Compartilhar via


Controle de Segurança v3: Acesso privilegiado

O acesso privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos do Azure, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido.

PA-1: separar e limitar usuários administrativos/altamente privilegiados

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Princípio de segurança: verifique se você está identificando todas as contas de alto impacto nos negócios. Limite o número de contas privilegiadas/administrativas no plano de controle, no plano de gerenciamento e no plano de dados/carga de trabalho da sua nuvem.

Diretrizes do Azure: o Azure AD (Azure Active Directory) é o serviço de gerenciamento de identidades e acesso padrão do Azure. As funções internas mais críticas no Azure AD são Administrador Global e Administrador de Funções com Privilégios, porque os usuários atribuídos a elas podem delegar funções de administrador. Com esses privilégios, os usuários podem ler e mudar de forma direta ou indireta todos os recursos no seu ambiente do Azure:

  • Administrador global/Administrador da empresa: os usuários com esta função têm acesso a todos os recursos administrativos do Azure AD, bem como a serviços que utilizam identidades do Azure AD.
  • Administrador de funções com privilégios: os usuários com essa função podem gerenciar atribuições de função tanto no Azure AD quanto no Azure AD Privileged Identity Management (PIM). Além disso, essa função permite gerenciar todos os aspectos do PIM e das unidades administrativas.

Fora do Azure Active Directory, o Azure tem funções interna que podem ser críticas para acesso privilegiado no nível do recurso.

  • Proprietário: concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC.
  • Colaborador: concede o acesso completo para gerenciar todos os recursos, mas não permite atribuir funções no Azure RBAC, gerenciar atribuições no Azure Blueprints nem compartilhar galerias de imagens.
  • Administrador de Acesso do Usuário: permite gerenciar o acesso do usuário aos recursos do Azure. Observação: é possível que você tenha outras funções críticas que precisem ser controladas caso utilize funções personalizadas no nível do Azure Active Directory ou no nível de recurso com determinadas permissões privilegiadas atribuídas.

Certifique-se de também restringir contas privilegiadas em outros sistemas de gerenciamento, identidade e segurança que tenham acesso administrativo aos seus ativos comercialmente críticos, como o DCs (Controladores de Domínio do Active Directory), ferramentas de segurança e ferramentas de gerenciamento do sistema com agentes instalados em sistemas comercialmente críticos. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem transformá-los em uma arma para prejudicar ativos críticos de negócios.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-2: evitar o acesso permanente a contas e permissões de usuários

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
N/D AC-2 N/D

Princípio de segurança: em vez de criar privilégios permanentes, use o mecanismo JIT (Just-In-Time) para atribuir acesso privilegiado às diferentes camadas de recursos.

Diretrizes do Azure: habilite o acesso privilegiado JIT (just-in-time) aos recursos do Azure e ao Azure AD usando o Azure AD PIM (Privileged Identity Management). O JIT é um modelo no qual os usuários recebem permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso após a expiração das permissões. O acesso é concedido somente quando os usuários precisam dele. O PIM também pode gerar alertas de segurança quando há atividades suspeitas ou não seguras na sua organização do Azure AD.

Restrinja o tráfego de entrada às portas de gerenciamento de VM (máquinas virtuais) confidenciais com o recurso JIT (Just-In-Time) do Microsoft Defender para Nuvem para acesso à VM. Isso garante que o acesso privilegiado à VM seja concedido somente quando os usuários precisam dela.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-3: gerenciar o ciclo de vida de identidades e direitos

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Princípio de segurança: use um processo automatizado ou controle técnico para gerenciar o ciclo de vida de identidade e acesso, incluindo a solicitação, revisão, aprovação, provisionamento e desprovisionamento.

Diretrizes do Azure: use os recursos de gerenciamento de direitos do Azure Active Directory para automatizar fluxos de trabalho de solicitação de acesso (para grupos de recursos do Azure). Isso permite que os fluxos de trabalho para grupos de recursos do Azure gerenciem atribuições de acesso, revisões, expiração e aprovação dupla ou de vários estágios.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-4: examinar e reconciliar regularmente o acesso do usuário

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Princípio de segurança: proceder a uma revisão regular de direitos de conta com privilégios. Verifique se o acesso concedido às contas é válido para administração de plano de controle, plano de gerenciamento e cargas de trabalho.

Diretrizes do Azure: revise todas as contas privilegiadas e os direitos de acesso no Azure, incluindo locatário do Azure, serviços do Azure, VM/IaaS, processos de CI/CD e ferramentas de segurança e gerenciamento corporativo.

Use as revisões de acesso do Azure Active Directory para revisar funções do Azure Active Directory e funções de acesso a recursos do Azure, associações de grupo, acesso a aplicativos empresariais. Os relatórios do Azure Active Directory também podem fornecer logs para ajudar a descobrir contas obsoletas, contas que não estão sendo usadas por um determinado período de tempo.

Além disso, o Azure AD Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador for criado for para uma função específica e para identificar contas de administrador que estão obsoletas ou configuradas incorretamente.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-5: configurar o acesso de emergência

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
N/D AC-2 N/D

Princípio de segurança: configure o acesso de emergência para garantir que você não seja bloqueado acidentalmente de sua infraestrutura de nuvem crítica (como seu sistema de gerenciamento de identidade e acesso) em uma emergência.

As contas de acesso de emergência raramente devem ser usadas e podem ser altamente prejudiciais à organização, se comprometidas, mas sua disponibilidade para a organização também é extremamente importante para os poucos cenários em que são necessárias.

Diretrizes do Azure: para evitar que seja bloqueado acidentalmente do Azure Active Directory da sua empresa, configure uma conta de acesso de emergência (por exemplo, uma conta com função Administrador Global) para quando as contas administrativas normais não puderem ser usadas. As contas de acesso de emergência geralmente são altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas.

Você deve verificar se as credenciais (como senha, certificado ou cartão inteligente) para contas de acesso de emergência são mantidas seguras e conhecidas apenas pelos indivíduos que têm autorização para usá-las somente em uma emergência. Você também pode usar controles adicionais, como controles duplos (por exemplo, dividindo a credencial em duas partes e dando a ela pessoas separadas) para aprimorar a segurança desse processo. Você também deve monitorar a entrada e os logs de auditoria para garantir que as contas de acesso de emergência só possam ser usadas sob autorização.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-6: usar estações de trabalho com acesso privilegiado

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 N/D

Diretrizes do Azure: as estações de trabalho seguras e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviço crítico.

Diretrizes do Azure: use o Azure Active Directory, Microsoft Defender e/ou Microsoft Intune para implantar PAW (estações de trabalho com acesso privilegiado) no local ou no Azure para tarefas privilegiadas. A PAW deve ser gerenciadas de modo centralizado para impor a configuração protegida, incluindo linhas de base de software e hardware, autenticação forte e acesso lógico restrito e de rede.

Você também pode usar o Azure Bastion, que é um serviço de PaaS totalmente gerenciado por plataforma que pode ser provisionado dentro de sua rede virtual. O Azure Bastion permite a conectividade RDP/SSH para suas máquinas virtuais diretamente do portal do Azure usando o navegador.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-7: Siga apenas o princípio da administração Just Enough ( privilégios mínimos)

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Princípio de segurança: siga o princípio de administração Just Enough (privilégios mínimos) para gerenciar permissões no nível refinado. Use recursos como o RBAC (controle de acesso baseado em função) para gerenciar o acesso a recursos por meio de atribuições de função.

Diretrizes do Azure: use o RBAC do Azure (Controle de Acesso Baseado em Função do Azure) para gerenciar o acesso aos recursos do Azure por meio de atribuições de função. Através do RBAC, é possível atribuir funções a usuários, entidades de serviço de grupo e identidades gerenciadas. Há funções internas predefinidas para determinados recursos, e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure.

Os privilégios que você atribui aos recursos por meio do RBAC do Azure devem ser sempre limitados ao que é exigido pelas funções. Os privilégios limitados complementarão a abordagem JIT (just-in-time) do PIM (Azure Active Directory Privileged Identity Management), e esses privilégios devem ser revisados periodicamente. Se necessário, você também pode usar o PIM para definir a condição de duração (atribuição de tempo) na atribuição de função, na qual um usuário pode ativar ou usar a função somente nas datas de início e de término.

Observação: use as funções internas do Azure para alocar permissões e somente crie funções personalizadas quando necessário.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PA-8 determinar o processo de acesso para o suporte ao provedor de nuvem

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 N/D

Princípio de segurança: estabeleça um processo de aprovação e o caminho de acesso para solicitar e aprovar a solicitação de suporte do fornecedor e o acesso temporário aos seus dados por meio de um canal seguro.

Diretrizes do Azure: em cenários de suporte em que a Microsoft precisa acessar seus dados, use Sistema de Proteção de Dados do Cliente para revisar e aprovar ou rejeitar cada solicitação de acesso a dados da Microsoft.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):