Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
As recomendações de gerenciamento de identidade e acesso se concentram em resolver problemas relacionados ao controle de acesso baseado em identidade, bloquear o acesso administrativo, alertar sobre eventos relacionados à identidade, comportamento anormal da conta e controle de acesso baseado em função.
3.1: Manter um inventário de contas administrativas
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.1 | 4.1 | Cliente |
O Azure AD tem funções internas que devem ser atribuídas explicitamente e que podem ser consultadas. Use o módulo do PowerShell do Azure AD para executar consultas ad hoc para descobrir contas que são membros de grupos administrativos.
Como obter uma função de diretório no Azure AD com o PowerShell
Como obter membros de uma função de diretório no Azure AD com o PowerShell
3.2: alterar senhas padrão quando aplicável
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.2 | 4.2 | Cliente |
O Azure AD não tem o conceito de senhas padrão. Outros recursos do Azure que exigem uma senha forçam a criação de uma senha com requisitos de complexidade e um tamanho mínimo de senha, o que difere dependendo do serviço. Você é responsável por aplicativos de terceiros e serviços do marketplace que podem usar senhas padrão.
3.3: Usar contas administrativas dedicadas
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.3 | 4.3 | Cliente |
Crie procedimentos operacionais padrão em torno do uso de contas administrativas dedicadas. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure para monitorar o número de contas administrativas.
Você também pode habilitar um Just-In-Time/Just-Enough-Access usando as funções privilegiadas do Azure AD Privileged Identity Management para Microsoft Services e Azure Resource Manager.
3.4: Usar o SSO (logon único) com o Azure Active Directory
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.4 | 4.4 | Cliente |
Sempre que possível, use o SSO do Azure Active Directory em vez de configurar credenciais individuais autônomas por serviço. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure.
3.5: Usar a autenticação multifator para todo o acesso baseado no Azure Active Directory
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3,5 | 4.5, 11.5, 12.11, 16.3 | Cliente |
Habilite a MFA do Azure AD e siga as recomendações de Gerenciamento de Acesso e Identidade da Central de Segurança do Azure.
3.6: Usar computadores dedicados (Estações de Trabalho de Acesso Privilegiado) para todas as tarefas administrativas
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3,6 | 4.6, 11.6, 12.12 | Cliente |
Use PAWs (estações de trabalho de acesso privilegiado) com MFA configurada para fazer login e configurar recursos do Azure.
3.7: Registrar e alertar atividades suspeitas de contas administrativas
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.7 | 4.8, 4.9 | Cliente |
Use relatórios de segurança do Azure Active Directory para geração de logs e alertas quando atividades suspeitas ou não seguras ocorrem no ambiente. Use a Central de Segurança do Azure para monitorar a identidade e a atividade de acesso.
Como identificar usuários do Azure AD sinalizados para atividades arriscadas
Como monitorar a identidade e a atividade de acesso dos usuários na Central de Segurança do Azure
3.8: Gerenciar recursos do Azure somente de locais aprovados
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.8 | 11,7 | Cliente |
Use locais nomeados de acesso condicional para permitir o acesso somente de agrupamentos lógicos específicos de intervalos de endereços IP ou países/regiões.
3.9: Usar o Azure Active Directory
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Cliente |
Use o Azure Active Directory como o sistema central de autenticação e autorização. O Azure AD protege os dados usando criptografia forte para dados em repouso e em trânsito. O Azure AD também adiciona sal, cria hashes e armazena com segurança as credenciais do usuário.
3.10: Revisar e reconciliar regularmente o acesso do usuário
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.10 | 16.9, 16.10 | Cliente |
O Azure AD fornece logs para ajudar a descobrir contas obsoletas. Além disso, use as Revisões de Acesso à Identidade do Azure para gerenciar com eficiência associações de grupo, acesso a aplicativos empresariais e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas os usuários certos tenham acesso contínuo.
3.11: Monitorar tentativas de acessar credenciais desativadas
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.11 | 16.12 | Cliente |
Você tem acesso às fontes de log de Atividade de Entrada, Auditoria e Risco do Azure AD, que permitem sua integração com qualquer ferramenta de SIEM/Monitoramento.
Você pode simplificar esse processo criando configurações de diagnóstico para contas de usuário do Azure Active Directory e enviando os logs de auditoria e logs de entrada para um Workspace do Log Analytics. Você pode configurar alertas desejados no workspace do Log Analytics.
3.12: Alerta sobre o desvio de comportamento de logon da conta
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.12 | 16.13 | Cliente |
Use os recursos do Azure AD Risk and Identity Protection para configurar respostas automatizadas para ações suspeitas detectadas relacionadas às identidades do usuário. Você também pode ingerir dados no Azure Sentinel para uma investigação mais aprofundada.
3.13: Fornecer à Microsoft acesso a dados relevantes do cliente durante cenários de suporte
Azure ID | IDs de CIS | Responsabilidade |
---|---|---|
3.13 | 16 | Cliente |
Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Customer Lockbox fornece uma interface para você examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente.
Próximas etapas
- Confira o próximo Controle de Segurança: Proteção de Dados