Fase 2: Machtigingen met de juiste grootte en het principe van minimale bevoegdheden automatiseren
In deze sectie van de naslaghandleiding voor Microsoft Entra-machtigingsbeheer bewerkingen worden de controles en acties beschreven die u moet ondernemen om belangrijke bevindingen in uw omgeving te herstellen en Just-In-Time-toegang (JIT) te implementeren met machtigingen op aanvraag.
Doorlopend machtigingen herstellen en de juiste grootte geven
Aanbevolen eigenaar: Informatiebeveiligingsbewerkingen
Herstel- en bewakingsverantwoordelijkheden bepalen
Om het product optimaal te kunnen bedienen, vereist Microsoft Entra-machtigingsbeheer continue uitvoering van belangrijke operationele taken en processen. Stel belangrijke taken en eigenaren in om uw omgeving te onderhouden.
Opdracht | Eigenaar |
---|---|
PCI bewaken en onderhouden op basis van doelstellingen | Informatiebeveiligingsbewerkingen |
Rapportresultaten classificeren en onderzoeken | Informatiebeveiligingsbewerkingen |
Waarschuwingen classificeren en onderzoeken | Informatiebeveiligingsbewerkingen |
Controlequery's controleren | Beveiligingscontrole en controle |
Voortgang bijhouden en rapporteren | Informatiebeveiligingsbewerkingen |
PCI beperken tot doelniveaus
Het is belangrijk om PCI-scores te verlagen in autorisatiesystemen op basis van de PCI-drempelwaarden en het beleid dat uw organisatie heeft gedefinieerd. Het reageren op bevindingen helpt uw omgeving veiliger te maken. De drie bevindingen met de grootste impact op het verlagen van uw PCI-scores zijn superidentiteiten, inactieve identiteiten en overprovisioned identiteiten.
Superidentiteiten
Superidentiteiten hebben de machtigingen met de hoogste bevoegdheden in een autorisatiesysteem. Dit zijn onder andere menselijke en niet-menselijke identiteiten, zoals gebruikers, service-principals en serverloze functies. Te veel superidentiteiten kunnen overmatige risico's creëren en de straal vergroten tijdens een inbreuk.
Best practice: We raden vijf of minder super-identiteiten van gebruikers en/of groepen aan per autorisatiesysteem. Gebruik een klein aantal super-apps, service-principals, serverloze functies en serviceaccounts. Geef duidelijke redenering en rechtvaardiging op om ze te gebruiken.
Richtlijnen voor herstel
- Voor verwachte superidentiteiten, zoals infrastructuurbeheerders, gebruikt u de tags ck_exclude_from_pci en ck_exclude_from_reports .
- ck_exclude_from_pci tag verwijdert de identiteit uit de PCI-scoreberekening van het autorisatiesysteem
- ck_exclude_from_reports tag verwijdert de identiteit uit het rapport Permissions Analytics, zodat deze niet wordt uitgelicht als superidentiteit
- Machtigingen voor andere superidentiteiten op de juiste grootte geven en een JIT-toegangsmodel gebruiken
- Hulpprogramma's voor herstel van machtigingenbeheer gebruiken om de juiste grootte te bepalen
- Machtiging op aanvraag configureren om het JIT-toegangsmodel te bereiken
Inactieve identiteiten
Deze identiteiten hebben 90 dagen geen acties uitgevoerd.
Best practice: pas regelmatig de machtigingen van inactieve identiteiten aan, wat potentiële aanvalsvectoren voor slechte actoren kan zijn.
Richtlijnen voor herstel
Controleer inactieve identiteiten om herstel te bepalen:
- Als de inactieve identiteit nodig is, past u de ck_exclude_from_reports tag toe om de identiteit te verwijderen uit het rapport Permissions Analytics, zodat deze niet wordt genoemd als een inactieve identiteit.
- Als de inactieve identiteit niet nodig is in uw omgeving, raden we u aan de ongebruikte machtigingen van de identiteit in te trekken of de status Alleen-lezen toe te wijzen. Meer informatie over het intrekken van toegang tot taken met een hoog risico en ongebruikte taken of het toewijzen van de status Alleen-lezen.
Overprovisioned identiteiten
Overprovisioned identiteiten, of overschrijdingen van identiteiten, hebben niet veel van hun machtigingen gedurende 90 dagen gebruikt.
Best practice: Regelmatig machtigingen met de juiste grootte van deze identiteiten om het risico op misbruik van machtigingen te verminderen, hetzij per ongeluk of kwaadwillend. Deze actie vermindert de potentiële straal van de explosie tijdens een beveiligingsincident.
Richtlijnen voor herstel
Remediate overprovisioned identities with least privileged built-in roles or with right-size custom roles.
Notitie
Houd rekening met aangepaste rollimieten. We raden u aan de minst bevoorrechte ingebouwde rolbenadering te gebruiken als uw organisatie deze limieten bijna bereikt.
Voor ingebouwde rollen met minimale bevoegdheden raden we u aan Microsoft Entra-machtigingsbeheer te gebruiken om te bepalen welke machtigingen de identiteit gebruikt en vervolgens de ingebouwde rol toe te wijzen die overeenkomt met dit gebruik.
Voor aangepaste rollen met de juiste grootte raden we u aan om overprovisioned identiteiten te herstellen door teams of groepen:
Identificeer een team of groep die machtigingen van de juiste grootte nodig heeft. Bijvoorbeeld de beheerders of ontwikkelaars van een webservice.
Maak een nieuwe rol met de juiste grootte op basis van wat het team momenteel gebruikt.
Ga naar Herstelrollen>/beleid>rol/beleid maken.
Selecteer de gebruikers in een team of groep.
Klik op Volgende en controleer onder Geselecteerde taken de machtigingen in de nieuwe rol. Deze worden automatisch ingevuld op basis van de historische activiteit van de gebruikers/groepen die u hebt geselecteerd.
Voeg indien nodig extra teammachtigingen toe.
Maak de nieuwe rol/het nieuwe beleid.
De huidige teammachtigingen intrekken.
Wijs teamleden de rol/het juiste beleid toe.
Notitie
U wordt aangeraden om niet-menselijke identiteiten met de juiste grootte te wijzigen, zoals service-principals en computeraccounts. De activiteit van niet-menselijke identiteiten varieert minder dagelijks, waardoor het risico laag is voor mogelijke serviceonderbrekingen die worden veroorzaakt door de juiste grootte.
Voor meer informatie over de herstelhulpprogramma's die beschikbaar zijn in Microsoft Entra-machtigingsbeheer:
- Een rol/beleid maken
- Een rol/beleid klonen
- Een rol/beleid wijzigen
- Een rol/beleid verwijderen
- Beleid koppelen en loskoppelen voor AWS-identiteiten
- Rollen en taken toevoegen en verwijderen voor Microsoft Azure- en GCP-identiteiten
- De toegang tot taken met een hoog risico en ongebruikte taken intrekken of de status Alleen-lezen toewijzen voor Azure- en GCP-identiteiten
Voortgang bijhouden en succes meten
Om te voldoen aan de doelstellingen van de organisatie, kunt u processen inschakelen om de voortgang bij te houden en te rapporteren. Enkele ingebouwde hulpprogramma's voor Microsoft Entra-machtigingsbeheer zijn:
- PCI-geschiedenisrapport: ontvang een regelmatig, gedetailleerd overzicht van hoe PCI-scores in autorisatiesystemen en -mappen na verloop van tijd veranderen. Meet hoe goed uw organisatie voldoet aan PCI-doelstellingen en deze onderhoudt. U wordt aangeraden een terugkerend PCI-geschiedenisrapport te plannen voor belangrijke belanghebbenden. Zorg ervoor dat de frequentie overeenkomt met interne voortgangsbeoordelingen.
- Rapport Machtigingenanalyse: Meet de voortgang van herstel en plan regelmatig het rapport te verzenden naar belangrijke belanghebbenden en/of exporteer regelmatig een PDF-versie van het rapport voor uw autorisatiesystemen. Met deze procedure kan uw organisatie de herstelvoortgang in de loop van de tijd meten. Met deze benadering kunt u bijvoorbeeld zien hoeveel inactieve identiteiten elke week worden opgeschoond en welke invloed dit heeft op uw PCI-scores.
- Dashboard machtigingenbeheer: krijg een overzicht van uw autorisatiesystemen en hun PCI-scores. Gebruik de sectie Lijst met hoogste PCI-wijzigingen om autorisatiesystemen te sorteren op PCI-score om prioriteit te geven aan herstelactiviteiten. Zie ook PCI-wijziging voor de afgelopen zeven dagen om te zien welke autorisatiesystemen de meeste voortgang hadden en welke mogelijk meer controle nodig hebben. Selecteer autorisatiesystemen in de sectie PCI Heat Map voor toegang tot het PCI-trenddiagram voor dat autorisatiesysteem. Houd er rekening mee dat PCI in een periode van 90 dagen verandert.
Machtigingen op aanvraag operationeel maken
Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur
Met machtigingen op aanvraag worden de JIT- en just-enough-access-afbeelding voltooid door organisaties in staat te stellen gebruikers tijdsgebonden machtigingen te verlenen, indien nodig.
Als u machtigingen op aanvraag operationeel wilt maken, maakt en onderhoudt u een goed gedefinieerd proces voor het implementeren van machtigingen op aanvraag in uw omgeving. De volgende tabel bevat een overzicht van taken en aanbevolen eigenaren.
Opdracht | Aanbevolen eigenaar |
---|---|
Bepalen welke autorisatiesystemen moeten worden gebruikt met machtigingen op aanvraag | Informatiebeveiligingsarchitectuur |
Beheerprocessen definiëren voor het onboarden van nieuwe autorisatiesystemen voor het model Machtigingen op aanvraag. Selecteer en train goedkeurders en aanvragers en delegeer vervolgens machtigingen. Zie de volgende sectie voor meer informatie. | Informatiebeveiligingsarchitectuur |
Standaardprocedures voor operationeel model bijwerken voor initiële toewijzingen van gebruikersmachtigingen en een aanvraagproces voor ad-hocmachtigingen | Informatiebeveiligingsarchitectuur |
Goedkeurders bepalen
Goedkeurders controleren machtigingen op aanvraag en hebben de bevoegdheid om aanvragen goed te keuren of te weigeren. Selecteer Goedkeurders voor de autorisatiesystemen die u wilt gebruiken met machtigingen op aanvraag. We raden ten minste twee goedkeurders aan voor elk autorisatiesysteem.
Microsoft Entra-beveiligingsgroepen maken voor goedkeurders
Als u machtigingen wilt delegeren, maakt uw IAM-team Microsoft Entra-beveiligingsgroepen die zijn toegewezen aan uw goedkeurders. Zorg ervoor dat goedkeurders met gedeeld eigendom en verantwoordelijkheden zich in dezelfde beveiligingsgroep bevinden.
U wordt aangeraden PIM te gebruiken voor groepen. Dit biedt JIT-toegang tot fiatteurmachtigingen voor het goedkeuren of weigeren van aanvragen op aanvraag.
Zie Groepen en groepslidmaatschap beheren om Microsoft Entra ID-beveiligingsgroepen te maken.
Machtigingen toewijzen aan goedkeurders
Nadat Microsoft Entra-beveiligingsgroepen zijn gemaakt, verleent een beheerder van machtigingenbeheer beveiligingsgroepen de machtigingen van de fiatteur in Machtigingenbeheer. Zorg ervoor dat aan beveiligingsgroepen goedkeurde machtigingen worden verleend voor de autorisatiesystemen waarvoor ze verantwoordelijk zijn. Meer informatie over Microsoft Entra-machtigingsbeheer rollen en machtigingsniveaus.
Een aanvraagbeheerderbeveiligingsgroep bepalen en maken
Wijs ten minste twee aanvragerbeheerders aan die namens identiteiten in uw omgeving machtigingen maken voor aanvragen op aanvraag. Bijvoorbeeld voor computeridentiteiten. Maak een Microsoft Entra-beveiligingsgroep voor deze aanvragerbeheerders.
U wordt aangeraden PIM te gebruiken voor groepen. Dit biedt JIT-toegang tot de aanvraagmachtigingen die nodig zijn voor het indienen van machtigingen op aanvraag namens andere gebruikers.
Zie Groepen en groepslidmaatschap beheren om Microsoft Entra ID-beveiligingsgroepen te maken.
Gebruikers toestaan machtigingen te maken op aanvraag
Een beheerder van machtigingenbeheer voegt aanvrageridentiteiten toe aan de beveiligingsgroep Requester Administrator voor elk autorisatiesysteem. Door een aanvrager-identiteit toe te voegen, kan deze machtigingen aanvragen op aanvraag maken voor elk autorisatiesysteem waarvoor het machtigingen heeft. Leden van de aanvraagbeheerderbeveiligingsgroep kunnen machtigingen aanvragen namens de identiteiten voor het opgegeven autorisatiesysteem. Meer informatie over Microsoft Entra-machtigingsbeheer rollen en machtigingsniveaus.
Organisatiebeleid voor machtigingen op aanvraag bepalen
U kunt de instellingen voor machtigingen op aanvraag zo configureren dat deze overeenkomen met de behoeften van de organisatie. U wordt aangeraden beleid in te stellen voor:
- Beschikbare rollen en beleidsregels die gebruikers kunnen aanvragen: gebruik rol- en beleidsfilters om op te geven wat gebruikers kunnen aanvragen. Voorkom dat niet-gekwalificeerde gebruikers hoge risico's aanvragen, met hoge bevoegdheden, zoals abonnementseigenaar.
- Limieten voor aanvraagduur: geef de maximale toegestane duur op voor machtigingen die zijn verkregen via machtigingen op aanvraag. Ga akkoord met een duurlimiet die overeenkomt met de wijze waarop gebruikers machtigingen aanvragen en toegang krijgen.
- Beleid voor eenmalige wachtwoordcode (OTP): u kunt e-mail-OTPs vereisen voor aanvragers om aanvragen te maken. Daarnaast kunt u e-mail-OTP's vereisen voor goedkeurders om aanvragen goed te keuren of af te wijzen. Gebruik deze configuraties voor een of beide scenario's.
- Automatische goedkeuringen voor AWS: Als optie voor machtigingen op aanvraag voor AWS kunt u specifieke beleidsaanvragen configureren om automatisch te worden goedgekeurd. U kunt bijvoorbeeld algemene beleidsregels met een laag risico toevoegen aan uw lijst met automatische goedkeuring en tijd besparen voor aanvragers en goedkeurders.
Informatie over het instellen van selecties voor aanvragen en automatische goedkeuringen.
Aangepaste rol-/beleidssjablonen voor de organisatie maken
In Microsoft Entra-machtigingsbeheer zijn rol-/beleidssjablonen machtigingensets die u kunt maken voor machtigingen op aanvraag. Sjablonen maken die zijn toegewezen aan algemene acties die in uw omgeving worden uitgevoerd. Gebruikers hebben vervolgens sjablonen om machtigingensets aan te vragen, in plaats van voortdurend afzonderlijke machtigingen te selecteren.
Als het maken van een virtuele machine (VM) bijvoorbeeld een algemene taak is, maakt u een VM-sjabloon maken met de vereiste machtigingen. Gebruikers hoeven niet alle vereiste machtigingen voor de taak te kennen of handmatig te selecteren.
Zie rollen/beleid en aanvragen voor machtigingen weergeven in het hersteldashboard voor meer informatie over het maken van rol-/beleidssjablonen.