Поделиться через


Контроль безопасности версии 3. Привилегированный доступ

Привилегированный доступ охватывает аспекты управления, касающиеся защиты привилегированного доступа к клиенту и ресурсам Azure, включая ряд мер для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от риска умышленных и случайных вредоносных действий.

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Принцип безопасности. Определите все учетные записи, имеющие наибольшее значение для бизнеса. Ограничьте число привилегированных и административных учетных записей на уровне управления вашего облака, в плоскости управления и в плоскости данных и рабочих нагрузок.

Руководство для Azure. Azure Active Directory (Azure AD) — это используемая по умолчанию служба управления идентификацией и доступом в Azure. Наиболее важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей", поскольку пользователи, которым назначены эти две роли, могут делегировать роли администратора. Пользователи, обладающие этими привилегиями, могут напрямую или косвенно читать и изменять каждый ресурс в вашей среде Azure.

  • Глобальный администратор/администратор организации. Пользователи с этой ролью обладают доступом ко всем функциям администрирования в Azure AD, а также к службам, использующим удостоверения Azure AD.
  • Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначением ролей в Azure AD, а также в рамках управления привилегированными пользователями Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными пользователями и административными подразделениями.

Помимо ролей Azure AD, в Azure есть встроенные роли, которые могут быть критически важными для привилегированного доступа на уровне ресурсов.

  • Владелец. Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC).
  • Участник. Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC, управлять назначениями в Azure Blueprints и предоставлять общий доступ к галереям изображений.
  • Администратор доступа пользователей — может управлять доступом пользователей к ресурсам Azure. Примечание: может потребоваться управление и другими критически важными ролями, если на уровне Azure AD или ресурсов есть настраиваемые роли, которым назначены определенные привилегированные разрешения.

Необходимо также ограничить число привилегированных учетных записей в других системах управления, идентификации и безопасности, если у этих записей есть доступ администратора к критически важным для бизнеса ресурсам, таким как контроллеры домена Active Directory, средства безопасности и средства управления системой, в которых применяются установленные на критически важных системах агенты. Злоумышленники, получившие доступ к этим системам управления и безопасности, смогут немедленно взять их на вооружение, чтобы с их помощью взламывать важные для бизнеса ресурсы.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-2. Старайтесь не применять постоянный доступ для пользовательских учетных записей и разрешений

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д AC-2 Н/Д

Принцип безопасности. Вместо создания постоянных привилегий, назначайте привилегированный доступ к различным уровням ресурсов строго в нужное время (механизм just-in-time, или JIT).

Руководство для Azure. Используйте Azure AD Privileged Identity Management (PIM) для назначения привилегированного JIT-доступа к Azure AD и ресурсам Azure. JIT — это модель, в которой пользователи получают временные разрешения для выполнения привилегированных задач, что не позволяет злоумышленникам или неавторизованным пользователям получить доступ, когда срок действия этих разрешений истек. Доступ предоставляется только в том случае, если он необходим пользователю. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Используйте функцию JIT-доступа к виртуальным машинам в Microsoft Defender для облака, чтобы ограничить входящий трафик на те из них, что имеют критическую важность. В этом случае привилегированный доступ к виртуальным машинам будет предоставляться пользователям только по мере необходимости.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-3. Контролируйте жизненный цикл удостоверений и прав

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Принцип безопасности. Используйте автоматизированный процесс или технический контроль для управления жизненным циклом идентификации и доступа, включающим запрос, проверку, утверждение, предоставление и отзыв.

Руководство для Azure. Используйте функции управления правами Azure AD для автоматизации рабочих процессов запроса доступа (в группах ресурсов Azure). Эти рабочие процессы для групп ресурсов Azure позволят контролировать назначения, проверки, сроки действия, а также двух- и многоуровневое утверждение доступа.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-4. Регулярно проверяйте и согласуйте пользовательский доступ

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Принцип безопасности. Проводите регулярную проверку прав привилегированных учетных записей. Проверяйте, что предоставленный учетной записи доступ допустим для администрирования уровня управления, плоскости управления и рабочих нагрузок.

Руководство для Azure. Проверяйте все привилегированные учетные записи и права доступа в Azure, в том числе для клиента и служб Azure, виртуальных машин и IaaS, процедур CI/CD, а также средств управления предприятием и обеспечения безопасности.

Используйте проверки доступа Azure AD для просмотра ролей Azure AD, ролей с доступом к ресурсам Azure, членств в группах и доступа к корпоративным приложениям. Отчетность Azure AD также включает журналы, где можно найти учетные записи, которые какое-то время не использовались.

Кроме того, Azure AD Privileged Identity Management можно настроить на выдачу оповещений в случае, когда создается слишком много учетных записей администратора для определенной роли, и на выявление неиспользуемых или некорректно настроенных административных записей.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-5. Настройте доступ для чрезвычайных ситуаций

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д AC-2 Н/Д

Принцип безопасности. Настройте доступ для чрезвычайных ситуаций, чтобы при их возникновении случайно не лишиться входа в критически важную облачную инфраструктуру (например, систему управления идентификацией и доступом).

Учетные записи чрезвычайного доступа должны использоваться редко, и в случае их компрометации компания может понести значительный ущерб, однако есть небольшое число ситуаций, когда они критически необходимы.

Руководство для Azure. Чтобы случайно не лишиться доступа к своей организации Azure AD, настройте учетную запись для чрезвычайных ситуаций (например, с ролью глобального администратора), в которых использовать обычные административные записи невозможно. Учетные записи аварийного доступа обычно имеют высокий уровень привилегий и не должны назначаться конкретным пользователям. Записи для чрезвычайных ситуаций нужно использовать только в ситуациях "при аварии разбейте стекло" вместо стандартных записей администратора.

Следует убедиться, что учетные данные (например, пароль, сертификат или смарт-карта) для учетных записей аварийного доступа защищены и известны только тем лицам, которые имеют право использовать их только в экстренной ситуации. Для большей защиты этой процедуры можно использовать дополнительные средства контроля, например разделить учетные данные и предоставить разные их части двум разным людям. Кроме того, следует отслеживать журналы входа и аудита, чтобы учетные записи для доступа в чрезвычайных ситуациях использовались только при наличии разрешения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-6: использование рабочих станций с привилегированным доступом

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 Н/Д

Принцип безопасности. Для ролей с особыми правами, например администратора, разработчика или оператора ключевых служб, критически важно иметь защищенные и изолированные рабочие станции.

Руководство для Azure. Разверните рабочие станции c привилегированным доступом для выполнения привилегированных задач локально или в Azure, используя Azure Active Directory, Microsoft Defender или Microsoft Intune. Необходимо централизованно обеспечить защищенную конфигурацию этих рабочих станций, включая строгую проверку подлинности, базовую конфигурацию оборудования и программного обеспечения, а также ограничение логического и сетевого доступа.

Вы также можете использовать Бастион Azure, службу PaaS с полным платформенным управлением, которую можно подготовить внутри виртуальной сети. Бастион Azure обеспечивает возможность RDP/SSH-подключения к виртуальным машинам через браузер непосредственно с портала Azure.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Принцип безопасности. Используйте администрирование по принципу предоставления минимальных прав для детализированного управления разрешениями. Применяйте такие возможности, как управление доступом на основе ролей (RBAC), чтобы использовать назначение ролей для контроля доступа к ресурсам.

Инструкции для Azure. Используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы контролировать доступ к ресурсам Azure, назначая роли. Роли в RBAC можно назначать пользователям, групповым субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые для ресурсов в Azure RBAC, всегда должны ограничиваться только строго необходимым для той или иной роли. Ограничение привилегий дополняет подход JIT, используемый в Azure AD Privileged Identity Management (PIM), и эти привилегии следует периодически проверять. При необходимости PIM также позволяет назначать роли с временным условием, то есть пользователь сможет активировать или использовать роль только в определенный диапазон дат.

Примечание: назначайте разрешения с помощью встроенных ролей Azure и создавайте настраиваемые роли, только когда это необходимо.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

PA-8. Определите процедуру доступа для службы поддержки поставщика облачных служб

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 Н/Д

Принцип безопасности. Задайте процедуру утверждения и путь доступа для отправки и утверждения запросов в службу поддержки поставщика и для временного доступа к вашим данным по защищенному каналу.

Руководство для Azure. В сценариях поддержки, когда корпорации Майкрософт необходим доступ к вашим данным, используйте защищенное хранилище для рассмотрения, утверждения или отклонения каждого ее запроса.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):