Delen via

Beveiligingsbeheer v3: Identiteitsbeheer

Identiteitsbeheer omvat besturingselementen voor het tot stand brengen van een beveiligde identiteit en toegangsbeheer met behulp van Azure Active Directory, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6,7, 12,5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Beveiligingsprincipe: gebruik een gecentraliseerd identiteits- en verificatiesysteem om de identiteiten en verificaties van uw organisatie te beheren voor cloud- en niet-cloudresources.

Azure-richtlijnen: Azure Active Directory (Azure AD) is de service voor identiteits- en verificatiebeheer van Azure. U moet standaardiseren in Azure AD om de identiteit en verificatie van uw organisatie te beheren in:

  • Microsoft-cloudresources, zoals Azure Storage, Azure Virtual Machines (Linux en Windows), Azure Key Vault, PaaS en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure, toepassingen van derden die worden uitgevoerd op uw bedrijfsnetwerkbronnen en SaaS-toepassingen van derden.
  • Uw bedrijfsidentiteiten in Active Directory door te synchroniseren met Azure AD om een consistente en centraal beheerde identiteitsstrategie te garanderen.

Opmerking: Zodra het technisch haalbaar is, moet u on-premises Active Directory-toepassingen migreren naar Azure AD. Dit kan een Azure AD Enterprise Directory, Business to Business-configuratie of bedrijfsconfiguratie voor consumenten zijn.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-2: Identiteits- en verificatiesystemen beveiligen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Beveiligingsprincipe: beveilig uw identiteits- en verificatiesysteem als een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Algemene beveiligingsmaatregelen zijn onder andere:

  • Bevoorrechte rollen en accounts beperken
  • Sterke verificatie vereisen voor alle bevoegde toegang
  • Activiteiten met hoog risico bewaken en controleren

Azure-richtlijnen: gebruik de Azure AD-beveiligingsbasislijn en de Azure AD Identity Secure Score om uw Azure AD-identiteitsbeveiligingspostuur te evalueren en beveiligings- en configuratieproblemen op te lossen. De Azure AD Identity Secure Score evalueert Azure AD voor de volgende configuraties: -Use beperkte beheerdersrollen

  • Beleid voor gebruikersrisico's inschakelen
  • Meer dan één globale beheerder aanwijzen
  • Beleid inschakelen om verouderde verificatie te blokkeren
  • Zorg ervoor dat alle gebruikers meervoudige verificatie kunnen voltooien voor beveiligde toegang
  • MFA vereisen voor beheerdersrollen
  • Selfservice voor wachtwoordherstel inschakelen
  • Wachtwoorden niet laten verlopen
  • Het aanmeldingsrisicobeleid inschakelen
  • Gebruikers niet toestaan toestemming te geven voor niet-beheerde toepassingen

Opmerking: volg gepubliceerde aanbevolen procedures voor alle andere identiteitsonderdelen, waaronder de on-premises Active Directory en mogelijkheden van derden, en de infrastructuren (zoals besturingssystemen, netwerken, databases) die deze hosten.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-3: Toepassingsidentiteiten veilig en automatisch beheren

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
Niet van toepassing. AC-2, AC-3, IA-4, IA-5, IA-9 Niet van toepassing.

Beveiligingsprincipe: gebruik beheerde toepassingsidentiteiten in plaats van menselijke accounts te maken voor toepassingen om toegang te krijgen tot resources en code uit te voeren. Beheerde toepassingsidentiteiten bieden voordelen, zoals het verminderen van de blootstelling van referenties. Automatiseer het roteren van referenties om de beveiliging van de identiteiten te garanderen.

Azure-richtlijnen: gebruik door Azure beheerde identiteiten, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD-verificatie. Referenties voor beheerde identiteiten worden volledig beheerd, gewisseld en beveiligd door het platform, waardoor hardgecodeerde referenties in broncode of configuratiebestanden worden vermeden.

Voor services die geen beheerde identiteiten ondersteunen, gebruikt u Azure AD om een service-principal te maken met beperkte machtigingen op resourceniveau. Het wordt aanbevolen om service-principals te configureren met certificaatgegevens en terug te vallen op clientgeheimen voor authenticatie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-4: Server en services verifiëren

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
Niet van toepassing. IA-9 Niet van toepassing.

Beveiligingsprincipe: verifieer externe servers en services aan de clientzijde om ervoor te zorgen dat u verbinding maakt met vertrouwde server en services. Het meest voorkomende protocol voor serververificatie is Tls (Transport Layer Security), waarbij de clientzijde (vaak een browser of clientapparaat) de server verifieert door te controleren of het certificaat van de server is uitgegeven door een vertrouwde certificeringsinstantie.

Opmerking: wederzijdse verificatie kan worden gebruikt wanneer zowel de server als de client elkaar verifiëren.

Azure-richtlijnen: veel Azure-services ondersteunen standaard TLS-verificatie. Zorg ervoor dat de TLS-schakelaar voor diensten altijd is ingeschakeld om server-/serviceverificatie te ondersteunen. Uw clienttoepassing moet ook worden ontworpen om de identiteit van de server/service te verifiëren (door het certificaat van de server te verifiëren dat is uitgegeven door een vertrouwde certificeringsinstantie) in de handshakefase.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-5: Eenmalige aanmelding (SSO) gebruiken voor toegang tot toepassingen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
12.5 IA-4, IA-2, IA-8 Niet van toepassing.

Beveiligingsprincipe: gebruik eenmalige aanmelding (SSO) om de gebruikerservaring te vereenvoudigen voor het verifiëren van resources, waaronder toepassingen en gegevens in cloudservices en on-premises omgevingen.

Azure-richtlijnen: Gebruik Azure AD voor toegang tot workloadtoepassingen via eenmalige aanmelding van Azure AD, waardoor de noodzaak voor meerdere accounts wordt verborgen. Azure AD biedt identiteits- en toegangsbeheer voor Azure-resources (waaronder CLI, PowerShell, portal), cloudtoepassingen en on-premises toepassingen.

Azure AD biedt ondersteuning voor eenmalige aanmelding voor zakelijke identiteiten, zoals zakelijke gebruikersidentiteiten, evenals externe gebruikersidentiteiten van vertrouwde externe en openbare gebruikers.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-6: Krachtige verificatiecontroles gebruiken

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Beveiligingsprincipe: krachtige verificatiecontroles (sterke verificatie zonder wachtwoord of meervoudige verificatie) afdwingen met uw gecentraliseerde identiteits- en verificatiebeheersysteem voor alle toegang tot resources. Verificatie op basis van alleen wachtwoordreferenties wordt beschouwd als verouderd, omdat deze onveilig is en niet opkomt voor populaire aanvalsmethoden.

Bij het implementeren van sterke verificatie configureert u eerst beheerders en bevoegde gebruikers om het hoogste niveau van de sterke verificatiemethode te garanderen, snel gevolgd door het juiste sterke verificatiebeleid voor alle gebruikers uit te rollen.

Opmerking: Als verouderde verificatie op basis van wachtwoorden is vereist voor verouderde toepassingen en scenario's, moet u ervoor zorgen dat aanbevolen procedures voor wachtwoordbeveiliging, zoals complexiteitsvereisten, worden gevolgd.

Azure-richtlijnen: Azure AD biedt ondersteuning voor krachtige verificatiecontroles via methoden zonder wachtwoord en meervoudige verificatie (MFA).

  • Verificatie zonder wachtwoord: gebruik verificatie zonder wachtwoord als uw standaardverificatiemethode. Er zijn drie opties beschikbaar in verificatie zonder wachtwoord: Aanmelding via de Microsoft Authenticator-app en FIDO 2Keys. Daarnaast kunnen klanten on-premises verificatiemethoden zoals smartcards gebruiken.
  • Meervoudige verificatie: Azure MFA kan worden afgedwongen voor alle gebruikers, selecteer gebruikers of op gebruikersniveau op basis van aanmeldingsvoorwaarden en risicofactoren. Schakel Azure MFA in en volg de aanbevelingen voor identiteits- en toegangsbeheer van Azure Defender for Cloud voor uw MFA-installatie.

Als verouderde verificatie op basis van wachtwoorden nog steeds wordt gebruikt voor Azure AD-verificatie, moet u er rekening mee houden dat cloudaccounts (gebruikersaccounts die rechtstreeks in Azure zijn gemaakt) een standaardbeleid voor basislijnwachtwoorden hebben. En hybride accounts (gebruikersaccounts die afkomstig zijn van on-premises Active Directory) volgen het on-premises wachtwoordbeleid.

Voor toepassingen en services van derden met mogelijk standaard-id's en wachtwoorden moet u deze uitschakelen of wijzigen tijdens de eerste installatie van de service.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-7: Toegang tot resources beperken op basis van voorwaarden

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Beveiligingsprincipe: valideer expliciet vertrouwde signalen om gebruikerstoegang tot resources toe te staan of te weigeren, als onderdeel van een toegangsmodel zonder vertrouwen. Signalen die moeten worden gevalideerd, moeten sterke verificatie van gebruikersaccounts, gedragsanalyses van gebruikersaccounts, betrouwbaarheid van apparaten, lidmaatschap van gebruikers of groepen, locaties, enzovoort omvatten.

Azure-richtlijnen: Gebruik voorwaardelijke toegang van Azure AD voor gedetailleerdere toegangsbeheer op basis van door de gebruiker gedefinieerde voorwaarden, zoals het vereisen van gebruikersaanmelding van bepaalde IP-bereiken (of apparaten) voor het gebruik van MFA. Met voorwaardelijke toegang van Azure AD kunt u toegangsbeheer afdwingen voor de apps van uw organisatie op basis van bepaalde voorwaarden.

Definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure AD in de workload. Houd rekening met de volgende veelvoorkomende gebruiksvoorbeelden:

  • Meervoudige verificatie vereisen voor gebruikers met beheerdersrollen
  • Meervoudige verificatie vereisen voor Azure-beheertaken
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruiken
  • Het vereisen van vertrouwde locaties voor Azure AD Multi-Factor Authentication-registratie
  • Toegang vanaf specifieke locaties blokkeren of verlenen
  • Riskante aanmeldingsgedragingen blokkeren
  • Het gebruik van door de organisatie beheerde apparaten vereist voor specifieke toepassingen

Opmerking: Een gedetailleerd beheer van verificatiesessies kan ook worden toegepast met het voorwaardelijke toegangsbeleid van Azure AD voor besturingselementen zoals aanmeldingsfrequentie en een blijvende browsersessie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-8: Beperk de blootstelling van inloggegevens en geheimen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
16,9, 16,12 IA-5 3.5, 6.3, 8.2

Beveiligingsprincipe: zorg ervoor dat toepassingsontwikkelaars referenties en geheimen veilig verwerken:

  • Vermijd het insluiten van de referenties en geheimen in de code- en configuratiebestanden
  • Key Vault of een beveiligde sleutelarchiefservice gebruiken om de referenties en geheimen op te slaan
  • Scannen op referenties in broncode.

Opmerking: dit wordt vaak beheerd en afgedwongen via een beveiligd SDLC-beveiligingsproces (Software Development Lifecycle) en DevOps.

Azure-richtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in de code- en configuratiebestanden.

  • Implementeer Azure DevOps Credential Scanner om referenties in de code te identificeren.
  • Gebruik voor GitHub de systeemeigen functie voor het scannen van geheimen om referenties of andere vormen van geheimen in de code te identificeren.

Clients zoals Azure Functions, Azure Apps-services en VM's kunnen beheerde identiteiten gebruiken om veilig toegang te krijgen tot Azure Key Vault. Zie Besturingselementen voor gegevensbescherming met betrekking tot het gebruik van Azure Key Vault voor geheimenbeheer.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IM-9: Gebruikerstoegang tot bestaande toepassingen beveiligen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
6,7, 12,5 AC-2, AC-3, SC-11 Niet van toepassing.

Beveiligingsprincipe: In een hybride omgeving, waar u on-premises toepassingen of niet-systeemeigen cloudtoepassingen hebt met behulp van verouderde verificatie, kunt u oplossingen zoals CLOUD Access Security Broker (CASB), toepassingsproxy, eenmalige aanmelding (SSO) gebruiken om de toegang tot deze toepassingen te beheren voor de volgende voordelen:

  • Gecentraliseerde sterke verificatie afdwingen
  • Riskante activiteiten van eindgebruikers bewaken en beheren
  • Riskante verouderde toepassingen bewaken en herstellen
  • Gevoelige gegevensoverdracht detecteren en voorkomen

Azure-richtlijnen: Beveilig uw on-premises en niet-systeemeigen cloudtoepassingen met behulp van verouderde verificatie door ze te verbinden met:

  • Azure AD-toepassingsproxy in combinatie met verificatie op basis van headers voor het publiceren van verouderde on-premises toepassingen voor externe gebruikers met eenmalige aanmelding (SSO), terwijl de betrouwbaarheid van zowel externe gebruikers als apparaten met voorwaardelijke toegang van Azure AD expliciet wordt geverifieerd. Gebruik indien nodig Software-Defined Perimeter -oplossing (SDP) van derden die vergelijkbare functionaliteit kan bieden.
  • Uw bestaande bezorgingscontrollers en netwerken van toepassingen van derden
  • Microsoft Defender voor Cloud Apps, waarbij deze wordt gebruikt als een CASB-service (Cloud Access Security Broker) om besturingselementen te bieden voor het bewaken van de toepassingssessies van een gebruiker en het blokkeren van acties (voor zowel verouderde on-premises toepassingen als SaaS-toepassingen (cloudsoftware als een dienst).

Opmerking: VPN's worden vaak gebruikt voor toegang tot verouderde toepassingen, ze hebben vaak alleen basistoegangsbeheer en beperkte sessiebewaking.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):