Security Control v3: Zarządzanie tożsamościami

  • Artykuł

Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu usługi Azure Active Directory, w tym korzystanie z logowania jednokrotnego, silne uwierzytelnianie, tożsamości zarządzane (i jednostki usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Zasada zabezpieczeń: użyj scentralizowanego systemu tożsamości i uwierzytelniania, aby zarządzać tożsamościami i uwierzytelnianiem organizacji dla zasobów w chmurze i innych niż chmura.

Wskazówki dotyczące platformy Azure: Usługa Azure Active Directory (Azure AD) to usługa zarządzania tożsamościami i uwierzytelnianiem platformy Azure. Należy przeprowadzić standaryzację Azure AD w celu zarządzania tożsamością i uwierzytelnianiem w organizacji w:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, PaaS i SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure, aplikacje innych firm działające w zasobach sieci firmowych i aplikacje SaaS innych firm.
  • Tożsamości przedsiębiorstwa w usłudze Active Directory przez synchronizację w celu Azure AD w celu zapewnienia spójnej i centralnej strategii tożsamości zarządzanej.

Uwaga: jak tylko jest to technicznie możliwe, należy przeprowadzić migrację lokalna usługa Active Directory aplikacji opartych na Azure AD. Może to być konfiguracja Azure AD Enterprise Directory, Business to Business lub Business to consumer.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-2: Ochrona systemów tożsamości i uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Zasada zabezpieczeń: Zabezpieczanie systemu tożsamości i uwierzytelniania jako priorytet w praktyce zabezpieczeń w chmurze w organizacji. Typowe mechanizmy kontroli zabezpieczeń obejmują:

  • Ograniczanie ról i kont uprzywilejowanych
  • Wymagaj silnego uwierzytelniania dla wszystkich uprzywilejowanych dostępu
  • Monitorowanie i przeprowadzanie inspekcji działań wysokiego ryzyka

Wskazówki dotyczące platformy Azure: skorzystaj z punktu odniesienia zabezpieczeń Azure AD i wskaźnika bezpieczeństwa tożsamości Azure AD, aby ocenić stan zabezpieczeń tożsamości Azure AD oraz skorygować luki w zabezpieczeniach i konfiguracji. Wskaźnik bezpieczeństwa tożsamości Azure AD ocenia Azure AD dla następujących konfiguracji: - Użyj ograniczonych ról administracyjnych

  • Włączanie zasad ryzyka związanego z użytkownikiem
  • Wyznaczanie więcej niż jednego administratora globalnego
  • Włączanie zasad blokowania starszego uwierzytelniania
  • Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe na potrzeby bezpiecznego dostępu
  • Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych
  • Włączanie samoobsługowego resetowania hasła
  • Nie wygasaj haseł
  • Włączanie zasad ryzyka logowania
  • Nie zezwalaj użytkownikom na udzielanie zgody na aplikacje niezarządzane

Uwaga: postępuj zgodnie z opublikowanymi najlepszymi rozwiązaniami dotyczącymi wszystkich innych składników tożsamości, w tym lokalna usługa Active Directory i możliwościami innych firm oraz infrastrukturami (takimi jak systemy operacyjne, sieci, bazy danych), które je hostują.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy AC-2, AC-3, IA-4, IA-5, IA-9 Nie dotyczy

Zasada zabezpieczeń: użyj tożsamości aplikacji zarządzanych zamiast tworzenia kont ludzkich dla aplikacji w celu uzyskiwania dostępu do zasobów i wykonywania kodu. Tożsamości aplikacji zarządzanej zapewniają korzyści, takie jak zmniejszenie narażenia poświadczeń. Zautomatyzuj rotację poświadczeń, aby zapewnić bezpieczeństwo tożsamości.

Wskazówki dotyczące platformy Azure: użyj tożsamości zarządzanych platformy Azure, które mogą uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Zaleca się skonfigurowanie jednostek usługi z poświadczeniami certyfikatu i powrót do wpisów tajnych klienta na potrzeby uwierzytelniania.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-4: Uwierzytelnianie serwera i usług

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IA-9 Nie dotyczy

Zasada zabezpieczeń: Uwierzytelnianie zdalnych serwerów i usług po stronie klienta w celu zapewnienia, że łączysz się z zaufanym serwerem i usługami. Najczęstszym protokołem uwierzytelniania serwera jest Transport Layer Security (TLS), gdzie po stronie klienta (często przeglądarka lub urządzenie klienckie) weryfikuje serwer, weryfikując certyfikat serwera został wystawiony przez zaufany urząd certyfikacji.

Uwaga: wzajemne uwierzytelnianie może być używane, gdy zarówno serwer, jak i klient uwierzytelniają się nawzajem.

Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure domyślnie obsługuje uwierzytelnianie TLS. W przypadku usług obsługujących przełącznik włączania/wyłączania protokołu TLS przez użytkownika upewnij się, że jest ona zawsze włączona w celu obsługi uwierzytelniania serwera/usługi. Aplikacja kliencka powinna być również zaprojektowana w celu zweryfikowania tożsamości serwera/usługi (przez zweryfikowanie certyfikatu serwera wystawionego przez zaufany urząd certyfikacji) na etapie uzgadniania.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-5: Uzyskiwanie dostępu do aplikacji przy użyciu logowania jednokrotnego

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
12.5 IA-4, IA-2, IA-8 Nie dotyczy

Zasada zabezpieczeń: użyj logowania jednokrotnego (SSO), aby uprościć środowisko użytkownika do uwierzytelniania w zasobach, w tym aplikacji i danych w usługach w chmurze i środowiskach lokalnych.

Wskazówki dotyczące platformy Azure: korzystanie z Azure AD na potrzeby dostępu do aplikacji obciążeń za pośrednictwem Azure AD logowania jednokrotnego (SSO), co oznacza konieczność korzystania z wielu kont. Azure AD zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure (płaszczyznę zarządzania, w tym interfejs wiersza polecenia, program PowerShell, portal), aplikacje w chmurze i aplikacje lokalne.

Azure AD obsługuje logowanie jednokrotne dla tożsamości przedsiębiorstwa, takich jak tożsamości użytkowników firmowych, a także tożsamości użytkowników zewnętrznych od zaufanych użytkowników innych firm i użytkowników publicznych.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-6: Używanie kontrolek silnego uwierzytelniania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Zasada zabezpieczeń: Wymuszaj silne mechanizmy kontroli uwierzytelniania (silne uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe) za pomocą scentralizowanego systemu zarządzania tożsamościami i uwierzytelnianiem dla wszystkich zasobów. Uwierzytelnianie oparte na samych poświadczeniach hasła jest uznawane za starsze, ponieważ jest niezabezpieczone i nie jest zgodne z popularnymi metodami ataków.

Podczas wdrażania silnego uwierzytelniania należy najpierw skonfigurować administratorów i uprzywilejowanych użytkowników, aby zapewnić najwyższy poziom metody silnego uwierzytelniania, a następnie szybko wdrożyć odpowiednie zasady silnego uwierzytelniania dla wszystkich użytkowników.

Uwaga: jeśli starsze uwierzytelnianie oparte na hasłach jest wymagane w przypadku starszych aplikacji i scenariuszy, należy upewnić się, że są przestrzegane najlepsze rozwiązania w zakresie zabezpieczeń haseł, takie jak wymagania dotyczące złożoności.

Wskazówki dotyczące platformy Azure: Azure AD obsługuje silne mechanizmy uwierzytelniania za pomocą metod bez hasła i uwierzytelniania wieloskładnikowego (MFA).

  • Uwierzytelnianie bez hasła: użyj uwierzytelniania bez hasła jako domyślnej metody uwierzytelniania. Istnieją trzy opcje dostępne w uwierzytelnianiu bez hasła: Windows Hello dla firm, logowanie do telefonu aplikacji Microsoft Authenticator i klucze FIDO 2Keys. Ponadto klienci mogą używać lokalnych metod uwierzytelniania, takich jak karty inteligentne.
  • Uwierzytelnianie wieloskładnikowe: usługę Azure MFA można wymusić na wszystkich użytkownikach, wybrać użytkowników lub na poziomie poszczególnych użytkowników na podstawie warunków logowania i czynników ryzyka. Włącz usługę Azure MFA i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Azure Defender for Cloud dla konfiguracji uwierzytelniania wieloskładnikowego.

Jeśli starsze uwierzytelnianie oparte na hasłach jest nadal używane do uwierzytelniania Azure AD, należy pamiętać, że konta tylko w chmurze (konta użytkowników utworzone bezpośrednio na platformie Azure) mają domyślne zasady haseł punktu odniesienia. Konta hybrydowe (konta użytkowników pochodzące z lokalna usługa Active Directory) są zgodne z lokalnymi zasadami haseł.

W przypadku aplikacji i usług innych firm, które mogą mieć domyślne identyfikatory i hasła, należy je wyłączyć lub zmienić podczas początkowej konfiguracji usługi.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Im-7: Ograniczanie dostępu do zasobów na podstawie warunków

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Zasada zabezpieczeń: Jawne weryfikowanie zaufanych sygnałów w celu zezwolenia lub odmowy dostępu użytkowników do zasobów w ramach modelu dostępu bez zaufania. Sygnały do weryfikacji powinny obejmować silne uwierzytelnianie konta użytkownika, analizę behawioralną konta użytkownika, wiarygodność urządzenia, członkostwo użytkownika lub grupy, lokalizacje itd.

Wskazówki dotyczące platformy Azure: użyj Azure AD dostępu warunkowego, aby uzyskać bardziej szczegółowe mechanizmy kontroli dostępu na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkowników z określonych zakresów adresów IP (lub urządzeń) do korzystania z uwierzytelniania wieloskładnikowego. Azure AD dostęp warunkowy umożliwia wymuszanie kontroli dostępu do aplikacji organizacji w oparciu o określone warunki.

Zdefiniuj odpowiednie warunki i kryteria dla Azure AD dostępu warunkowego w obciążeniu. Rozważ następujące typowe przypadki użycia:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymi
  • Wymaganie uwierzytelniania wieloskładnikowego na potrzeby zadań zarządzania platformy Azure
  • Blokowanie logowania użytkowników próbujących używać starszych protokołów uwierzytelniania
  • Wymaganie zaufanych lokalizacji na potrzeby rejestracji usługi Azure AD Multi-Factor Authentication
  • Blokowanie lub udzielanie dostępu z określonych lokalizacji
  • Blokowanie ryzykownych zachowań logowania
  • Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji

Uwaga: Szczegółowe zarządzanie sesjami uwierzytelniania może być również używane za pośrednictwem Azure AD zasad dostępu warunkowego w celu kontroli, takich jak częstotliwość logowania i trwała sesja przeglądarki.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Zasada zabezpieczeń: Upewnij się, że deweloperzy aplikacji bezpiecznie obsługują poświadczenia i wpisy tajne:

  • Unikaj osadzania poświadczeń i wpisów tajnych w kodzie i plikach konfiguracji
  • Przechowywanie poświadczeń i wpisów tajnych przy użyciu magazynu kluczy lub bezpiecznego magazynu kluczy
  • Skanuj pod kątem poświadczeń w kodzie źródłowym.

Uwaga: jest to często zarządzane i wymuszane za pomocą bezpiecznego procesu zabezpieczeń cyklu tworzenia oprogramowania (SDLC) i DevOps.

Wskazówki dotyczące platformy Azure: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w kodzie i plikach konfiguracji.

  • Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie.
  • W przypadku usługi GitHub użyj natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inną formę wpisów tajnych w kodzie.

Klienci, tacy jak Azure Functions, usługi Azure Apps i maszyny wirtualne, mogą bezpiecznie uzyskiwać dostęp do usługi Azure Key Vault przy użyciu tożsamości zarządzanych. Zobacz Mechanizmy kontroli ochrony danych związane z używaniem usługi Azure Key Vault do zarządzania wpisami tajnymi.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-9: Zabezpieczanie dostępu użytkowników do istniejących aplikacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
6.7, 12.5 AC-2, AC-3, SC-11 Nie dotyczy

Zasada zabezpieczeń: w środowisku hybrydowym, w którym masz aplikacje lokalne lub aplikacje w chmurze inne niż natywne przy użyciu starszego uwierzytelniania, należy wziąć pod uwagę rozwiązania, takie jak broker zabezpieczeń dostępu do chmury (CASB), serwer proxy aplikacji, logowanie jednokrotne (SSO), aby zarządzać dostępem do tych aplikacji w celu uzyskania następujących korzyści:

  • Wymuszanie scentralizowanego silnego uwierzytelniania
  • Monitorowanie i kontrolowanie ryzykownych działań użytkowników końcowych
  • Monitorowanie i korygowanie ryzykownych działań starszych aplikacji
  • Wykrywanie i zapobieganie transmisji poufnych danych

Wskazówki dotyczące platformy Azure: Ochrona lokalnych i nienatywnych aplikacji w chmurze przy użyciu starszego uwierzytelniania przez połączenie ich z:

  • Azure AD serwer proxy aplikacji w połączeniu z uwierzytelnianiem opartym na nagłówku na potrzeby publikowania starszych aplikacji lokalnych dla użytkowników zdalnych z logowaniem jednokrotnym, a jednocześnie jawnie weryfikowanie wiarygodności użytkowników zdalnych i urządzeń z dostępem warunkowym Azure AD. W razie potrzeby użyj rozwiązania Software-Defined obwodowego (SDP) innej firmy, które może oferować podobne funkcje.
  • Istniejące kontrolery dostarczania aplikacji i sieci innych firm
  • Microsoft Defender for Cloud Apps, używając jej jako usługi brokera zabezpieczeń dostępu do chmury (CASB) w celu zapewnienia kontroli monitorowania sesji aplikacji użytkownika i akcji blokujących (zarówno dla starszych aplikacji lokalnych, jak i aplikacji saaS).

Uwaga: sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji, często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):