Controlo de Segurança v3: Gestão de identidade
A Gestão de Identidade abrange os controlos para estabelecer uma identidade segura e controlos de acesso utilizando o Azure Ative Directory, incluindo a utilização de autenticações únicas, autenticações fortes, identidades geridas (e princípios de serviço) para aplicações, acesso condicional e monitorização de anomalias de conta.
IM-1: Utilize sistema centralizado de identidade e autenticação
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Princípio de Segurança: Utilize um sistema centralizado de identidade e autenticação para reger as identidades e autenticações da sua organização para recursos em nuvem e não cloud.
Azure Guidance: Azure Ative Directory (Azure AD) é o serviço de gestão de identidade e autenticação da Azure. Deve uniformizar em Azure AD para governar a identidade e a autenticação da sua organização em:
- Recursos em nuvem da Microsoft, como as aplicações Azure Storage, Azure Máquinas Virtuais (Linux e Windows), Azure Key Vault, PaaS e SaaS.
- Os recursos da sua organização, tais como aplicações no Azure, aplicações de terceiros em execução nos seus recursos de rede corporativa, e aplicações SaaS de terceiros.
- As suas identidades empresariais no Ative Directory, sincronizando-se com Azure AD para garantir uma estratégia de identidade consistente e gerida centralmente.
Nota: Assim que for tecnicamente viável, deve migrar Ative Directory no local aplicações baseadas em Azure AD. Este pode ser um Azure AD Diretório de Empresas, Configuração de Negócios para Negócios ou Negócio para configuração de consumo.
Implementação e contexto adicional:
- Inquilinos no Azure AD
- Como criar e configurar instâncias do Azure AD
- Definir inquilinos do Azure AD
- Utilizar fornecedores de identidade externos em aplicações
Stakeholders de Segurança do Cliente (Saiba mais):
- Identidade e gestão chave
- Arquitetura de segurança
- Segurança das aplicações e DevSecOps
- Gestão de postura
IM-2: Proteger sistemas de identidade e autenticação
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Princípio de Segurança: Proteja o seu sistema de identidade e autenticação como uma alta prioridade na prática de segurança na nuvem da sua organização. Os controlos de segurança comuns incluem:
- Restringir funções e contas privilegiadas
- Requerem autenticação forte para todos os acessos privilegiados
- Monitorizar e auditar atividades de alto risco
Orientação Azure: Utilize a linha de base de segurança Azure AD e a Azure AD Identity Secure Score para avaliar a sua Azure AD postura de segurança de identidade e remediar as lacunas de segurança e configuração. A Azure AD Identity Secure Score avalia Azure AD para as seguintes configurações: -Use funções administrativas limitadas
- Ligue a política de risco do utilizador
- Designar mais de um administrador global
- Permitir a política para bloquear a autenticação do legado
- Certifique-se de que todos os utilizadores podem completar a autenticação de vários fatores para um acesso seguro
- Exigir MFA para funções administrativas
- Ativar a reposição de palavras-passe self-service
- Não expire palavras-passe
- Ligue a política de risco de inscrição
- Não permita que os utilizadores concedam consentimento a aplicações não geridos
Nota: Acompanhe as melhores práticas publicadas para todos os outros componentes de identidade, incluindo o Ative Directory no local e quaisquer capacidades de terceiros, bem como as infraestruturas (tais como sistemas operativos, redes, bases de dados) que as acolhem.
Implementação e contexto adicional:
- O que é a pontuação de segurança de identidade no Azure AD
- Melhores Práticas para Proteger o Active Directory
Stakeholders de Segurança do Cliente (Saiba mais):
- Identidade e gestão chave
- Arquitetura de segurança
- Segurança das aplicações e DevSecOps
- Gestão de postura
IM-3: Gerir as identidades da aplicação de forma segura e automática
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2, AC-3, IA-4, IA-5, IA-9 | N/D |
Princípio de Segurança: Utilize identidades de aplicação geridas em vez de criar contas humanas para aplicações para aceder a recursos e executar código. As identidades geridas da aplicação proporcionam benefícios como a redução da exposição de credenciais. Automatizar a rotação da credencial para garantir a segurança das identidades.
Orientação Azure: Utilize identidades geridas a Azure, que podem autenticar para a Azure serviços e recursos que suportam Azure AD autenticação. As credenciais de identidade geridas são totalmente geridas, rotativas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Para serviços que não suportam identidades geridas, utilize Azure AD para criar um principal de serviço com permissões restritas ao nível dos recursos. Recomenda-se configurar os princípios de serviço com credenciais de certificado e recorrer aos segredos do cliente para a autenticação.
Implementação e contexto adicional:
- Identidades geridas por Azure
- Serviços que suportam identidades geridas para recursos da Azure
- Principal de serviço do Azure
- Criar um principal de serviço com certificados
Stakeholders de Segurança do Cliente (Saiba mais):
IM-4: Autenticar servidor e serviços
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-9 | N/D |
Princípio de Segurança: Autenticar servidores e serviços remotos do lado do seu cliente para garantir que está a ligar-se a servidores e serviços fidedignos. O protocolo de autenticação do servidor mais comum é o Transport Layer Security (TLS), onde o lado do cliente (muitas vezes um browser ou dispositivo cliente) verifica o servidor verificando que o certificado do servidor foi emitido por uma autoridade de certificados fidedigna.
Nota: A autenticação mútua pode ser utilizada quando o servidor e o cliente autenticam-se mutuamente.
Orientação Azure: Muitos serviços Azure suportam a autenticação TLS por padrão. Para os serviços que suportam o interruptor TLS ativar/desativar o utilizador, certifique-se de que está sempre ativado para suportar a autenticação do servidor/serviço. A sua aplicação ao cliente também deve ser concebida para verificar a identidade do servidor/serviço (verificando o certificado do servidor emitido por uma autoridade de certificado de confiança) na fase de aperto de mão.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
IM-5: Utilize um único sinal de acesso (SSO) para acesso à aplicação
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 12.5 | IA-4, IA-2, IA-8 | N/D |
Princípio de Segurança: Utilize um único sign-on (SSO) para simplificar a experiência do utilizador para autenticar recursos, incluindo aplicações e dados através de serviços na nuvem e ambientes no local.
Orientação Azure: Utilize Azure AD para o acesso à aplicação de carga de trabalho através de Azure AD único sso, evitando a necessidade de várias contas. Azure AD fornece gestão de identidade e acesso aos recursos da Azure (plano de gestão incluindo CLI, PowerShell, portal), aplicações em nuvem e aplicações no local.
Azure AD suporta SSO para identidades empresariais, tais como identidades de utilizadores corporativos, bem como identidades de utilizadores externos de utilizadores de terceiros e utilizadores públicos confiáveis.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
IM-6: Utilize controlos de autenticação forte
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Princípio de Segurança: Imponha controlos de autenticação forte (autenticação forte sem palavras-passe ou autenticação de vários fatores) com o seu sistema centralizado de gestão de identidade e autenticação para todos os acessos aos recursos. A autenticação baseada apenas nas credenciais de senha é considerada legado, uma vez que é insegura e não resiste aos métodos de ataque populares.
Ao implementar uma autenticação forte, configurar primeiro os administradores e utilizadores privilegiados, para garantir o mais alto nível do método de autenticação forte, seguindo-se rapidamente a implementação da política de autenticação forte adequada a todos os utilizadores.
Nota: Se for necessária a autenticação baseada em passwords para aplicações e cenários antigos, certifique-se de que as melhores práticas de segurança de palavras-passe, tais como requisitos de complexidade, são seguidas.
Orientação Azure: Azure AD suporta controlos de autenticação forte através de métodos sem palavras-passe e autenticação de vários fatores (MFA).
- Autenticação sem palavras-passe: Utilize a autenticação sem palavras-passe como método de autenticação predefinido. Existem três opções disponíveis na autenticação sem palavras-passe: Windows Hello para Empresas, o acesso telefónico da aplicação Microsoft Authenticator e o FIDO 2Keys. Além disso, os clientes podem usar métodos de autenticação no local, como cartões inteligentes.
- Autenticação multi-factor: O Azure MFA pode ser aplicado em todos os utilizadores, utilizadores selecionados ou a nível por utilizador com base em condições de inscrição e fatores de risco. Ative o Azure MFA e siga as recomendações de gestão de identidade e acesso do Azure Defender para a sua configuração de MFA.
Se a autenticação baseada em palavras-passe antigas ainda for utilizada para Azure AD autenticação, esteja ciente de que as contas apenas na nuvem (contas de utilizador criadas diretamente no Azure) têm uma política de senha de base padrão padrão. E as contas híbridas (contas de utilizador que vêm de Ative Directory no local) seguem as políticas de senha no local.
Para aplicações e serviços de terceiros que possam ter IDs e senhas predefinidos, deve desativá-las ou alterá-las durante a configuração inicial do serviço.
Implementação e contexto adicional:
- Como ativar o MFA no Azure
- Introdução às opções de autenticação sem palavra-passe para o Azure Active Directory
- Política de palavras-passe predefinidas do Azure AD
- Eliminar palavras-passe fracas com a Proteção de Palavras-passe do Azure AD
- Bloquear a autenticação legada
Stakeholders de Segurança do Cliente (Saiba mais):
IM-7: Restringir o acesso aos recursos com base nas condições
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Princípio de Segurança: Validar explicitamente sinais fidedignos para permitir ou negar o acesso dos utilizadores aos recursos, como parte de um modelo de acesso de confiança zero. Os sinais a validar devem incluir a autenticação forte da conta do utilizador, análise comportamental da conta do utilizador, fiabilidade do dispositivo, membro do utilizador ou grupo, localizações e assim por diante.
Orientação Azure: Utilize Azure AD acesso condicional para mais controlos de acesso granular com base em condições definidas pelo utilizador, tais como exigir logins do utilizador de determinadas gamas IP (ou dispositivos) para utilizar O MFA. Azure AD Acesso Condicional permite-lhe impor controlos de acesso nas aplicações da sua organização com base em determinadas condições.
Definir as condições e critérios aplicáveis para Azure AD acesso condicional na carga de trabalho. Considere os seguintes casos de uso comum:
- Exigir a autenticação de vários fatores para utilizadores com funções administrativas
- Exigir autenticação multi-factor para tarefas de gestão da Azure
- Bloqueio de inscrições para utilizadores que tentam utilizar protocolos de autenticação de legados
- Exigir localizações fidedignas para Azure AD registo de autenticação multi-factor
- Bloquear ou conceder acesso a partir de locais específicos
- Bloquear comportamentos de sinalização de risco
- Exigir dispositivos geridos pela organização para aplicações específicas
Nota: Uma gestão de sessão de autenticação granular também pode ser usada através de Azure AD política de acesso condicional para controlos como frequência de inscrição e sessão de navegador persistente.
Implementação e contexto adicional:
- Visão geral do acesso condicional do Azure
- Políticas de Acesso Condicional comuns
- Informações e relatórios de acesso condicional
- Configurar a gestão de sessões de autenticação com o Acesso Condicional
Stakeholders de Segurança do Cliente (Saiba mais):
- Identidade e gestão chave
- Segurança das aplicações e DevSecOps
- Gestão de postura
- Inteligência de ameaça
IM-8: Restringir a exposição de credenciais e segredos
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Princípio de Segurança: Certifique-se de que os desenvolvedores de aplicações lidam com credenciais e segredos de forma segura:
- Evite incorporar as credenciais e segredos nos ficheiros de código e configuração
- Use o cofre de chaves ou um serviço de loja de chaves seguro para armazenar as credenciais e segredos
- Procure credenciais em código fonte.
Nota: Isto é frequentemente governado e aplicado através de um ciclo de vida de desenvolvimento de software seguro (SDLC) e processo de segurança DevOps.
Orientação Azure: Certifique-se de que os segredos e credenciais são armazenados em locais seguros, como o Azure Key Vault, em vez de os incorporar nos ficheiros de código e configuração.
- Implementar o Scanner Credencial Azure DevOps para identificar credenciais dentro do código.
- Para o GitHub, utilize a funcionalidade de digitalização secreta nativa para identificar credenciais ou outra forma de segredo dentro do código.
Clientes como Funções do Azure, serviços Azure Apps e VMs podem usar identidades geridas para aceder a Azure Key Vault de forma segura. Consulte os controlos de Proteção de Dados relacionados com a utilização do Azure Key Vault para gestão de segredos.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
IM-9: Acesso seguro do utilizador às aplicações existentes
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | N/D |
Princípio de Segurança: Num ambiente híbrido, onde tenha aplicações no local ou aplicações em nuvem não nativas utilizando a autenticação antiga, considere soluções como o corretor de segurança de acesso à nuvem (CASB), procuração de aplicações, sso único para reger o acesso a estas aplicações para os seguintes benefícios:
- Impor uma autenticação forte centralizada
- Monitorizar e controlar as atividades arriscadas do utilizador final
- Monitorizar e remediar atividades de aplicações antigas de risco
- Detetar e prevenir a transmissão de dados sensíveis
Orientação Azure: Proteja as suas aplicações de nuvem no local e não nativas utilizando a autenticação do legado, ligando-as a:
- Azure AD Proxy de Aplicações em conjunto com a autenticação baseada em cabeçalho para a publicação de aplicações antigas no local para utilizadores remotos com um único sign-on (SSO) ao mesmo tempo que valida explicitamente a fiabilidade tanto dos utilizadores remotos como dos dispositivos com Azure AD Acesso Condicional. Se necessário, utilize a solução de Software-Defined Perimeter (SDP) de terceiros que pode oferecer funcionalidades semelhantes.
- Os controladores e redes de entrega de aplicações de terceiros existentes
- Microsoft Defender for Cloud Apps, utilizando-o como um serviço de corretor de segurança de acesso à nuvem (CASB) para fornecer controlos para monitorizar as sessões de aplicação de um utilizador e ações de bloqueio (tanto para aplicações antigas no local como para aplicações de cloud como um serviço (SaaS).
Nota: As VPNs são geralmente utilizadas para aceder a aplicações antigas, muitas vezes têm apenas controlo básico de acesso e monitorização limitada da sessão.
Implementação e contexto adicional:
- Azure AD Proxy de Aplicações
- Defender para Aplicações cloud as melhores práticas
- Azure AD acesso híbrido seguro
Stakeholders de Segurança do Cliente (Saiba mais):