Управление безопасностью версии 3: управление удостоверениями

  • Статья

Управление удостоверениями охватывает элементы управления для создания безопасных удостоверений и управления доступом с помощью Azure Active Directory, включая использование единого входа, строго аутентификации, управляемых удостоверений (и субъектов-служб) для приложений, условного доступа и мониторинга аномалий учетных записей.

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Принцип безопасности. Используйте централизованную систему удостоверений и проверки подлинности, чтобы управлять удостоверениями и проверкой подлинности в организации для облачных ресурсов и ресурсов, не находящихся в облаке.

Инструкции для Azure. Azure Active Directory (Azure AD) — это используемая по умолчанию служба управления удостоверениями и проверкой подлинности в Azure. Azure AD следует использовать в качестве стандартной службы для управления удостоверениями и проверкой подлинности в вашей организации для следующих ресурсов:

  • Облачные ресурсы Майкрософт, такие как портал Azure, виртуальные машины Azure (Linux и Windows), Azure Key Vault, PaaS и приложения SaaS.
  • Ресурсы организации, такие как приложения в Azure, сторонние приложения, работающие в корпоративных сетевых ресурсах, и приложения SaaS сторонних производителей.
  • Корпоративные удостоверения в Active Directory, синхронизируемые с Azure AD для обеспечения единообразной и централизованной стратегии использования удостоверений.

Примечание. Как только это станет технически возможным, необходимо перенести локальные приложения Active Directory в Azure AD. Это может быть корпоративный каталог Azure AD, конфигурация "Бизнес-бизнес" или конфигурация "Бизнес-потребитель".

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-2: Защита систем удостоверений и проверки подлинности

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Принцип безопасности. Защитите систему удостоверений и проверки подлинности, установив для этой системы высокий приоритет в рекомендациях по обеспечению безопасности в облаке для вашей организации. Общие элементы управления безопасностью включают:

  • Ограничение привилегированных ролей и учетных записей
  • Строгая проверка подлинности для всех операций привилегированного доступа
  • Мониторинг и аудит действий с высоким риском

Инструкции для Azure. Используйте базовый план безопасности Azure AD и Оценку безопасности удостоверений Azure AD для оценки уровня безопасности удостоверений Azure AD, а также для устранения недостатков, связанных с безопасностью, и ошибок в конфигурации. Оценка безопасности удостоверений Azure AD проверяет Azure AD на наличие следующих конфигураций: Использование ограниченных административных ролей

  • Включение политики безопасности для рисков пользователей
  • Назначение более одного глобального администратора
  • Активация политики для блокировки устаревших методов проверки подлинности
  • Обеспечение многофакторной проверки подлинности для всех пользователей в целях безопасного доступа
  • Обязательная MFA для ролей администраторов
  • Включение самостоятельного сброса пароля
  • Отсутствие ограничения срока действия паролей
  • Включение политики рисков при входе
  • Запрет пользователям предоставлять согласие для неуправляемых приложений

Примечание. Следуйте опубликованным рекомендациям для всех остальных компонентов удостоверений, включая локальные компоненты Active Directory и любые сторонние компоненты, а также инфраструктуры (например, операционные системы, сети и базы данных), в которых размещаются эти компоненты.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д AC-2, AC-3, IA-4, IA-5, IA-9 Н/Д

Принцип безопасности. Используйте удостоверения управляемых приложений вместо создания учетных записей пользователей для доступа к ресурсам и выполнения кода. Удостоверения управляемых приложений предоставляют такие преимущества, как снижения объема раскрытия учетных данных. Автоматизируйте процесс смены учетных данных, чтобы обеспечить безопасность удостоверений.

Инструкции для Azure. Используйте управляемые удостоверения Azure, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD. За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.

В службах, не поддерживающих управляемые удостоверения, используйте Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Рекомендуется настроить субъекты-службы с учетными данными сертификата и возвращаться к секретам клиента для проверки подлинности.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-4: Проверка подлинности сервера и служб

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д IA-9 Н/Д

Принцип безопасности. Проверяйте подлинность удаленных серверов и служб на стороне клиента, чтобы гарантировать, что вы подключаетесь к доверенному серверу и службам. Наиболее распространенным протоколом проверки подлинности сервера является TLS. В рамках этого протокола клиент (как правило, браузер или клиентское устройство) подтверждает подлинность сервера, проверяя, был ли сертификат сервера выдан доверенным центром сертификации.

Примечание. Взаимная проверка подлинности может использоваться, когда сервер и клиент проходят проверку подлинности друг у друга.

Инструкции для Azure. Многие службы Azure по умолчанию поддерживают проверку подлинности TLS. Для служб, поддерживающих включение и отключение протокола TLS пользователем, убедитесь, что он всегда включен для проверки подлинности серверов и служб. Клиентское приложение также должно проверять подлинность серверов и служб (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе подтверждения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-5: Использование единого входа (SSO) для доступа к приложениям

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
12,5 IA-4, IA-2, IA-8 Н/Д

Принцип безопасности. Используйте единый вход (SSO), чтобы упростить взаимодействие с пользователем при проверке подлинности ресурсов, включая приложения и данные в облачных службах и в локальных средах.

Инструкции для Azure. Используйте Azure AD для доступа к приложениям рабочей нагрузки с помощью единого входа (SSO) Azure AD. Это позволяет исключить потребность в нескольких учетных записях. Azure AD предоставляет возможность управления удостоверениями и доступом к ресурсам Azure (плоскость управления, включая CLI, PowerShell, портал), облачным приложениям и локальным приложениям.

Azure AD поддерживает единый вход для корпоративных удостоверений, таких как удостоверения корпоративных пользователей, а также удостоверения внешних пользователей для доверенных сторонних и общедоступных пользователей.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-6: Использование элементов управления строгой проверки подлинности

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Принцип безопасности. Используйте элементы управления строгой проверки подлинности (строгую проверку подлинности без пароля или многофакторную проверку подлинности) в централизованной системе управления удостоверениями и проверки подлинности для всех операций доступа к ресурсам. Проверка подлинности учетных данных только на основе паролей считается устаревшей, так как она небезопасна и не обеспечивает защиты от популярных способов атак.

При развертывании строгой проверки подлинности сначала следует настроить администраторов и привилегированных пользователей, чтобы обеспечить наивысший уровень защиты для используемого способа строгой проверки подлинности, а затем развернуть соответствующую политику строгой проверки подлинности для всех пользователей.

Примечание. Если для устаревших приложений и сценариев требуется проверка подлинности на основе паролей, убедитесь, что выполнены рекомендации по обеспечению безопасности паролей, такие как требования к сложности паролей.

Инструкции для Azure. Azure AD поддерживает элементы управления строгой проверки подлинности с помощью способов проверки подлинности без пароля и многофакторной проверки подлинности (MFA).

  • Проверка подлинности без пароля. Используйте проверку подлинности без пароля в качестве способа проверки подлинности по умолчанию. Существует три варианта проверки подлинности без пароля: Windows Hello для бизнеса, мобильное приложение для входа Microsoft Authenticator и FIDO 2Keys. Кроме того, клиенты могут использовать локальные методы проверки подлинности, такие как смарт-карты.
  • Многофакторная проверка подлинности. Azure MFA можно применить ко всем пользователям, к выбранным пользователям или на уровне отдельных пользователей с учетом факторов риска и условий входа. Включите Azure MFA и следуйте рекомендациям Azure Defender для облака по управлению удостоверениями и доступом, чтобы настроить многофакторную проверку подлинности.

Если для проверки подлинности Azure AD по-прежнему используется устаревшая проверка подлинности на основе пароля, учитывайте, что политика паролей для базового уровня по умолчанию есть только у облачных учетных записей (учетных записей пользователей, созданных непосредственно в Azure). Гибридные учетные записи (учетные записи пользователей из локальной службы Active Directory) следуют локальным политикам паролей.

Для сторонних приложений и служб, которые могут иметь идентификаторы и пароли по умолчанию, необходимо отключить или изменить их во время начальной настройки службы.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-7: Ограничение доступа к ресурсам на основе условий

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Принцип безопасности. Явным образом проверяйте надежные сигналы, чтобы разрешить или запретить доступ пользователей к ресурсам в рамках модели доступа с нулевым доверием. Проверяемые сигналы должны включать строгую проверку подлинности учетной записи пользователя, анализ поведения учетной записи пользователя, надежность устройства, членство пользователей и групп, расположения и т. д.

Инструкции для Azure. Используйте условный доступ Azure AD для более детализированного контроля доступа на основе определяемых пользователем условий, таких как разрешение входа пользователей с определенных диапазонов IP-адресов (или устройств) для многофакторной проверки подлинности. Условный доступ Azure AD позволяет принудительно применять политики управления доступом к приложениям в организации на основе определенных условий.

Определите применимые условия и критерии для условного доступа Azure AD в рабочей нагрузке. Учитывайте следующие распространенные сценарии использования:

  • по требованию многофакторной проверки подлинности для пользователей с административными ролями;
  • по требованию многофакторной проверки подлинности для задач управления Azure;
  • блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности;
  • по требованию надежных расположений для многофакторной проверки подлинности Azure AD при регистрации;
  • блокировка или предоставление доступа из конкретных расположений;
  • блокировка рискованного поведения при входе;
  • по требованию управляемых организацией устройств для определенных приложений.

Примечание. Детализированное управление сеансами проверки подлинности также может использоваться в политике условного доступа Azure AD для таких элементов управления, как частота входа и постоянные сеансы браузера.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-8: ограничение раскрытия учетных данных и секретов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Принцип безопасности. Следите за тем, чтобы разработчики приложений безопасно обрабатывали учетные данные и секреты:

  • Не включайте учетные данные и секреты в файлы кода и конфигурации.
  • Используйте хранилище ключей или безопасную службу хранилища ключей для хранения учетных данных и секретов.
  • Проводите сканирование исходного кода на наличие учетных данных.

Примечание. Для реализации и контроля этих требований часто используются жизненный цикл разработки защищенных приложений (SDLC) и процесс обеспечения безопасности DevOps.

Инструкции для Azure. Убедитесь, что секреты и учетные данные хранятся в защищенных расположениях, таких как Azure Key Vault, и не указываются в файлах кода и конфигурации.

  • Реализуйте сканер учетных данных Azure DevOps для обнаружения учетных данных в коде.
  • В GitHub можно использовать собственную функцию сканирования секретов, которая обнаруживает учетные данные или другие виды секретов в коде.

Клиенты, такие как Функции Azure, службы приложений Azure и виртуальные машины, могут использовать управляемые удостоверения для безопасного доступа к Azure Key Vault. Ознакомьтесь с элементами управления для защиты данных, связанными с использованием Azure Key Vault для управления секретами.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

IM-9: Защита доступа пользователей к существующим приложениям

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
6.7, 12.5 AC-2, AC-3, SC-11 Н/Д

Принцип безопасности. В гибридной среде, в которой имеются локальные приложения или несобственные облачные приложения, использующие устаревшую проверку подлинности, используйте такие решения, как брокер безопасного доступа в облако (CASB), прокси приложения и единый вход (SSO) для управления доступом к этим приложениям, чтобы получить следующие преимущества:

  • Обеспечение централизованной строгой проверки подлинности
  • Отслеживание и контроль рискованных действий конечных пользователей
  • Мониторинг рискованных действий устаревших приложений и устранение их последствий
  • Обнаружение и предотвращение передачи конфиденциальных данных

Инструкции для Azure. Защитите локальные и несобственные облачные приложения, использующие устаревшую проверку подлинности, подключив их к:

  • Azure AD Application Proxy в сочетании с проверкой подлинности на основе заголовков для публикации устаревших локальных приложений для удаленных пользователей, использующих единый вход (SSO), и явной проверки надежности как удаленных пользователей, так и устройств с помощью условного доступа Azure AD. При необходимости используйте стороннее решение программно-определяемого периметра (SDP), которое может предложить аналогичные функции.
  • Существующим сторонним контроллерам и сетям доставки приложений.
  • Microsoft Defender for Cloud Apps, используя его в качестве службы брокера безопасности доступа к облаку (CASB), чтобы обеспечить элементы управления для мониторинга сеансов приложений пользователя и блокирования действий (как для устаревших локальных приложений, так и для облачных приложений SaaS).

Примечание. Для доступа к устаревшим приложениям обычно используются сети VPN, они часто предусматривают только базовый контроль доступа и ограниченный мониторинг сеансов.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):