2. fázis: Megfelelő méretű engedélyek és a minimális jogosultság elve automatizálása
A Microsoft Entra Engedélykezelés műveleti referenciaútmutatójának ez a szakasza ismerteti azokat az ellenőrzéseket és műveleteket, amelyeket meg kell tenni a környezet legfontosabb megállapításainak szervizeléséhez és az igény szerinti jogosultságokkal való igény szerinti hozzáférés (JIT) implementálásához.
Engedélyek folyamatos szervizelése és megfelelő méretezése
Ajánlott tulajdonos: Információbiztonsági műveletek
Szervizelési és monitorozási feladatok meghatározása
A termék optimális működtetéséhez Microsoft Entra Engedélykezelés a legfontosabb üzemeltetési feladatok és folyamatok folyamatos végrehajtását igényli. Állítsa be a legfontosabb feladatokat és tulajdonosokat a környezet fenntartásához.
Task | Tulajdonos |
---|---|
A PCI monitorozása és karbantartása a célok alapján | Információbiztonsági műveletek |
Jelentésmegállapítások osztályozása és vizsgálata | Információbiztonsági műveletek |
Riasztások osztályozása és vizsgálata | Információbiztonsági műveletek |
Naplózási lekérdezések áttekintése | Biztonsági garancia és naplózás |
Folyamat nyomon követése és jelentése | Információbiztonsági műveletek |
A PCI csökkentése célszintre
Fontos, hogy a PCI-pontszámokat a szervezet által meghatározott PCI-küszöbértékek és szabályzatok alapján csökkentse az engedélyezési rendszerek között. Az eredmények alapján történő cselekvés segít a környezet biztonságosabbá tételében. A PCI-pontszámok csökkentésére a legnagyobb hatással bíró három megállapítás a szuper identitások, az inaktív identitások és a túlterjedt identitások.
Szuper identitások
A felügyelői identitások rendelkeznek a legmagasabb jogosultsági engedélyekkel az engedélyezési rendszerben. Ezek közé tartoznak az emberi és nem emberi identitások, például a felhasználók, a szolgáltatásnevek és a kiszolgáló nélküli függvények. A túl sok szuper identitás túlzott kockázatokat okozhat, és megnövelheti a robbanás sugarát a behatolás során.
Ajánlott eljárás: Engedélyezési rendszerenként öt vagy kevesebb felhasználói és/vagy csoportos szuper identitást ajánlunk. Használjon kis számú szuperalkalmazást, szolgáltatásnevet, kiszolgáló nélküli függvényt és szolgáltatásfiókot. Adjon egyértelmű érvelést és indoklást a használatukhoz.
Szervizelési útmutató
- A várt szuper identitásokhoz, például az infrastruktúra rendszergazdáihoz használja a ck_exclude_from_pci és ck_exclude_from_reports címkéket.
- ck_exclude_from_pci címke eltávolítja az identitást az engedélyezési rendszer PCI-pontszámának kiszámításából
- ck_exclude_from_reports címke eltávolítja az identitást az Permissions Analytics-jelentésből, ezért nem nevezik szuper identitásnak
- Más szuperidentitások engedélyeinek megfelelő méretezése és JIT-hozzáférési modell használata
- Az Engedélyek kezelése szervizelési eszközök használata a megfelelő méretre
- Igény szerinti engedély konfigurálása a JIT hozzáférési modell eléréséhez
Inaktív identitások
Ezek az identitások 90 napja nem hajtottak végre műveleteket.
Ajánlott eljárás: Az inaktív identitások engedélyeinek rendszeres megfelelő méretezése, ami potenciális támadási vektor lehet a rossz szereplők számára.
Szervizelési útmutató
Tekintse át az inaktív identitásokat a szervizelés meghatározásához:
- Ha az inaktív identitásra van szükség, alkalmazza a ck_exclude_from_reports címkét, hogy eltávolítsa az identitást az Permissions Analytics-jelentésből, így az nem inaktív identitásként lesz meghívva.
- Ha az inaktív identitásra nincs szükség a környezetben, javasoljuk, hogy vonja vissza az identitás nem használt engedélyeit, vagy rendelje hozzá az írásvédett állapotot. Megtudhatja, hogyan vonhatja vissza a magas kockázatú és a nem használt tevékenységekhez való hozzáférést, vagy hogyan rendelhet írásvédett állapotot.
Túlterjedt identitások
A túlterjedt identitások vagy a túlterjedt identitások 90 napja nem használták az engedélyeiket.
Ajánlott eljárás: Az identitások rendszeresen megfelelő méretű engedélyei csökkentik az engedélyekkel való visszaélés kockázatát, akár véletlen, akár rosszindulatú. Ez a művelet csökkenti a potenciális robbanási sugarat egy biztonsági incidens során.
Szervizelési útmutató
A túlterjeszkedő identitások szervizelése a legkevésbé kiemelt beépített szerepkörökkel vagy a megfelelő méretű egyéni szerepkörökkel.
Feljegyzés
Vegye figyelembe az egyéni szerepkörök korlátait. A legkevésbé kiemelt beépített szerepkör-megközelítést javasoljuk, ha a szervezet közel van ezeknek a korlátoknak a eléréséhez.
A legkevésbé kiemelt beépített szerepkörök esetében javasoljuk, hogy a Microsoft Entra Engedélykezelés használatával határozza meg, hogy az identitás milyen engedélyeket használ, majd rendelje hozzá az ehhez a használathoz igazodó beépített szerepkört.
A megfelelő méretű egyéni szerepkörök esetében javasoljuk, hogy a csapatok vagy csoportok által túlterjeszkedő identitásokat orvosolja:
Azonosítsa a megfelelő méretű engedélyeket igénylő csoportot vagy csoportot. Például egy webszolgáltatás rendszergazdái vagy fejlesztői.
Hozzon létre egy új, megfelelő méretű szerepkört a csapat által jelenleg használtak alapján.
Lépjen a Szervizelési>szerepkörök/Szabályzatok>szerepkör/szabályzat létrehozása elemre.
Válassza ki a felhasználókat egy csoportból vagy csoportból.
Kattintson a Tovább gombra, és a Kijelölt tevékenységek csoportban ellenőrizze az új szerepkör engedélyeit. Ezek automatikusan ki lesznek töltve a kiválasztott felhasználók/csoportok előzménytevékenysége alapján.
Szükség szerint adjon hozzá további csapatengedélyeket.
Hozza létre az új szerepkört/szabályzatot.
Az aktuális csapatengedélyek visszavonása.
Rendelje hozzá a csapattagokat a megfelelő méretű szerepkörhöz/szabályzathoz.
Feljegyzés
Javasoljuk, hogy először a nem emberi identitások, például a szolgáltatásnevek és a gépfiókok jobb méretezésével kezdje. A nem emberi identitások tevékenysége napról napra kisebb valószínűséggel változik, így a jobb méretezés által okozott esetleges szolgáltatáskimaradások kockázata alacsony.
További információ a Microsoft Entra Engedélykezelés elérhető szervizelési eszközökről:
- Szerepkör/szabályzat létrehozása
- Szerepkör/szabályzat klónozása
- Szerepkör/szabályzat módosítása
- Szerepkör/szabályzat törlése
- Szabályzatok csatolása és leválasztása AWS-identitásokhoz
- Szerepkörök és feladatok hozzáadása és eltávolítása a Microsoft Azure- és GCP-identitásokhoz
- A magas kockázatú és a nem használt tevékenységekhez való hozzáférés visszavonása, vagy írásvédett állapot hozzárendelése az Azure- és GCP-identitásokhoz
Az előrehaladás nyomon követése és a sikeresség mérése
A szervezeti célok elérése érdekében engedélyezze a folyamatok nyomon követését és az előrehaladásról való jelentéskészítést. Néhány beépített Microsoft Entra Engedélykezelés eszköz a következő:
- PCI-előzmények jelentése: Rendszeres, részletes áttekintést kaphat arról, hogyan változnak a PCI-pontszámok az engedélyezési rendszerekben és mappákban az idő függvényében. Mérje fel, hogy szervezete milyen jól teljesíti és tartja fenn a PCI-célokat. Javasoljuk, hogy ütemezzen egy ismétlődő PCI-előzményekről szóló jelentést a főbb érdekelt felek számára. Győződjön meg arról, hogy a folyamat üteme megegyezik a belső állapotértékelésekkel.
- Permissions Analytics-jelentés: Mérje a szervizelés előrehaladását, és ütemezze a jelentést, hogy elküldje a legfontosabb érdekelt feleknek, és/vagy rendszeresen exportálja a jelentés PDF-verzióját az engedélyezési rendszerekhez. Ez a gyakorlat lehetővé teszi a szervezet számára a szervizelési folyamat időbeli mérését. Ezzel a megközelítéssel például láthatja, hogy hetente hány inaktív identitás lesz megtisztítva, és milyen hatással volt a PCI-pontszámokra.
- Engedélyek kezelése irányítópult: Áttekintést kaphat az engedélyezési rendszerekről és azok PCI-pontszámáról. A legmagasabb PCI-változáslista szakaszban az engedélyezési rendszereket PCI-pontszám alapján rendezheti a szervizelési tevékenység rangsorolásához. Lásd még a PCI-változás az elmúlt hét napban annak megtekintéséhez, hogy mely engedélyezési rendszereken volt a legnagyobb a haladás, és amelyek további felülvizsgálatot igényelhetnek. Válassza ki az engedélyezési rendszereket a PCI Hőtérkép szakaszában az adott engedélyezési rendszer PCI trenddiagramjának eléréséhez. Figyelje meg, hogyan változik a PCI egy 90 napos időszakban.
Igény szerinti engedélyek üzembeítése
Ajánlott tulajdonos: Információbiztonsági architektúra
Az Igény szerinti engedélyek befejezik a JIT-t és a megfelelő hozzáférésű képet azáltal, hogy lehetővé teszik a szervezetek számára, hogy szükség esetén időhöz kötött engedélyeket adjanak a felhasználóknak.
Az igény szerinti engedélyek üzembe viteléhez hozzon létre és tartson fenn egy jól meghatározott folyamatot az igény szerinti engedélyek környezetbeli implementálásához. Az alábbi táblázat a tevékenységeket és az ajánlott tulajdonosokat ismerteti.
Task | Ajánlott tulajdonos |
---|---|
Az igény szerinti engedélyekkel használandó engedélyezési rendszerek meghatározása | Információbiztonsági architektúra |
Az igény szerinti engedélymodellhez új engedélyezési rendszerek előkészítéséhez szükséges felügyeleti folyamatok definiálása. Jelölje ki és tanítsa be a jóváhagyókat és a kérelmezőket, majd delegálja az engedélyeket. További részletekért tekintse meg a következő szakaszt. | Információbiztonsági architektúra |
A felhasználói engedélyek kezdeti hozzárendeléseinek szabványos működési modellel kapcsolatos eljárásainak frissítése, valamint az alkalmi engedélyek kérési folyamata | Információbiztonsági architektúra |
Jóváhagyók meghatározása
A jóváhagyók áttekintik az igény szerinti engedélyekre vonatkozó kéréseket, és jogosult a kérelmek jóváhagyására vagy elutasítására. Válassza ki a jóváhagyókat az igény szerinti engedélyekkel használni kívánt engedélyezési rendszerekhez. Minden engedélyezési rendszerhez legalább két jóváhagyót ajánlunk.
Microsoft Entra biztonsági csoportok létrehozása jóváhagyók számára
Az engedélyek delegálásához az IAM-csapat microsoft Entra biztonsági csoportokat hoz létre, amelyek megfeleltetik a jóváhagyóknak. Győződjön meg arról, hogy a közös tulajdonú és felelősségű jóváhagyók ugyanabban a biztonsági csoportban vannak.
Javasoljuk, hogy használja a PIM-et csoportokhoz. Ez JIT-hozzáférést biztosít a jóváhagyó engedélyekhez az igény szerinti engedélykérések jóváhagyásához vagy elutasításához.
A Microsoft Entra ID biztonsági csoportok létrehozásához lásd a csoportok és csoporttagságok kezelését.
Engedélyek hozzárendelése jóváhagyókhoz
A Microsoft Entra biztonsági csoportok létrehozása után egy engedélykezelési rendszergazda engedélyezi a biztonsági csoportoknak a jóváhagyó engedélyeiket az Engedélyek kezelése szolgáltatásban. Győződjön meg arról, hogy a biztonsági csoportok jóváhagyó engedélyeket kapnak azokhoz az engedélyezési rendszerekhez, amelyekért felelősek. További információ Microsoft Entra Engedélykezelés szerepkörökről és jogosultsági szintekről.
Kérelmező rendszergazdai biztonsági csoportjának meghatározása és létrehozása
Jelöljön ki legalább két kérelmező rendszergazdát, akik igény szerinti engedélykéréseket hoznak létre a környezet identitásai nevében. Például a gépidentitások esetében. Hozzon létre egy Microsoft Entra biztonsági csoportot ezekhez a kérelmező rendszergazdákhoz.
Javasoljuk, hogy használja a PIM-et csoportokhoz. Ez hozzáférést biztosít a JIT-nek a más felhasználók nevében történő igény szerinti engedélykérésekhez szükséges kérelmezői engedélyekhez.
A Microsoft Entra ID biztonsági csoportok létrehozásához lásd a csoportok és csoporttagságok kezelését.
Igény szerinti engedélyek kérésének engedélyezése a felhasználóknak
Az engedélykezelési rendszergazda minden engedélyezési rendszer esetében hozzáadja a kérelmezői identitásokat a kérelmező rendszergazdai biztonsági csoportjához. A kérelmezőidentitás hozzáadása lehetővé teszi, hogy igény szerinti engedélykéréseket küldjön minden olyan engedélyezési rendszerhez, amelyhez rendelkezik engedélyekkel. A kérelmező rendszergazda biztonsági csoportjának tagjai engedélyeket kérhetnek a megadott engedélyezési rendszer identitásai nevében. További információ Microsoft Entra Engedélykezelés szerepkörökről és jogosultsági szintekről.
Az igény szerinti engedélyekre vonatkozó szervezeti szabályzatok meghatározása
Az igény szerinti engedélyek beállításait úgy konfigurálhatja, hogy megfeleljen a szervezeti igényeknek. Javasoljuk, hogy hozzon létre szabályzatokat a következő célokra:
- A felhasználók számára elérhető szerepkörök és szabályzatok: Szerepkör- és szabályzatszűrők használatával adhatja meg, hogy a felhasználók mit kérhetnek. Megakadályozza, hogy a nem minősített felhasználók magas kockázatú, magas jogosultságú szerepköröket, például előfizetés-tulajdonost kérjenek.
- Kérelem időtartamának korlátai: Adja meg az igény szerinti engedélyeken keresztül beszerzett engedélyek maximális engedélyezett időtartamát. Egy olyan időtartamkorlát elfogadása, amely megfelel a felhasználók kérésének és az engedélyekhez való hozzáférés kérésének.
- Egyszeri pin-kódra (OTP) vonatkozó szabályzat: A kérések létrehozásához e-mailes OTP-kre lehet szükség a kérelmezők számára. Emellett megkövetelheti, hogy a jóváhagyók jóváhagyják vagy elutasítsák a kéréseket. Használja ezeket a konfigurációkat egy vagy mindkét forgatókönyvhöz.
- Automatikus jóváhagyások az AWS-hez: Az Igény szerinti engedélyek AWS-hez beállításként konfigurálhat bizonyos szabályzatkéréseket automatikus jóváhagyásra. Hozzáadhat például gyakori, alacsony kockázatú szabályzatokat az automatikus jóváhagyási listához, és időt takaríthat meg a kérelmezők és jóváhagyók számára.
Megtudhatja, hogyan állíthat be beállításokat a kérésekhez és az automatikus jóváhagyásokhoz.
Egyéni szerepkör-/szabályzatsablonok létrehozása a szervezet számára
A Microsoft Entra Engedélykezelés a szerepkör-/szabályzatsablonok olyan engedélykészletek, amelyeket igény szerinti engedélyekhez hozhat létre. Olyan sablonokat hozhat létre, amelyek megfeleltethetők a környezetben végrehajtott gyakori műveleteknek. A felhasználók ezután sablonokkal kérhetik le az engedélykészleteket ahelyett, hogy folyamatosan kiválasztanák az egyes engedélyeket.
Ha például a virtuális gép (VM) létrehozása gyakori feladat, hozzon létre egy szükséges engedélyekkel rendelkező virtuálisgép-sablont . A felhasználóknak nem kell tudniuk vagy manuálisan kiválasztaniuk a tevékenységhez szükséges összes engedélyt.
A szerepkör-/szabályzatsablonok létrehozásának megismeréséhez tekintse meg a szerepkörök/szabályzatok és engedélykérések megtekintését a Szervizelési irányítópulton.