Compartilhar via


Controle de segurança: controle de identidade e acesso

Observação

O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.

As recomendações de gerenciamento de identidade e acesso se concentram em resolver problemas relacionados ao controle de acesso baseado em identidade, bloquear o acesso administrativo, alertar sobre eventos relacionados à identidade, comportamento anormal da conta e controle de acesso baseado em função.

3.1: Manter um inventário de contas administrativas

Azure ID IDs de CIS Responsabilidade
3.1 4.1 Cliente

O Azure AD tem funções internas que devem ser atribuídas explicitamente e que podem ser consultadas. Use o módulo do PowerShell do Azure AD para executar consultas ad hoc para descobrir contas que são membros de grupos administrativos.

3.2: alterar senhas padrão quando aplicável

Azure ID IDs de CIS Responsabilidade
3.2 4.2 Cliente

O Azure AD não tem o conceito de senhas padrão. Outros recursos do Azure que exigem uma senha forçam a criação de uma senha com requisitos de complexidade e um tamanho mínimo de senha, o que difere dependendo do serviço. Você é responsável por aplicativos de terceiros e serviços do marketplace que podem usar senhas padrão.

3.3: Usar contas administrativas dedicadas

Azure ID IDs de CIS Responsabilidade
3.3 4.3 Cliente

Crie procedimentos operacionais padrão em torno do uso de contas administrativas dedicadas. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure para monitorar o número de contas administrativas.

Você também pode habilitar um Just-In-Time/Just-Enough-Access usando as funções privilegiadas do Azure AD Privileged Identity Management para Microsoft Services e Azure Resource Manager.

3.4: Usar o SSO (logon único) com o Azure Active Directory

Azure ID IDs de CIS Responsabilidade
3.4 4.4 Cliente

Sempre que possível, use o SSO do Azure Active Directory em vez de configurar credenciais individuais autônomas por serviço. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure.

3.5: Usar a autenticação multifator para todo o acesso baseado no Azure Active Directory

Azure ID IDs de CIS Responsabilidade
3,5 4.5, 11.5, 12.11, 16.3 Cliente

Habilite a MFA do Azure AD e siga as recomendações de Gerenciamento de Acesso e Identidade da Central de Segurança do Azure.

3.6: Usar computadores dedicados (Estações de Trabalho de Acesso Privilegiado) para todas as tarefas administrativas

Azure ID IDs de CIS Responsabilidade
3,6 4.6, 11.6, 12.12 Cliente

Use PAWs (estações de trabalho de acesso privilegiado) com MFA configurada para fazer login e configurar recursos do Azure.

3.7: Registrar e alertar atividades suspeitas de contas administrativas

Azure ID IDs de CIS Responsabilidade
3.7 4.8, 4.9 Cliente

Use relatórios de segurança do Azure Active Directory para geração de logs e alertas quando atividades suspeitas ou não seguras ocorrem no ambiente. Use a Central de Segurança do Azure para monitorar a identidade e a atividade de acesso.

3.8: Gerenciar recursos do Azure somente de locais aprovados

Azure ID IDs de CIS Responsabilidade
3.8 11,7 Cliente

Use locais nomeados de acesso condicional para permitir o acesso somente de agrupamentos lógicos específicos de intervalos de endereços IP ou países/regiões.

3.9: Usar o Azure Active Directory

Azure ID IDs de CIS Responsabilidade
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Cliente

Use o Azure Active Directory como o sistema central de autenticação e autorização. O Azure AD protege os dados usando criptografia forte para dados em repouso e em trânsito. O Azure AD também adiciona sal, cria hashes e armazena com segurança as credenciais do usuário.

3.10: Revisar e reconciliar regularmente o acesso do usuário

Azure ID IDs de CIS Responsabilidade
3.10 16.9, 16.10 Cliente

O Azure AD fornece logs para ajudar a descobrir contas obsoletas. Além disso, use as Revisões de Acesso à Identidade do Azure para gerenciar com eficiência associações de grupo, acesso a aplicativos empresariais e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas os usuários certos tenham acesso contínuo.

3.11: Monitorar tentativas de acessar credenciais desativadas

Azure ID IDs de CIS Responsabilidade
3.11 16.12 Cliente

Você tem acesso às fontes de log de Atividade de Entrada, Auditoria e Risco do Azure AD, que permitem sua integração com qualquer ferramenta de SIEM/Monitoramento.

Você pode simplificar esse processo criando configurações de diagnóstico para contas de usuário do Azure Active Directory e enviando os logs de auditoria e logs de entrada para um Workspace do Log Analytics. Você pode configurar alertas desejados no workspace do Log Analytics.

3.12: Alerta sobre o desvio de comportamento de logon da conta

Azure ID IDs de CIS Responsabilidade
3.12 16.13 Cliente

Use os recursos do Azure AD Risk and Identity Protection para configurar respostas automatizadas para ações suspeitas detectadas relacionadas às identidades do usuário. Você também pode ingerir dados no Azure Sentinel para uma investigação mais aprofundada.

3.13: Fornecer à Microsoft acesso a dados relevantes do cliente durante cenários de suporte

Azure ID IDs de CIS Responsabilidade
3.13 16 Cliente

Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Customer Lockbox fornece uma interface para você examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente.

Próximas etapas