Управление безопасностью: управление доступом и удостоверениями
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Рекомендации по управлению доступом и удостоверениями в первую очередь ориентированы на проблемы по следующим аспектам: управление доступом на основе удостоверений, блокировка административного доступа, предупреждения о связанных с удостоверениями событиях, аномальное поведение учетной записи и управление доступом на основе ролей.
3.1. Инвентаризация учетных записей администраторов
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.1 | 4.1 | Customer |
В AAD есть встроенные роли, которые должны назначаться явным образом и доступны для запросов. С пмощью модуля PowerShell для AAD вы можете выполнять произвольные запросы для обнаружения учетных записей, принадлежащих группам администраторов.
3.2. Изменение паролей по умолчанию, где применимо
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.2 | 4.2 | Customer |
В Azure AD нет концепции паролей по умолчанию. Другие ресурсы Azure, использующие пароли, устанавливают собственные требования к минимальной длине и сложности создаваемого пароля, которые будут разными для каждой службы. Вы самостоятельно несете ответственность за сторонние приложения и службы Marketplace, которые могут использовать пароли по умолчанию.
3.3. Применение выделенных административных учетных записей
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.3 | 4.3 | Customer |
Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Используйте рекомендации, приведенные в разделе «Управление доступом и разрешения» Центра безопасности Azure, относящиеся к отслеживанию числа административных учетных записей.
Кроме того, с помощью привилегированных ролей Azure AD Privileged Identity Management можно применить технологии JIT/JEA для служб Майкрософт и Azure Resource Manager.
3.4. Использование единого входа с Azure Active Directory
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.4 | 4.4. | Customer |
Во всех случаях, когда это возможно, используйте единый вход Azure Active Directory вместо отдельных учетных данных для каждой службы. Используйте рекомендации, приведенные в разделе «Управление доступом и разрешения» Центра безопасности Azure.
3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | Customer |
Включите многофакторную проверку подлинности Azure AD и следуйте рекомендациям по управлению идентификацией и доступом в Центре безопасности Azure.
3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3,6 | 4.6, 11.6, 12.12 | Customer |
Используйте рабочие станции привилегированного доступа (PAW) с настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.
3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3,7 | 4.8, 4.9 | Customer |
С помощью отчетов о безопасности Azure Active Directory вы можете создавать журналы и оповещения при возникновении подозрительных или небезопасных действий в окружении. Используйте Центр безопасности Azure для мониторинга действий идентификации и доступа.
Как определить пользователей Azure AD, помеченных для события риска
Мониторинг пользовательских действий идентификации и доступа в Центре безопасности Azure
3.8. Управление ресурсами Azure только из утвержденных расположений
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.8 | 11,7 | Customer |
Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.
3.9. Использование Azure Active Directory
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Customer |
Используйте Azure Active Directory как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.
3.10. Регулярная проверка и согласование доступа пользователей
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.10 | 16.9, 16.10 | Customer |
Azure AD предоставляет журналы для облегчения поиска устаревших учетных записей. Кроме того, используйте проверки доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.
3.11. Отслеживание попыток доступа к отключенным учетным записям
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.11 | 16.12 | Customer |
У вас есть доступ к отчетам о действиях входа в Azure AD, журналу событий риска и аудита. Эти источники позволяют интегрироваться с любым средством мониторинга или SIEM.
Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Azure Active Directory и отправив журналы аудита и журналы входа в рабочую область Log Analytics. Вы можете настроить необходимые оповещения в рабочей области Log Analytics.
3.12. Предупреждение при подозрительном входе в учетную запись
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.12 | 16.13 | Customer |
Используйте функции защиты идентификации и обнаружения рисков Azure AD, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий, связанных с удостоверениями пользователей. Вы также можете включить данные в Azure Sentinel для дальнейшего изучения.
3.13. Предоставление корпорации Майкрософт доступа к соответствующим данным клиентов в рамках сценариев поддержки
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 3.13 | 16 | Customer |
В ситуациях, когда корпорации Майкрософт требуется доступ к данным клиентов для предоставления поддержки, защищенное хранилище для клиентов позволяет проверить и утвердить (или отклонить) запросы на доступ к данным клиентов.
Дальнейшие действия
- Переходите к следующей статье из серии об управлении безопасностью в Azure: Защита данных.