai fiókok számát a felhő vezérlősíkján, felügyeleti síkján és adat-/számításifeladat-síkján.
Azure-útmutató: Minden szerepkört közvetlen vagy közvetett rendszergazdai hozzáféréssel kell biztosítani az Azure által üzemeltetett erőforrásokhoz.
Az Azure Active Directory (Azure AD) az Azure alapértelmezett identitás- és hozzáférés-kezelési szolgáltatása. A Azure AD legkritikusabb beépített szerepkörei a globális rendszergazda és a kiemelt szerepkörű rendszergazda, mivel a két szerepkörhöz hozzárendelt felhasználók rendszergazdai szerepköröket delegálhatnak. Ezekkel a jogosultságokkal a felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását:
- Globális rendszergazda/vállalati rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.
- Kiemelt szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatáson belül. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.
A Azure AD kívül az Azure beépített szerepköröket is biztosít, amelyek kritikus fontosságúak lehetnek az emelt szintű hozzáféréshez az erőforrás szintjén.
- Tulajdonos: Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, beleértve a szerepkörök Azure RBAC-ben való hozzárendelését is.
- Közreműködő: Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, de nem teszi lehetővé szerepkörök hozzárendelését az Azure RBAC-ben, a hozzárendelések kezelését az Azure Blueprintsben vagy képtárak megosztását.
- Felhasználói hozzáférés rendszergazdája: Lehetővé teszi az Azure-erőforrásokhoz való felhasználói hozzáférés kezelését.
Megjegyzés: Előfordulhat, hogy más kritikus szerepkörökkel is rendelkeznie kell, amelyeket szabályozni kell, ha egyéni szerepköröket használ Azure AD szinten vagy erőforrásszinten bizonyos emelt szintű engedélyekkel.
Emellett az Azure Nagyvállalati Szerződés (EA) portálon az alábbi három szerepkörrel rendelkező felhasználókat is korlátozni kell, mivel az Azure-előfizetések közvetlen vagy közvetett kezelésére is használhatók.
- Fióktulajdonos: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik az előfizetéseket, beleértve az előfizetések létrehozását és törlését.
- Vállalati rendszergazda: Az ezzel a szerepkörrel hozzárendelt felhasználók kezelhetik az (EA) portál felhasználóit.
- Részlegszintű rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók módosíthatják a részlegen belüli fióktulajdonosokat.
Végül győződjön meg arról, hogy az üzletileg kritikus fontosságú eszközökhöz rendszergazdai hozzáféréssel rendelkező más felügyeleti, identitás- és biztonsági rendszerekben, például Active Directory-tartomány Vezérlők (TARTOMÁNYVEZÉRLŐK), biztonsági eszközök és rendszerfelügyeleti eszközök esetében is korlátozza a jogosultsággal rendelkező fiókokat, amelyeken az üzletileg kritikus rendszerekre telepített ügynökök vannak telepítve. Azok a támadók, akik feltörik ezeket a felügyeleti és biztonsági rendszereket, azonnal fegyverezhetik őket az üzletileg kritikus fontosságú eszközök veszélyeztetése érdekében.
Azure-implementáció és további környezet:
- Rendszergazdai szerepköri engedélyek az Azure AD-ben
- Az Azure Privileged Identity Management biztonsági riasztásainak használata
- Emelt szintű hozzáférés biztosítása Azure AD hibrid- és felhőkörnyezetekhez
Útmutató az AWS-hez: Minden szerepkört közvetlen vagy közvetett rendszergazdai hozzáféréssel kell biztosítani az AWS által üzemeltetett erőforrásokhoz.
Az emelt szintű/rendszergazdai felhasználók védelme a következő:
- Gyökérfelhasználó: A legfelső szintű jogosultsági szintű fiókok az AWS-fiókban. A legfelső szintű fiókokat szigorúan korlátozottan kell használni, és csak vészhelyzetben kell használni. Tekintse meg a PA-5 vészhelyzeti hozzáférés-vezérlését (vészhelyzeti hozzáférés beállítása) című témakört.
- Jogosultsági szabályzattal rendelkező IAM-identitások (felhasználók, csoportok, szerepkörök): Az olyan engedélyszabályzattal rendelkező IAM-identitások, mint például az AdministratorAccess, teljes hozzáféréssel rendelkezhetnek az AWS-szolgáltatásokhoz és -erőforrásokhoz.
Ha az Azure Active Directoryt (Azure AD) használja az AWS identitásszolgáltatójaként, tekintse meg az Azure-útmutatót a kiemelt szerepkörök Azure AD történő kezeléséhez.
Győződjön meg arról, hogy az üzletileg kritikus fontosságú eszközökhöz rendszergazdai hozzáféréssel rendelkező más felügyeleti, identitás- és biztonsági rendszerekben , például az AWS Cognito, a biztonsági eszközök és a rendszerfelügyeleti eszközök esetében is korlátozza azokat a kiemelt fiókokat, amelyek az üzletileg kritikus rendszerekre telepített ügynökökkel rendelkeznek. Azok a támadók, akik feltörik ezeket a felügyeleti és biztonsági rendszereket, azonnal fegyverezhetik őket az üzletileg kritikus fontosságú eszközök veszélyeztetése érdekében.
AWS-implementáció és további környezet:
GCP-útmutató: Minden szerepkört közvetlen vagy közvetett rendszergazdai hozzáféréssel kell biztosítani a GCP által üzemeltetett erőforrásokhoz.
A Google Cloud legkritikusabb beépített szerepköre a felügyelői szerepkör. A felügyelő a Rendszergazda konzolon minden feladatot el tud végezni, és visszavonhatatlan rendszergazdai engedélyekkel rendelkezik. Javasoljuk, hogy ne használja a felügyelői fiókot a napi felügyelethez.
Az alapszintű szerepkörök rendkívül megengedő örökölt szerepkörök, és ajánlott, hogy az alapszintű szerepköröket ne használják éles környezetekben, mivel széles körű hozzáférést biztosítanak az összes Google Cloud-erőforráshoz. Az alapszintű szerepkörök közé tartozik a Megtekintő, a Szerkesztő és a Tulajdonos szerepkör. Ehelyett ajánlott előre definiált vagy egyéni szerepköröket használni. A kiemelt, előre definiált szerepkörök közé tartoznak a következők:
- Szervezeti rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik az IAM-házirendeket, és megtekinthetik a szervezetekre, mappákra és projektekre vonatkozó szervezeti házirendeket.
- Szervezeti házirend-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók a szervezeti házirendek beállításával meghatározhatják, hogy a szervezet milyen korlátozásokat kíván érvényesíteni a felhőbeli erőforrások konfigurálására.
- Szervezeti szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók a szervezet összes egyéni szerepkörét és az alatta lévő projekteket felügyelhetik.
- Biztonsági Rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók bármilyen IAM-szabályzatot lekérhetnek és beállíthatnak.
- Megtagadási Rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók olvasási és módosítási engedélyekkel rendelkezik az IAM megtagadási szabályzataihoz.
Emellett bizonyos előre definiált szerepkörök emelt szintű IAM-engedélyeket is tartalmaznak a szervezet, mappa és projekt szintjén. Ezek az IAM-engedélyek a következők:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Emellett a feladatok elkülönítését úgy valósíthatja meg, hogy szerepköröket rendel a különböző projektekhez tartozó fiókokhoz, vagy a Bináris engedélyezést a Google Kubernetes Engine-rel.
Végül győződjön meg arról, hogy az üzletileg kritikus fontosságú objektumokhoz rendszergazdai hozzáféréssel rendelkező más felügyeleti, identitás- és biztonsági rendszerekben , például a felhőBELI DNS-ben, a biztonsági eszközökben és a rendszerfelügyeleti eszközökben lévő kiemelt fiókokat is korlátozza az üzletileg kritikus rendszerekre telepített ügynökökkel. Azok a támadók, akik feltörik ezeket a felügyeleti és biztonsági rendszereket, azonnal fegyverezhetik őket az üzletileg kritikus fontosságú eszközök veszélyeztetése érdekében.
GCP-implementáció és további környezet:
- A felügyelői fiók ajánlott eljárásai
- Az IAM alapszintű és előre definiált szerepköreinek referenciája
- A feladatok és az identitás- és hozzáférés-kezelési szerepkörök elkülönítése
Ügyfélbiztonsági érdekelt felek (További információ):
- Identitás- és kulcskezelés
- Biztonsági architektúra
- Biztonsági megfelelőség kezelése
- Biztonsági műveletek
PA-2: A felhasználói fiókokhoz és engedélyekhez való folyamatos hozzáférés elkerülése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Biztonsági elv: Állandó jogosultságok létrehozása helyett használjon igény szerinti (JIT) mechanizmust, amellyel emelt szintű hozzáférést rendelhet a különböző erőforrásszintekhez.
Azure-útmutató: Igény szerinti (JIT) jogosultságú hozzáférés engedélyezése azure-erőforrásokhoz és Azure AD a Azure AD Privileged Identity Management (PIM) használatával. A JIT egy olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók az engedélyek lejárta után hozzáférjenek. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.
Korlátozza a bejövő forgalmat a bizalmas virtuális gépek (VM) felügyeleti portjain a felhő igény szerinti (JIT) virtuálisgép-hozzáférési funkciójának Microsoft Defender használatával. Ez biztosítja, hogy a virtuális géphez csak akkor legyen jogosultsági hozzáférés, ha a felhasználóknak szükségük van rá.
Azure-implementáció és további környezet:
- Azure PIM igény szerint történő hozzáférés üzembe helyezése
- Az igény szerinti (JIT) virtuálisgép-hozzáférés ismertetése
AWS-útmutató: Az AWS biztonsági jogkivonat-szolgáltatás (AWS STS) használatával ideiglenes biztonsági hitelesítő adatokat hozhat létre az erőforrások AWS API-n keresztüli eléréséhez. Az ideiglenes biztonsági hitelesítő adatok szinte teljesen azonosak az IAM-felhasználók által használható hosszú távú hozzáférési kulcs hitelesítő adataival, az alábbi különbségekkel:
- Az ideiglenes biztonsági hitelesítő adatok rövid élettartamúak, percektől órákig.
- Az ideiglenes biztonsági hitelesítő adatokat a rendszer nem tárolja a felhasználóval, hanem dinamikusan jön létre, és kérés esetén megadja a felhasználónak.
AWS-implementáció és további környezet:
GCP-útmutató: Az IAM feltételes hozzáférés használatával ideiglenes hozzáférést hozhat létre az erőforrásokhoz feltételes szerepkör-kötések használatával az engedélyezési szabályzatokban, amelyeket a Cloud Identity-felhasználók kapnak meg. Dátum-/időattribútumok konfigurálása egy adott erőforrás eléréséhez szükséges időalapú vezérlők kényszerítéséhez. Az ideiglenes hozzáférés rövid ideig, perctől órákig tart, vagy a hét napjai vagy órái alapján adható meg.
GCP-implementáció és további környezet:
- Az IAM-feltételek áttekintése
- Ideiglenes hozzáférés konfigurálása
- Az Access Context Manager áttekintése
Ügyfélbiztonsági érdekelt felek (További információ):
- Identitás- és kulcskezelés
- Biztonsági architektúra
- Biztonsági megfelelőség kezelése
- Biztonsági műveletek
PA-3: Identitások és jogosultságok életciklusának kezelése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Biztonsági elv: Automatizált folyamat vagy technikai ellenőrzés használatával kezelheti az identitás- és hozzáférési életciklust, beleértve a kérést, a felülvizsgálatot, a jóváhagyást, a kiépítést és a megszüntetést.
Azure-útmutató: Azure AD jogosultságkezelési funkciókkal automatizálhatja a hozzáférési kérelmek munkafolyamatait (Azure-erőforráscsoportok esetén). Ez lehetővé teszi, hogy az Azure-erőforráscsoportok munkafolyamatai kezeljék a hozzáférési hozzárendeléseket, a felülvizsgálatokat, a lejáratot, valamint a kettős vagy többszakaszos jóváhagyást.
Az Engedélykezelés segítségével észlelheti, automatikusan méretezheti és folyamatosan monitorozhatja a felhasználói és számítási feladatok identitásaihoz rendelt nem használt és túlzott engedélyeket a többfelhős infrastruktúrákban.
Azure-implementáció és további környezet:
- Mik azok a Azure AD hozzáférési felülvizsgálatok?
- Mi az Azure AD jogosultságkezelés?
- Az engedélyek kezelésének áttekintése
AWS-útmutató: Használja az AWS Access Advisort a felhasználói fiókok és az erőforrások jogosultságainak hozzáférési naplóinak lekéréséhez. Hozzon létre egy manuális vagy automatizált munkafolyamatot az AWS IAM-sel való integrációhoz a hozzáférési hozzárendelések, felülvizsgálatok és törlések kezeléséhez.
Megjegyzés: Az AWS Marketplace-en külső megoldások érhetők el az identitások és jogosultságok életciklusának kezeléséhez.
AWS-implementáció és további környezet:
GCP-útmutató: A Google felhőnaplóinak használatával lekérhető a rendszergazdai tevékenység és az adathozzáférési naplók a felhasználói fiókokhoz és az erőforrásokra vonatkozó jogosultságokhoz. Hozzon létre egy manuális vagy automatizált munkafolyamatot, amely integrálható a GCP IAM-sel a hozzáférési hozzárendelések, felülvizsgálatok és törlések kezeléséhez.
A Google Cloud Identity Premium használatával alapvető identitás- és eszközfelügyeleti szolgáltatásokat biztosíthat. Ezek a szolgáltatások olyan funkciókat tartalmaznak, mint az automatikus felhasználóátadás, az alkalmazások engedélyezési listája és az automatizált mobileszköz-kezelés.
Megjegyzés: A Google Cloud Marketplace-en külső megoldások érhetők el az identitások és jogosultságok életciklusának kezelésére.
GCP-implementáció és további környezet:
- IAM Access Advisor
- Cloud Identity és Atlassian Access: A felhasználók életciklusának kezelése a teljes szervezetben
- Hozzáférés biztosítása és visszavonása az API-hoz
- Google Cloud-projekthez való hozzáférés visszavonása
Ügyfélbiztonsági érdekelt felek (További információ):
PA-4: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Biztonsági elv: A kiemelt fiókjogosultságok rendszeres felülvizsgálata. Győződjön meg arról, hogy a fiókokhoz megadott hozzáférés érvényes a vezérlősík, a felügyeleti sík és a számítási feladatok felügyeletéhez.
Azure-útmutató: Tekintse át az Összes emelt szintű fiókot és hozzáférési jogosultságot az Azure-ban, beleértve az Azure-bérlőket, az Azure-szolgáltatásokat, a virtuális gépet/IaaS-t, a CI-/CD-folyamatokat, valamint a nagyvállalati felügyeleti és biztonsági eszközöket.
A Azure AD hozzáférési felülvizsgálatokkal áttekintheti Azure AD szerepköröket, az Azure-erőforrás-hozzáférési szerepköröket, a csoporttagságokat és a vállalati alkalmazásokhoz való hozzáférést. Azure AD jelentéskészítés naplókat is biztosít az elavult vagy bizonyos ideig nem használt fiókok felderítéséhez.
Emellett Azure AD Privileged Identity Management konfigurálható riasztásra, ha egy adott szerepkörhöz túl sok rendszergazdai fiók jön létre, és azonosíthatja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.
Azure-implementáció és további környezet:
- Azure-erőforrásszerepkörök hozzáférési felülvizsgálatának létrehozása a Privileged Identity Management (PIM) szolgáltatásban
- Az Azure AD identitás- és hozzáférési felülvizsgálatainak használata
AWS-útmutató: Tekintse át az AWS összes emelt szintű fiókját és hozzáférési jogosultságát, beleértve az AWS-fiókokat, -szolgáltatásokat, a virtuális gépeket/IaaS-eket, a CI-/CD-folyamatokat, valamint a vállalati felügyeleti és biztonsági eszközöket.
Az IAM Access Advisor, az Access Analyzer és a Hitelesítő adatok jelentései segítségével áttekintheti az erőforrás-hozzáférési szerepköröket, a csoporttagságokat és a vállalati alkalmazásokhoz való hozzáférést. Az IAM Access Analyzer és a Credential Reports jelentéskészítés naplókat is tartalmazhat az elavult vagy bizonyos ideig nem használt fiókok felderítéséhez.
Ha az Azure Active Directoryt (Azure AD) használja az AWS identitásszolgáltatójaként, használja Azure AD hozzáférési felülvizsgálatot a kiemelt fiókok és hozzáférési jogosultságok rendszeres áttekintéséhez.
AWS-implementáció és további környezet:
GCP-útmutató: Tekintse át a Google Cloud összes emelt szintű fiókját és hozzáférési jogosultságát, beleértve a Cloud Identity-fiókokat, -szolgáltatásokat, a virtuális gépeket/IaaS-eket, a CI-/CD-folyamatokat, valamint a nagyvállalati felügyeleti és biztonsági eszközöket.
A Cloud Audit Logs and Policy Analyzer használatával áttekintheti az erőforrás-hozzáférési szerepköröket és a csoporttagságokat. Elemzési lekérdezések létrehozása a Policy Analyzerben annak meghatározásához, hogy mely rendszernevek férhetnek hozzá adott erőforrásokhoz.
Ha az Azure Active Directoryt (Azure AD) használja a Google Cloud identitásszolgáltatójaként, a Azure AD hozzáférési felülvizsgálattal rendszeresen áttekintheti a kiemelt fiókokat és hozzáférési jogosultságokat.
Emellett Azure AD Privileged Identity Management konfigurálható riasztásra, ha egy adott szerepkörhöz túl sok rendszergazdai fiók jön létre, és azonosíthatja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
PA-5: Vészhelyzeti hozzáférés beállítása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Biztonsági elv: Állítson be vészhelyzeti hozzáférést, hogy vészhelyzet esetén ne zárják ki véletlenül a kritikus fontosságú felhőinfrastruktúrából (például az identitás- és hozzáférés-kezelési rendszerből).
A vészhelyzeti hozzáférési fiókokat ritkán kell használni, és biztonsági sérülés esetén nagy károkat okozhatnak a szervezet számára, de a szervezethez való elérhetőségük is kritikus fontosságú azokban a helyzetekben, amikor szükség van rájuk.
Azure-útmutató: Ha meg szeretné akadályozni, hogy véletlenül kizárják a Azure AD szervezetből, állítson be egy vészhelyzeti hozzáférési fiókot (például globális rendszergazdai szerepkörrel rendelkező fiókot) a hozzáféréshez, ha a normál rendszergazdai fiókok nem használhatók. A vészhelyzeti hozzáférési fiókok általában magas szintű jogosultságokkal rendelkeznek, és nem ajánlott azokat egyes személyekhez társítani. A vészhelyzeti hozzáférési fiókok vészhelyzeti vagy "törés"-forgatókönyvekre korlátozódnak, amelyekben a normál rendszergazdai fiókok nem használhatók.
Érdemes biztosítani, hogy a vészhelyzeti hozzáférési fiókok hitelesítő adatai (például jelszó, tanúsítvány vagy intelligens kártya) biztonságos helyen vannak tárolva, amelyet csak azok ismernek, akik jogosultak azokat használni, kizárólag vészhelyzet esetén. A folyamat biztonságának fokozása érdekében további vezérlőket is használhat, például kettős vezérlőket (például a hitelesítő adatok két részre való felosztását és külön személyeknek való átadását). A bejelentkezési és auditnaplókat is figyelnie kell, hogy a segélyhívási fiókok csak akkor legyenek használatban, ha engedélyezve vannak.
Azure-implementáció és további környezet:
Útmutató az AWS-hez: Az AWS "gyökér" fiókjai nem használhatók rendszeres felügyeleti feladatokhoz. Mivel a "gyökér" fiók kiemelt jogosultsággal rendelkezik, nem szabad adott személyekhez rendelni. A használatnak csak vészhelyzeti vagy "törésüveges" forgatókönyvekre kell korlátozódnia, ha a normál rendszergazdai fiókok nem használhatók. A napi felügyeleti feladatokhoz külön emelt szintű felhasználói fiókokat kell használni, és a megfelelő engedélyeket IAM-szerepkörök segítségével kell hozzárendelni.
Arról is gondoskodnia kell, hogy a legfelső szintű fiókok hitelesítő adatai (például jelszó, MFA-jogkivonatok és hozzáférési kulcsok) csak azoknak a személyeknek legyenek biztonságosak és ismertek, akik csak vészhelyzetben használhatják őket. Az MFA-t engedélyezni kell a legfelső szintű fiókhoz, és további vezérlőket is használhat, például kettős vezérlőket (például a hitelesítő adatok két részre való felosztását és külön személyeknek való megadását) a folyamat biztonságának növelése érdekében.
Emellett figyelnie kell a bejelentkezési és naplózási naplókat a CloudTrailben vagy az EventBridge-ben, hogy a gyökérelérési fiókok csak akkor legyenek használatban, ha engedélyezve vannak.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Identity felügyelői fiókjai nem használhatók rendszeres felügyeleti feladatokhoz. Mivel a felügyelői fiók kiemelt jogosultsággal rendelkezik, nem szabad adott személyekhez rendelni. A használatnak csak vészhelyzeti vagy "törésüveges" forgatókönyvekre kell korlátozódnia, ha a normál rendszergazdai fiókok nem használhatók. A napi felügyeleti feladatokhoz külön emelt szintű felhasználói fiókokat kell használni, és a megfelelő engedélyeket IAM-szerepkörök segítségével kell hozzárendelni.
Arról is gondoskodnia kell, hogy a felügyelői fiókok hitelesítő adatai (például jelszó, MFA-jogkivonatok és hozzáférési kulcsok) biztonságosak legyenek, és csak azoknak a személyeknek legyenek ismertek, akik csak vészhelyzetben használhatják őket. Az MFA-t engedélyezni kell a felügyelői fiókhoz, és további vezérlőket is használhat, például kettős vezérlőket (például a hitelesítő adatok két részre való felosztását és külön személyeknek való megadását) a folyamat biztonságának növelése érdekében.
Emellett figyelnie kell a bejelentkezési és naplózási naplókat a felhőnaplókban, vagy le kell kérdeznie a Szabályzatelemzőt, hogy a felügyelői fiókok csak akkor legyenek használatban, ha engedélyezve vannak.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
PA-6: Emelt szintű hozzáférésű munkaállomások használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/A |
Biztonsági elv: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatáskezelő.
Azure-útmutató: Az Azure Active Directory, Microsoft Defender és/vagy Microsoft Intune használatával emelt szintű hozzáférési munkaállomásokat (PAW) helyezhet üzembe a helyszínen vagy az Azure-ban a kiemelt feladatokhoz. Az emelt hozzáférési szintű munkaállomást központilag kell felügyelni a biztonságos konfiguráció kikényszerítése érdekében, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.
Használhatja az Azure Bastiont is, amely egy teljesen platform által felügyelt PaaS-szolgáltatás, amely a virtuális hálózaton belül építhető ki. Az Azure Bastion lehetővé teszi az RDP-/SSH-kapcsolatot a virtuális gépekhez közvetlenül a Azure Portal webböngésző használatával.
Azure-implementáció és további környezet:
- A kiemelt hozzáférési munkaállomások ismertetése
- Emelt szintű hozzáférésű munkaállomások üzembe helyezése
AWS-útmutató: Az AWS Systems Manager Munkamenet-kezelője segítségével hozzon létre hozzáférési útvonalat (kapcsolati munkamenetet) az EC2-példányhoz vagy egy böngészőmunkamenetet az AWS-erőforrásokhoz a kiemelt feladatokhoz. A Munkamenet-kezelő porttovábbítással teszi lehetővé az RDP-, SSH- és HTTPS-kapcsolatot a cél gazdagépekhez.
Dönthet úgy is, hogy központilag, az Azure Active Directory, Microsoft Defender és/vagy Microsoft Intune keresztül központilag felügyelt emelt szintű hozzáférési munkaállomásokat (PAW) helyez üzembe. A központi felügyeletnek biztonságos konfigurációt kell kikényszerítenie, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.
AWS-implementáció és további környezet:
GCP-útmutató: A Identity-Aware Proxy (IAP) Desktop használatával hozzon létre hozzáférési útvonalat (kapcsolati munkamenetet) a számítási példányhoz a kiemelt feladatokhoz. Az IAP Desktop porttovábbítással teszi lehetővé az RDP- és SSH-kapcsolatot a cél gazdagépekkel. Emellett a külsőre néző Linux számítási példányok egy böngészőben elérhető SSH-val is csatlakoztathatók a Google Cloud-konzolon keresztül.
Dönthet úgy is, hogy központilag, a Google Workspace Endpoint Management vagy a Microsoft-megoldások (Azure Active Directory, Microsoft Defender és/vagy Microsoft Intune) keresztül központilag felügyelt emelt szintű hozzáférési munkaállomásokat (PAW) helyez üzembe. A központi felügyeletnek biztonságos konfigurációt kell kikényszerítenie, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.
Megerősített gazdagépeket is létrehozhat a megbízható környezetekhez való biztonságos hozzáféréshez meghatározott paraméterekkel.
GCP implementálása és további környezet:
- Biztonságos csatlakozás virtuálisgép-példányokhoz
- Csatlakozás Linux rendszerű virtuális gépekhez Identity-Aware Proxy használatával
- Csatlakozás virtuális gépekhez megerősített gazdagép használatával
Ügyfélbiztonsági érdekelt felek (További információ):
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Biztonsági elv: Kövesse a megfelelő felügyeleti (minimális jogosultsági) elvet az engedélyek részletes kezeléséhez. A szerepköralapú hozzáférés-vezérlés (RBAC) funkcióival szerepkör-hozzárendelésekkel kezelheti az erőforrás-hozzáférést.
Azure-útmutató: Azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrások hozzáférését szerepkör-hozzárendelésekkel. Az RBAC-vel szerepköröket rendelhet felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell és a Azure Portal.
Az Erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságoknak mindig a szerepkörök által megköveteltekre kell korlátozódniuk. A korlátozott jogosultságok kiegészítik a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és ezeket a jogosultságokat rendszeresen felül kell vizsgálni. Szükség esetén a PIM használatával is definiálhat egy időhöz kötött hozzárendelést, amely egy olyan feltétel egy szerepkör-hozzárendelésben, amelyben a felhasználó csak a megadott kezdő és záró dátumokon belül tudja aktiválni a szerepkört.
Megjegyzés: Az Azure beépített szerepköreivel engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.
Azure-implementáció és további környezet:
- Mi az azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC)
- Az RBAC konfigurálása az Azure-ban
- Az Azure AD identitás- és hozzáférési felülvizsgálatainak használata
- Azure AD Privileged Identity Management – Időhöz kötött hozzárendelés
Útmutató az AWS-hez: AWS-szabályzat használata az AWS-erőforrás-hozzáférés kezeléséhez. Hat szabályzattípus létezik: identitásalapú szabályzatok, erőforrás-alapú szabályzatok, engedélyhatárok, AWS-szervezetek szolgáltatásvezérlési szabályzata (SCP), Access Control Lista és munkamenet-szabályzatok. Az AWS által felügyelt szabályzatokat a gyakori engedélyhasználati esetekhez használhatja. Ne feledje azonban, hogy a felügyelt szabályzatok túlzott engedélyeket tartalmazhatnak, amelyeket nem szabad a felhasználókhoz rendelni.
Az AWS ABAC -t (attribútumalapú hozzáférés-vezérlést) is használhatja az IAM-erőforrásokhoz csatolt attribútumok (címkék) alapján történő engedélyek hozzárendeléséhez, beleértve az IAM-entitásokat (felhasználókat vagy szerepköröket) és az AWS-erőforrásokat.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud IAM-szabályzattal szerepkör-hozzárendelésekkel kezelheti a GCP-erőforrások hozzáférését. A Google Cloud előre definiált szerepköreit használhatja a gyakori engedélyhasználati esetekhez. Ne feledje azonban, hogy az előre definiált szerepkörök túlzott engedélyeket tartalmazhatnak, amelyeket nem szabad hozzárendelni a felhasználókhoz.
Emellett a Szabályzatintelligencia és az IAM-ajánló segítségével azonosíthatja és eltávolíthatja a túlzott engedélyeket a fiókokból.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
- Alkalmazásbiztonság és DevSecOps
- Biztonsági megfelelőség kezelése
- Helyzetkezelés
- Identitás- és kulcskezelés
PA-8 A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Biztonsági elv: Hozzon létre egy jóváhagyási folyamatot és hozzáférési útvonalat a szállítói támogatási kérelmek igényléséhez és jóváhagyásához, valamint az adatokhoz való ideiglenes hozzáféréshez egy biztonságos csatornán keresztül.
Azure-útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével áttekintheti és jóváhagyhatja vagy elutasíthatja a Microsoft által küldött adathozzáférési kérelmeket.
Azure-implementáció és további környezet:
AWS-útmutató: Olyan támogatási forgatókönyvekben, ahol az AWS támogatási csapatainak hozzá kell férnie az adataihoz, hozzon létre egy fiókot az AWS támogatási portálján a támogatás kéréséhez. Tekintse át az elérhető lehetőségeket, például az írásvédett adathozzáférés biztosítását vagy az AWS-támogatás képernyőmegosztási lehetőségét az adatokhoz való hozzáféréshez.
AWS-implementáció és további környezet:
GCP-útmutató: Olyan támogatási forgatókönyvekben, ahol a Google Cloud Customer Carenek hozzá kell férnie az adataihoz, a Hozzáférés-jóváhagyás használatával áttekintheti és jóváhagyhatja vagy elutasíthatja a Cloud Customer Care által küldött adathozzáférési kérelmeket.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):