Controle de Segurança V2: Gerenciamento de Identidades
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando Microsoft Azure Active Directory. Isso inclui o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta.
Para ver as informações internas aplicáveis do Azure Policy, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Gerenciamento de Identidades
IM-1: padronizar o Azure Active Directory como o sistema central de identidade e autenticação
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
O Azure AD (Azure Active Directory) é o serviço de gerenciamento de identidades e acesso padrão do Azure. Você deve padronizá-lo no Azure AD para controlar o gerenciamento de identidades e acesso da sua organização:
Recursos de nuvem da Microsoft, como o portal do Azure, o Armazenamento do Azure, as Máquinas Virtuais do Azure (Linux e Windows), o Azure Key Vault e os aplicativos PaaS e SaaS.
Os recursos da sua organização, como os aplicativos no Azure ou os recursos de rede corporativa.
A proteção do Azure AD deve ser uma prioridade alta na prática de segurança de nuvem da sua organização. O Azure AD fornece uma classificação de segurança de identidade para ajudar você a avaliar sua postura de segurança de identidade em relação às recomendações de melhores práticas da Microsoft. Use a classificação para medir o alinhamento da sua configuração com as recomendações de melhores práticas e fazer aprimoramentos na sua postura de segurança.
Observação: o Azure AD dá suporte a provedores de identidade externos, que permitem aos usuários sem uma conta Microsoft entrar nos respectivos aplicativos e recursos com a identidade externa.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-2: gerenciar identidades de aplicativo de maneira segura e automática
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | N/D | AC-2, AC-3, IA-2, IA-4, IA-9 |
Para contas não humanas, como serviços ou automação, use identidades gerenciadas do Azure, em vez de criar uma conta humana mais poderosa para acessar recursos ou executar código. As identidades gerenciadas do Azure podem ser autenticadas nos serviços e recursos do Azure compatíveis com a autenticação do Azure AD. A autenticação é habilitada por meio de regras de concessão de acesso predefinidas, evitando credenciais embutidas no código-fonte ou arquivos de configuração.
Para serviços que não permitem identidades gerenciadas, use o Azure AD para criar uma entidade de serviço com permissões restritas no nível de recurso. É recomendável configurar as entidades de serviço com credenciais de certificado e retornar para os segredos do cliente. Em ambos os casos, o Azure Key Vault pode ser usado em conjunto com as identidades gerenciadas do Azure, para que o ambiente de runtime (como uma função do Azure) possa recuperar a credencial do cofre de chaves.
Use o Azure Key Vault para o registro da entidade de segurança: authentication#authorize-a-security-principal-to-access-key-vault
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-3: usar o SSO (logon único) do Azure AD para acesso ao aplicativo
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
O Azure AD fornece gerenciamento de identidades e acesso aos recursos, aplicativos de nuvem e aplicativos locais do Azure. O gerenciamento de identidades e acesso se aplica a identidades corporativas, como funcionários, bem como identidades externas, como parceiros e fornecedores.
Use o SSO (logon único) do Azure AD para gerenciar e proteger o acesso aos dados e recursos da sua organização no local e na nuvem. Conecte todos os seus usuários, aplicativos e dispositivos ao Azure AD para obter acesso contínuo e seguro, além de maior visibilidade e controle.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-4: usar controles de autenticação forte para todo o acesso baseado no Azure Active Directory
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
O Azure AD dá suporte a controles de autenticação fortes por meio da MFA (autenticação multifator) e de métodos fortes sem senha.
Autenticação multifator: habilite a Autenticação Multifator do Azure AD e siga as recomendações no controle de segurança "Ativar MFA" da Central de Segurança do Azure. A MFA pode ser imposta em todos os usuários, em usuários selecionados ou no nível por usuário com base nas condições de entrada e nos fatores de risco.
Autenticação sem senha: três opções de autenticação sem senha estão disponíveis: Windows Hello para Empresas, aplicativo Microsoft Authenticator e métodos de autenticação locais, como cartões inteligentes.
Para administradores e usuários privilegiados, garanta que seja usado o nível mais alto do método de autenticação forte, seguido pela implementação da política apropriada de autenticação forte para os outros usuários.
Se a autenticação baseada em senha herdada ainda for usada para autenticação do Azure AD, lembre-se de que as contas somente na nuvem (contas de usuário criadas diretamente no Azure) têm uma política de senha de linha de base padrão. E as contas híbridas (contas de usuário com Active Directory local) seguem as políticas de senha local. Ao usar a autenticação baseada em senha, o Azure AD fornece um recurso de proteção de senha que impede que os usuários definam senhas que são fáceis de adivinhar. A Microsoft fornece uma lista global de senhas banidas que são atualizadas com base na telemetria, e os clientes podem aumentar a lista com base nas necessidades (por exemplo, com identidade visual, referências culturais, etc.). Essa proteção por senha pode ser usada para contas híbridas e somente em nuvem.
Observação: a autenticação baseada em credenciais de senha sozinhas é suscetível a métodos de ataque populares. Para maior segurança, use autenticação forte, como MFA e uma política de senha forte. Para aplicativos de terceiros e serviços do Marketplace que podem ter senhas padrão, você deve alterá-los durante a configuração inicial do serviço.
Introdução às opções de autenticação sem senha do Azure Active Directory
Eliminar senhas inadequadas usando a proteção de senha do Azure AD
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-5: monitorar anomalias nas contas e fornecer alertas sobre elas
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
O Azure AD fornece as seguintes fontes de dados:
Entradas – O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.
Logs de auditoria – permitem o rastreio de todas as alterações feitas por meio de vários recursos no Azure AD. Exemplos de logs de auditoria de alterações registradas incluem adicionar ou remover usuários, aplicativos, grupos, funções e políticas.
Entradas arriscadas - uma entrada arriscada é um indicador para uma tentativa de logon que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de usuário.
Usuários sinalizados para riscos - um usuário arriscado é um indicador de uma conta de usuário que pode ter sido comprometida.
Essas fontes de dados podem ser integradas ao Azure Monitor, ao Azure Sentinel ou a sistemas SIEM de terceiros.
A Central de Segurança do Azure também pode fornecer alertas sobre algumas atividades suspeitas, como um número excessivo de tentativas de autenticação com falha e contas preteridas na assinatura.
O Microsoft Defender para Identidade é uma solução de segurança que pode usar sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas.
Como identificar usuários do Azure AD sinalizados em relação a atividades arriscadas
Como monitorar a atividade de identidade e acesso dos usuários na Central de Segurança do Azure
Alertas nos planos da Central de Segurança do Azure e do Azure Defender
Como integrar os logs de atividades do Azure ao Azure Monitor
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-6: restringir o acesso aos recursos do Azure com base em condições
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-6 | N/D | AC-2, AC-3 |
Use o acesso condicional do Azure AD para obter controle de acesso mais granular com base nas condições definidas pelo usuário, como exigir que logons de usuário de determinados intervalos de IP usem a MFA. Um gerenciamento de sessão de autenticação granular também pode ser usado por meio da política de acesso condicional do Azure AD para diferentes casos de uso.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-7: eliminar a exposição involuntária de credenciais
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implemente o verificador de credenciais do Azure DevOps para identificar as credenciais no código. O verificador de credenciais também encoraja a migração de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Para o GitHub, você pode usar o recurso de verificação de segredo nativo para identificar as credenciais ou outra forma de segredos dentro do código.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
IM-8: acesso de usuário seguro a aplicativos herdados
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Confirme se você tem controles de acesso modernos e monitoramento de sessão para aplicativos herdados e os dados que eles armazenam e processam. Embora seja comum usar VPNs para acessar aplicativos herdados, elas geralmente têm apenas controle de acesso básico e monitoramento de sessão limitado.
O Proxy de Aplicativo do Azure AD permite publicar aplicativos locais herdados para usuários remotos com SSO (logon único) ao validar explicitamente a confiabilidade de usuários e dispositivos remotos com acesso condicional do Azure AD.
Como alternativa, Microsoft Defender para Aplicativos de Nuvem é um serviço CASB (agente de segurança de acesso à nuvem) que pode fornecer controles para monitorar as sessões de aplicativo de um usuário e ações de bloqueio (para aplicativos locais herdados e aplicativos SaaS (software como serviço).
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):