Controlo de Segurança: Identidade e Controlo de Acesso
Nota
A Referência de Segurança do Azure mais atualizada está disponível aqui.
As recomendações de gestão de identidades e acessos focam-se em resolver problemas relacionados com o controlo de acesso baseado em identidades, bloquear o acesso administrativo, alertar sobre eventos relacionados com identidades, comportamento anormal da conta e controlo de acesso baseado em funções.
3.1: Manter um inventário de contas administrativas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3,1 | 4.1 | Cliente |
Azure AD tem funções incorporadas que têm de ser explicitamente atribuídas e podem ser consultadas. Utilize o módulo Azure AD PowerShell para executar consultas ad hoc para detetar contas que são membros de grupos administrativos.
Como obter uma função de diretório no Azure AD com o PowerShell
Como obter membros de uma função de diretório no Azure AD com o PowerShell
3.2: Alterar palavras-passe predefinidas sempre que aplicável
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.2 | 4.2 | Cliente |
Azure AD não tem o conceito de palavras-passe predefinidas. Outros recursos do Azure que exigem uma palavra-passe forçam a criação de uma palavra-passe com requisitos de complexidade e um comprimento mínimo de palavra-passe, o que difere consoante o serviço. É responsável por aplicações de terceiros e serviços do marketplace que podem utilizar palavras-passe predefinidas.
3.3: Utilizar contas administrativas dedicadas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.3 | 4.3 | Cliente |
Crie procedimentos operacionais padrão em torno da utilização de contas administrativas dedicadas. Utilize as recomendações no controlo de segurança "Gerir acesso e permissões" do Centro de Segurança do Azure para monitorizar o número de contas administrativas.
Também pode ativar um Just-In-Time/Just-Enough-Access com Azure AD Privileged Identity Management Funções Privilegiadas para Serviços Microsoft e Resource Manager do Azure.
3.4: Utilizar o início de sessão único (SSO) com o Azure Active Directory
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.4 | 4.4 | Cliente |
Sempre que possível, utilize o SSO do Azure Active Directory em vez de configurar credenciais autónomas individuais por serviço. Utilize as recomendações no controlo de segurança "Gerir acesso e permissões" do Centro de Segurança do Azure.
3.5: Utilizar a autenticação multifator para todo o acesso baseado no Azure Active Directory
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | Cliente |
Ative Azure AD MFA e siga Centro de Segurança do Azure recomendações de Gestão de Identidades e Acessos.
3.6: Utilizar máquinas dedicadas (Estações de Trabalho de Acesso Privilegiado) para todas as tarefas administrativas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | Cliente |
Utilize PAWs (estações de trabalho de acesso privilegiado) com a MFA configurada para iniciar sessão e configurar recursos do Azure.
3.7: Registar e alertar sobre atividades suspeitas de contas administrativas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.7 | 4.8, 4.9 | Cliente |
Utilize relatórios de segurança do Azure Active Directory para geração de registos e alertas quando ocorrer atividade suspeita ou não segura no ambiente. Utilize Centro de Segurança do Azure para monitorizar a atividade de identidade e acesso.
3.8: Gerir recursos do Azure apenas a partir de localizações aprovadas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3,8 | 11,7 | Cliente |
Utilize Localizações Nomeadas de Acesso Condicional para permitir o acesso apenas a partir de agrupamentos lógicos específicos de intervalos de endereços IP ou países/regiões.
3.9: Utilizar o Azure Active Directory
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Cliente |
Utilize o Azure Active Directory como o sistema central de autenticação e autorização. Azure AD protege os dados através da encriptação forte para dados inativos e em trânsito. Azure AD também sais, hashes e armazena credenciais de utilizador de forma segura.
3.10: Rever e reconciliar regularmente o acesso dos utilizadores
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.10 | 16.9, 16.10 | Cliente |
Azure AD fornece registos para ajudar a detetar contas obsoletas. Além disso, utilize as Revisões de Acesso de Identidade do Azure para gerir de forma eficiente as associações a grupos, o acesso a aplicações empresariais e atribuições de funções. O acesso do utilizador pode ser revisto regularmente para garantir que apenas os Utilizadores corretos têm acesso contínuo.
3.11: Monitorizar tentativas de acesso a credenciais desativadas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.11 | 16.12 | Cliente |
Tem acesso a Azure AD origens de registo de Eventos de Atividade, Auditoria e Risco de Início de Sessão, que lhe permitem integrar com qualquer ferramenta SIEM/Monitorização.
Pode simplificar este processo ao criar Definições de Diagnóstico para contas de utilizador do Azure Active Directory e ao enviar os registos de auditoria e os registos de início de sessão para uma Área de Trabalho do Log Analytics. Pode configurar os Alertas pretendidos na Área de Trabalho do Log Analytics.
3.12: Alerta sobre o desvio do comportamento de início de sessão da conta
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.12 | 16.13 | Cliente |
Utilize Azure AD funcionalidades de Risco e Proteção de Identidade para configurar respostas automatizadas a ações suspeitas detetadas relacionadas com identidades de utilizador. Também pode ingerir dados no Azure Sentinel para uma investigação mais aprofundada.
3.13: Conceder à Microsoft acesso a dados relevantes do cliente durante cenários de suporte
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 3.13 | 16 | Cliente |
Em cenários de suporte em que a Microsoft precisa de aceder aos dados dos clientes, o Sistema de Proteção de Dados do Cliente fornece uma interface para rever e aprovar ou rejeitar pedidos de acesso a dados do cliente.
Passos seguintes
- Veja o próximo Controlo de Segurança: Proteção de Dados