Biztonságvezérlés: Identitás és Access Control
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
Az identitás- és hozzáférés-kezelési javaslatok az identitásalapú hozzáférés-vezérléssel, a rendszergazdai hozzáférés zárolásával, az identitással kapcsolatos események riasztásával, a fiók rendellenes viselkedésével és a szerepköralapú hozzáférés-vezérléssel kapcsolatos problémák kezelésére összpontosítanak.
3.1: Felügyeleti fiókok leltárának karbantartása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3,1 | 4.1 | Ügyfél |
Azure AD beépített szerepkörök vannak, amelyeket explicit módon kell hozzárendelni, és lekérdezhetők. A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait képező fiókok felderítéséhez.
3.2: Szükség esetén módosítsa az alapértelmezett jelszavakat
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3.2 | 4.2 | Ügyfél |
Azure AD nem rendelkezik az alapértelmezett jelszavak fogalmával. A jelszót igénylő egyéb Azure-erőforrások összetettségi követelményekkel és minimális jelszóhosszsal rendelkező jelszót kényszerítenek ki, amely a szolgáltatástól függően eltérő. Ön felelős az alapértelmezett jelszavakat használó külső alkalmazásokért és marketplace-szolgáltatásokért.
3.3: Dedikált rendszergazdai fiókok használata
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3.3 | 4.3 | Ügyfél |
Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatára. A rendszergazdai fiókok számának figyeléséhez használja Azure Security Center "Hozzáférés és engedélyek kezelése" biztonsági vezérlőjének javaslatait.
Igény szerinti/igény szerinti hozzáférést is engedélyezhet Azure AD Privileged Identity Management Kiemelt szerepkörök használatával a Microsoft-szolgáltatásokhoz és az Azure Resource Manager.
3.4: Egyszeri bejelentkezés (SSO) használata az Azure Active Directoryval
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3.4 | 4.4 | Ügyfél |
Ahol csak lehetséges, használja az Azure Active Directory SSO-t ahelyett, hogy különálló hitelesítő adatokat konfigurálna szolgáltatásonként. Használja Azure Security Center "Hozzáférés és engedélyek kezelése" biztonsági vezérlőjének javaslatait.
3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3.5 | 4.5, 11.5, 12.11, 16.3 | Ügyfél |
Engedélyezze Azure AD MFA-t, és kövesse Azure Security Center identitás- és hozzáférés-kezelési javaslatokat.
3.6: Dedikált gépek (Privileged Access-munkaállomások) használata minden felügyeleti feladathoz
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3,6 | 4.6, 11.6, 12.12 | Ügyfél |
Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférési munkaállomások) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált MFA-val.
3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3.7 | 4.8, 4.9 | Ügyfél |
Az Azure Active Directory biztonsági jelentéseivel naplókat és riasztásokat készíthet, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Azure Security Center használatával monitorozza az identitás- és hozzáférési tevékenységeket.
A kockázatos tevékenységek miatt megjelölt Azure AD-felhasználók azonosítása
A felhasználók identitási és hozzáférési tevékenységeinek monitorozása az Azure Security Centerben
3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3,8 | 11,7 | Ügyfél |
A feltételes hozzáférés nevesített helyeivel csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.
3.9: Az Azure Active Directory használata
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Ügyfél |
Használja az Azure Active Directoryt központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt álló adatok erős titkosításával védi az adatokat. Azure AD sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat.
3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
3.10 | 16.9, 16.10 | Ügyfél |
Azure AD naplókat biztosít az elavult fiókok felderítéséhez. Emellett az Azure Identity Access Reviews használatával hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen felülvizsgálható, hogy csak a megfelelő felhasználók rendelkezzenek folyamatos hozzáféréssel.
3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek monitorozása
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
3.11 | 16.12 | Ügyfél |
Hozzáféréssel rendelkezik Azure AD bejelentkezési tevékenység, naplózás és kockázat eseménynapló-forrásokhoz, amelyek lehetővé teszik az integrálást bármely SIEM/Monitorozási eszközzel.
Ezt a folyamatot leegyszerűsítheti, ha diagnosztikai beállításokat hoz létre az Azure Active Directory-felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztásokat a Log Analytics-munkaterületen konfigurálhatja.
3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
3.12 | 16.13 | Ügyfél |
A Azure AD Risk and Identity Protection funkcióival automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletekre. További vizsgálat céljából adatokat is betölthet az Azure Sentinelbe.
3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
3.13 | 16 | Ügyfél |
Olyan támogatási helyzetekben, amikor a Microsoftnak hozzá kell férnie az ügyféladatokhoz, az Ügyfélzárolás egy felületet biztosít az ügyféladatokhoz való hozzáférésre vonatkozó kérések áttekintéséhez, jóváhagyásához vagy elutasításához.
Következő lépések
- Lásd a következő biztonsági vezérlőt: Adatvédelem