Kontrola zabezpieczeń: dostęp uprzywilejowany
Dostęp uprzywilejowany obejmuje mechanizmy kontroli ochrony uprzywilejowanego dostępu do dzierżawy i zasobów, w tym szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i uprzywilejowanych stacji roboczych dostępu przed celowym i nieumyślnym ryzykiem.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Zasada zabezpieczeń: Upewnij się, że zidentyfikowasz wszystkie konta o wysokim wpływie na działalność biznesową. Ogranicz liczbę kont uprzywilejowanych/administracyjnych na płaszczyźnie sterowania chmury, płaszczyźnie zarządzania i na płaszczyźnie danych/obciążeń.
Wskazówki dotyczące platformy Azure: musisz zabezpieczyć wszystkie role z bezpośrednim lub pośrednim dostępem administracyjnym do zasobów hostowanych na platformie Azure.
Azure Active Directory (Azure AD) to domyślna usługa zarządzania tożsamościami i dostępem platformy Azure. Najbardziej krytyczne role wbudowane w Azure AD to administrator globalny i administrator ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych dwóch ról mogą delegować role administratora. Przy użyciu tych uprawnień użytkownicy mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure:
- Administrator globalny/administrator firmy: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w Azure AD, a także usług korzystających z tożsamości Azure AD.
- Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w Azure AD, a także w Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.
Poza Azure AD platforma Azure ma wbudowane role, które mogą mieć krytyczne znaczenie dla uprzywilejowanego dostępu na poziomie zasobu.
- Właściciel: udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
- Współautor: udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie zezwala na przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure, zarządzanie przypisaniami w usłudze Azure Blueprints lub udostępnianie galerii obrazów.
- Administrator dostępu użytkowników: umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure.
Uwaga: Możesz mieć inne role krytyczne, które muszą być zarządzane, jeśli używasz ról niestandardowych na poziomie Azure AD lub na poziomie zasobu z przypisanymi określonymi uprawnieniami uprzywilejowanymi.
Ponadto użytkownicy z następującymi trzema rolami w portalu azure Enterprise Agreement (EA) powinni być również ograniczeni, ponieważ mogą one być używane bezpośrednio lub pośrednio do zarządzania subskrypcjami platformy Azure.
- Właściciel konta: użytkownicy z tą rolą mogą zarządzać subskrypcjami, w tym tworzeniem i usuwaniem subskrypcji.
- Administrator przedsiębiorstwa: użytkownicy przypisani do tej roli mogą zarządzać użytkownikami portalu (EA).
- Administrator działu: użytkownicy przypisani do tej roli mogą zmieniać właścicieli kont w dziale.
Ponadto upewnij się, że masz również ograniczone konta uprzywilejowane w innych systemach zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów krytycznych dla działania firmy, takich jak kontrolery domena usługi Active Directory (DCs), narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które naruszyją te systemy zarządzania i zabezpieczeń, mogą natychmiast obroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja platformy Azure i dodatkowy kontekst:
- Uprawnienia ról administratora w usłudze Azure AD
- Używanie alertów zabezpieczeń usługi Azure Privileged Identity Management
- Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i wdrożeń w chmurze w usłudze Azure AD
Wskazówki dotyczące platformy AWS: musisz zabezpieczyć wszystkie role z bezpośrednim lub pośrednim dostępem administracyjnym do hostowanych zasobów platformy AWS.
Użytkownicy uprzywilejowani/administracyjni muszą być zabezpieczani:
- Użytkownik główny: użytkownik główny to konta uprzywilejowane najwyższego poziomu na koncie platformy AWS. Konta główne powinny być wysoce ograniczone i używane tylko w sytuacji awaryjnej. Zapoznaj się z mechanizmami kontroli dostępu awaryjnego w usłudze PA-5 (Konfigurowanie dostępu awaryjnego).
- Tożsamości zarządzania dostępem i tożsamościami (użytkownikami, grupami, rolami) z zasadami uprawnień uprzywilejowanych: tożsamości przypisane z zasadami uprawnień, takimi jak AdministratorAccess, mogą mieć pełny dostęp do usług i zasobów platformy AWS.
Jeśli używasz usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości dla platformy AWS, zapoznaj się ze wskazówkami platformy Azure dotyczącymi zarządzania rolami uprzywilejowanymi w Azure AD.
Upewnij się, że masz również ograniczone konta uprzywilejowane w innych systemach zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów krytycznych dla działania firmy, takich jak AWS Cognito, narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które naruszyją te systemy zarządzania i zabezpieczeń, mogą natychmiast obroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: należy zabezpieczyć wszystkie role z bezpośrednim lub pośrednim dostępem administracyjnym do zasobów hostowanych przez platformę GCP.
Najbardziej krytyczną wbudowaną rolą w usłudze Google Cloud jest administrator. Administrator może wykonywać wszystkie zadania w konsoli Administracja i mieć nieodwracalne uprawnienia administracyjne. Zaleca się korzystanie z konta administratora na potrzeby codziennego administrowania.
Role podstawowe są wysoce permisywne w starszych rolach i zaleca się, aby podstawowe role nie były używane w środowiskach produkcyjnych, ponieważ udziela szerokiego dostępu we wszystkich zasobach usługi Google Cloud. Role podstawowe obejmują role Osoby przeglądającego, Edytora i Właściciela. Zamiast tego zaleca się używanie wstępnie zdefiniowanych lub niestandardowych ról. Wstępnie zdefiniowane role uprzywilejowane obejmują:
- Administrator organizacji: użytkownicy z tą rolą mogą zarządzać zasadami zarządzania tożsamościami i wyświetlać zasady organizacji dla organizacji, folderów i projektów.
- Administrator zasad organizacji: użytkownicy z tą rolą mogą definiować ograniczenia, które organizacja chce umieścić w konfiguracji zasobów w chmurze, ustawiając zasady organizacji.
- Administrator roli organizacji: użytkownicy z tą rolą mogą administrować wszystkimi rolami niestandardowymi w organizacji i projektami poniżej.
- Administracja zabezpieczeń: użytkownicy z tą rolą mogą pobierać i ustawiać dowolne zasady zarządzania dostępem i tożsamościami.
- Odmów Administracja: użytkownicy z tą rolą mają uprawnienia do odczytywania i modyfikowania zasad odmowy dostępu i tożsamości.
Ponadto niektóre wstępnie zdefiniowane role zawierają uprawnienia uprzywilejowanego zarządzania dostępem i tożsamościami na poziomie organizacji, folderu i projektu. Te uprawnienia do zarządzania dostępem i tożsamościami obejmują:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Ponadto zaimplementuj rozdzielenie obowiązków, przypisując role do kont dla różnych projektów lub korzystając z funkcji autoryzacji binarnej za pomocą aparatu Google Kubernetes.
Ponadto upewnij się, że masz również ograniczone konta uprzywilejowane w innych systemach zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów krytycznych dla działania firmy, takich jak Usługa DNS w chmurze, narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach o znaczeniu krytycznym dla działania firmy. Osoby atakujące, które naruszyją te systemy zarządzania i zabezpieczeń, mogą natychmiast obroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja GCP i dodatkowy kontekst:
- Najlepsze rozwiązania dotyczące konta administratora
- Dokumentacja podstawowych i wstępnie zdefiniowanych ról funkcji IAM
- Rozdzielenie obowiązków i ról zarządzania tożsamościami i dostępem
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
- Zarządzanie zgodnością z zabezpieczeniami
- Operacje zabezpieczeń
PA-2: Unikaj stałego dostępu dla kont użytkowników i uprawnień
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | AC-2 | Nie dotyczy |
Zasada zabezpieczeń: Zamiast tworzyć stałe uprawnienia, użyj mechanizmu just in time (JIT), aby przypisać uprzywilejowany dostęp do różnych warstw zasobów.
Wskazówki dotyczące platformy Azure: włączanie uprzywilejowanego dostępu just in time (JIT) do zasobów platformy Azure i Azure AD przy użyciu Azure AD Privileged Identity Management (PIM). JIT to model, w którym użytkownicy otrzymują tymczasowe uprawnienia do wykonywania zadań uprzywilejowanych, co uniemożliwia złośliwym lub nieautoryzowanym użytkownikom uzyskanie dostępu po wygaśnięciu uprawnień. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.
Ogranicz ruch przychodzący do poufnych portów zarządzania maszynami wirtualnymi przy użyciu Microsoft Defender dla funkcji dostępu just in time (JIT) w chmurze. Zapewnia to uprzywilejowany dostęp do maszyny wirtualnej tylko wtedy, gdy użytkownicy tego potrzebują.
Implementacja platformy Azure i dodatkowy kontekst:
- Wdrażanie dostępu just in time w usłudze Azure PIM
- Informacje o dostępie just in time (JIT) do maszyny wirtualnej
Wskazówki dotyczące platformy AWS: Używanie usługi AWS Security Token Service (AWS STS) do tworzenia tymczasowych poświadczeń zabezpieczeń w celu uzyskania dostępu do zasobów za pośrednictwem interfejsu API platformy AWS. Tymczasowe poświadczenia zabezpieczeń działają niemal identycznie z poświadczeniami klucza dostępu długoterminowego, których użytkownicy tożsamości mogą używać, z następującymi różnicami:
- Tymczasowe poświadczenia zabezpieczeń mają krótkotrwały okres istnienia od kilku minut do godzin.
- Tymczasowe poświadczenia zabezpieczeń nie są przechowywane z użytkownikiem, ale są generowane dynamicznie i udostępniane użytkownikowi po żądaniu.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące narzędzia GCP: użyj dostępu warunkowego IAM, aby utworzyć tymczasowy dostęp do zasobów przy użyciu powiązań ról warunkowych w zasadach dozwolonych, które są przyznawane użytkownikom usługi Cloud Identity. Skonfiguruj atrybuty daty/godziny, aby wymusić kontrolę opartą na czasie na potrzeby uzyskiwania dostępu do określonego zasobu. Dostęp tymczasowy może mieć krótkotrwałe życie, od minut do godzin lub może być udzielany na podstawie dni lub godzin tygodnia.
Implementacja GCP i dodatkowy kontekst:
- Omówienie warunków i tożsamości
- Konfigurowanie dostępu tymczasowego
- Omówienie menedżera kontekstu dostępu
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
- Zarządzanie zgodnością z zabezpieczeniami
- Operacje zabezpieczeń
PA-3: Zarządzanie cyklem życia tożsamości i uprawnień
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Zasada zabezpieczeń: użyj zautomatyzowanego procesu lub kontroli technicznej do zarządzania cyklem życia tożsamości i dostępu, w tym żądania, przeglądu, zatwierdzenia, aprowizacji i anulowania aprowizacji.
Wskazówki dotyczące platformy Azure: użyj funkcji zarządzania upoważnieniami Azure AD, aby zautomatyzować przepływy pracy żądań dostępu (w przypadku grup zasobów platformy Azure). Dzięki temu przepływy pracy dla grup zasobów platformy Azure umożliwiają zarządzanie przypisaniami dostępu, przeglądami, wygaśnięciem i zatwierdzeniem podwójnym lub wieloetapowym.
Zarządzanie uprawnieniami umożliwia wykrywanie, automatyczne ustawianie odpowiedniego rozmiaru oraz ciągłe monitorowanie nieużywanych i nadmiernych uprawnień przypisanych do tożsamości użytkowników i obciążeń w infrastrukturze obejmującej wiele chmur.
Implementacja platformy Azure i dodatkowy kontekst:
- Co to są Azure AD przeglądy dostępu
- Co to jest zarządzanie upoważnieniami Azure AD
- Omówienie zarządzania uprawnieniami
Wskazówki dotyczące platformy AWS: użyj usługi AWS Access Advisor, aby ściągnąć dzienniki dostępu dla kont użytkowników i uprawnień do zasobów. Utwórz ręczny lub zautomatyzowany przepływ pracy, aby zintegrować się z usługą AWS IAM w celu zarządzania przypisaniami dostępu, przeglądami i usuwaniem.
Uwaga: w witrynie AWS Marketplace dostępne są rozwiązania innych firm do zarządzania cyklem życia tożsamości i uprawnień.
Implementacja platformy AWS i dodatkowy kontekst:
- Doradca dostępu do usługi IAM
- Rozwiązania do zarządzania tożsamościami i dostępem w witrynie AWS Marketplace
Wskazówki dotyczące narzędzia GCP: Użyj dzienników inspekcji chmury firmy Google, aby pobrać dzienniki inspekcji dostępu administratora i danych dla kont użytkowników i uprawnień do zasobów. Utwórz ręczny lub zautomatyzowany przepływ pracy do integracji z zarządzaniem przypisaniami dostępu, przeglądami i usuwaniem za pomocą funkcji GCP IAM.
Usługa Google Cloud Identity Premium zapewnia podstawowe usługi zarządzania tożsamościami i urządzeniami. Te usługi obejmują funkcje, takie jak automatyczne aprowizowanie użytkowników, umieszczanie aplikacji na białej liście i automatyczne zarządzanie urządzeniami przenośnymi.
Uwaga: w witrynie Google Cloud Marketplace dostępne są rozwiązania innych firm do zarządzania cyklem życia tożsamości i uprawnień.
Implementacja GCP i dodatkowy kontekst:
- Doradca dostępu do usługi IAM
- Cloud Identity and Atlassian Access: Zarządzanie cyklem życia użytkowników w całej organizacji
- Udzielanie i odwoływania dostępu do interfejsu API
- Odwoływanie dostępu do projektu Google Cloud
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością z zabezpieczeniami
PA-4: Regularne przeglądanie i uzgadnianie dostępu użytkowników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Zasada zabezpieczeń: przeprowadzanie regularnego przeglądu uprawnień uprzywilejowanego konta. Upewnij się, że dostęp udzielony do kont jest ważny w przypadku administrowania płaszczyzną sterowania, płaszczyzną zarządzania i obciążeniami.
Wskazówki dotyczące platformy Azure: Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu na platformie Azure, w tym dzierżawy platformy Azure, usługi platformy Azure, maszyny wirtualnej/IaaS, procesy ciągłej integracji/ciągłego wdrażania oraz narzędzia do zarządzania i zabezpieczeń przedsiębiorstwa.
Przeglądy dostępu Azure AD umożliwiają przeglądanie ról Azure AD, ról dostępu do zasobów platformy Azure, członkostwa w grupach i dostępu do aplikacji dla przedsiębiorstw. Azure AD raportowanie może również udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont lub kont, które nie były używane przez określony czas.
Ponadto Azure AD Privileged Identity Management można skonfigurować tak, aby otrzymywać alerty w przypadku utworzenia nadmiernej liczby kont administratorów dla określonej roli oraz identyfikowania kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Implementacja platformy Azure i dodatkowy kontekst:
- Tworzenie przeglądu dostępu ról zasobów platformy Azure w usłudze Privileged Identity Management (PIM)
- Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD
Wskazówki dotyczące platformy AWS: Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu na platformie AWS, w tym konta platformy AWS, usługi, maszyny wirtualnej/IaaS, procesy ciągłej integracji/ciągłego wdrażania oraz narzędzia do zarządzania i zabezpieczeń przedsiębiorstwa.
Użyj usługi IAM Access Advisor, analizatora dostępu i raportów poświadczeń, aby przejrzeć role dostępu do zasobów, członkostwo w grupach i dostęp do aplikacji dla przedsiębiorstw. Raporty analizatora dostępu i poświadczeń usługi IAM mogą również dostarczać dzienniki ułatwiające odnajdywanie nieaktualnych kont lub kont, które nie były używane przez określony czas.
Jeśli używasz usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości dla platformy AWS, użyj przeglądu dostępu Azure AD, aby okresowo przeglądać uprzywilejowane konta i uprawnienia dostępu.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu w usłudze Google Cloud, w tym konta tożsamości w chmurze, usługi, maszyny wirtualnej/IaaS, procesy ciągłej integracji/ciągłego wdrażania oraz narzędzia do zarządzania i zabezpieczeń przedsiębiorstwa.
Użyj dzienników inspekcji chmury i analizatora zasad, aby przejrzeć role dostępu do zasobów i członkostwa w grupach. Tworzenie zapytań analizy w analizatorze zasad w celu ustalenia, które podmioty zabezpieczeń mogą uzyskiwać dostęp do określonych zasobów.
Jeśli używasz usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości dla usługi Google Cloud, użyj przeglądu dostępu Azure AD, aby okresowo przeglądać uprzywilejowane konta i uprawnienia dostępu.
Ponadto Azure AD Privileged Identity Management można skonfigurować tak, aby otrzymywać alerty w przypadku utworzenia nadmiernej liczby kont administratorów dla określonej roli oraz identyfikowania kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością z zabezpieczeniami
PA-5: Konfigurowanie dostępu awaryjnego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | AC-2 | Nie dotyczy |
Zasada zabezpieczeń: skonfiguruj dostęp awaryjny, aby upewnić się, że nie został przypadkowo zablokowany z krytycznej infrastruktury chmury (takiej jak system zarządzania tożsamościami i dostępem) w nagłych wypadkach.
Konta dostępu awaryjnego powinny być rzadko używane i mogą być wysoce szkodliwe dla organizacji w przypadku naruszenia zabezpieczeń, ale ich dostępność w organizacji jest również niezwykle ważna w przypadku kilku scenariuszy, gdy są wymagane.
Wskazówki dotyczące platformy Azure: aby zapobiec przypadkowemu zablokowaniu z organizacji Azure AD, skonfiguruj konto dostępu awaryjnego (np. konto z rolą administratora globalnego) w celu uzyskania dostępu, gdy nie można używać normalnych kont administracyjnych. Konta dostępu awaryjnego są zwykle wysoce uprzywilejowane i nie powinny być przypisane do konkretnych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy awaryjnych lub "szkła awaryjnego", w których nie można używać normalnych kont administracyjnych.
Należy upewnić się, że poświadczenia (takie jak hasło, certyfikat lub karta inteligentna) dla kont dostępu awaryjnego są bezpieczne i znane tylko osobom, które są upoważnione do ich używania tylko w sytuacji awaryjnej. Możesz również użyć dodatkowych kontrolek, takich jak podwójne kontrolki (np. podzielenie poświadczeń na dwie elementy i przekazanie jej do osobnych osób) w celu zwiększenia bezpieczeństwa tego procesu. Należy również monitorować dzienniki logowania i inspekcji, aby upewnić się, że konta dostępu awaryjnego są używane tylko w przypadku autoryzacji.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: konta "root" platformy AWS nie powinny być używane do zwykłych zadań administracyjnych. Ponieważ konto "root" jest wysoce uprzywilejowane, nie powinno być przypisane do określonych osób. Jego użycie powinno być ograniczone tylko do scenariuszy awaryjnych lub "szklenia", gdy nie można używać normalnych kont administracyjnych. W przypadku codziennych zadań administracyjnych należy używać oddzielnych uprzywilejowanych kont użytkowników i przypisywać odpowiednie uprawnienia za pośrednictwem ról zarządzania dostępem i tożsamościami.
Należy również upewnić się, że poświadczenia (takie jak hasło, tokeny uwierzytelniania wieloskładnikowego i klucze dostępu) dla kont głównych są bezpieczne i znane tylko osobom uprawnionym do korzystania z nich tylko w nagłych wypadkach. Uwierzytelnianie wieloskładnikowe powinno być włączone dla konta głównego. W celu zwiększenia bezpieczeństwa tego procesu można również użyć dodatkowych kontrolek, takich jak podwójne kontrolki (np. podzielenie poświadczeń na dwa elementy i przekazanie go osobom).
Należy również monitorować dzienniki logowania i inspekcji w usłudze CloudTrail lub EventBridge, aby upewnić się, że konta dostępu głównego są używane tylko w przypadku autoryzacji.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: konta administratora usługi Google Cloud Identity nie powinny być używane do zwykłych zadań administracyjnych. Ponieważ konto administratora jest wysoce uprzywilejowane, nie powinno być przypisane do określonych osób. Jego użycie powinno być ograniczone tylko do scenariuszy awaryjnych lub "szklenia", gdy nie można używać normalnych kont administracyjnych. W przypadku codziennych zadań administracyjnych należy używać oddzielnych uprzywilejowanych kont użytkowników i przypisywać odpowiednie uprawnienia za pośrednictwem ról zarządzania dostępem i tożsamościami.
Należy również upewnić się, że poświadczenia (takie jak hasło, tokeny uwierzytelniania wieloskładnikowego i klucze dostępu) dla kont administratora są bezpieczne i znane tylko osobom, które mają uprawnienia do ich używania tylko w nagłych wypadkach. Uwierzytelnianie wieloskładnikowe powinno być włączone dla konta administratora i można również użyć dodatkowych kontrolek, takich jak podwójne kontrolki (np. podzielenie poświadczeń na dwa elementy i nadanie jej osobom) w celu zwiększenia bezpieczeństwa tego procesu.
Należy również monitorować dzienniki logowania i inspekcji w dziennikach inspekcji w chmurze lub wysyłać zapytania do Analizatora zasad, aby upewnić się, że konta administratora są używane tylko w przypadku autoryzacji.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością zabezpieczeń
- Operacje zabezpieczeń (SecOps)
PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Nie dotyczy |
Zasada zabezpieczeń: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej.
Wskazówki dotyczące platformy Azure: użyj usługi Azure Active Directory, Microsoft Defender i/lub Microsoft Intune, aby wdrożyć stacje robocze z uprzywilejowanym dostępem (PAW) lokalnie lub na platformie Azure na potrzeby zadań uprzywilejowanych. Stację roboczą z dostępem uprzywilejowanym należy centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu oraz ograniczonego dostępu do sieci i logicznego.
Możesz również użyć usługi Azure Bastion, która jest w pełni zarządzaną usługą PaaS zarządzaną przez platformę, którą można aprowizować w sieci wirtualnej. Usługa Azure Bastion umożliwia łączność RDP/SSH z maszynami wirtualnymi bezpośrednio z Azure Portal przy użyciu przeglądarki internetowej.
Implementacja platformy Azure i dodatkowy kontekst:
- Informacje o stacjach roboczych z dostępem uprzywilejowanym
- Wdrażanie stacji roboczych z dostępem uprzywilejowanym
Wskazówki dotyczące platformy AWS: Użyj Menedżera sesji w Menedżerze systemów platformy AWS, aby utworzyć ścieżkę dostępu (sesję połączenia) do wystąpienia usługi EC2 lub sesji przeglądarki do zasobów platformy AWS na potrzeby zadań uprzywilejowanych. Menedżer sesji umożliwia łączność RDP, SSH i HTTPS z hostami docelowymi za pośrednictwem przekazywania portów.
Możesz również wdrożyć stacje robocze z dostępem uprzywilejowanym (PAW) zarządzane centralnie za pośrednictwem usługi Azure Active Directory, Microsoft Defender i/lub Microsoft Intune. Centralne zarządzanie powinno wymuszać bezpieczną konfigurację, w tym silne uwierzytelnianie, punkty odniesienia oprogramowania i sprzętu oraz ograniczony dostęp logiczny i sieciowy.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Użyj programu Identity-Aware Proxy (IAP) Desktop, aby utworzyć ścieżkę dostępu (sesję połączenia) do wystąpienia obliczeniowego dla zadań uprzywilejowanych. Program IAP Desktop umożliwia łączność RDP i SSH z hostami docelowymi za pośrednictwem przekazywania portów. Ponadto wystąpienia obliczeniowe systemu Linux, które są dostępne zewnętrznie, mogą być połączone za pośrednictwem przeglądarki SSH-in-browser za pośrednictwem konsoli Google Cloud.
Możesz również wdrożyć stacje robocze z dostępem uprzywilejowanym (PAW) centralnie zarządzane za pośrednictwem rozwiązania Do zarządzania punktami końcowymi obszaru roboczego Google lub rozwiązań firmy Microsoft (Azure Active Directory, Microsoft Defender i/lub Microsoft Intune). Centralne zarządzanie powinno wymuszać bezpieczną konfigurację, w tym silne uwierzytelnianie, punkty odniesienia oprogramowania i sprzętu oraz ograniczony dostęp logiczny i sieciowy.
Możesz również utworzyć hosty bastionu na potrzeby bezpiecznego dostępu do zaufanych środowisk ze zdefiniowanymi parametrami.
Implementacja GCP i dodatkowy kontekst:
- Bezpieczne nawiązywanie połączenia z wystąpieniami maszyn wirtualnych
- Nawiązywanie połączenia z maszynami wirtualnymi z systemem Linux przy użyciu serwera proxy Identity-Aware
- Nawiązywanie połączenia z maszynami wirtualnymi przy użyciu hosta bastionu
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Operacje zabezpieczeń (SecOps)
- Zarządzanie tożsamościami i kluczami
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Zasada zabezpieczeń: postępuj zgodnie z zasadą administrowania (najniższymi uprawnieniami), aby zarządzać uprawnieniami na poziomie szczegółowości. Użyj funkcji, takich jak kontrola dostępu oparta na rolach (RBAC), aby zarządzać dostępem do zasobów za pomocą przypisań ról.
Wskazówki dotyczące platformy Azure: Zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról platformy Azure przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. Za pomocą kontroli dostępu opartej na rolach można przypisywać role do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów, a te role można tworzyć w spisie lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell i Azure Portal.
Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Ograniczone uprawnienia będą uzupełniać podejście just in time (JIT) Azure AD Privileged Identity Management (PIM), a te uprawnienia powinny być okresowo przeglądane. W razie potrzeby można również użyć usługi PIM do zdefiniowania przypisania powiązanego czasowo, co jest warunkiem w przypisaniu roli, w którym użytkownik może aktywować rolę tylko w określonych datach rozpoczęcia i zakończenia.
Uwaga: użyj wbudowanych ról platformy Azure, aby przydzielić uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane.
Implementacja platformy Azure i dodatkowy kontekst:
- Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)
- Jak skonfigurować kontrolę RBAC na platformie Azure
- Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD
- Azure AD Privileged Identity Management — przypisanie powiązane czasowo
Wskazówki dotyczące platformy AWS: zarządzanie dostępem do zasobów platformy AWS przy użyciu zasad platformy AWS. Istnieją sześć typów zasad: zasady oparte na tożsamościach, zasady oparte na zasobach, granice uprawnień, zasady kontroli usługi AWS Organizations (SCP), zasady Access Control List i zasady sesji. W typowych przypadkach użycia uprawnień można używać zasad zarządzanych platformy AWS. Należy jednak pamiętać, że zasady zarządzane mogą mieć nadmierne uprawnienia, które nie powinny być przypisane do użytkowników.
Możesz również użyć usługi AWS ABAC (kontroli dostępu opartej na atrybutach) do przypisywania uprawnień na podstawie atrybutów (tagów) dołączonych do zasobów zarządzania dostępem i tożsamościami, w tym jednostek zarządzania dostępem i tożsamościami (użytkowników lub ról) i zasobów platformy AWS.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Zarządzanie dostępem do zasobów GCP za pomocą przypisań ról za pomocą zasad zarządzania dostępem do zasobów W chmurze Google. W przypadku typowych przypadków użycia uprawnień można używać wstępnie zdefiniowanych ról usługi Google Cloud. Należy jednak pamiętać, że wstępnie zdefiniowane role mogą mieć nadmierne uprawnienia, które nie powinny być przypisane do użytkowników.
Ponadto użyj analizy zasad z modułem rekomendacji zarządzania dostępem i tożsamościami, aby zidentyfikować i usunąć nadmierne uprawnienia z kont.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
- Zarządzanie tożsamościami i kluczami
PA-8 Określanie procesu dostępu do obsługi dostawcy usług w chmurze
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Nie dotyczy |
Zasada zabezpieczeń: ustanów proces zatwierdzania i ścieżkę dostępu do żądania i zatwierdzania żądań pomocy technicznej dostawcy oraz tymczasowego dostępu do danych za pośrednictwem bezpiecznego kanału.
Wskazówki dotyczące platformy Azure: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta, aby przejrzeć i zatwierdzić lub odrzucić każde żądanie dostępu do danych złożone przez firmę Microsoft.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: w scenariuszach pomocy technicznej, w których zespoły pomocy technicznej platformy AWS muszą uzyskiwać dostęp do danych, utwórz konto w portalu pomocy technicznej platformy AWS, aby poprosić o pomoc techniczną. Przejrzyj dostępne opcje, takie jak zapewnianie dostępu do danych tylko do odczytu lub opcja udostępniania ekranu dla obsługi platformy AWS w celu uzyskania dostępu do danych.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: W scenariuszach pomocy technicznej, w których usługa Google Cloud Customer Care musi uzyskiwać dostęp do danych, użyj funkcji Zatwierdzania dostępu, aby przejrzeć i zatwierdzić lub odrzucić wszystkie żądania dostępu do danych wysyłane przez usługę Cloud Customer Care.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):