Поделиться через


Этап 2. Разрешения правого размера и автоматизация принципа наименьшей привилегии

В этом разделе руководства по операциям Управление разрешениями Microsoft Entra описаны проверки и действия, которые необходимо предпринять для устранения ключевых результатов в вашей среде и реализации JIT-доступа с разрешениями по запросу.

Непрерывное исправление и разрешение на правильный размер

Рекомендуемый владелец: операции информационной безопасности

Определение обязанностей по исправлению и мониторингу

Для оптимальной работы продукта Управление разрешениями Microsoft Entra требует непрерывного выполнения ключевых операционных задач и процессов. Настройте ключевые задачи и владельцы для поддержания среды.

Задача Ответственный
Мониторинг и обслуживание PCI на основе целей Операции информационной безопасности
Анализ и исследование результатов отчета Операции информационной безопасности
Анализ оповещений и анализ оповещений Операции информационной безопасности
Проверка запросов аудита Безопасность и аудит
Отслеживание и отчет о ходе выполнения Операции информационной безопасности

Уменьшение уровня PCI до целевых уровней

Важно снизить оценки PCI в системах авторизации на основе пороговых значений и политик, определенных организацией. Действия с выводами помогают повысить безопасность среды. Три результата с наибольшим воздействием на снижение показателей PCI являются суперудостоверений, неактивных удостоверений и избыточных удостоверений.

Супер удостоверения

Суперудостоверений имеют самые высокие разрешения привилегий в системе авторизации. К ним относятся человеческие и нечеловеческие удостоверения, такие как пользователи, субъекты-службы и бессерверные функции. Слишком много суперудостоверений может создать чрезмерные риски и увеличить радиус взрыва во время нарушения.

Рекомендуется использовать пять или меньше удостоверений пользователей и (или) группировать суперудостоверений для каждой системы авторизации. Используйте небольшое количество супер приложений, субъектов-служб, бессерверных функций и учетных записей служб. Предоставьте четкие причины и обоснование их использования.

Руководство по исправлению

  • Для ожидаемых суперудостоверений, таких как администраторы инфраструктуры, используйте теги ck_exclude_from_pci и ck_exclude_from_reports .
    • ck_exclude_from_pci тег удаляет удостоверение из вычисления оценки PCI системы авторизации.
    • ck_exclude_from_reports тег удаляет удостоверение из отчета "Аналитика разрешений", поэтому он не вызывается как супер удостоверение
  • Разрешения других суперудостоверений правого размера и использование модели доступа JIT
    • Использование средств исправления управления разрешениями для правильного размера
    • Настройка разрешения по запросу для достижения модели доступа JIT

Неактивные удостоверения

Эти удостоверения не выполняли действия в течение 90 дней.

Рекомендуется регулярно использовать правильный размер разрешений неактивных удостоверений, которые могут быть потенциальными векторами атак для плохих субъектов.

Руководство по исправлению

Проверьте неактивные удостоверения, чтобы определить исправление:

  • Если неактивное удостоверение необходимо, примените тег ck_exclude_from_reports , чтобы удалить удостоверение из отчета "Аналитика разрешений", поэтому оно не вызывается как неактивное удостоверение.
  • Если неактивное удостоверение не требуется в вашей среде, рекомендуется отозвать неиспользуемые разрешения удостоверения или назначить ему состояние только для чтения. Узнайте, как отменить доступ к неиспользуемым и неиспользуемым задачам или назначить состояние только для чтения.

Перепроектированные удостоверения

Чрезмерно подготовленные удостоверения или переопределенные удостоверения не использовали много разрешений в течение 90 дней.

Рекомендуется регулярно использовать разрешения на правильный размер этих удостоверений, чтобы снизить риск неправильного использования разрешений либо случайным, либо вредоносным. Это действие уменьшает потенциальный радиус взрыва во время инцидента безопасности.

Руководство по исправлению

Исправьте избыточные удостоверения с минимальными привилегиями, встроенными ролями или настраиваемыми ролями правого размера.

Примечание.

Помните о ограничениях настраиваемых ролей. Рекомендуется использовать наименее привилегированный встроенный подход к роли, если ваша организация близка к достижению этих ограничений.

Для наименее привилегированных встроенных ролей рекомендуется использовать Управление разрешениями Microsoft Entra, чтобы определить, какие разрешения используют удостоверение, а затем назначить встроенную роль, которая соответствует этому использованию.

Для пользовательских ролей правильного размера рекомендуется исправить избыточные удостоверения по командам или группам:

  1. Определите команду или группу, требующую разрешения на правильный размер. Например, администраторы или разработчики веб-службы.

  2. Создайте новую роль правильного размера на основе того, что в настоящее время использует команда.

  3. Перейдите к ролям и политикам>исправления>, чтобы создать роль или политику.

  4. Выберите пользователей из команды или группы.

    Снимок экрана: выбранные пользователи поиска

  5. Нажмите кнопку "Далее" и в разделе "Выбранные задачи" проверьте разрешения в новой роли. Они автоматически заполняются на основе исторического действия выбранных пользователей или групп.

    Снимок экрана: выбранные задачи на вкладке

  6. При необходимости добавьте дополнительные разрешения команды.

  7. Создайте новую роль или политику.

  8. Отмена текущих разрешений команды.

  9. Назначьте участникам команды правого размера роль или политику.

Примечание.

Рекомендуется начать с правильного изменения размера удостоверений, отличных от человека, таких как субъекты-службы и учетные записи компьютера. Активность нечеловеческих удостоверений, скорее всего, будет отличаться на ежедневной основе, что делает риск низким для потенциальных нарушений работы служб, вызванных правильным изменением размера.

Дополнительные сведения о средствах исправления, доступных в Управление разрешениями Microsoft Entra:

Отслеживание хода выполнения и оценки успешности

Для удовлетворения целей организации позволяют процессам отслеживать и сообщать о ходе выполнения. Ниже приведены некоторые встроенные средства Управление разрешениями Microsoft Entra:

  • Отчет журнала PCI: получение регулярного подробного обзора того, как оценки PCI в системах авторизации и папках меняются со временем. Измеряйте, насколько хорошо ваша организация отвечает и поддерживает цели PCI. Мы рекомендуем запланировать повторяющийся отчет журнала PCI для ключевых заинтересованных лиц. Убедитесь, что частота соответствует внутренним проверкам хода выполнения.
  • Отчет аналитики разрешений: измеряйте ход исправления и запланируйте отправку отчета ключевым заинтересованным лицам и /или экспортируйте pdf-версию отчета для систем авторизации регулярно. Эта практика позволяет вашей организации измерять ход исправления с течением времени. Например, с помощью этого подхода можно увидеть, сколько неактивных удостоверений очищаются каждую неделю и какие последствия влияют на оценки PCI.
  • Панель мониторинга управления разрешениями: ознакомьтесь со сведениями о системах авторизации и их оценках PCI. Используйте раздел "Самый высокий список изменений PCI" для сортировки систем авторизации по оценке PCI, чтобы определить приоритет действий по исправлению. См. также изменение PCI за последние семь дней, чтобы узнать, какие системы авторизации имели наибольший прогресс и которые могут потребовать больше проверки. Выберите системы авторизации в разделе "Тепловая карта PCI", чтобы получить доступ к диаграмме трендов PCI для этой системы авторизации. Обратите внимание на изменение PCI за 90-дневный период.

Эксплуатация разрешений по запросу

Рекомендуемый владелец: архитектура информационной безопасности

Разрешения по запросу завершают JIT-представление и достаточное количество доступа, позволяя организациям предоставлять пользователям разрешения, связанные с временем, при необходимости.

Чтобы реализовать разрешения по запросу, создайте и сохраните четко определенный процесс для реализации разрешений по запросу в вашей среде. В следующей таблице описаны задачи и рекомендуемые владельцы.

Задача Рекомендуемый владелец
Определение систем авторизации, используемых с разрешениями по запросу Архитектура информационной безопасности
Определите процессы администрирования для подключения новых систем авторизации к модели разрешений по запросу. Выберите и обучите утверждающих и запрашивающих лиц, а затем делегируйте разрешения. Дополнительные сведения см. в следующем разделе. Архитектура информационной безопасности
Обновление стандартных процедур операционной модели для начальных назначений разрешений пользователей и процесса запроса для нерегламентированных разрешений Архитектура информационной безопасности

Определение утверждающих

Утверждающие просматривают запросы разрешений по запросу и имеют полномочия на утверждение или отклонение запросов. Выберите утверждающие для систем авторизации, которые вы хотите использовать с разрешениями по запросу. Рекомендуется по крайней мере два утверждающих для каждой системы авторизации.

Создание групп безопасности Microsoft Entra для утверждающих

Чтобы делегировать разрешения, команда IAM создает группы безопасности Microsoft Entra, которые сопоставляют с утверждающими. Убедитесь, что утверждающие с общими правами владения и обязанностей находятся в одной группе безопасности.

Рекомендуется использовать PIM для групп. Это обеспечивает JIT-доступ к разрешениям утверждающего, чтобы утвердить или запретить запросы разрешений по запросу.

Сведения о создании групп безопасности идентификатора Microsoft Entra см. в статье об управлении группами и членством в группах.

Назначение разрешений утверждателям

После создания групп безопасности Microsoft Entra администратор управления разрешениями предоставляет группы безопасности их разрешения утверждающего в службе "Управление разрешениями". Убедитесь, что группы безопасности предоставляют разрешения утверждающего для систем авторизации, за которые они отвечают. Дополнительные сведения о Управление разрешениями Microsoft Entra ролях и уровнях разрешений.

Определение и создание группы безопасности администратора запроса

Назначьте по крайней мере двух администраторов запрашивающих лиц, которые создают запросы разрешений по запросу от имени удостоверений в вашей среде. Например, для удостоверений компьютера. Создайте группу безопасности Microsoft Entra для этих администраторов запросов.

Рекомендуется использовать PIM для групп. Это обеспечивает JIT-доступ к разрешениям запрашивателя, необходимым для выполнения запросов по запросу от имени других пользователей.

Сведения о создании групп безопасности идентификатора Microsoft Entra см. в статье об управлении группами и членством в группах.

Разрешить пользователям выполнять запросы на разрешения по запросу

Администратор управления разрешениями добавляет удостоверения requestor в группу безопасности администратора запрашивающего пользователя для каждой системы авторизации. Добавление удостоверения requestor позволяет выполнять запросы разрешений по запросу для любой системы авторизации, для которой у него есть разрешения. Участники группы безопасности запрашивающего администратора могут запрашивать разрешения от имени удостоверений для указанной системы авторизации. Дополнительные сведения о Управление разрешениями Microsoft Entra ролях и уровнях разрешений.

Определение политик организации для разрешений по запросу

Параметры разрешений по запросу можно настроить в соответствии с потребностями организации. Мы рекомендуем установить политики для следующих вариантов:

  • Доступные роли и политики для пользователей, запрашивающие: используйте фильтры ролей и политик, чтобы указать, какие пользователи могут запрашивать. Предотвратить запрос пользователей с высоким уровнем риска, высоко привилегированных ролей, таких как владелец подписки.
  • Ограничения длительности запроса: укажите максимальную допустимую длительность для разрешений, приобретенных с помощью разрешений по запросу. Согласуйтесь с ограничением длительности, которое соответствует тому, как пользователи запрашивают и получают доступ к разрешениям.
  • Политика одноразового секретного кода (OTP): для создания запросов можно требовать отправки запросов по электронной почте OTPs. Кроме того, для утверждающих утверждающих можно требовать отправку и отклонение запросов по электронной почте. Используйте эти конфигурации для одного или обоих сценариев.
  • Автозаверждаемые для AWS. В качестве параметра "Разрешения по запросу" для AWS можно настроить автоматически утвержденные запросы политики. Например, вы можете добавить общие политики с низким риском в список автозаверяющих и сэкономить время для запрашивающих и утверждающих.

Узнайте, как выбрать параметры для запросов и автоматического утверждения.

Создание пользовательских шаблонов ролей и политик для организации

В Управление разрешениями Microsoft Entra шаблоны ролей и политик — это наборы разрешений, которые можно создать для разрешений по запросу. Создайте шаблоны, которые сопоставляют общие действия, выполняемые в вашей среде. Затем у пользователей есть шаблоны для запроса наборов разрешений, а не постоянного выбора отдельных разрешений.

Например, если создание виртуальной машины является общей задачей, создайте шаблон виртуальной машины с необходимыми разрешениями. Пользователям не нужно знать или вручную выбирать все необходимые разрешения для задачи.

Чтобы узнать, как создавать шаблоны ролей и политик, просмотрите роли и политики и запросы на разрешение на панели мониторинга исправления.

Следующие шаги