Controlo de Segurança v3: Acesso privilegiado
O Acesso Privilegiado abrange controlos para proteger o acesso privilegiado ao seu inquilino e recursos Azure, incluindo uma série de controlos para proteger a sua modelo administrativa, contas administrativas e estações de trabalho privilegiadas de acesso contra riscos deliberados e inadvertidos.
PA-1: Separar e limitar utilizadores altamente privilegiados/administrativos
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Princípio de segurança: Certifique-se de que está a identificar todas as contas de impacto de alto negócio. Limite o número de contas privilegiadas/administrativas no plano de controlo da sua nuvem, plano de gestão e plano de dados/carga de trabalho.
Azure Guidance: Azure Ative Directory (Azure AD) é o serviço de gestão de identidade e acesso padrão da Azure. As funções mais críticas integradas em Azure AD são o Administrador Global e o Administrador privilegiado, porque os utilizadores atribuídos a estas duas funções podem delegar funções de administrador. Com estes privilégios, os utilizadores podem ler e modificar direta ou indiretamente todos os recursos do seu ambiente Azure:
- Administrador Global / Administrador da Empresa: Os utilizadores com esta função têm acesso a todas as funcionalidades administrativas em Azure AD, bem como serviços que utilizam Azure AD identidades.
- Administrador privilegiado: Os utilizadores com esta função podem gerir atribuições de funções em Azure AD, bem como dentro de Azure AD Privileged Identity Management (PIM). Além disso, esta função permite a gestão de todos os aspetos da PIM e das unidades administrativas.
Fora do Azure AD, a Azure tem funções incorporadas que podem ser cruciais para o acesso privilegiado ao nível dos recursos.
- Proprietário: Concede acesso total para gerir todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC.
- Contribuinte: Concede acesso total para gerir todos os recursos, mas não lhe permite atribuir funções no Azure RBAC, gerir atribuições em Azure Blueprints ou partilhar galerias de imagem.
- Administrador de Acesso ao Utilizador: Permite gerir o acesso do utilizador aos recursos do Azure. Nota: Pode ter outras funções críticas que precisam de ser regidas se utilizar funções personalizadas no nível Azure AD ou no nível de recursos com determinadas permissões privilegiadas atribuídas.
Certifique-se de que também restringe as contas privilegiadas em outros sistemas de gestão, identidade e segurança que tenham acesso administrativo aos ativos críticos do seu negócio, tais como controladores de Domínio do Ative Directory (DCs), ferramentas de segurança e ferramentas de gestão de sistemas com agentes instalados em sistemas críticos de negócio. Os atacantes que comprometem estes sistemas de gestão e segurança podem imediatamente armar-los para comprometer ativos críticos do negócio.
Implementação e contexto adicional:
- Permissões das funções de administrador no Azure AD
- Utilizar os alertas de segurança do Azure Privileged Identity Management
- Proteção de acesso privilegiado para implementações híbridas e na cloud no Azure AD
Stakeholders de Segurança do Cliente (Saiba mais):
- Identidade e gestão chave
- Arquitetura de segurança
- Gestão de Conformidade de Segurança
- Operações de Segurança
PA-2: Evite o acesso permanente às contas e permissões dos utilizadores
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Princípio de segurança: Em vez de criar privilégios permanentes, use o mecanismo just-in-time (JIT) para atribuir acesso privilegiado aos diferentes níveis de recursos.
Orientação Azure: Permitir o acesso privilegiado (JIT) aos recursos e Azure AD de Azure utilizando Azure AD Privileged Identity Management (PIM). O JIT é um modelo em que os utilizadores recebem permissões temporárias para executar tarefas privilegiadas, o que impede que utilizadores maliciosos ou não autorizados tenham acesso após o termo das permissões. O acesso só é concedido quando os utilizadores precisam. O PIM também pode gerar alertas de segurança em caso de atividades suspeitas ou inseguras na sua organização do Azure AD.
Restringir o tráfego de entrada às suas instalações de gestão de máquinas virtuais sensíveis (VM) com a funcionalidade de acesso just-in-time (JIT) da Microsoft Defender para a Cloud para a funcionalidade de acesso VM. Isto garante que o acesso privilegiado ao VM só é concedido quando os utilizadores precisam.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
- Identidade e gestão chave
- Arquitetura de segurança
- Gestão de Conformidade de Segurança
- Operações de Segurança
PA-3: Gerir o ciclo de vida das identidades e direitos
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Princípio de segurança: Utilize um processo automatizado ou controlo técnico para gerir o ciclo de vida de identidade e acesso, incluindo o pedido, revisão, aprovação, provisão e desprovisionamento.
Orientação Azure: Utilize Azure AD funcionalidades de gestão de direitos para automatizar o acesso (para grupos de recursos Azure) solicitar fluxos de trabalho. Isto permite que os fluxos de trabalho para os grupos de recursos Azure gerem as atribuições de acesso, revisões, expiração e aprovação dupla ou multi-fases.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
PA-4: Rever e conciliar o acesso do utilizador regularmente
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Princípio de segurança: Realizar uma revisão regular dos direitos à conta privilegiada. Certifique-se de que o acesso concedido às contas é válido para a administração de plano de controlo, avião de gestão e cargas de trabalho.
Orientação Azure: Reveja todas as contas privilegiadas e os direitos de acesso em Azure, incluindo como inquilinos Azure, serviços Azure, VM/IaaS, processos de CI/CD e ferramentas de gestão e segurança da empresa.
Use Azure AD avaliações de acesso para rever funções Azure AD e funções de acesso a recursos Azure, membros do grupo, acesso a aplicações empresariais. Azure AD relatórios também podem fornecer registos para ajudar a descobrir contas velhas, contas que não são usadas por um determinado período de tempo.
Além disso, Azure AD Privileged Identity Management podem ser configurados para alertar quando um número excessivo de contas de administrador são criados para uma função específica, e para identificar contas de administrador que estão incómodas ou configuradas indevidamente.
Implementação e contexto adicional:
- Criar uma revisão de acesso das funções de recursos Azure em Privileged Identity Management (PIM)
- Como utilizar as revisões de identidades e acessos do Azure AD
Stakeholders de Segurança do Cliente (Saiba mais):
PA-5: Configurar o acesso de emergência
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Princípio de segurança: Configurar o acesso de emergência para garantir que não está acidentalmente bloqueado fora da sua infraestrutura de nuvem crítica (como o seu sistema de gestão de identidade e acesso) em caso de emergência.
As contas de acesso de emergência raramente devem ser usadas e podem ser altamente prejudiciais para a organização se comprometidas, mas a sua disponibilidade para a organização também é de extrema importância para os poucos cenários quando são necessários.
Orientação Azure: Para evitar que seja acidentalmente bloqueado fora da sua organização Azure AD, crie uma conta de acesso de emergência (por exemplo, uma conta com função de Administrador Global) para acesso quando não é possível utilizar contas administrativas normais. As contas de acesso de emergência são, normalmente, altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência limitam-se a cenários de emergência ou de "vidro quebrado" onde as contas administrativas normais não podem ser utilizadas.
Deve garantir que as credenciais (por exemplo, palavra-passe, certificado ou smart card) das contas de acesso de emergência são mantidas em segurança e só são conhecidas por indivíduos que estão autorizados a utilizá-las apenas para uma emergência. Pode também utilizar controlos adicionais, tais controlos duplos (por exemplo, dividir a credencial em duas peças e dá-la a pessoas separadas) para reforçar a segurança deste processo. Também deve monitorizar os registos de login e auditoria para garantir que as contas de acesso de emergência só podem ser utilizadas por autorização.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
- Segurança das aplicações e DevSecOps
- Gestão de Conformidade de Segurança
- Operações de Segurança (SecOps)
PA-6: Utilizar estações de trabalho privilegiadas
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Princípio de segurança: Estações de trabalho seguras e isoladas são extremamente importantes para a segurança de funções sensíveis como administrador, desenvolvedor e operador de serviços críticos.
Orientação Azure: Utilize Azure Ative Directory, Microsoft Defender e/ou Microsoft Intune para implementar estações de trabalho de acesso privilegiada (PAW) no local ou no Azure para tarefas privilegiadas. A PAW deve ser gerida centralmente para impor uma configuração segura, incluindo a autenticação forte, linhas de base de software e hardware, e acesso lógico e de rede restrito.
Também pode utilizar o Azure Bastion, que é um serviço PaaS totalmente gerido pela plataforma que pode ser ateado dentro da sua rede virtual. O Azure Bastion permite a conectividade RDP/SSH com as suas máquinas virtuais diretamente a partir do portal do Azure usando o navegador.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
PA-7: Siga o princípio da administração suficiente (menos privilégio)
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Princípio de segurança: Siga o princípio de administração suficiente (menos privilégio) para gerir permissões a um nível fino. Utilize funcionalidades como o controlo de acesso baseado em funções (RBAC) para gerir o acesso a recursos através de atribuições de funções.
Orientação Azure: Use o controlo de acesso baseado em funções (Azure RBAC) para gerir o acesso a recursos Azure através de atribuições de funções. Através do RBAC, pode atribuir funções a utilizadores, diretores de serviço de grupo e identidades geridas. Existem papéis incorporados pré-definidos para determinados recursos, e estes papéis podem ser inventariados ou consultados através de ferramentas como Azure CLI, Azure PowerShell e o portal do Azure.
Os privilégios que atribui aos recursos através do Azure RBAC devem estar sempre limitados ao que é exigido pelas funções. Os privilégios limitados complementarão a abordagem just-in-time (JIT) da Azure AD Privileged Identity Management (PIM), e esses privilégios devem ser revistos periodicamente. Se necessário, também pode utilizar o PIM para definir a condição de tempo (atribuição de tempo-limite) na atribuição de funções onde um utilizador pode ativar ou utilizar a função apenas dentro das datas de início e de fim.
Nota: Utilize funções incorporadas do Azure para alocar permissões e crie apenas funções personalizadas quando necessário.
Implementação e contexto adicional:
- O que é o controlo de acesso baseado em funções Azure (Azure RBAC)
- Como configurar o RBAC no Azure
- Como utilizar as revisões de identidades e acessos do Azure AD
- Azure AD Privileged Identity Management - Atribuição com limite de tempo
Stakeholders de Segurança do Cliente (Saiba mais):
- Segurança das aplicações e DevSecOps
- Gestão de Conformidade de Segurança
- Gestão de postura
- Identidade e gestão chave
PA-8 Determine o processo de acesso ao suporte do fornecedor de nuvem
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/D |
Princípio de segurança: Estabeleça um processo de aprovação e uma via de acesso para solicitar e aprovar o pedido de apoio ao fornecedor e o acesso temporário aos seus dados através de um canal seguro.
Orientação Azure: Em cenários de suporte onde a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e aprovar ou rejeitar cada pedido de acesso a dados da Microsoft.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):