Controllo sicurezza: accesso con privilegi
L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse, inclusi un intervallo di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e inavvertitamente.
PA-1: Separare e limitare utenti con privilegi elevati/amministrativi
CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
---|---|---|
5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principio di sicurezza: assicurarsi di identificare tutti gli account di impatto aziendale elevato. Limitare il numero di account con privilegi/amministratori nel piano di controllo del cloud, piano di gestione e piano dati/carico di lavoro.
Linee guida di Azure: è necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto alle risorse ospitate di Azure.
Azure Active Directory (Azure AD) è il servizio di gestione delle identità e degli accessi predefinito di Azure. I ruoli predefiniti più critici in Azure AD sono amministratore globale e amministratore ruolo con privilegi, perché gli utenti assegnati a questi due ruoli possono delegare i ruoli di amministratore. Con questi privilegi, gli utenti possono leggere o indirettamente e modificare ogni risorsa nell'ambiente di Azure:
- Amministratore globale/Amministratore aziendale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure AD e ai servizi che usano le identità di Azure AD.
- Amministratore ruolo con privilegi: gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure AD e all'interno di Azure AD Privileged Identity Management (PIM). Inoltre, questo ruolo consente la gestione di tutti gli aspetti di PIM e unità amministrative.
Al di fuori di Azure AD, Azure ha ruoli predefiniti che possono essere critici per l'accesso con privilegi a livello di risorsa.
- Proprietario: concede l'accesso completo per gestire tutte le risorse, inclusa la possibilità di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure.
- Collaboratore: concede l'accesso completo per gestire tutte le risorse, ma non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure, gestire le assegnazioni in Azure Blueprints o condividere le raccolte di immagini.
- Amministratore accesso utenti: consente di gestire l'accesso degli utenti alle risorse di Azure.
Nota: è possibile che siano presenti altri ruoli critici che devono essere regolati se si usano ruoli personalizzati nel livello di Azure AD o a livello di risorsa con determinate autorizzazioni con privilegi assegnati.
Inoltre, gli utenti con i tre ruoli seguenti nel portale di Azure Enterprise Agreement (EA) devono essere limitati perché possono essere usati per gestire direttamente o indirettamente le sottoscrizioni di Azure.
- Proprietario dell'account: gli utenti con questo ruolo possono gestire le sottoscrizioni, inclusa la creazione e l'eliminazione delle sottoscrizioni.
- Amministratore organizzazione: gli utenti assegnati a questo ruolo possono gestire gli utenti del portale (EA).
- Amministratore reparto: gli utenti assegnati a questo ruolo possono modificare i proprietari dell'account all'interno del reparto.
Infine, assicurarsi di limitare anche gli account con privilegi in altri sistemi di gestione, identità e sicurezza che dispongono dell'accesso amministrativo agli asset critici dell'azienda, ad esempio controller di Dominio di Active Directory, strumenti di sicurezza e strumenti di gestione dei sistemi con agenti installati nei sistemi business-critical. Gli utenti malintenzionati che compromessano questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset critici aziendali.
Implementazione di Azure e contesto aggiuntivo:
- Autorizzazioni per il ruolo di amministratore in Azure AD
- Usare gli avvisi di sicurezza di Azure Privileged Identity Management
- Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD
Linee guida AWS: è necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto alle risorse ospitate in AWS.
Gli utenti con privilegi/amministratori devono essere protetti includono:
- Utente radice: l'utente radice è l'account con privilegi di livello più alto nell'account AWS. Gli account radice devono essere estremamente limitati e usati solo in situazioni di emergenza. Fare riferimento ai controlli di accesso di emergenza in PA-5 (Installazione dell'accesso di emergenza).
- Identità IAM (utenti, gruppi, ruoli) con i criteri di autorizzazione con privilegi: le identità IAM assegnate con criteri di autorizzazione, ad esempio AdministratorAccess, possono avere accesso completo ai servizi e alle risorse AWS.
Se si usa Azure Active Directory (Azure AD) come provider di identità per AWS, vedere le indicazioni di Azure per la gestione dei ruoli con privilegi in Azure AD.
Assicurarsi inoltre di limitare gli account con privilegi in altri sistemi di gestione, identità e sicurezza che dispongono dell'accesso amministrativo agli asset critici aziendali, ad esempio AWS Cognito, strumenti di sicurezza e strumenti di gestione dei sistemi con agenti installati nei sistemi business critical. Gli utenti malintenzionati che compromessano questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset critici aziendali.
Implementazione di AWS e contesto aggiuntivo:
Linee guida GCP: è necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto alle risorse ospitate da GCP.
Il ruolo predefinito più critico in Google Cloud è l'amministratore super. L'amministratore super può eseguire tutte le attività nella console Amministrazione e dispone di autorizzazioni amministrative irrevocabili. È consigliabile usare l'account amministratore super per l'amministrazione giornaliera.
I ruoli di base sono ruoli legacy altamente permissivi e si consiglia di non usare ruoli di base negli ambienti di produzione perché concede l'accesso ampio in tutte le risorse di Google Cloud. I ruoli di base includono i ruoli Visualizzatore, Editor e Proprietario. È invece consigliabile usare ruoli predefiniti o personalizzati. I ruoli predefiniti con privilegi importanti includono:
- Amministratore organizzazione: gli utenti con questo ruolo possono gestire i criteri IAM e visualizzare i criteri dell'organizzazione per organizzazioni, cartelle e progetti.
- Amministratore criteri organizzazione: gli utenti con questo ruolo possono definire le restrizioni che un'organizzazione vuole inserire nella configurazione delle risorse cloud impostando Criteri organizzazione.
- Amministratore ruolo organizzazione: gli utenti con questo ruolo possono amministrare tutti i ruoli personalizzati nell'organizzazione e nei progetti seguenti.
- Sicurezza Amministrazione: gli utenti con questo ruolo possono ottenere e impostare qualsiasi criterio IAM.
- Nega Amministrazione: gli utenti con questo ruolo hanno le autorizzazioni per leggere e modificare i criteri di negazione IAM.
Inoltre, alcuni ruoli predefiniti contengono autorizzazioni IAM con privilegi a livello di organizzazione, cartella e progetto. Queste autorizzazioni IAM includono:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Implementare inoltre la separazione dei compiti assegnando ruoli agli account per progetti diversi o sfruttando l'autorizzazione binaria con il motore Google Kubernetes.
Infine, assicurarsi di limitare anche gli account con privilegi in altri sistemi di gestione, identità e sicurezza che dispongono dell'accesso amministrativo agli asset critici dell'azienda, ad esempio DNS cloud, strumenti di sicurezza e strumenti di gestione dei sistemi con agenti installati nei sistemi business critical. Gli utenti malintenzionati che compromessano questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset critici aziendali.
Implementazione di GCP e contesto aggiuntivo:
- Procedure consigliate per l'account amministratore con privilegi avanzati
- Informazioni di riferimento su ruoli di base e predefiniti di IAM
- Separazione dei ruoli di gestione delle identità e dell'identità
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Architettura di sicurezza
- Gestione conformità della sicurezza
- Operazioni per la sicurezza
PA-2: evitare l'accesso permanente per gli account utente e le autorizzazioni
CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
---|---|---|
N/D | AC-2 | N/D |
Principio di sicurezza: invece di creare privilegi permanenti, usare il meccanismo JIT (Just-In-Time) per assegnare l'accesso con privilegi ai diversi livelli di risorse.
Linee guida di Azure: abilitare l'accesso con privilegi JIT (Just-In-Time) alle risorse di Azure e Azure AD usando Azure AD Privileged Identity Management (PIM). JIT è un modello in cui gli utenti ricevono autorizzazioni temporanee per eseguire attività con privilegi, che impediscono agli utenti malintenzionati o non autorizzati di ottenere l'accesso dopo la scadenza delle autorizzazioni. L'accesso viene concesso solo quando l'utente ne ha necessità. PIM può inoltre generare avvisi di sicurezza in caso di attività sospette o non sicure nell'organizzazione Azure AD.
Limitare il traffico in ingresso alle porte di gestione delle macchine virtuali sensibili con Microsoft Defender per la funzionalità JIT (Just-In-Time) di Cloud. Ciò garantisce che l'accesso con privilegi alla macchina virtuale venga concesso solo quando gli utenti ne hanno bisogno.
Implementazione di Azure e contesto aggiuntivo:
- Distribuzione di accesso just-in-time di Azure PIM
- Informazioni sull'accesso JIT alle macchine virtuali
Indicazioni su AWS: usare AWS Security Token Service (AWS STS) per creare credenziali di sicurezza temporanee per accedere alle risorse tramite l'API AWS. Le credenziali di sicurezza temporanee funzionano quasi in modo identico alle credenziali della chiave di accesso a lungo termine che gli utenti IAM possono usare, con le differenze seguenti:
- Le credenziali di sicurezza temporanee hanno una durata breve, da minuti a ore.
- Le credenziali di sicurezza temporanee non vengono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto.
Implementazione di AWS e contesto aggiuntivo:
Linee guida per GCP: usare l'accesso condizionale IAM per creare l'accesso temporaneo alle risorse usando associazioni di ruolo condizionale nei criteri consentiti, concessi agli utenti di Cloud Identity. Configurare gli attributi di data/ora per applicare controlli basati sul tempo per l'accesso a una determinata risorsa. L'accesso temporaneo può avere una durata a breve termine, da minuti a ore o può essere concesso in base a giorni o ore della settimana.
Implementazione GCP e contesto aggiuntivo:
- Panoramica delle condizioni IAM
- Configurare l'accesso temporaneo
- Panoramica di Access Context Manager
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Architettura di sicurezza
- Gestione della conformità della sicurezza
- Operazioni per la sicurezza
PA-3: Gestire il ciclo di vita delle identità e dei diritti
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principio di sicurezza: usare un processo automatizzato o un controllo tecnico per gestire il ciclo di vita dell'identità e dell'accesso, tra cui la richiesta, la revisione, l'approvazione, il provisioning e il deprovisioning.
Linee guida di Azure: usare le funzionalità di gestione entitlement di Azure AD per automatizzare i flussi di lavoro delle richieste di accesso (per i gruppi di risorse di Azure). Ciò consente ai flussi di lavoro per i gruppi di risorse di Azure di gestire le assegnazioni di accesso, le verifiche, la scadenza e l'approvazione duale o in più fasi.
Usare Gestione autorizzazioni per rilevare, ridimensionare automaticamente le dimensioni corrette e monitorare continuamente le autorizzazioni inutilizzate ed eccessive assegnate alle identità utente e del carico di lavoro tra infrastrutture multi-cloud.
Implementazione di Azure e contesto aggiuntivo:
- Che cosa sono le verifiche di accesso di Azure AD
- Che cos'è la gestione di entitlement di Azure AD?
- Panoramica della gestione delle autorizzazioni
Indicazioni su AWS: usare AWS Access Advisor per eseguire il pull dei log di accesso per gli account utente e i diritti per le risorse. Creare un flusso di lavoro manuale o automatizzato per l'integrazione con AWS IAM per gestire assegnazioni, verifiche ed eliminazioni di accesso.
Nota: in AWS Marketplace sono disponibili soluzioni di terze parti per la gestione del ciclo di vita delle identità e dei diritti.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: usare i log di controllo cloud di Google per eseguire il pull delle attività di amministrazione e dei log di controllo di accesso ai dati per gli account utente e i diritti per le risorse. Creare un flusso di lavoro manuale o automatizzato per l'integrazione con GCP IAM per gestire assegnazioni, revisioni ed eliminazioni di accesso.
Usare Google Cloud Identity Premium per fornire servizi di gestione delle identità e dei dispositivi di base. Questi servizi includono funzionalità come il provisioning utenti automatizzato, l'inserimento nell'elenco elementi consentiti delle app e la gestione automatica dei dispositivi mobili.
Nota: in Google Cloud Marketplace sono disponibili soluzioni di terze parti per la gestione del ciclo di vita delle identità e dei diritti.
Implementazione GCP e contesto aggiuntivo:
- Advisor per l'accesso IAM
- Cloud Identity and Atlassian Access: Gestione del ciclo di vita degli utenti nell'organizzazione
- Concessione e revoca dell'accesso all'API
- Revocare l'accesso a un progetto Google Cloud
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
PA-4: Rivedere e riconciliare regolarmente l'accesso degli utenti
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principio di sicurezza: eseguire una revisione regolare dei diritti degli account con privilegi. Assicurarsi che l'accesso concesso agli account sia valido per l'amministrazione del piano di controllo, del piano di gestione e dei carichi di lavoro.
Indicazioni su Azure: esaminare tutti gli account con privilegi e i diritti di accesso in Azure, inclusi tenant di Azure, servizi di Azure, vm/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.
Usare le verifiche di accesso di Azure AD per esaminare i ruoli di Azure AD, i ruoli di accesso alle risorse di Azure, le appartenenze ai gruppi e l'accesso alle applicazioni aziendali. La creazione di report di Azure AD può anche fornire log per individuare account non aggiornati o account che non sono stati usati per un determinato periodo di tempo.
Inoltre, è possibile configurare Azure AD Privileged Identity Management per avvisare quando viene creato un numero eccessivo di account amministratore per un ruolo specifico e identificare gli account amministratore non aggiornati o configurati in modo non corretto.
Implementazione di Azure e contesto aggiuntivo:
- Creare una verifica di accesso dei ruoli delle risorse di Azure in Privileged Identity Management (PIM)
- Come usare le verifiche di accesso e delle identità di Azure AD
Indicazioni su AWS: esaminare tutti gli account con privilegi e i diritti di accesso in AWS, inclusi account AWS, servizi, VM/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.
Usare IAM Access Advisor, Access Analyzer e Report credenziali per esaminare i ruoli di accesso alle risorse, le appartenenze ai gruppi e l'accesso alle applicazioni aziendali. IAM Access Analyzer e i report delle credenziali possono anche fornire log per individuare account non aggiornati o account che non sono stati usati per un determinato periodo di tempo.
Se si usa Azure Active Directory (Azure AD) come provider di identità per AWS, usare la verifica di accesso di Azure AD per esaminare periodicamente gli account con privilegi e i diritti di accesso.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: esaminare tutti gli account con privilegi e i diritti di accesso in Google Cloud, inclusi account di identità cloud, servizi, vm/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.
Usare i log di controllo cloud e l'analizzatore criteri per esaminare i ruoli di accesso alle risorse e le appartenenze ai gruppi. Creare query di analisi in Policy Analyzer per determinare quali entità possono accedere a risorse specifiche.
Se si usa Azure Active Directory (Azure AD) come provider di identità per Google Cloud, usare la verifica di accesso di Azure AD per esaminare periodicamente gli account con privilegi e i diritti di accesso.
Inoltre, è possibile configurare Azure AD Privileged Identity Management per avvisare quando viene creato un numero eccessivo di account amministratore per un ruolo specifico e identificare gli account amministratore non aggiornati o configurati in modo non corretto.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
PA-5: Configurare l'accesso di emergenza
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
N/D | AC-2 | N/D |
Principio di sicurezza: configurare l'accesso di emergenza per assicurarsi di non essere accidentalmente bloccato dall'infrastruttura cloud critica (ad esempio il sistema di gestione delle identità e degli accessi) in caso di emergenza.
Gli account di accesso di emergenza devono essere usati raramente e possono essere estremamente dannosi per l'organizzazione se compromessi, ma la loro disponibilità per l'organizzazione è importante anche per alcuni scenari quando sono necessari.
Linee guida di Azure: per evitare il blocco accidentale dell'organizzazione di Azure AD, configurare un account di accesso di emergenza (ad esempio, un account con ruolo di amministratore globale) per l'accesso quando non è possibile usare gli account amministrativi normali. Gli account di accesso di emergenza sono in genere account con privilegi elevati e non devono essere assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati agli scenari di emergenza o "break glass", in cui non è possibile usare gli account amministrativi normali.
È necessario assicurarsi che le credenziali (ad esempio password, certificato o smart card) per gli account di accesso di emergenza vengano conservate in modo sicuro e siano note solo a utenti autorizzati a usarle solo in caso di emergenza. È anche possibile usare controlli aggiuntivi, ad esempio la suddivisione delle credenziali in due parti e la possibilità di separare le persone, per migliorare la sicurezza di questo processo. È anche consigliabile monitorare i log di accesso e di controllo per assicurarsi che gli account di accesso di emergenza vengano usati solo quando sono autorizzati.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: gli account AWS "root" non devono essere usati per le normali attività amministrative. Poiché l'account "radice" è altamente privilegiato, non deve essere assegnato a utenti specifici. L'uso deve essere limitato solo agli scenari di emergenza o "break glass" quando non è possibile usare gli account amministrativi normali. Per le attività amministrative quotidiane, è necessario usare account utente con privilegi separati e assegnare le autorizzazioni appropriate tramite i ruoli IAM.
È anche necessario assicurarsi che le credenziali (ad esempio password, token di autenticazione a più fattori e chiavi di accesso) per gli account radice siano mantenute sicure e note solo agli utenti autorizzati a usarle solo in caso di emergenza. L'autenticazione a più fattori deve essere abilitata per l'account radice ed è anche possibile usare controlli aggiuntivi, ad esempio doppio controllo (ad esempio, suddividendo le credenziali in due parti e assegnandole a persone separate) per migliorare la sicurezza di questo processo.
È anche consigliabile monitorare i log di accesso e di controllo in CloudTrail o EventBridge per assicurarsi che gli account di accesso radice vengano usati solo se autorizzati.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: gli account amministratore con privilegi avanzati di Google Cloud Identity non devono essere usati per le normali attività amministrative. Poiché l'account con privilegi avanzati è altamente privilegiato, non deve essere assegnato a utenti specifici. L'uso deve essere limitato solo agli scenari di emergenza o "break glass" quando non è possibile usare gli account amministrativi normali. Per le attività amministrative quotidiane, è necessario usare account utente con privilegi separati e assegnare le autorizzazioni appropriate tramite i ruoli IAM.
È anche necessario assicurarsi che le credenziali (ad esempio password, token di autenticazione a più fattori e chiavi di accesso) per gli account con privilegi avanzati vengano mantenute sicure e note solo agli utenti autorizzati a usarle solo in caso di emergenza. L'autenticazione a più fattori deve essere abilitata per l'account amministratore con privilegi avanzati ed è anche possibile usare controlli aggiuntivi, ad esempio doppio controllo ,ad esempio suddividendo le credenziali in due parti e assegnandole a persone separate, per migliorare la sicurezza di questo processo.
È anche consigliabile monitorare i log di accesso e di controllo nei log di controllo cloud oppure eseguire query su Policy Analyzer per assicurarsi che gli account con privilegi avanzati vengano usati solo quando autorizzati.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
- Operazioni di sicurezza (secOps)
PA-6: Usare le workstation con accesso con privilegi
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Principio di sicurezza: le workstation protette e isolate sono fondamentali per la sicurezza dei ruoli sensibili, ad esempio amministratore, sviluppatore e operatore di servizio critico.
Linee guida di Azure: usare Azure Active Directory, Microsoft Defender e/o Microsoft Intune per distribuire workstation con accesso con privilegi (PAW) in locale o in Azure per le attività con privilegi. La workstation PAW deve essere gestita centralmente per applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.
È anche possibile usare Azure Bastion, un servizio PaaS completamente gestito dalla piattaforma di cui è possibile eseguire il provisioning all'interno della rete virtuale. Azure Bastion consente la connettività RDP/SSH alle macchine virtuali direttamente dal portale di Azure usando un Web browser.
Implementazione di Azure e contesto aggiuntivo:
- Informazioni sulle workstation con accesso con privilegi
- Distribuzione delle workstation con accesso con privilegi
Indicazioni su AWS: usare Session Manager in AWS Systems Manager per creare un percorso di accesso (una sessione di connessione) all'istanza EC2 o a una sessione del browser alle risorse AWS per le attività con privilegi. Session Manager consente la connettività RDP, SSH e HTTPS agli host di destinazione tramite port forwarding.
È anche possibile scegliere di distribuire una workstation con accesso con privilegi (PAW) gestita centralmente tramite Azure Active Directory, Microsoft Defender e/o Microsoft Intune. La gestione centrale deve applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: usare Identity-Aware Proxy (IAP) Desktop per creare un percorso di accesso (una sessione di connessione) all'istanza di calcolo per le attività con privilegi. IAP Desktop consente la connettività RDP e SSH agli host di destinazione tramite port forwarding. Inoltre, le istanze di calcolo Linux con connessione esterna possono essere connesse tramite un browser SSH tramite la console di Google Cloud.
È anche possibile scegliere di distribuire una workstation con accesso con privilegi (PAW) gestita centralmente tramite Google Workspace Endpoint Management o soluzioni Microsoft (Azure Active Directory, Microsoft Defender e/o Microsoft Intune). La gestione centrale deve applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.
È anche possibile creare host bastion per l'accesso sicuro agli ambienti attendibili con parametri definiti.
Implementazione GCP e contesto aggiuntivo:
- Connessione sicura alle istanze di macchine virtuali
- Connettersi alle macchine virtuali Linux usando Identity-Aware Proxy
- Connettersi alle macchine virtuali usando un bastion host
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevSecOps
- Operazioni di sicurezza (secOps)
- Gestione delle identità e delle chiavi
PA-7: seguire il principio di amministrazione sufficiente (privilegi minimi)
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principio di sicurezza: seguire il principio di amministrazione (privilegi minimi) sufficiente per gestire le autorizzazioni a livello granulare. Usare funzionalità come il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse tramite assegnazioni di ruolo.
Linee guida di Azure: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite le assegnazioni di ruolo. Tramite il controllo degli accessi in base al ruolo è possibile assegnare ruoli a utenti, gruppi, entità servizio e identità gestite. Esistono ruoli predefiniti per determinate risorse e questi ruoli possono essere sottoposti a inventario o sottoposti a query tramite strumenti come l'interfaccia della riga di comando di Azure, Azure PowerShell e l'portale di Azure.
I privilegi assegnati alle risorse tramite il controllo degli accessi in base al ruolo di Azure devono essere sempre limitati ai requisiti richiesti dai ruoli. I privilegi limitati completano l'approccio JIT (Just-In-Time) di Azure AD Privileged Identity Management (PIM) e questi privilegi devono essere esaminati periodicamente. Se necessario, è anche possibile usare PIM per definire un'assegnazione associata a tempo, ovvero una condizione in un'assegnazione di ruolo in cui un utente può attivare il ruolo solo all'interno delle date di inizio e di fine specificate.
Nota: usare i ruoli predefiniti di Azure per allocare le autorizzazioni e creare ruoli personalizzati solo quando necessario.
Implementazione di Azure e contesto aggiuntivo:
- Che cos'è il controllo degli accessi in base al ruolo di Azure
- Come configurare il controllo degli accessi in base al ruolo di Azure
- Come usare le verifiche di accesso e delle identità di Azure AD
- Azure AD Privileged Identity Management - Assegnazione associata al tempo
Indicazioni su AWS: usare i criteri AWS per gestire l'accesso alle risorse AWS. Esistono sei tipi di criteri: criteri basati su identità, criteri basati sulle risorse, limiti delle autorizzazioni, criteri di controllo del servizio delle organizzazioni AWS (SCP), Controllo di accesso List e criteri di sessione. È possibile usare i criteri gestiti di AWS per i casi d'uso comuni delle autorizzazioni. Tuttavia, è necessario tenere presente che i criteri gestiti possono contenere autorizzazioni eccessive che non devono essere assegnate agli utenti.
È anche possibile usare AWS ABAC (controllo degli accessi in base agli attributi) per assegnare autorizzazioni in base agli attributi (tag) associati alle risorse IAM, incluse le entità IAM (utenti o ruoli) e le risorse AWS.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: usare i criteri IAM di Google Cloud per gestire l'accesso alle risorse GCP tramite assegnazioni di ruolo. È possibile usare i ruoli predefiniti di Google Cloud per i casi d'uso comuni delle autorizzazioni. Tuttavia, è necessario tenere presente che i ruoli predefiniti possono contenere autorizzazioni eccessive che non devono essere assegnate agli utenti.
Inoltre, usare Intelligence per i criteri con lo utilità di raccomandazione IAM per identificare e rimuovere autorizzazioni eccessive dagli account.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
- Gestione della postura
- Gestione delle identità e delle chiavi
PA-8 Determinare il processo di accesso per il supporto del provider di servizi cloud
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
6.1, 6.2 | AC-4, AC-2, AC-3 | N/D |
Principio di sicurezza: stabilire un processo di approvazione e un percorso di accesso per richiedere e approvare le richieste di supporto dei fornitori e l'accesso temporaneo ai dati tramite un canale sicuro.
Linee guida di Azure: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare e approvare o rifiutare ogni richiesta di accesso ai dati effettuata da Microsoft.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: negli scenari di supporto in cui i team di supporto di AWS devono accedere ai dati, creare un account nel portale di supporto AWS per richiedere supporto. Esaminare le opzioni disponibili, ad esempio fornire l'accesso ai dati di sola lettura o l'opzione di condivisione dello schermo per il supporto di AWS per l'accesso ai dati.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: negli scenari di supporto in cui Google Cloud Customer Care deve accedere ai dati, usare l'approvazione di accesso per esaminare e approvare o rifiutare le richieste di accesso ai dati effettuate da Cloud Customer Care.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):