Faza 2. Uprawnienia dotyczące odpowiedniego rozmiaru i automatyzowanie zasady najniższych uprawnień
W tej sekcji przewodnika referencyjnego dotyczącego operacji Zarządzanie uprawnieniami Microsoft Entra opisano kontrole i akcje, które należy wykonać, aby skorygować kluczowe ustalenia w danym środowisku i zaimplementować dostęp just in time (JIT) z uprawnieniami na żądanie.
Ciągłe korygowanie i odpowiednie uprawnienia rozmiaru
Zalecany właściciel: Operacje zabezpieczeń informacji
Określanie obowiązków związanych z korygowaniem i monitorowaniem
Aby optymalnie obsługiwać produkt, Zarządzanie uprawnieniami Microsoft Entra wymaga ciągłego wykonywania kluczowych zadań operacyjnych i procesów. Skonfiguruj kluczowe zadania i właścicieli, aby zachować środowisko.
Zadanie | Właściciel |
---|---|
Monitorowanie i utrzymywanie standardu PCI na podstawie celów | Operacje zabezpieczeń informacji |
Klasyfikacja i badanie wyników raportu | Operacje zabezpieczeń informacji |
Klasyfikacja i badanie alertów | Operacje zabezpieczeń informacji |
Przeglądanie zapytań inspekcji | Kontrola zabezpieczeń i inspekcja |
Śledzenie i raportowanie postępu | Operacje zabezpieczeń informacji |
Zmniejsz poziom PCI do poziomów docelowych
Ważne jest, aby obniżyć wyniki PCI w różnych systemach autoryzacji na podstawie progów PCI i zasad zdefiniowanych przez organizację. Działanie na podstawie wyników pomaga zwiększyć bezpieczeństwo środowiska. Trzy ustalenia o największym wpływie na obniżenie wyników PCI to super tożsamości, tożsamości nieaktywne i nadmiernie aprowizowane tożsamości.
Super tożsamości
Super tożsamości mają najwyższe uprawnienia uprawnień w systemie autoryzacji. Należą do nich tożsamości ludzkie i nieludzkie, takie jak użytkownicy, jednostki usługi i funkcje bezserwerowe. Zbyt wiele super tożsamości może stworzyć nadmierne ryzyko i zwiększyć promień wybuchu podczas naruszenia.
Najlepsze rozwiązanie: zalecamy pięć lub mniej tożsamości użytkowników i/lub grup super tożsamości na system autoryzacji. Użyj niewielkiej liczby super aplikacji, jednostek usługi, funkcji bezserwerowych i kont usług. Podaj jasne rozumowanie i uzasadnienie, aby je użyć.
Wskazówki dotyczące korygowania
- W przypadku oczekiwanych super tożsamości, takich jak administratorzy infrastruktury, użyj tagów ck_exclude_from_pci i ck_exclude_from_reports .
- ck_exclude_from_pci tag usuwa tożsamość z obliczenia wyników PCI systemu autoryzacji
- ck_exclude_from_reports tag usuwa tożsamość z raportu analizy uprawnień, więc nie jest wywoływana jako super tożsamość
- Ustawianie odpowiedniego rozmiaru uprawnień innych super tożsamości i używanie modelu dostępu JIT
- Używanie narzędzi korygowania zarządzania uprawnieniami w celu odpowiedniego rozmiaru
- Konfigurowanie uprawnień na żądanie w celu osiągnięcia modelu dostępu JIT
Nieaktywne tożsamości
Te tożsamości nie wykonały akcji przez 90 dni.
Najlepsze rozwiązanie: Regularnie należy stosować odpowiednie uprawnienia nieaktywnych tożsamości, które mogą być potencjalnymi wektorami ataków dla złych aktorów.
Wskazówki dotyczące korygowania
Przejrzyj nieaktywne tożsamości, aby określić korygowanie:
- Jeśli potrzebna jest nieaktywna tożsamość, zastosuj tag ck_exclude_from_reports , aby usunąć tożsamość z raportu analizy uprawnień, więc nie jest wywoływana jako nieaktywna tożsamość.
- Jeśli nieaktywna tożsamość nie jest potrzebna w twoim środowisku, zalecamy odwołanie nieużywanych uprawnień tożsamości lub przypisanie jej stanu tylko do odczytu. Dowiedz się, jak odwołać dostęp do zadań wysokiego ryzyka i nieużywanych lub przypisywać stan tylko do odczytu.
Tożsamości z nadmierną aprowizą
Tożsamości z nadmierną aprowizowaną obsługą administracyjną lub nadmiernie przewyżone tożsamości nie używały wielu swoich uprawnień przez 90 dni.
Najlepsze rozwiązanie: Regularne uprawnienia o odpowiednim rozmiarze tych tożsamości w celu zmniejszenia ryzyka nieprawidłowego użycia uprawnień, przypadkowego lub złośliwego. Ta akcja zmniejsza potencjalny promień wybuchu podczas zdarzenia bezpieczeństwa.
Wskazówki dotyczące korygowania
Koryguj nadmiernie aprowizowane tożsamości z najmniej uprzywilejowanymi wbudowanymi rolami lub rolami niestandardowymi o odpowiednich rozmiarach.
Uwaga
Należy pamiętać o limitach ról niestandardowych. Zalecamy stosowanie podejścia do roli o najniższych uprawnieniach, jeśli Twoja organizacja zbliża się do osiągnięcia tych limitów.
W przypadku ról wbudowanych z najmniejszymi uprawnieniami zalecamy użycie Zarządzanie uprawnieniami Microsoft Entra w celu określenia uprawnień używanych przez tożsamość, a następnie przypisania wbudowanej roli zgodnej z tym użyciem.
W przypadku ról niestandardowych o odpowiednich rozmiarach zalecamy skorygowanie nadmiernych tożsamości aprowizowanych przez zespoły lub grupy:
Zidentyfikuj zespół lub grupę, która potrzebuje uprawnień o odpowiednim rozmiarze. Na przykład administratorzy lub deweloperzy usługi internetowej.
Utwórz nową rolę o odpowiednim rozmiarze w oparciu o to, czego obecnie używa zespół.
Przejdź do pozycji Role korygowania>/Zasady>utwórz rolę/zasady.
Wybierz użytkowników z zespołu lub grupy.
Kliknij przycisk Dalej i w obszarze Wybrane zadania zweryfikuj uprawnienia w nowej roli. Zostaną one wypełnione automatycznie na podstawie historycznej aktywności wybranych użytkowników/grup.
Dodaj dodatkowe uprawnienia zespołu zgodnie z potrzebami.
Utwórz nową rolę/zasady.
Odwoływanie bieżących uprawnień zespołu.
Przypisz członkom zespołu odpowiednią rolę/zasady.
Uwaga
Zalecamy rozpoczęcie od określania rozmiaru tożsamości innych niż ludzkie, takich jak jednostki usługi i konta komputera. Aktywność tożsamości nieludzkich jest mniej prawdopodobna, aby zmieniać się w ciągu dnia, co zmniejsza ryzyko potencjalnych zakłóceń usług spowodowanych właściwymi rozmiarami.
Aby uzyskać więcej informacji na temat narzędzi korygowania dostępnych w Zarządzanie uprawnieniami Microsoft Entra:
- Tworzenie roli/zasad
- Klonowanie roli/zasad
- Modyfikowanie roli/zasad
- Usuwanie roli/zasad
- Dołączanie i odłączanie zasad dla tożsamości platformy AWS
- Dodawanie i usuwanie ról i zadań dla tożsamości platformy Microsoft Azure i GCP
- Odwoływanie dostępu do zadań wysokiego ryzyka i nieużywanych lub przypisywanie stanu tylko do odczytu dla tożsamości platformy Azure i GCP
Śledzenie postępu i mierzenie powodzenia
Aby osiągnąć cele organizacji, włącz procesy do śledzenia i raportowania postępu. Niektóre wbudowane narzędzia Zarządzanie uprawnieniami Microsoft Entra to:
- Raport historii PCI: zapoznaj się z regularnym, szczegółowym omówieniem sposobu zmiany wyników PCI w systemach autoryzacji i folderach w czasie. Zmierz, jak dobrze organizacja spełnia i utrzymuje cele PCI. Zalecamy zaplanowanie cyklicznego raportu historii PCI dla kluczowych uczestników projektu. Upewnij się, że cykl jest zgodny z wewnętrznymi przeglądami postępu.
- Raport analizy uprawnień: Mierz postęp korygowania i zaplanuj wysyłanie raportu do kluczowych uczestników projektu i/lub wyeksportuj wersję raportu PDF dla systemów autoryzacji w regularnych odstępach czasu. Ta praktyka umożliwia organizacji mierzenie postępu korygowania w miarę upływu czasu. Na przykład dzięki temu podejściu można zobaczyć, ile tożsamości nieaktywnych jest czyszczone co tydzień i jaki wpływ ma na wyniki PCI.
- Pulpit nawigacyjny zarządzania uprawnieniami: zapoznaj się z omówieniem systemów autoryzacji i ich wyników PCI. Użyj sekcji Lista najwyższych zmian PCI, aby sortować systemy autoryzacji według wskaźnika PCI w celu nadania priorytetowi działań korygacyjnych. Zobacz również zmiany PCI w ciągu ostatnich siedmiu dni, aby zobaczyć, które systemy autoryzacji miały najwięcej postępu i które mogą wymagać więcej przeglądu. Wybierz systemy autoryzacji w sekcji PCI Heat Map, aby uzyskać dostęp do wykresu trendu PCI dla tego systemu autoryzacji. Zwróć uwagę, jak pci zmienia się w ciągu 90 dni.
Operacjonalizacja uprawnień na żądanie
Zalecany właściciel: Architektura zabezpieczeń informacji
Uprawnienia na żądanie wypełniają dostęp JIT i just-enough-access, umożliwiając organizacjom udzielanie użytkownikom uprawnień ograniczonych czasowo, w razie potrzeby.
Aby operacjonalizować uprawnienia na żądanie, utwórz i zachowaj dobrze zdefiniowany proces implementowania uprawnień na żądanie w środowisku. W poniższej tabeli przedstawiono zadania i zalecanych właścicieli.
Zadanie | Zalecany właściciel |
---|---|
Określanie systemów autoryzacji do użycia z uprawnieniami na żądanie | Architektura zabezpieczeń informacji |
Zdefiniuj procesy administracyjne, aby dołączyć nowe systemy autoryzacji do modelu Uprawnień na żądanie. Wybierz i wytrenuj osoby zatwierdzające i osoby żądające, a następnie deleguj uprawnienia. Aby uzyskać więcej informacji, zobacz następującą sekcję. | Architektura zabezpieczeń informacji |
Aktualizowanie standardowych procedur modelu operacyjnego dla początkowych przypisań uprawnień użytkownika oraz procesu żądania uprawnień ad hoc | Architektura zabezpieczeń informacji |
Określanie osób zatwierdzających
Osoby zatwierdzające przejrzyj żądania dotyczące uprawnień na żądanie i mają uprawnienia do zatwierdzania lub odrzucania żądań. Wybierz pozycję Osoby zatwierdzające dla systemów autoryzacji, których chcesz używać z uprawnieniami na żądanie. Zalecamy co najmniej dwie osoby zatwierdzające dla każdego systemu autoryzacji.
Tworzenie grup zabezpieczeń entra firmy Microsoft dla osób zatwierdzających
Aby delegować uprawnienia, zespół ds. zarządzania dostępem i tożsamościami tworzy grupy zabezpieczeń firmy Microsoft mapujące je na osoby zatwierdzające. Upewnij się, że osoby zatwierdzające z wspólną własnością i obowiązkami znajdują się w tej samej grupie zabezpieczeń.
Zalecamy użycie usługi PIM dla grup. Zapewnia to dostęp JIT do uprawnień osoby zatwierdzającej w celu zatwierdzenia lub odmowy uprawnień na żądanie.
Aby utworzyć grupy zabezpieczeń Microsoft Entra ID, zobacz Zarządzanie grupami i członkostwem w grupach.
Przypisywanie uprawnień do osób zatwierdzających
Po utworzeniu grup zabezpieczeń firmy Microsoft Entra administrator zarządzania uprawnieniami przyznaje grupom zabezpieczeń uprawnienia osoby zatwierdzającej w obszarze Zarządzanie uprawnieniami. Upewnij się, że grupy zabezpieczeń mają przyznane uprawnienia osoby zatwierdzającej dla systemów autoryzacji, za które są odpowiedzialne. Dowiedz się więcej na temat Zarządzanie uprawnieniami Microsoft Entra ról i poziomów uprawnień.
Określanie i tworzenie grupy zabezpieczeń Administrator żądań
Wyznaczyć co najmniej dwóch administratorów żądań, którzy tworzą żądania uprawnień na żądanie w imieniu tożsamości w twoim środowisku. Na przykład w przypadku tożsamości maszyn. Utwórz grupę zabezpieczeń entra firmy Microsoft dla tych administratorów żądań.
Zalecamy użycie usługi PIM dla grup. Zapewnia to dostęp JIT do uprawnień osoby żądającej wymaganych do tworzenia żądań uprawnień na żądanie w imieniu innych użytkowników.
Aby utworzyć grupy zabezpieczeń Microsoft Entra ID, zobacz Zarządzanie grupami i członkostwem w grupach.
Zezwalaj użytkownikom na wykonywanie żądań na żądanie uprawnień
Administrator zarządzania uprawnieniami dodaje tożsamości osoby żądającej do grupy zabezpieczeń Administrator żądający dla każdego systemu autoryzacji. Dodanie tożsamości osoby żądającej umożliwia jej wykonywanie żądań na żądanie uprawnień dla dowolnego systemu autoryzacji, dla którego ma uprawnienia. Członkowie grupy zabezpieczeń Administrator żądań mogą żądać uprawnień w imieniu tożsamości dla określonego systemu autoryzacji. Dowiedz się więcej na temat Zarządzanie uprawnieniami Microsoft Entra ról i poziomów uprawnień.
Określanie zasad organizacji dla uprawnień na żądanie
Ustawienia uprawnień na żądanie można skonfigurować tak, aby były zgodne z potrzebami organizacji. Zalecamy ustanowienie zasad dla:
- Dostępne role i zasady dla użytkowników do żądania: użyj filtrów ról i zasad, aby określić, czego użytkownicy mogą zażądać. Uniemożliwiaj niekwalifikowanym użytkownikom żądania ról o wysokim ryzyku, wysoce uprzywilejowanych, takich jak właściciel subskrypcji.
- Limity czasu trwania żądania: określ maksymalny dozwolony czas trwania uprawnień uzyskanych za pośrednictwem uprawnień na żądanie. Zaakceptuj limit czasu trwania, który jest zgodny ze sposobem żądania użytkowników i uzyskiwania dostępu do uprawnień.
- Zasady jednorazowego kodu dostępu (OTP): możesz wymagać wiadomości e-mail dla żądających tworzenia żądań. Ponadto można wymagać, aby osoby zatwierdzające zatwierdzały lub odrzucały żądania pocztą e-mail. Użyj tych konfiguracji dla jednego lub obu scenariuszy.
- Automatyczne zatwierdzenia dla platformy AWS: jako opcja Uprawnień na żądanie dla platformy AWS można skonfigurować określone żądania zasad do automatycznego zatwierdzania. Możesz na przykład dodać typowe zasady niskiego ryzyka do listy automatycznego zatwierdzania i pomóc zaoszczędzić czas dla osób żądających i osób zatwierdzających.
Dowiedz się, jak dokonać wyboru ustawień żądań i automatycznych zatwierdzeń.
Tworzenie niestandardowych szablonów ról/zasad dla organizacji
W Zarządzanie uprawnieniami Microsoft Entra szablony ról/zasad to zestawy uprawnień, które można utworzyć dla uprawnień na żądanie. Utwórz szablony mapujące na typowe akcje wykonywane w danym środowisku. Następnie użytkownicy mają szablony do żądania zestawów uprawnień, a nie ciągłe wybieranie poszczególnych uprawnień.
Jeśli na przykład tworzenie maszyny wirtualnej jest typowym zadaniem, utwórz szablon utwórz maszynę wirtualną z wymaganymi uprawnieniami. Użytkownicy nie muszą wiedzieć ani ręcznie wybierać wszystkich wymaganych uprawnień do zadania.
Aby dowiedzieć się, jak tworzyć szablony ról/zasad, zobacz Wyświetlanie ról/zasad i żądań dotyczących uprawnień na pulpicie nawigacyjnym korygowania.