セキュリティ制御 v3: 特権アクセス

  • [アーティクル]

特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、Azure テナントおよびリソースへの特権アクセスを保護するためのコントロールを対象とします。

PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.4、6.8 AC-2、AC-6 7.1、7.2、8.1

セキュリティ原則: ビジネスへの影響が大きなアカウントを確実に特定します。 クラウドのコントロール プレーン、管理プレーン、データ/ワークロード プレーン内の特権/管理アカウントの数を制限します。

Azure ガイダンス: Azure Active Directory (Azure AD) は、Azure の既定の ID およびアクセス管理サービスです。 Azure AD で最も重要な組み込みロールは、グローバル管理者と特権ロール管理者です。それは、これら 2 つのロールが割り当てられたユーザーが、管理者ロールを委任できるからです。 これらの特権を使用すると、ユーザーは Azure 環境内のすべてのリソースを直接または間接に読み取り、変更できます。

  • 全体管理者または会社の管理者:このロールが割り当てられたユーザーは、Azure AD のすべての管理機能に加え、Azure AD ID を使用するサービスにもアクセスできます。
  • 特権ロール管理者:このロールが割り当てられたユーザーは、Azure AD と Azure AD Privileged Identity Management (PIM) 内でロールの割り当てを管理できます。 さらに、このロールは、PIM と管理単位のすべての側面を管理できます。

Azure AD の外部では、Azure には、リソース レベルでの特権アクセスに不可欠になる可能性のある組み込みロールが付与されています。

  • 所有者: Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。
  • 共同作成者: すべてのリソースを管理する完全な権限がありますが、Azure RBAC のロールを割り当てること、Azure Blueprints の割り当てを管理すること、イメージのギャラリーを共有することはできません。
  • ユーザー アクセス管理者: Azure リソースへのユーザー アクセスを管理できます。 注: 特定の特権アクセス許可を割り当てられたカスタム ロールを Azure AD レベルまたはリソース レベルで使用する場合は、管理する必要のある他の重要なロールがある場合があります。

また、ビジネス クリティカルなシステムにインストールされたエージェントを使用して、Active Directory ドメイン コントローラー (DC)、セキュリティ ツール、システム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、およびセキュリティ システム内の特権アカウントも制限します。 これらの管理システムおよびセキュリティ システムを侵害した攻撃者は、それらをすぐに悪用してビジネス クリティカルな資産を侵害することができます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-2: アカウントとアクセス許可の継続的なアクセスを避ける

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし AC-2 該当なし

セキュリティ原則: 永続的な特権を作成する代わりに、Just-In-Time (JIT) メカニズムを使用して、さまざまなリソース層への特権アクセスを割り当てます。

Azure ガイダンス: Azure Privileged Identity Management (PIM) を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 JIT は、悪意のあるユーザーまたは未認可ユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに特権タスクを実行する一時的なアクセス許可を与えるモデルです。 ユーザーが必要な場合にのみ、アクセスが許可されます。 PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。

Microsoft Defender for Cloud の Just-In-Time (JIT) VM アクセス機能を使用して、機密性の高い仮想マシン (VM) 管理ポートへの受信トラフィックを制限します。 これにより、ユーザーが必要とする場合にのみ、VM への特権アクセスが許可されます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-3: ID とエンタイトルメントのライフサイクルを管理する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1、6.2 AC-5、AC-6 7.1、7.2、8.1

セキュリティ原則: 自動化されたプロセスまたは技術制御を使用して、要求、レビュー、承認、プロビジョニング、プロビジョニング解除など、ID とアクセスのライフサイクルを管理します。

Azure ガイダンス: Azure AD エンタイトルメント管理機能を使用して、アクセス (Azure リソース グループの場合) 要求ワークフローを自動化します。 これにより、Azure リソース グループのワークフローで、アクセスの割り当て、レビュー、有効期限、2 段階または複数段階の承認を管理できます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-4: ユーザー アクセスを定期的に確認して調整する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.1、5.3、5.5 AC-2、AC-6 7.1、7.2、8.1、A3.4

セキュリティ原則: 特権アカウント エンタイトルメントの定期的なレビューを実施します。 アカウントに付与されるアクセス権が、コントロール プレーン、管理プレーン、およびワークロードの管理に有効であることを確認します。

Azure ガイダンス: Azure テナント、Azure サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、Azure のすべての特権アカウントとアクセス エンタイトルメントを確認します。

Azure AD アクセス レビューを使用して、Azure AD ロールと Azure リソース アクセス ロール、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセスを確認します。 Azure AD レポートは、古くなったアカウント、一定の時間使用されていないアカウントを検出する場合に役立つログも提供できます。

また、Azure AD Privileged Identity Management を構成して、過剰な数の管理者アカウントが特定のロールに対して作成されたときにアラートを生成したり、古くなった管理者アカウントや不適切に構成された管理者アカウントを識別したりできます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-5: 緊急アクセスを設定する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし AC-2 該当なし

セキュリティ原則: 緊急アクセスを設定して、緊急時に重要なクラウド インフラストラクチャ (ID やアクセス管理システムなど) から誤ってロックアウトされないようにします。

緊急時のアクセス アカウントは滅多に使うべきではなく、侵害されると組織に大きな損害を与える可能性がありますが、組織にとっての可用性も、必要に応じていくつかのシナリオで非常に重要になります。

Azure ガイダンス: Azure AD 組織から誤ってロックアウトされるのを防ぐために、通常の管理者アカウントを使用できない場合にアクセスするための緊急アクセス用アカウント (グローバル管理者ロールを持つアカウントなど) を設定します。 緊急アクセス用アカウントは高い特権を持っており、特定の個人に割り当てることはできません。 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない "緊急事態" に制限されます。

緊急アクセス用アカウントの資格情報 (パスワード、証明書、スマート カードなど) は安全に保管し、緊急時にのみそれらを使うことを許可された個人のみに知らせる必要があります。 また、デュアル コントロール (資格情報を 2 つに分割して別々のユーザーに割り当てるなど) などの追加コントロールを使用して、このプロセスのセキュリティを強化することもできます。 また、サインインと監査ログを監視して、緊急アクセス アカウントを認可状態でのみ使用できるようにする必要もあります。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-6:特権アクセス ワークステーションを使用する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.8、13.5 AC-2、SC-2、SC-7 なし

セキュリティ原則: セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには非常に重要です。

Azure ガイダンス: 特権アクセス ワークステーション (PAW) をオンプレミスまたは Azure にデプロイして特権タスクを行うには、Azure Active Directory、Microsoft Defender、Microsoft Intune を使用します。 強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施するには、PAW を一元管理する必要があります。

また、仮想ネットワーク内にプロビジョニングできる完全なプラットフォーム管理の PaaS サービスである Azure Bastion を使用することもできます。 Azure Bastion を使用すると、ブラウザーを使用して Azure portal から直接仮想マシンへ RDP/SSH 接続を行うことができます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-7: Just Enough Administration (最小限の特権の原則) に従う

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.3、6.8 AC-2、AC-3、AC-6 7.1、7.2

セキュリティ原則: 詳細なレベルでアクセス許可を管理するには、管理者 (最小限の特権) の原則に従います。 ロールベースのアクセス制御 (RBAC) などの機能を使用して、ロールの割り当てによってリソースへのアクセスを管理します。

Azure ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ロールの割り当てを通じて Azure リソースへのアクセスを管理します。 RBAC を通じて、ロールをユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。

Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 制限された特権は、Azure AD Privileged Identity Management (PIM) の Just-In-Time (JIT) アプローチを補完するものであり、それらの特権は定期的に確認する必要があります。 必要に応じて、PIM を使用して、ロール割り当てで期間 (期限付き割り当て) の条件を定義することもできます。この場合、ユーザーは、開始日から終了日の間だけロールをアクティベートしたり使用したりできます。

注: Azure の組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PA-8 クラウド プロバイダー サポートのアクセス プロセスを決定する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1、6.2 AC-4、AC-2、AC-3 該当なし

セキュリティ原則: セキュリティで保護されたチャネルを通じたベンダー サポート要求とデータへの一時的なアクセスを要求し承認するための、承認プロセスとアクセス パスを確立します。

Azure ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマーロックボックスを使用して、Microsoft のデータ アクセス要求それぞれを確認、承認、または拒否します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):