Compartilhar via

Controle de Segurança: Controle de Acesso e Identidade

  • Artigo

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

As recomendações de gerenciamento de identidade e acesso se concentram em resolver problemas relacionados ao controle de acesso baseado em identidade, bloqueando o acesso administrativo, alertando sobre eventos relacionados à identidade, comportamento anormal da conta e controle de acesso baseado em função.

3.1: Manter um inventário de contas administrativas

ID do Azure IDs do CIS Responsabilidade
3.1 4.1 Cliente

O Azure AD tem funções internas que precisam ser atribuídas explicitamente e podem ser consultadas. Use o módulo do PowerShell do Azure AD para executar consultas ad hoc e descobrir contas que sejam membros de grupos administrativos.

3.2: alterar senhas padrão quando aplicável

ID do Azure IDs do CIS Responsabilidade
3.2 4.2 Cliente

O Azure AD não tem o conceito de senhas padrão. Outros recursos do Azure que exigem uma senha forçam a criação de uma senha com requisitos de complexidade e um comprimento mínimo de senha, que muda dependendo do serviço. Você é responsável por aplicativos de terceiros e serviços do marketplace que podem usar senhas padrão.

3.3: Usar contas administrativas dedicadas

ID do Azure IDs do CIS Responsabilidade
3.3 4.3 Cliente

Crie procedimentos operacionais padrão em relação ao uso de contas administrativas dedicadas. Para monitorar o número de contas administrativas, siga as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure.

Você também pode habilitar um acesso just-in-time/just-enough usando funções com privilégios do Azure AD Privileged Identity Management para serviços da Microsoft e o Azure Resource Manager.

3.4: usar o SSO (logon único) com o Azure Active Directory

ID do Azure IDs do CIS Responsabilidade
3.4 4.4 Cliente

Sempre que possível, use o SSO do Azure Active Directory em vez de configurar credenciais autônomas individuais por serviço. Siga as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure.

3.5: usar a autenticação multifator para todos os acessos baseados no Azure Active Directory

ID do Azure IDs do CIS Responsabilidade
3,5 4.5, 11.5, 12.11, 16.3 Cliente

Habilite a MFA do Azure AD e siga as recomendações de gerenciamento de acesso e identidade da Central de Segurança do Azure.

3.6: usar computadores dedicados (estações de trabalho com acesso privilegiado) para todas as tarefas administrativas

ID do Azure IDs do CIS Responsabilidade
3,6 4.6, 11.6, 12.12 Cliente

Use PAWs (estações de trabalho com acesso privilegiado) com a MFA configurada para fazer logon e configurar recursos do Azure.

3.7: Registrar atividades suspeitas em contas administrativas e alertar sobre elas

ID do Azure IDs do CIS Responsabilidade
3.7 4.8, 4.9 Cliente

Use os relatórios de segurança do Azure Active Directory para a geração de logs e alertas quando atividades suspeitas ou inseguras ocorrerem no ambiente. Use a Central de Segurança do Azure para monitorar a atividade de identidade e acesso.

3.8: Gerenciar recursos do Azure provenientes somente de locais aprovados

ID do Azure IDs do CIS Responsabilidade
3.8 11,7 Cliente

Use localizações nomeadas de acesso condicional para permitir o acesso somente de agrupamentos lógicos de intervalos de endereços IP ou de países/regiões específicos.

3.9: Use o Azure Active Directory Domain Services

ID do Azure IDs do CIS Responsabilidade
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Cliente

Use o Azure Active Directory como o sistema central de autenticação e autorização. O Azure AD protege os dados usando criptografia forte para dados em repouso e em trânsito. O Azure Active Directory também inclui sais, hashes e armazena com segurança as credenciais do usuário.

3.10: revisar e reconciliar regularmente o acesso do usuário

ID do Azure IDs do CIS Responsabilidade
3.10 16.9, 16.10 Cliente

O Azure AD fornece logs para ajudar a descobrir contas obsoletas. Além disso, use as revisões de acesso de identidade do Azure para gerenciar com eficiência associações a um grupo, acesso aos aplicativos empresariais e atribuições de função. O acesso de usuários pode ser examinado regularmente para garantir que somente os usuários corretos tenham acesso contínuo.

3.11: Monitorar as tentativas de acessar credenciais desativadas

ID do Azure IDs do CIS Responsabilidade
3.11 16.12 Cliente

Você tem acesso à atividade de entrada do Azure AD, às fontes de log de eventos de auditoria e de risco, que permitem a integração a qualquer ferramenta de Monitoramento/SIEM.

Você pode simplificar esse processo criando configurações de diagnóstico para contas de usuário do Azure Active Directory e enviando os logs de auditoria e os logs de entrada para um workspace do Log Analytics. Você pode configurar os alertas desejados no workspace do Log Analytics.

3.12: alertar sobre o desvio de comportamento de logon na conta

ID do Azure IDs do CIS Responsabilidade
3.12 16.13 Cliente

Use os recursos de proteção de identidade e proteção contra riscos do Azure AD para configurar respostas automatizadas para ações suspeitas detectadas relacionadas a identidades de usuários. Você também pode ingerir dados no Azure Sentinel para uma investigação mais aprofundada.

3.13: Fornecer à Microsoft acesso a dados relevantes do cliente durante cenários de suporte

ID do Azure IDs do CIS Responsabilidade
3.13 16 Cliente

Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Sistema de Proteção de Dados do Cliente fornece uma interface para você examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente.

Próximas etapas