Biztonságvezérlés: Identitás és Access Control

  • Cikk

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

Az identitás- és hozzáférés-kezelési javaslatok az identitásalapú hozzáférés-vezérléssel, a rendszergazdai hozzáférés zárolásával, az identitással kapcsolatos események riasztásával, a fiók rendellenes viselkedésével és a szerepköralapú hozzáférés-vezérléssel kapcsolatos problémák kezelésére összpontosítanak.

3.1: Felügyeleti fiókok leltárának karbantartása

Azure-azonosító CIS-azonosítók Felelősség
3,1 4.1 Ügyfél

Azure AD beépített szerepkörök vannak, amelyeket explicit módon kell hozzárendelni, és lekérdezhetők. A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait képező fiókok felderítéséhez.

3.2: Szükség esetén módosítsa az alapértelmezett jelszavakat

Azure-azonosító CIS-azonosítók Felelősség
3.2 4.2 Ügyfél

Azure AD nem rendelkezik az alapértelmezett jelszavak fogalmával. A jelszót igénylő egyéb Azure-erőforrások összetettségi követelményekkel és minimális jelszóhosszsal rendelkező jelszót kényszerítenek ki, amely a szolgáltatástól függően eltérő. Ön felelős az alapértelmezett jelszavakat használó külső alkalmazásokért és marketplace-szolgáltatásokért.

3.3: Dedikált rendszergazdai fiókok használata

Azure-azonosító CIS-azonosítók Felelősség
3.3 4.3 Ügyfél

Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatára. A rendszergazdai fiókok számának figyeléséhez használja Azure Security Center "Hozzáférés és engedélyek kezelése" biztonsági vezérlőjének javaslatait.

Igény szerinti/igény szerinti hozzáférést is engedélyezhet Azure AD Privileged Identity Management Kiemelt szerepkörök használatával a Microsoft-szolgáltatásokhoz és az Azure Resource Manager.

3.4: Egyszeri bejelentkezés (SSO) használata az Azure Active Directoryval

Azure-azonosító CIS-azonosítók Felelősség
3.4 4.4 Ügyfél

Ahol csak lehetséges, használja az Azure Active Directory SSO-t ahelyett, hogy különálló hitelesítő adatokat konfigurálna szolgáltatásonként. Használja Azure Security Center "Hozzáférés és engedélyek kezelése" biztonsági vezérlőjének javaslatait.

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Azure-azonosító CIS-azonosítók Felelősség
3.5 4.5, 11.5, 12.11, 16.3 Ügyfél

Engedélyezze Azure AD MFA-t, és kövesse Azure Security Center identitás- és hozzáférés-kezelési javaslatokat.

3.6: Dedikált gépek (Privileged Access-munkaállomások) használata minden felügyeleti feladathoz

Azure-azonosító CIS-azonosítók Felelősség
3,6 4.6, 11.6, 12.12 Ügyfél

Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférési munkaállomások) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált MFA-val.

3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Azure-azonosító CIS-azonosítók Felelősség
3.7 4.8, 4.9 Ügyfél

Az Azure Active Directory biztonsági jelentéseivel naplókat és riasztásokat készíthet, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Azure Security Center használatával monitorozza az identitás- és hozzáférési tevékenységeket.

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Azure-azonosító CIS-azonosítók Felelősség
3,8 11,7 Ügyfél

A feltételes hozzáférés nevesített helyeivel csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.

3.9: Az Azure Active Directory használata

Azure-azonosító CIS-azonosítók Felelősség
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Ügyfél

Használja az Azure Active Directoryt központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt álló adatok erős titkosításával védi az adatokat. Azure AD sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat.

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Azure ID CIS-azonosítók Felelősség
3.10 16.9, 16.10 Ügyfél

Azure AD naplókat biztosít az elavult fiókok felderítéséhez. Emellett az Azure Identity Access Reviews használatával hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen felülvizsgálható, hogy csak a megfelelő felhasználók rendelkezzenek folyamatos hozzáféréssel.

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek monitorozása

Azure ID CIS-azonosítók Felelősség
3.11 16.12 Ügyfél

Hozzáféréssel rendelkezik Azure AD bejelentkezési tevékenység, naplózás és kockázat eseménynapló-forrásokhoz, amelyek lehetővé teszik az integrálást bármely SIEM/Monitorozási eszközzel.

Ezt a folyamatot leegyszerűsítheti, ha diagnosztikai beállításokat hoz létre az Azure Active Directory-felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztásokat a Log Analytics-munkaterületen konfigurálhatja.

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Azure ID CIS-azonosítók Felelősség
3.12 16.13 Ügyfél

A Azure AD Risk and Identity Protection funkcióival automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletekre. További vizsgálat céljából adatokat is betölthet az Azure Sentinelbe.

3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során

Azure ID CIS-azonosítók Felelősség
3.13 16 Ügyfél

Olyan támogatási helyzetekben, amikor a Microsoftnak hozzá kell férnie az ügyféladatokhoz, az Ügyfélzárolás egy felületet biztosít az ügyféladatokhoz való hozzáférésre vonatkozó kérések áttekintéséhez, jóváhagyásához vagy elutasításához.

Következő lépések