Controllo di sicurezza v3: Accesso con privilegi
L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse di Azure, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation con accesso con privilegi contro rischi intenzionali e accidentali.
PA-1: separare e limitare utenti con privilegi elevati/amministratori
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principio di sicurezza: Assicurarsi di identificare tutti gli account a impatto aziendale elevato. Limitare il numero di account con privilegi/amministrativi nel piano di controllo del cloud, nel piano di gestione e nel piano dati/carico di lavoro.
Linee guida di Azure: Azure Active Directory (Azure AD) è il servizio di gestione delle identità e degli accessi predefinito di Azure. I ruoli predefiniti più critici in Azure AD sono Amministratore globale e Amministratore ruolo con privilegi, perché gli utenti assegnati a questi due ruoli possono delegare i ruoli di amministratore. Con questi privilegi, gli utenti possono leggere e modificare direttamente o indirettamente ogni risorsa nell'ambiente Azure:
- Amministratore globale/Amministratore aziendale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure AD, nonché ai servizi che usano le identità di Azure AD.
- Amministratore ruolo con privilegi: gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure AD, nonché in Azure AD Privileged Identity Management (PIM). Questo ruolo consente inoltre la gestione di tutti gli aspetti di PIM e delle unità amministrative.
All'esterno di Azure AD, Azure ha ruoli predefiniti che possono essere fondamentali per l'accesso con privilegi a livello di risorsa.
- Proprietario: concede l'accesso completo per gestire tutte le risorse, inclusa la possibilità di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure.
- Collaboratore: concede l'accesso completo per gestire tutte le risorse, ma non consente di assegnare ruoli in Controllo degli accessi in base al ruolo di Azure, gestire le assegnazioni in Azure Blueprints o condividere le raccolte di immagini.
- Amministratore accesso utenti: consente di gestire l'accesso degli utenti alle risorse di Azure. Nota: è possibile avere altri ruoli critici che devono essere regolati se si usano ruoli personalizzati nel livello di Azure AD o a livello di risorsa con determinate autorizzazioni con privilegi assegnati.
Assicurarsi anche di limitare gli account con privilegi in altri sistemi di gestione, identità e sicurezza con accesso amministrativo agli asset aziendali critici, ad esempio controller di Dominio di Active Directory, strumenti di sicurezza e strumenti di gestione del sistema con agenti installati nei sistemi aziendali critici. Gli utenti malintenzionati che comprometteno questi sistemi di gestione e sicurezza possono armarli immediatamente per compromettere gli asset aziendali critici.
Implementazione e contesto aggiuntivo:
- Autorizzazioni per il ruolo di amministratore in Azure AD
- Usare gli avvisi di sicurezza di Azure Privileged Identity Management
- Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Architettura di sicurezza
- Gestione della conformità della sicurezza
- Operazioni per la sicurezza
PA-2: evitare l'accesso permanente per gli account utente e le autorizzazioni
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Principio di sicurezza: Invece di creare privilegi permanenti, usare il meccanismo JIT (Just-In-Time) per assegnare l'accesso con privilegi ai diversi livelli di risorse.
Linee guida di Azure: Abilitare l'accesso con privilegi JIT alle risorse di Azure e Azure AD usando Azure AD Privileged Identity Management (PIM). JIT è un modello in cui gli utenti ricevono autorizzazioni temporanee per eseguire attività con privilegi, che impediscono a utenti malintenzionati o non autorizzati di ottenere l'accesso dopo la scadenza delle autorizzazioni. L'accesso viene concesso solo quando l'utente ne ha necessità. PIM può inoltre generare avvisi di sicurezza in caso di attività sospette o non sicure nell'organizzazione Azure AD.
Limitare il traffico in ingresso alle porte di gestione delle macchine virtuali sensibili con la funzionalità JIT (Just-In-Time) di Microsoft Defender per il cloud per l'accesso alle macchine virtuali. Ciò garantisce che l'accesso con privilegi alla macchina virtuale venga concesso solo quando gli utenti ne hanno bisogno.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Architettura di sicurezza
- Gestione della conformità della sicurezza
- Operazioni per la sicurezza
PA-3: Gestire il ciclo di vita delle identità e dei diritti
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principio di sicurezza: Usare un processo automatizzato o un controllo tecnico per gestire l'identità e il ciclo di vita degli accessi, tra cui la richiesta, la revisione, l'approvazione, il provisioning e il deprovisioning.
Linee guida di Azure: Usare le funzionalità di gestione entitlement di Azure AD per automatizzare i flussi di lavoro delle richieste di accesso (per i gruppi di risorse di Azure). Ciò consente ai flussi di lavoro per i gruppi di risorse di Azure di gestire le assegnazioni di accesso, le verifiche, la scadenza e l'approvazione duale o in più fasi.
Implementazione e contesto aggiuntivo:
- Che cosa sono le verifiche di accesso di Azure AD
- Informazioni sulla gestione entitlement di Azure AD
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
PA-4: Rivedere e riconciliare regolarmente l'accesso degli utenti
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principio di sicurezza: Eseguire una verifica regolare dei diritti degli account con privilegi. Assicurarsi che l'accesso concesso agli account sia valido per l'amministrazione del piano di controllo, del piano di gestione e dei carichi di lavoro.
Linee guida di Azure: Esaminare tutti gli account con privilegi e i diritti di accesso in Azure, tra cui tenant di Azure, servizi di Azure, vm/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.
Usare le verifiche di accesso di Azure AD per esaminare i ruoli di Azure AD e i ruoli di accesso alle risorse di Azure, le appartenenze ai gruppi, l'accesso alle applicazioni aziendali. I report di Azure AD possono anche fornire log per individuare gli account non aggiornati, gli account non usati per un determinato periodo di tempo.
Inoltre, è possibile configurare Azure AD Privileged Identity Management per avvisare quando viene creato un numero eccessivo di account amministratore per un ruolo specifico e identificare gli account amministratore non aggiornati o configurati in modo non corretto.
Implementazione e contesto aggiuntivo:
- Creare una verifica di accesso dei ruoli delle risorse di Azure in Privileged Identity Management (PIM)
- Come usare le verifiche di accesso e delle identità di Azure AD
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Gestione delle identità e delle chiavi
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
PA-5: Configurare l'accesso di emergenza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Principio di sicurezza: Configurare l'accesso di emergenza per assicurarsi di non essere accidentalmente bloccati dall'infrastruttura cloud critica ,ad esempio il sistema di gestione delle identità e degli accessi, in caso di emergenza.
Gli account di accesso di emergenza devono essere usati raramente e possono essere estremamente dannosi per l'organizzazione se compromessi, ma la loro disponibilità per l'organizzazione è importante anche per alcuni scenari quando sono necessari.
Linee guida di Azure: Per evitare il blocco accidentale dell'organizzazione di Azure AD, configurare un account di accesso di emergenza (ad esempio, un account con ruolo di amministratore globale) per l'accesso quando non è possibile usare gli account amministrativi normali. Gli account di accesso di emergenza sono in genere account con privilegi elevati e non devono essere assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati agli scenari di emergenza o "break glass", in cui non è possibile usare gli account amministrativi normali.
È necessario assicurarsi che le credenziali (ad esempio password, certificato o smart card) per gli account di accesso di emergenza vengano conservate in modo sicuro e siano note solo a utenti autorizzati a usarle solo in caso di emergenza. È anche possibile usare controlli aggiuntivi, ad esempio la suddivisione delle credenziali in due parti e la possibilità di separare le persone, per migliorare la sicurezza di questo processo. È anche consigliabile monitorare i log di accesso e di controllo per assicurarsi che gli account di accesso di emergenza possano essere usati solo in base all'autorizzazione.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
- Operazioni di sicurezza (secOps)
PA-6: Usare le workstation con accesso con privilegi
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Principio di sicurezza: Le workstation protette e isolate sono fondamentali per la sicurezza dei ruoli sensibili, ad esempio amministratore, sviluppatore e operatore di servizio critico.
Linee guida di Azure: Usare Azure Active Directory, Microsoft Defender e/o Microsoft Intune per distribuire workstation con accesso con privilegi (PAW) in locale o in Azure per le attività con privilegi. La workstation PAW deve essere gestita centralmente per applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.
È anche possibile usare Azure Bastion, un servizio PaaS completamente gestito dalla piattaforma di cui è possibile eseguire il provisioning all'interno della rete virtuale. Azure Bastion consente la connettività RDP/SSH alle macchine virtuali direttamente dal portale di Azure usando il browser.
Implementazione e contesto aggiuntivo:
- Protezione dell'accesso con privilegi
- Accesso con privilegi: strategia
- Accesso con privilegi: Amministrazione
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevSecOps
- Operazioni di sicurezza (secOps)
- Gestione delle identità e delle chiavi
PA-7: seguire il principio di amministrazione sufficiente (privilegi minimi)
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principio di sicurezza: Seguire il principio di amministrazione (privilegio minimo) sufficiente per gestire le autorizzazioni a livello granulare. Usare funzionalità come il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse tramite assegnazioni di ruolo.
Linee guida di Azure: Usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo. Tramite il controllo degli accessi in base al ruolo è possibile assegnare ruoli a utenti, entità servizio di gruppo e identità gestite. Esistono ruoli predefiniti per determinate risorse e questi ruoli possono essere sottoposti a inventario o sottoposti a query tramite strumenti come l'interfaccia della riga di comando di Azure, Azure PowerShell e l'portale di Azure.
I privilegi assegnati alle risorse tramite il controllo degli accessi in base al ruolo di Azure devono essere sempre limitati ai requisiti richiesti dai ruoli. I privilegi limitati completano l'approccio JIT (Just-In-Time) di Azure AD Privileged Identity Management (PIM) e questi privilegi devono essere esaminati periodicamente. Se necessario, è anche possibile usare PIM per definire la condizione di durata (assegnazione temporale) nell'assegnazione di ruolo in cui un utente può attivare o usare il ruolo solo entro le date di inizio e di fine.
Nota: usare i ruoli predefiniti di Azure per allocare le autorizzazioni e creare ruoli personalizzati solo quando necessario.
Implementazione e contesto aggiuntivo:
- Che cos'è il controllo degli accessi in base al ruolo di Azure
- Come configurare il controllo degli accessi in base al ruolo di Azure
- Come usare le verifiche di accesso e delle identità di Azure AD
- Azure AD Privileged Identity Management - Assegnazione associata al tempo
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevSecOps
- Gestione della conformità della sicurezza
- Gestione della postura
- Gestione delle identità e delle chiavi
PA-8 Determinare il processo di accesso per il supporto del provider di servizi cloud
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/D |
Principio di sicurezza: Stabilire un processo di approvazione e un percorso di accesso per richiedere e approvare la richiesta di supporto del fornitore e l'accesso temporaneo ai dati tramite un canale sicuro.
Linee guida di Azure: Negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare e approvare o rifiutare ogni richiesta di accesso ai dati di Microsoft.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):