Управление безопасностью, версия 2. Управление удостоверениями
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Управление удостоверениями охватывает аспекты управления, касающиеся обеспечения безопасного управления удостоверениями и доступом с помощью Azure Active Directory. Сюда входит использование единого входа, строгой проверки подлинности, управляемых удостоверений (и субъектов-служб) для приложений, условного доступа и мониторинга аномалий учетных записей.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Управление удостоверениями.
IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) — это используемая по умолчанию служба управления идентификацией и доступом в Azure. Вам следует стандартизировать Azure AD для управления удостоверениями и доступом в организации в следующих областях:
Облачные ресурсы Майкрософт, такие как портал Azure, служба хранилища Azure, виртуальные машины Azure (Linux и Windows), Azure Key Vault, PaaS и приложения SaaS.
Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.
Защита Azure AD должна быть высокоприоритетной задачей в стратегии вашей организации по обеспечению безопасности в облаке. Azure AD предоставляет оценку безопасности удостоверений, которая помогает оценить безопасность удостоверений в соответствии с рекомендациями Майкрософт. Используйте оценку, чтобы понять, насколько точно ваша конфигурация соответствует рекомендациям, и улучшить состояние безопасности.
Примечание. Azure AD поддерживает внешние поставщики удостоверений, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы по внешнему удостоверению.
Использование внешних поставщиков удостоверений для приложения
Что собой представляет оценка безопасности удостоверений в Azure AD
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-2: безопасное и автоматическое управление удостоверениями приложений
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | Н/Д | AC-2, AC-3, IA-2, IA-4, IA-9 |
Для учетных записей, не связанных с людьми, таких как учетные записи служб или автоматизации, при доступе к ресурсам или выполнении кода используйте управляемые удостоверения Azure вместо создания учетной записи пользователя-человека, обладающей более широкими возможностями. Управляемые удостоверения Azure могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD. Проверка подлинности включается с помощью предварительно определенных правил предоставления доступа, что позволяет избежать наличия жестко запрограммированных учетных данных в исходном коде или файлах конфигурации.
В службах, не поддерживающих управляемые удостоверения, вместо этого используйте Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Рекомендуется настроить субъекты-службы с учетными данными сертификата, а затем вернуться с переходом к секретам клиента. В обоих случаях Azure Key Vault можно использовать в сочетании с управляемыми удостоверениями Azure, чтобы среда выполнения (например, функция Azure) могла извлекать учетные данные из хранилища ключей.
Использование Azure Key Vault для регистрации субъекта безопасности: authentication#authorize-a-security-principal-to-access-key-vault
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4. | IA-2, IA-4 |
Azure AD предоставляет управление идентификацией и доступом к ресурсам Azure, облачным и локальным приложениям. Управление идентификацией и доступом применяется к корпоративным удостоверениям, таким как сотрудники, а также к внешним удостоверениям, таким как поставщики, партнеры и поставщики.
Используйте единый вход Azure AD для управления данными и ресурсами организации, а также предоставления к ним безопасного доступа в локальной среде и в облаке. Подключайте пользователей, приложения и устройства к Azure Active Directory, чтобы обеспечить простой, безопасный доступ и расширить возможности видимости и управления.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-4. Использование элементов управления строгой проверки подлинности для любого доступа на основе Azure Active Directory
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD поддерживает строгую проверку подлинности с помощью многофакторной проверки подлинности (MFA) и надежные методы без использования пароля.
Многофакторная проверка подлинности. Включите многофакторную проверку подлинности в Azure AD и следуйте рекомендациям в пункте управления безопасностью "Включение MFA" Центра безопасности Azure. Многофакторную проверку подлинности можно применять ко всем пользователям, к выбранным пользователям или на уровне отдельных пользователей с учетом условий входа и факторов риска.
Проверка подлинности без пароля. Доступны три варианта проверки подлинности без пароля: Windows Hello для бизнеса, приложение Microsoft Authenticator и локальные методы проверки подлинности, такие как смарт-карты.
Обеспечьте использование самого высокого уровня строгой проверки подлинности для администраторов и привилегированных пользователей с последующим развертыванием соответствующей политики строгой проверки подлинности для других пользователей.
Если для проверки подлинности Azure AD по-прежнему используется устаревший механизм проверки подлинности на основе паролей, имейте в виду, что учетные записи, предназначенные только для облака (учетные записи пользователей, созданные непосредственно в Azure), имеют стандартную базовую политику паролей. Гибридные учетные записи (учетные записи пользователей из локальной службы Active Directory) следуют локальным политикам паролей. При использовании проверки подлинности на основе пароля Azure AD обеспечивает возможность защиты паролем, которая запрещает пользователям задавать легко угадываемые пароли. У Майкрософт есть глобальный список запрещенных паролей, который обновляется на основе данных телеметрии, и клиенты могут дополнять этот список в соответствии со своими потребностями (например, включать в него сведения о торговых марках, культурных отсылках и т. п.). Эту защиту паролем можно использовать по отношению к учетным записям только для облака и гибридным учетным записям.
Примечание. Проверка подлинности, в основе которой лежат только учетные данные с паролем, уязвима для распространенных методов атак. Чтобы усилить безопасность, используйте строгую проверку подлинности (например, MFA) и политику надежных паролей. Когда у приложений сторонних производителей и служб Marketplace встречаются пароли по умолчанию, следует изменять их во время начальной настройки службы.
Общие сведения о способах выполнения беспарольной проверки подлинности в Azure Active Directory
Исключение неправильных паролей с помощью защиты паролем Azure AD
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-5. Мониторинг аномалий учетных записей и соответствующее оповещение
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD предоставляет следующие источники данных:
Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
Журналы аудита. С помощью журналов можно отслеживать все изменения, внесенные при использовании разных функций в Azure AD. Примеры подобных изменений — добавление и удаление пользователей, приложений, групп, ролей и политик.
Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.
Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.
Эти источники данных можно интегрировать с Azure Monitor, Azure Sentinel или сторонними SIEM-системами.
Центр безопасности Azure также может создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке.
Microsoft Defender для удостоверений — это решение для обеспечения безопасности, которое может использовать локальные сигналы Active Directory для выявления, обнаружения и изучения дополнительных угроз, скомпрометированных удостоверений и внутренних вредоносных действий.
Как определить пользователей Azure AD, помеченных для события риска
Мониторинг пользовательских действий идентификации и доступа в Центре безопасности Azure
Оповещения в Центре безопасности Azure и планах Azure Defender
Подключение данных из службы "Защита идентификации Azure AD"
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-6: ограничение доступа к ресурсам Azure на основе условий
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-6 | Н/Д | AC-2, AC-3 |
Используйте условный доступ Azure AD для более детализированного контроля доступа на основе определяемых пользователем условий, таких как имена входа пользователей из определенных диапазонов IP-адресов, чтобы использовать MFA для входа. Можно также использовать управление сеансом с детализированной проверкой подлинности, задействовав политику условного доступа Azure AD для различных вариантов использования.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-7: исключение непреднамеренного раскрытия учетных данных
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Реализуйте сканер учетных данных Azure DevOps для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует переместить обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.
Для GitHub можно использовать возможность проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-8. Защита доступа пользователей к приложениям прежних версий
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Убедитесь, что у вас есть современные элементы управления доступом и функции мониторинга сеансов для приложений прежних версий и данных, которые они хранят и обрабатывают. Хотя сети VPN обычно используются для доступа к приложениям прежних версий, они часто предусматривают только базовый контроль доступа и ограниченный мониторинг сеансов.
Azure AD Application Proxy позволяет публиковать локальные приложения прежних версий для удаленных пользователей с помощью единого входа и явно проверять надежность как удаленных пользователей, так и устройств с помощью условного доступа Azure AD.
Кроме того, Microsoft Defender for Cloud Apps — это служба брокера безопасности доступа к облаку (CASB), которая может предоставлять элементы управления для мониторинга сеансов приложений пользователя и блокирования действий (как для устаревших локальных приложений, так и для облачных приложений SaaS).
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):