Controllo sicurezza V2: Accesso con privilegi
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse di Azure. Include un'ampia gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e involontari.
Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Privileged Access
PA-1: Proteggere e limitare gli utenti con privilegi elevati
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Limitare il numero di account utente con privilegi elevati e proteggere questi account a livello elevato. I ruoli predefiniti più critici in Azure AD sono amministratore globale e amministratore ruolo con privilegi, perché gli utenti assegnati a questi due ruoli possono delegare i ruoli di amministratore. Con questi privilegi, gli utenti possono leggere o indirettamente e modificare ogni risorsa nell'ambiente di Azure:
Amministratore globale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure AD e ai servizi che usano le identità di Azure AD.
Amministratore ruolo con privilegi: gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure AD e all'interno di Azure AD Privileged Identity Management (PIM). Inoltre, questo ruolo consente la gestione di tutti gli aspetti di PIM e unità amministrative.
Nota: è possibile che siano presenti altri ruoli critici che devono essere regolati se si usano ruoli personalizzati con determinate autorizzazioni con privilegi assegnati. È anche possibile applicare controlli simili all'account amministratore di asset aziendali critici.
È possibile abilitare l'accesso con privilegi just-in-time (JIT) alle risorse di Azure e ad Azure AD usando Azure AD Privileged Identity Management (PIM). JIT concede autorizzazioni temporanee per eseguire attività con privilegi solo quando gli utenti ne hanno la necessità. PIM può inoltre generare avvisi di sicurezza in caso di attività sospette o non sicure nell'organizzazione Azure AD.
Usare gli avvisi di sicurezza di Azure Privileged Identity Management
Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PA-2: Limitare l'accesso amministrativo ai sistemi business-critical
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Isolare l'accesso ai sistemi business-critical limitando gli account a cui viene concesso l'accesso con privilegi alle sottoscrizioni e ai gruppi di gestione in cui si trovano. Assicurarsi inoltre di limitare l'accesso ai sistemi di gestione, identità e sicurezza che dispongono dell'accesso amministrativo agli asset critici aziendali, ad esempio controller di Dominio di Active Directory, strumenti di sicurezza e strumenti di gestione dei sistemi con agenti installati nei sistemi critici aziendali. Gli utenti malintenzionati che compromessano questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset critici aziendali.
Tutti i tipi di controlli di accesso devono essere allineati alla strategia di segmentazione aziendale per garantire un controllo di accesso coerente.
Assicurarsi di assegnare account con privilegi separati distinti dagli account utente standard usati per le attività di posta elettronica, esplorazione e produttività.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PA-3: Esaminare e riconciliare regolarmente gli accessi utente
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Esaminare gli account utente e l'assegnazione di accesso regolarmente per assicurarsi che gli account e il relativo livello di accesso siano validi. È possibile usare le verifiche di accesso di Azure AD per esaminare le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo. I report di Azure AD possono fornire log per individuare gli account non aggiornati. È anche possibile usare azure AD Privileged Identity Management per creare un flusso di lavoro del report di revisione di accesso che facilita il processo di revisione. Inoltre, Azure Privileged Identity Management può essere configurato per avvisare quando viene creato un numero eccessivo di account amministratore e per identificare gli account amministratore non aggiornati o configurati in modo non corretto.
Nota: alcuni servizi di Azure supportano utenti e ruoli locali non gestiti tramite Azure AD. È necessario gestire questi utenti separatamente.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PA-4: Configurare l'accesso di emergenza in Azure AD
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Per impedire l'arresto accidentale dell'organizzazione di Azure AD, configurare un account di accesso di emergenza per l'accesso quando non è possibile usare gli account amministrativi normali. Gli account di accesso di emergenza sono in genere account con privilegi elevati e non devono essere assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari di emergenza critici, in cui non è possibile usare i normali account amministrativi. È necessario assicurarsi che le credenziali (ad esempio password, certificato o smart card) per gli account di accesso di emergenza vengano conservate in modo sicuro e siano note solo a utenti autorizzati a usarle solo in caso di emergenza.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PA-5: Automatizzare la gestione dei diritti
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Usare le funzionalità di gestione dei diritti di Azure AD per automatizzare i flussi di lavoro delle richieste di accesso, incluse le assegnazioni di accesso, le revisioni e la scadenza. È supportata anche l'approvazione a doppia o multi-fase.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PA-6: Usare le workstation con accesso con privilegi
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Le workstation isolate protette sono importanti per la sicurezza dei ruoli sensibili, ad esempio amministratore, sviluppatore e operatore di servizio critico. Usare workstation utente altamente protette e/o Azure Bastion per le attività amministrative. Usare Azure Active Directory, Microsoft Defender per identità e/o Microsoft Intune per distribuire una workstation utente sicura e gestita per le attività amministrative. Le workstation protette possono essere gestite centralmente per applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
7\. Applicare all'amministrazione il principio dei privilegi minimi
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Il controllo degli accessi in base al ruolo di Azure consente di gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo. È possibile assegnare questi ruoli agli utenti, alle entità servizio di gruppo e alle identità gestite. Esistono ruoli predefiniti predefiniti per determinate risorse e questi ruoli possono essere inventariati o sottoposti a query tramite strumenti come l'interfaccia della riga di comando di Azure, Azure PowerShell e l'portale di Azure. I privilegi assegnati alle risorse tramite controllo degli accessi in base al ruolo di Azure devono essere sempre limitati agli elementi richiesti dai ruoli. I privilegi limitati integrano l'approccio JIT (Just In Time) di Azure AD Privileged Identity Management (PIM) e tali privilegi devono essere esaminati periodicamente.
Usare ruoli predefiniti per allocare le autorizzazioni e creare solo ruoli personalizzati quando necessario.
Informazioni sul controllo degli accessi in base al ruolo di Azure
Come configurare il controllo degli accessi in base al ruolo di Azure
Come usare le verifiche di accesso e delle identità di Azure AD
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
PA-8: Scegliere il processo di approvazione per il supporto Microsoft
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Negli scenari di supporto in cui Microsoft deve accedere ai dati dei clienti, Customer Lockbox offre una funzionalità per esaminare e approvare in modo esplicito o rifiutare ogni richiesta di accesso ai dati del cliente.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):