Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dostęp uprzywilejowany obejmuje mechanizmy kontroli ochrony uprzywilejowanego dostępu do dzierżawy i zasobów, w tym szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i uprzywilejowanych stacji roboczych dostępu przed celowym i nieumyślnym ryzykiem.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5,4, 6,8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Zasada zabezpieczeń: Upewnij się, że zidentyfikowasz wszystkie konta o dużym wpływie na działalność biznesową. Ogranicz liczbę kont uprzywilejowanych/administracyjnych na płaszczyźnie sterowania chmury, płaszczyźnie zarządzania i płaszczyźnie danych/obciążeń.
Wskazówki dotyczące platformy Azure: musisz zabezpieczyć wszystkie role z bezpośrednim lub pośrednim dostępem administracyjnym do zasobów hostowanych na platformie Azure.
Azure Active Directory (Azure AD) to domyślna usługa zarządzania tożsamościami i dostępem platformy Azure. Najważniejsze role wbudowane w usłudze Azure AD to administrator globalny i administrator ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych dwóch ról mogą delegować role administratora. Dzięki tym uprawnieniam użytkownicy mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure:
- Administrator globalny/administrator firmy: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w usłudze Azure AD, a także usług korzystających z tożsamości usługi Azure AD.
- Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w usłudze Azure AD, a także w usłudze Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.
Poza usługą Azure AD platforma Azure ma wbudowane role, które mogą mieć krytyczne znaczenie dla uprzywilejowanego dostępu na poziomie zasobu.
- Właściciel: udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w Azure RBAC.
- Współautor: udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie zezwala na przypisywanie ról w Azure RBAC, zarządzanie przypisaniami w Azure Blueprints ani udostępnianie galerii obrazów.
- Administrator dostępu użytkowników: umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure.
Uwaga: możesz mieć inne role krytyczne, które muszą być zarządzane, jeśli używasz ról niestandardowych na poziomie usługi Azure AD lub na poziomie zasobu z przypisanymi określonymi uprawnieniami uprzywilejowanymi.
Ponadto użytkownicy posiadający trzy następujące role w portalu Azure Enterprise Agreement (EA) również powinni być ograniczeni, ponieważ mogą umożliwiać bezpośrednie lub pośrednie zarządzanie subskrypcjami Azure.
- Właściciel konta: użytkownicy z tą rolą mogą zarządzać subskrypcjami, w tym tworzeniem i usuwaniem subskrypcji.
- Administrator przedsiębiorstwa: użytkownicy przypisani do tej roli mogą zarządzać użytkownikami portalu (EA).
- Administrator działu: użytkownicy przypisani z tą rolą mogą zmieniać właścicieli kont w dziale.
Ponadto upewnij się, że w innych systemach zarządzania, tożsamości i zabezpieczeń można również ograniczyć konta uprzywilejowane, które mają dostęp administracyjny do zasobów o krytycznym znaczeniu dla działania firmy, takich jak kontrolery domeny usługi Active Directory (DC), narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które zagrażają tym systemom zarządzania i zabezpieczeń, mogą natychmiast zbroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja platformy Azure i dodatkowy kontekst:
- Uprawnienia roli administratora w usłudze Azure AD
- Korzystanie z alertów zabezpieczeń usługi Azure Privileged Identity Management
- Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i w chmurze w usłudze Azure AD
Wskazówki dotyczące platformy AWS: musisz zabezpieczyć wszystkie role z bezpośrednim lub pośrednim dostępem administracyjnym do hostowanych zasobów platformy AWS.
Użytkownicy uprzywilejowani/administracyjni muszą być zabezpieczani:
- Użytkownik główny: użytkownik główny to konta uprzywilejowane najwyższego poziomu na koncie platformy AWS. Konta główne powinny być wysoce ograniczone i używane tylko w sytuacji awaryjnej. Zapoznaj się z kontrolami dostępu awaryjnego w usłudze PA-5 (Konfigurowanie dostępu awaryjnego).
- Tożsamości IAM (użytkownicy, grupy, role) z uprzywilejowaną polityką uprawnień: tożsamościom IAM przypisanym polityki uprawnień, takie jak AdministratorAccess, mogą mieć pełny dostęp do usług i zasobów AWS.
Jeśli używasz usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości dla platformy AWS, zapoznaj się ze wskazówkami platformy Azure dotyczącymi zarządzania rolami uprzywilejowanymi w usłudze Azure AD.
Upewnij się, że również ograniczasz konta z uprawnieniami w innych systemach zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów o krytycznym znaczeniu dla działania firmy, takich jak AWS Cognito, narzędzia zabezpieczeń i narzędzia do zarządzania systemami z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które zagrażają tym systemom zarządzania i zabezpieczeń, mogą natychmiast zbroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: należy zabezpieczyć wszystkie role z bezpośrednim lub pośrednim dostępem administracyjnym do hostowanych zasobów GCP.
Najważniejszą wbudowaną rolą w usłudze Google Cloud jest superadministrator. Administrator super może wykonywać wszystkie zadania w konsoli administracyjnej i ma nieodwracalne uprawnienia administracyjne. Odradza się używanie konta superadministratora do codziennego administrowania.
Role podstawowe są wysoko zezwalającymi rolami typu legacy i nie zaleca się ich używania w środowiskach produkcyjnych, ponieważ zapewniają szeroki dostęp do wszystkich zasobów Google Cloud. Role podstawowe obejmują role Osoba przeglądająca, Edytor i Właściciel. Zamiast tego zaleca się używanie wstępnie zdefiniowanych lub niestandardowych ról. Istotne wstępnie zdefiniowane role uprzywilejowane obejmują:
- Administrator organizacji: użytkownicy z tą rolą mogą zarządzać zasadami IAM i wyświetlać zasady organizacji dla organizacji, folderów i projektów.
- Administrator zasad organizacji: użytkownicy z tą rolą mogą definiować ograniczenia, które organizacja chce umieścić w konfiguracji zasobów w chmurze, ustawiając zasady organizacji.
- Administrator ról organizacji: użytkownicy z tą rolą mogą administrować wszystkimi rolami niestandardowymi w organizacji oraz projektami w jej strukturze.
- Administrator zabezpieczeń: użytkownicy z tą rolą mogą pobierać i ustawiać dowolne polityki IAM.
- Odmowa Administratora: Użytkownicy z tą rolą mają uprawnienia do odczytywania i modyfikowania polityk odmowy IAM.
Ponadto niektóre wstępnie zdefiniowane role zawierają uprzywilejowane uprawnienia IAM na poziomie organizacji, katalogu i projektu. Te uprawnienia IAM obejmują:
- Administrator organizacji
- folderIAMAdmin
- AdministratorIAMProjektu
Ponadto zaimplementuj rozdzielenie obowiązków poprzez przydzielenie ról do kont różnych projektów lub poprzez wykorzystanie Binary Authorization z Google Kubernetes Engine.
Ostatecznie, upewnij się, że ograniczasz również konta uprzywilejowane w innych systemach zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów o krytycznym znaczeniu dla działania firmy, takich jak Cloud DNS, narzędzia zabezpieczeń i narzędzia do zarządzania systemami, w których zainstalowano agentów na systemach o krytycznym znaczeniu dla firmy. Osoby atakujące, które zagrażają tym systemom zarządzania i zabezpieczeń, mogą natychmiast zbroić je w celu naruszenia krytycznych zasobów biznesowych.
Implementacja GCP i dodatkowy kontekst:
- Najlepsze rozwiązania dotyczące konta administratora
- Odnośnik do podstawowych i wstępnie zdefiniowanych ról IAM
- Rozdzielenie obowiązków i ról zarządzania tożsamościami i dostępem
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
- Zarządzanie zgodnością z zabezpieczeniami
- Operacje zabezpieczeń
PA-2: Unikaj przyznawania stałego dostępu dla kont użytkowników i uprawnień
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Zasada zabezpieczeń: Zamiast tworzyć stałe uprawnienia, użyj mechanizmu just in time (JIT), aby przypisać uprzywilejowany dostęp do różnych warstw zasobów.
Wskazówki dotyczące platformy Azure: Włączanie uprzywilejowanego dostępu just in time (JIT) do zasobów platformy Azure i usługi Azure AD przy użyciu usługi Azure AD Privileged Identity Management (PIM). JIT to model, w którym użytkownicy otrzymują tymczasowe uprawnienia do wykonywania zadań uprzywilejowanych, co uniemożliwia złośliwym lub nieautoryzowanym użytkownikom uzyskanie dostępu po wygaśnięciu uprawnień. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanej lub niebezpiecznej aktywności w organizacji usługi Azure AD.
Ogranicz ruch przychodzący do poufnych portów zarządzania maszynami wirtualnymi przy użyciu funkcji dostępu just in time (JIT) usługi Microsoft Defender for Cloud. Zapewnia to uprzywilejowany dostęp do maszyny wirtualnej tylko wtedy, gdy użytkownicy tego potrzebują.
Implementacja platformy Azure i dodatkowy kontekst:
- Wdrażanie dostępu just in time w usłudze Azure PIM
- Informacje o dostępie just in time (JIT) do maszyny wirtualnej
Wskazówki dotyczące platformy AWS: Użyj usługi AWS Security Token Service (AWS STS), aby utworzyć tymczasowe poświadczenia zabezpieczeń w celu uzyskania dostępu do zasobów za pośrednictwem interfejsu API platformy AWS. Tymczasowe poświadczenia zabezpieczeń działają niemal identycznie z długoterminowymi poświadczeniami klucza dostępu, których użytkownicy IAM mogą używać, z następującymi różnicami:
- Tymczasowe poświadczenia zabezpieczeń mają krótki okres istnienia od minut do godzin.
- Tymczasowe poświadczenia zabezpieczeń nie są przechowywane z użytkownikiem, ale są generowane dynamicznie i udostępniane użytkownikowi po żądaniu.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki GCP: użyj dostępu warunkowego IAM, aby utworzyć tymczasowy dostęp do zasobów przy użyciu powiązań ról warunkowych w zasadach zezwalania, które są przyznawane użytkownikom Cloud Identity. Skonfiguruj atrybuty daty/godziny, aby wymusić kontrolę opartą na czasie na potrzeby uzyskiwania dostępu do określonego zasobu. Dostęp tymczasowy może mieć krótkotrwałe życie, od minut do godzin lub może być udzielany na podstawie dni lub godzin tygodnia.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
- Zarządzanie zgodnością z zabezpieczeniami
- Operacje zabezpieczeń
PA-3: Zarządzanie cyklem życia tożsamości i uprawnień
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Zasada zabezpieczeń: stosuj zautomatyzowane procesy lub środki techniczne, aby zarządzać cyklem życia tożsamości i dostępu, w tym żądań, przeglądów, zatwierdzeń, aprowizacji i deprowizacji.
Wskazówki dotyczące platformy Azure: Korzystanie z funkcji zarządzania upoważnieniami usługi Azure AD w celu zautomatyzowania przepływów pracy żądań dostępu (dla grup zasobów platformy Azure). Dzięki temu przepływy pracy dla grup zasobów platformy Azure umożliwiają zarządzanie przypisaniami dostępu, przeglądami, wygaśnięciem i zatwierdzeniem podwójnym lub wieloetapowym.
Zarządzanie uprawnieniami służy do wykrywania, automatycznego właściwego rozmiaru i ciągłego monitorowania nieużywanych i nadmiernych uprawnień przypisanych do tożsamości użytkowników i obciążeń w infrastrukturze z wieloma chmurami.
Implementacja platformy Azure i dodatkowy kontekst:
- Co to są przeglądy dostępu usługi Azure AD
- Co to jest zarządzanie upoważnieniami usługi Azure AD
- Omówienie zarządzania uprawnieniami
Wskazówki dotyczące platformy AWS: Użyj usługi AWS Access Advisor, aby ściągnąć dzienniki dostępu dla kont użytkowników i uprawnień dla zasobów. Utwórz ręczny lub zautomatyzowany przepływ pracy, aby zintegrować się z zarządzaniem przypisaniami dostępu, przeglądami i usuwaniem za pomocą usługi AWS IAM.
Uwaga: w witrynie AWS Marketplace dostępne są rozwiązania innych firm do zarządzania cyklem życia tożsamości i uprawnień.
Implementacja platformy AWS i dodatkowy kontekst:
- Doradca ds. dostępu IAM
- Rozwiązania do zarządzania tożsamościami i dostępem w witrynie AWS Marketplace
Wskazówki dotyczące platformy GCP: Użyj dzienników inspekcji chmury firmy Google, aby ściągnąć dzienniki inspekcji dostępu do danych i aktywności administratora dla kont użytkowników i uprawnień dla zasobów. Utwórz ręczny lub zautomatyzowany przepływ pracy w celu zintegrowania się z GCP IAM do zarządzania przypisywaniem dostępu, przeglądaniem i usuwaniem.
Użyj usługi Google Cloud Identity Premium, aby zapewnić podstawowe usługi zarządzania tożsamościami i urządzeniami. Te usługi obejmują funkcje, takie jak automatyczna aprowizacja użytkowników, umieszczanie na liście dozwolonych aplikacji i automatyczne zarządzanie urządzeniami przenośnymi.
Uwaga: w witrynie Google Cloud Marketplace dostępne są rozwiązania innych firm do zarządzania cyklem życia tożsamości i uprawnień.
Implementacja GCP i dodatkowy kontekst:
- Doradca ds. dostępu IAM
- Tożsamość w chmurze i usługa Atlassian Access: zarządzanie cyklem życia użytkowników w całej organizacji
- Udzielanie i odwoływania dostępu do interfejsu API
- Odwoływanie dostępu do projektu Google Cloud
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością z zabezpieczeniami
PA-4: Regularne przeglądanie i uzgadnianie dostępu użytkowników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Zasada zabezpieczeń: Przeprowadzanie regularnego przeglądu uprawnień uprzywilejowanego konta. Upewnij się, że dostęp przyznany kontom jest ważny dla zarządzania płaszczyzną sterowania, płaszczyzną zarządzania oraz obsługi obciążeń.
Wskazówki dotyczące platformy Azure: Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu na platformie Azure, w tym dzierżawy Azure, usługi Azure, maszyny wirtualne/IaaS, procesy ciągłej integracji/ciągłego wdrażania oraz narzędzia do zarządzania i zabezpieczania przedsiębiorstwa.
Przeglądy dostępu usługi Azure AD umożliwiają przeglądanie ról usługi Azure AD, ról dostępu do zasobów platformy Azure, członkostwa w grupach i dostępu do aplikacji dla przedsiębiorstw. Raportowanie usługi Azure AD może również udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont lub kont, które nie były używane przez określony czas.
Ponadto usługę Azure AD Privileged Identity Management można skonfigurować tak, aby otrzymywać alerty w przypadku utworzenia nadmiernej liczby kont administratorów dla określonej roli oraz identyfikowania kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Implementacja platformy Azure i dodatkowy kontekst:
- Utwórz przegląd dostępu do ról zasobów usługi Azure w usłudze Privileged Identity Management (PIM)
- Jak używać przeglądów tożsamości i dostępu usługi Azure AD
Wskazówki dotyczące AWS: Przejrzyj wszystkie uprzywilejowane konta oraz uprawnienia dostępu w środowisku AWS, w tym konta AWS, usługi AWS, maszyny wirtualne/IaaS, procesy CI/CD oraz narzędzia do zarządzania i zabezpieczenia przedsiębiorstwa.
Użyj IAM Access Advisor, Access Analyzer i raportów poświadczeń, aby przejrzeć role dostępu do zasobów, członkostwa w grupach i dostęp do aplikacji przedsiębiorstwa. Raporty Analizatora Dostępu i Poświadczeń IAM mogą również udostępniać dzienniki, aby pomóc wykryć przestarzałe konta lub konta, które nie były używane przez określony czas.
Jeśli używasz usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości dla platformy AWS, użyj przeglądu dostępu usługi Azure AD, aby okresowo przeglądać uprzywilejowane konta i uprawnienia dostępu.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu w usłudze Google Cloud, w tym konta tożsamości w chmurze, usługi, maszyny wirtualne/IaaS, procesy ciągłej integracji/ciągłego wdrażania oraz narzędzia do zarządzania i zabezpieczeń przedsiębiorstwa.
Użyj dzienników inspekcji chmury i analizatora zasad, aby przejrzeć role dostępu do zasobów i członkostwa w grupach. Twórz zapytania analizy w Analizatorze zasad, aby zrozumieć i określić, które podmioty mogą uzyskiwać dostęp do określonych zasobów.
Jeśli używasz usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości dla usługi Google Cloud, użyj przeglądu dostępu usługi Azure AD, aby okresowo przeglądać uprzywilejowane konta i uprawnienia dostępu.
Ponadto usługę Azure AD Privileged Identity Management można skonfigurować tak, aby otrzymywać alerty w przypadku utworzenia nadmiernej liczby kont administratorów dla określonej roli oraz identyfikowania kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zarządzanie tożsamościami i kluczami
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością z zabezpieczeniami
PA-5: Konfigurowanie dostępu awaryjnego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Zasada zabezpieczeń: skonfiguruj dostęp awaryjny, aby mieć pewność, że nie zostaną przypadkowo zablokowane z krytycznej infrastruktury chmury (takiej jak system zarządzania tożsamościami i dostępem) w nagłych wypadkach.
Konta dostępu awaryjnego powinny być rzadko używane i mogą być bardzo szkodliwe dla organizacji w przypadku naruszenia zabezpieczeń, ale ich dostępność w organizacji jest również niezwykle ważna w przypadku niewielu scenariuszy, gdy są one wymagane.
Wskazówki dotyczące platformy Azure: Aby zapobiec przypadkowemu zablokowaniu z organizacji usługi Azure AD, skonfiguruj konto dostępu awaryjnego (np. konto z rolą administratora globalnego) w celu uzyskania dostępu, gdy nie można używać normalnych kont administracyjnych. Konta dostępu awaryjnego są zwykle wysoce uprzywilejowane i nie powinny być przypisane do określonych osób. Konta do awaryjnego dostępu są przeznaczone wyłącznie do sytuacji kryzysowych lub „na wszelki wypadek”, gdy nie można skorzystać ze zwykłych kont administracyjnych.
Należy upewnić się, że poświadczenia (takie jak hasło, certyfikat lub karta inteligentna) dla kont dostępu awaryjnego są bezpieczne i znane tylko osobom, które mają uprawnienia do korzystania z nich tylko w nagłych wypadkach. Możesz również użyć dodatkowych mechanizmów kontroli, takich jak podwójne kontrolki (np. podzielenie poświadczeń na dwa elementy i przekazanie jej do osobnych osób), aby zwiększyć bezpieczeństwo tego procesu. Należy również monitorować dzienniki logowania i inspekcji, aby upewnić się, że konta dostępu awaryjnego są używane tylko w przypadku autoryzacji.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: Konta "główne" platformy AWS nie powinny być używane do zwykłych zadań administracyjnych. Ponieważ konto "root" jest wysoce uprzywilejowane, nie powinno być przypisane do określonych osób. Jego użycie powinno być ograniczone wyłącznie do sytuacji kryzysowych lub awaryjnych, gdy nie można używać normalnych kont administracyjnych. W przypadku codziennych zadań administracyjnych należy używać oddzielnych uprzywilejowanych kont użytkowników i przypisywać odpowiednie uprawnienia za pośrednictwem ról zarządzania dostępem i tożsamościami.
Należy również upewnić się, że poświadczenia (takie jak hasło, tokeny uwierzytelniania wieloskładnikowego i klucze dostępu) dla kont głównych są bezpieczne i znane tylko osobom uprawnionym do korzystania z nich tylko w nagłych wypadkach. Uwierzytelnianie wieloskładnikowe powinno być włączone dla konta głównego i można również użyć dodatkowych mechanizmów kontroli, takich jak podwójne kontrolki (np. podzielenie poświadczeń na dwie elementy i przekazanie jej do osobnych osób), aby zwiększyć bezpieczeństwo tego procesu.
Należy również monitorować dzienniki logowania i inspekcji w usłudze CloudTrail lub EventBridge, aby upewnić się, że konta dostępu głównego są używane tylko w przypadku autoryzacji.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące usługi GCP: Konta administratora usługi Google Cloud Identity nie powinny być używane do zwykłych zadań administracyjnych. Ponieważ konto administratora jest wysoce uprzywilejowane, nie powinno być przypisane do określonych osób. Jego użycie powinno być ograniczone wyłącznie do sytuacji kryzysowych lub awaryjnych, gdy nie można używać normalnych kont administracyjnych. W przypadku codziennych zadań administracyjnych należy używać oddzielnych uprzywilejowanych kont użytkowników i przypisywać odpowiednie uprawnienia za pośrednictwem ról zarządzania dostępem i tożsamościami.
Należy również upewnić się, że poświadczenia (takie jak hasło, tokeny uwierzytelniania wieloskładnikowego i klucze dostępu) dla kont superadministratora są bezpieczne i znane tylko osobom, które są upoważnione do korzystania z nich wyłącznie w sytuacjach awaryjnych. Uwierzytelnianie wieloskładnikowe powinno być włączone dla konta superadministratora i można również użyć dodatkowych mechanizmów kontroli, takich jak podwójna kontrola (np. podzielenie poświadczenia na dwa elementy i przekazanie ich osobnym osobom), aby zwiększyć bezpieczeństwo tego procesu.
Należy również monitorować dzienniki inspekcji w chmurze lub wykonywać zapytania względem analizatora zasad, aby upewnić się, że konta superadministratora są używane tylko gdy są autoryzowane.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością z zabezpieczeniami
- Operacje zabezpieczeń (SecOps)
PA-6: Używanie stacji roboczych z dostępem uprzywilejowanym
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/A |
Zasada zabezpieczeń: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej.
Wskazówki dotyczące platformy Azure: wdrażanie stacji roboczych z dostępem uprzywilejowanym (PAW) lokalnie lub na platformie Azure przy użyciu usługi Azure Active Directory, Microsoft Defender i/lub Microsoft Intune do wdrażania uprzywilejowanych zadań. Stacją roboczą z dostępem uprzywilejowanym należy centralnie zarządzać, aby wymuszać bezpieczną konfigurację, obejmującą silne uwierzytelnianie, standardy oprogramowania i sprzętu oraz ograniczony dostęp logiczny i sieciowy.
Możesz również użyć usługi Azure Bastion, która jest w pełni zarządzaną usługą PaaS zarządzaną przez platformę, którą można aprowizować w sieci wirtualnej. Usługa Azure Bastion umożliwia łączność RDP/SSH z maszynami wirtualnymi bezpośrednio z witryny Azure Portal przy użyciu przeglądarki internetowej.
Implementacja platformy Azure i dodatkowy kontekst:
- Omówienie stacji roboczych z dostępem uprzywilejowanym
- Wdrażanie stacji roboczych z dostępem uprzywilejowanym
Wskazówki dotyczące platformy AWS: Użyj Menedżera sesji w Menedżerze systemów AWS, aby utworzyć ścieżkę dostępu (sesję połączenia) do wystąpienia usługi EC2 lub sesję przeglądarki dla zasobów platformy AWS na potrzeby zadań uprzywilejowanych. Menedżer sesji umożliwia łączność RDP, SSH i HTTPS z hostami docelowymi za pośrednictwem przekazywania portów.
Możesz również wdrożyć stacje robocze z dostępem uprzywilejowanym (PAW) zarządzane centralnie za pośrednictwem usługi Azure Active Directory, usługi Microsoft Defender i/lub usługi Microsoft Intune. Centralne zarządzanie powinno wymuszać bezpieczną konfigurację, w tym silne uwierzytelnianie, punkty odniesienia oprogramowania i sprzętu oraz ograniczony dostęp logiczny i sieciowy.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: użyj programu Identity-Aware Proxy (IAP) Desktop, aby utworzyć ścieżkę dostępu (sesję połączenia) do wystąpienia obliczeniowego dla zadań uprzywilejowanych. Program IAP Desktop umożliwia łączność RDP i SSH z hostami docelowymi za pośrednictwem przekazywania portów. Ponadto wystąpienia obliczeniowe systemu Linux, które są dostępne zewnętrznie, mogą być połączone poprzez SSH w przeglądarce za pośrednictwem konsoli Google Cloud.
Możesz również wdrożyć stacje robocze z dostępem uprzywilejowanym (PAW) zarządzane centralnie za pomocą rozwiązania Zarządzania punktami końcowymi obszaru roboczego Google lub rozwiązań firmy Microsoft (Azure Active Directory, Microsoft Defender i/lub Microsoft Intune). Centralne zarządzanie powinno wymuszać bezpieczną konfigurację, w tym silne uwierzytelnianie, punkty odniesienia oprogramowania i sprzętu oraz ograniczony dostęp logiczny i sieciowy.
Można również utworzyć bastiony do bezpiecznego dostępu do zaufanych środowisk ze zdefiniowanymi parametrami.
Implementacja GCP i dodatkowy kontekst:
- Bezpieczne nawiązywanie połączenia z wystąpieniami maszyn wirtualnych
- Nawiązywanie połączenia z maszynami wirtualnymi z systemem Linux przy użyciu serwera proxy Identity-Aware
- Nawiązywanie połączenia z maszynami wirtualnymi przy użyciu hosta bastionowego
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Operacje zabezpieczeń (SecOps)
- Zarządzanie tożsamościami i kluczami
PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Zasada bezpieczeństwa: Postępuj zgodnie z zasadą najmniejszych uprawnień, aby zarządzać uprawnieniami na bardziej szczegółowym poziomie. Użyj funkcji, takich jak kontrola dostępu oparta na rolach (RBAC), aby zarządzać dostępem do zasobów za pośrednictwem przypisań ról.
Wskazówki dotyczące platformy Azure: Zarządzanie dostępem do zasobów platformy Azure przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure za pomocą przypisań ról. Za pomocą RBAC można przypisywać role do użytkowników, grup, podmiotów usługowych i zarządzanych tożsamości. Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów, a te role można tworzyć w spisie lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell i witryna Azure Portal.
Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Ograniczone uprawnienia będą uzupełniać podejście just-in-time (JIT) usługi Azure AD Privileged Identity Management (PIM), a ich przegląd powinien odbywać się okresowo. W razie potrzeby można również użyć usługi PIM do zdefiniowania przypisania powiązanego czasowo, co jest warunkiem w przypisaniu roli, w którym użytkownik może aktywować rolę tylko w określonych datach rozpoczęcia i zakończenia.
Uwaga: Użyj wbudowanych ról platformy Azure, aby przydzielić uprawnienia i tworzyć tylko role niestandardowe, jeśli jest to wymagane.
Implementacja platformy Azure i dodatkowy kontekst:
- Co to jest kontrola dostępu oparta na rolach Azure (Azure RBAC)
- Jak skonfigurować kontrolę dostępu opartą na rolach na platformie Azure
- Jak używać przeglądów tożsamości i dostępu usługi Azure AD
- Azure AD Privileged Identity Management — przypisanie na czas określony
Wskazówki dotyczące platformy AWS: Zarządzanie dostępem do zasobów platformy AWS przy użyciu zasad platformy AWS. Istnieją sześć typów zasad: zasady oparte na tożsamościach, zasady oparte na zasobach, granice uprawnień, zasady kontroli usługi AWS Organizations (SCP), lista kontroli dostępu i zasady sesji. Zasady zarządzane przez platformę AWS można używać do typowych przypadków użycia uprawnień. Należy jednak pamiętać, że zasady zarządzane mogą mieć nadmierne uprawnienia, które nie powinny być przypisane do użytkowników.
Możesz również użyć usługi AWS ABAC (kontroli dostępu opartej na atrybutach) do przypisywania uprawnień na podstawie atrybutów (tagów) dołączonych do zasobów IAM, w tym jednostek IAM (użytkowników lub ról) i zasobów platformy AWS.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Użyj zasad IAM Google Cloud do zarządzania dostępem do zasobów GCP za pomocą przypisań ról. W przypadku typowych przypadków użycia uprawnień możesz użyć wstępnie zdefiniowanych ról usługi Google Cloud. Należy jednak pamiętać, że wstępnie zdefiniowane role mogą mieć nadmierne uprawnienia, które nie powinny być przypisane do użytkowników.
Ponadto użyj analizy zasad z modułem IAM Recommender, aby zidentyfikować i usunąć nadmierne uprawnienia z kont.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevSecOps
- Zarządzanie zgodnością z zabezpieczeniami
- zarządzanie postawą
- Zarządzanie tożsamościami i kluczami
PA-8 Określanie procesu dostępu do obsługi dostawcy usług w chmurze
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Zasada zabezpieczeń: Ustanów proces zatwierdzania i ścieżkę dostępu do żądania i zatwierdzania żądań pomocy technicznej dostawcy oraz tymczasowego dostępu do danych za pośrednictwem bezpiecznego kanału.
Wskazówki dotyczące platformy Azure: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj Customer Lockbox, aby przejrzeć i zatwierdzić lub odrzucić każde żądanie dostępu do danych złożone przez firmę Microsoft.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: W scenariuszach pomocy technicznej platformy AWS, w których zespoły pomocy technicznej platformy AWS muszą uzyskiwać dostęp do danych, utwórz konto w portalu pomocy technicznej platformy AWS, aby poprosić o pomoc techniczną. Przejrzyj dostępne opcje, takie jak zapewnianie dostępu do danych tylko do odczytu lub opcja udostępniania ekranu dla obsługi platformy AWS w celu uzyskania dostępu do danych.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: W scenariuszach pomocy technicznej, w których usługa Google Cloud Customer Care musi uzyskiwać dostęp do danych, użyj funkcji Zatwierdzania dostępu, aby przejrzeć i zatwierdzić lub odrzucić wszystkie żądania dostępu do danych wysyłane przez usługę Cloud Customer Care.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):