Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej up-to— data testu porównawczego zabezpieczeń platformy Azure jest dostępna tutaj.
Zalecenia dotyczące zarządzania tożsamościami i dostępem koncentrują się na rozwiązywaniu problemów związanych z kontrolą dostępu opartą na tożsamościach, blokowania dostępu administracyjnego, zgłaszania alertów dotyczących zdarzeń związanych z tożsamościami, nietypowego zachowania konta i kontroli dostępu opartej na rolach.
3.1: Utrzymywanie spisu kont administracyjnych
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.1 | 4.1 | Klient |
Usługa Azure AD ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Programu PowerShell usługi Azure AD, aby wykonywać zapytania ad hoc w celu odnajdywania kont będących członkami grup administracyjnych.
Jak uzyskać rolę katalogu w usłudze Azure AD przy użyciu programu PowerShell
Jak uzyskać członków roli katalogu w usłudze Azure AD za pomocą programu PowerShell
3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.2 | 4.2 | Klient |
Usługa Azure AD nie ma pojęcia haseł domyślnych. Inne zasoby platformy Azure wymagające hasła wymusza utworzenie hasła z wymaganiami dotyczącymi złożoności i minimalną długością hasła, która różni się w zależności od usługi. Odpowiadasz za aplikacje innych firm i usługi platformy handlowej, które mogą używać domyślnych haseł.
3.3: Używanie dedykowanych kont administracyjnych
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.3 | 4.3 | Klient |
Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych. Użyj zaleceń w kontroli zabezpieczeń "Zarządzanie dostępem i uprawnieniami" usługi Azure Security Center, aby monitorować liczbę kont administracyjnych.
Możesz również włączyć Just-In-Time / Just-Enough-Access, korzystając z uprzywilejowanego zarządzania tożsamościami Azure AD oraz uprzywilejowanych ról dla usług firmy Microsoft i Azure Resource Manager.
3.4: Używanie logowania jednokrotnego w usłudze Azure Active Directory
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.4 | 4.4 | Klient |
Jeśli to możliwe, użyj logowania jednokrotnego usługi Azure Active Directory zamiast konfigurowania pojedynczych poświadczeń autonomicznych dla poszczególnych usług. Skorzystaj z zaleceń w ramach kontroli zabezpieczeń "Zarządzanie dostępem i uprawnieniami" usługi Azure Security Center.
3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | Klient |
Włącz usługę Azure AD MFA i postępuj zgodnie z zaleceniami usługi Azure Security Center Identity and Access Management.
Jak włączyć uwierzytelnianie wieloskładnikowe na platformie Azure
Jak monitorować tożsamość i dostęp w usłudze Azure Security Center
3.6: Używanie dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3,6 | 4,6, 11,6, 12,12 | Klient |
Użyj stacji roboczych z dostępem uprzywilejowanym (PAW) z skonfigurowanym uwierzytelnianiem wieloskładnikowym do logowania się i konfigurowania zasobów Azure.
Dowiedz się więcej o stacjach roboczych z dostępem uprzywilejowanym
Jak włączyć uwierzytelnianie wieloskładnikowe na platformie Azure
3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.7 | 4.8, 4.9 | Klient |
Raporty zabezpieczeń usługi Azure Active Directory służą do generowania dzienników i alertów, gdy w środowisku wystąpi podejrzane lub niebezpieczne działanie. Użyj usługi Azure Security Center, aby monitorować aktywność tożsamości i dostępu.
Jak zidentyfikować użytkowników usługi Azure AD oflagowanych pod kątem ryzykownych działań
Jak monitorować aktywność tożsamości i dostępu użytkowników w usłudze Azure Security Center
3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3,8 | 11.7 | Klient |
Użyj dostępu warunkowego nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.
3.9: Korzystanie z usługi Azure Active Directory
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Klient |
Użyj usługi Azure Active Directory jako centralnego systemu uwierzytelniania i autoryzacji. Usługa Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Usługa Azure AD umożliwia również przechowywanie poświadczeń użytkownika, skrótów i bezpiecznego przechowywania poświadczeń użytkownika.
3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.10 | 16.9, 16.10 | Klient |
Usługa Azure AD udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.
3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.11 | 16.12 | Klient |
Masz dostęp do źródeł dzienników aktywności logowania, inspekcji i zdarzeń ryzyka usługi Azure AD, które umożliwiają integrację z dowolnym narzędziem SIEM/Monitoring.
Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników usługi Azure Active Directory i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. Żądane alerty można skonfigurować w obszarze roboczym usługi Log Analytics.
3.12: Alert dotyczący odchylenia zachowania podczas logowania się na konto
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3,12 | 16.13 | Klient |
Funkcje ryzyka i usługi Identity Protection w usłudze Azure AD umożliwiają konfigurowanie automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskiwać dane do usługi Azure Sentinel w celu dalszego zbadania.
3.13: Zapewnianie firmie Microsoft dostępu do odpowiednich danych klientów podczas scenariuszy pomocy technicznej
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 3.13 | 16 | Klient |
W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, Customer Lockbox udostępnia interfejs umożliwiający przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych klientów.
Dalsze kroki
- Zobacz następną kontrolę zabezpieczeń: ochrona danych