Megosztás a következőn keresztül:


Security Control V2: Identity Management

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

Az Identity Management az Azure Active Directory használatával biztonságos identitás- és hozzáférés-vezérlést biztosító vezérlőket ismerteti. Ez magában foglalja az egyszeri bejelentkezést, az erős hitelesítéseket, a felügyelt identitásokat (és szolgáltatásneveket) az alkalmazásokhoz, a feltételes hozzáférést és a fiókanomáliák monitorozását.

A vonatkozó beépített Azure Policy megtekintéséhez lásd az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteit: Identity Management

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Azure-azonosító CIS-vezérlők v7.1 azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-1 16.1, 16.2, 16.4, 16.5 IA-2, IA-8, AC-2, AC-3

Az Azure Active Directory (Azure AD) az Azure alapértelmezett identitás- és hozzáférés-kezelési szolgáltatása. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:

  • a Microsoft felhőalapú erőforrásaiban, például az Azure Portalon, az Azure Storage-ban, az Azure-beli (Linux és Windows rendszerű) virtuális gépeken, az Azure Key Vaultban, illetve a PaaS- és az SaaS-alkalmazásokban;

  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tételének kiemelt fontosságúnak kell lennie a szervezet felhőbiztonsági gyakorlatában. Azure AD egy identitásbiztonsági pontszámot biztosít, amely segít felmérni az identitásbiztonsági állapotot a Microsoft ajánlott eljárásokkal kapcsolatos ajánlásaihoz képest. A pontszám segít felmérni, hogy a használt konfiguráció milyen mértékben felel meg az ajánlott eljárásokkal kapcsolatos javaslatoknak, és javíthatja a cég vagy szervezet biztonsági állapotát.

Megjegyzés: Az Azure AD támogatja a külső identitásszolgáltatókat, így a Microsoft-fiók nélküli felhasználók is bejelentkezhetnek az alkalmazásokba és erőforrásokba egy külső identitással.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Azure-azonosító CIS-vezérlők v7.1 azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-2 N/A AC-2, AC-3, IA-2, IA-4, IA-9

Nem emberi fiókok, például szolgáltatások vagy automatizálás esetén az Azure-beli felügyelt identitások használata ahelyett, hogy hatékonyabb emberi fiókot hoz létre az erőforrások eléréséhez vagy a kód végrehajtásához. Az Azure-beli felügyelt identitások hitelesíthetők Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítést előre meghatározott hozzáférési jogosultsági szabályok teszik lehetővé, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem kódolt hitelesítő adatokat.

A felügyelt identitásokat nem támogató szolgáltatások esetében a Azure AD használatával hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrásszinten. Javasoljuk, hogy konfigurálja a szolgáltatásneveket a tanúsítvány hitelesítő adataival, és térjen vissza az ügyfél titkos kulcsaihoz. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal együtt, így a futtatókörnyezet (például egy Azure-függvény) lekérheti a hitelesítő adatokat a kulcstartóból.

Az Azure Key Vault használata a rendszerbiztonsági tagok regisztrációhoz: authentication#authorize-a-security-principal-to-access-key-vault

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Azure-azonosító CIS-vezérlők v7.1 azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-3 4.4 IA-2, IA-4

Azure AD identitás- és hozzáférés-kezelést biztosít az Azure-erőforrásokhoz, a felhőalkalmazásokhoz és a helyszíni alkalmazásokhoz. Az identitás- és hozzáférés-kezelés a vállalati identitásokra, például az alkalmazottakra, valamint a külső identitásokra, például partnerekre, szállítókra és beszállítókra vonatkozik.

Azure AD egyszeri bejelentkezés (SSO) használatával kezelheti és biztonságossá teheti a szervezet adataihoz és erőforrásaihoz való hozzáférést a helyszínen és a felhőben. Csatlakoztassa az összes felhasználót, alkalmazást és eszközt a Azure AD a zökkenőmentes, biztonságos hozzáféréshez, valamint a jobb láthatósághoz és vezérléshez.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-4: Erős hitelesítési vezérlők használata minden Azure Active Directory-alapú hozzáféréshez

Azure-azonosító CIS-vezérlők v7.1 azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-4 4.2, 4.4 4.5, 11.5, 12.11, 16.3 AC-2, AC-3, IA-2, IA-4

Azure AD támogatja az erős hitelesítési vezérlőket többtényezős hitelesítéssel (MFA) és erős jelszó nélküli módszerekkel.

  • Többtényezős hitelesítés: Engedélyezze Azure AD MFA-t, és kövesse Azure Security Center "MFA engedélyezése" biztonsági vezérlőjének ajánlásait. Az MFA kényszeríthető az összes felhasználóra, kiválaszthat felhasználókat vagy felhasználónkénti szinten a bejelentkezési feltételek és kockázati tényezők alapján.

  • Jelszó nélküli hitelesítés: Három jelszó nélküli hitelesítési lehetőség érhető el: Vállalati Windows Hello, Microsoft Authenticator alkalmazás és helyszíni hitelesítési módszerek, például intelligens kártyák.

A rendszergazda és a kiemelt jogosultsággal rendelkező felhasználók esetében győződjön meg arról, hogy az erős hitelesítési módszer legmagasabb szintjét használja, majd a megfelelő erős hitelesítési szabályzatot más felhasználók számára is bevezeti.

Ha az örökölt jelszóalapú hitelesítést továbbra is Azure AD hitelesítéshez használják, vegye figyelembe, hogy a csak felhőalapú fiókok (közvetlenül az Azure-ban létrehozott felhasználói fiókok) alapértelmezett alapszintű jelszóházirenddel rendelkeznek. A hibrid fiókok (helyi Active Directory származó felhasználói fiókok) pedig a helyszíni jelszóházirendeket követik. Jelszóalapú hitelesítés használatakor a Azure AD olyan jelszóvédelmi képességet biztosít, amely megakadályozza, hogy a felhasználók könnyen kitalálható jelszavakat állítsanak be. A Microsoft a telemetriai adatok alapján frissített tiltott jelszavak globális listáját biztosítja, és az ügyfelek igényeik (például márkajelzés, kulturális hivatkozások stb.) alapján bővíthetik a listát. Ez a jelszóvédelem csak felhőalapú és hibrid fiókokhoz használható.

Megjegyzés: A jelszóalapú hitelesítés önmagában érzékeny a népszerű támadási módszerekre. A nagyobb biztonság érdekében használjon erős hitelesítést, például MFA-t és erős jelszóházirendet. Az alapértelmezett jelszóval rendelkező külső alkalmazások és Marketplace-szolgáltatások esetében a kezdeti szolgáltatásbeállítás során módosítania kell azokat.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-5: Fiókok rendellenességeinek monitorozása, és riasztás azok alapján

Azure ID CIS-vezérlők 7.1-ös verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-5 4.8, 4.9, 16.12, 16.13 AC-2, AC-3, AC-7, AU-6

Azure AD a következő adatforrásokat biztosítja:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.

  • Naplók – Naplókon keresztüli nyomon követhetőséget biztosít a Azure AD különböző funkcióin keresztül végrehajtott összes módosításhoz. A naplózott változások naplózási naplói közé tartoznak például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.

  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.

  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

Ezek az adatforrások integrálhatók az Azure Monitor, az Azure Sentinel vagy a külső SIEM-rendszerekkel.

Azure Security Center riasztást is kaphat bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról és az előfizetés elavult fiókjairól.

Microsoft Defender for Identity egy biztonsági megoldás, amely helyi Active Directory jeleket használhat a speciális fenyegetések, a feltört identitások és a rosszindulatú insider műveletek azonosítására, észlelésére és kivizsgálására.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-6: Azure-erőforrásokhoz való hozzáférés korlátozása feltételek alapján

Azure ID CIS-vezérlők 7.1-ös verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-6 N/A AC-2, AC-3

Használja Azure AD feltételes hozzáférést a felhasználó által megadott feltételek alapján részletesebb hozzáférés-vezérléshez, például bizonyos IP-tartományokból származó felhasználói bejelentkezések megköveteléséhez az MFA használatához. A részletes hitelesítési munkamenet-kezelés Azure AD feltételes hozzáférési szabályzattal is használható a különböző használati esetekhez.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Azure ID CIS-vezérlők 7.1-ös verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-7 18.1, 18.7 IA-5

Implementálja az Azure DevOps Credential Scannert a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner arra is ösztönzi a felderített hitelesítő adatokat, hogy biztonságosabb helyekre, például az Azure Key Vault.

A GitHub esetében a natív titkos kód beolvasási funkciójával azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáját a kódban.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

IM-8: Biztonságos felhasználói hozzáférés az örökölt alkalmazásokhoz

Azure ID CIS-vezérlők 7.1-ös verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
IM-8 14.6 AC-2, AC-3, SC-11

Győződjön meg arról, hogy modern hozzáférés-vezérléssel és munkamenet-figyeléssel rendelkezik az örökölt alkalmazásokhoz, valamint az általuk tárolt és feldolgozott adatokhoz. Bár a VPN-eket gyakran használják a régi alkalmazások eléréséhez, gyakran csak alapszintű hozzáférés-vezérléssel és korlátozott munkamenet-figyeléssel rendelkeznek.

Azure AD alkalmazásproxy lehetővé teszi az örökölt helyszíni alkalmazások közzétételét az egyszeri bejelentkezéssel (SSO) rendelkező távoli felhasználók számára, miközben explicit módon érvényesíti a távoli felhasználók és az eszközök megbízhatóságát Azure AD feltételes hozzáféréssel.

Másik lehetőségként a Microsoft Defender for Cloud Apps egy felhőalapú hozzáférés-biztonsági közvetítő (CASB) szolgáltatás, amely vezérlőket biztosít a felhasználó alkalmazás-munkameneteinek figyeléséhez és a blokkolási műveletekhez (az örökölt helyszíni alkalmazásokhoz és a felhőszoftverek szolgáltatásként nyújtott (SaaS-) alkalmazásokhoz).

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):