Dela via


Security Control v3: Privilegierad åtkomst

Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till din Azure-klientorganisation och dina resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktliga och oavsiktliga risker.

PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

Säkerhetsprincip: Se till att du identifierar alla konton med hög påverkan på verksamheten. Begränsa antalet privilegierade/administrativa konton i molnets kontrollplan, hanteringsplan och data/arbetsbelastningsplan.

Azure Guidance: Azure Active Directory (Azure AD) är Azures standardtjänst för identitets- och åtkomsthantering. De mest kritiska inbyggda rollerna i Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som tilldelats dessa två roller kan delegera administratörsroller. Med dessa behörigheter kan användarna direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö:

  • Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD, samt tjänster som använder Azure AD identiteter.
  • Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD, samt inom Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.

Utanför Azure AD har Azure inbyggda roller som kan vara viktiga för privilegierad åtkomst på resursnivå.

  • Ägare: Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC.
  • Deltagare: Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure RBAC, hanterar tilldelningar i Azure Blueprints eller delar bildgallerier.
  • Administratör för användaråtkomst: Låter dig hantera användaråtkomst till Azure-resurser. Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller på Azure AD-nivå eller resursnivå med vissa privilegierade behörigheter tilldelade.

Se till att du också begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Active Directory-domän Controllers (DCs), säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-2: Undvik stående åtkomst för användarkonton och behörigheter

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
Ej tillämpligt AC-2 Ej tillämpligt

Säkerhetsprincip: I stället för att skapa stående privilegier använder du JIT-mekanism (just-in-time) för att tilldela privilegierad åtkomst till de olika resursnivåerna.

Azure-vägledning: Aktivera just-in-time(JIT) privilegierad åtkomst till Azure-resurser och Azure AD med Azure AD Privileged Identity Management (PIM). JIT är en modell där användare får tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket förhindrar att skadliga eller obehöriga användare får åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

Begränsa inkommande trafik till dina känsliga vm-hanteringsportar (VM) med Microsoft Defender för molnet just-in-time (JIT) för funktionen för vm-åtkomst. Detta säkerställer att privilegierad åtkomst till den virtuella datorn endast beviljas när användarna behöver den.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-3: Hantera livscykeln för identiteter och rättigheter

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Säkerhetsprincip: Använd en automatiserad process eller teknisk kontroll för att hantera identitets- och åtkomstlivscykeln, inklusive begäran, granskning, godkännande, etablering och avetablering.

Azure-vägledning: Använd Azure AD funktioner för berättigandehantering för att automatisera arbetsflöden för åtkomstbegäran (för Azure-resursgrupper). Detta gör det möjligt för arbetsflöden för Azure-resursgrupper att hantera åtkomsttilldelningar, granskningar, förfallodatum och dubbelt eller flerstegsgodkännande.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-4: Granska och stämma av användaråtkomst regelbundet

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Säkerhetsprincip: Utför regelbunden granskning av privilegierade kontorättigheter. Se till att åtkomsten som beviljas till kontona är giltig för administration av kontrollplan, hanteringsplan och arbetsbelastningar.

Azure-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i Azure, till exempel Azure-klientorganisation, Azure-tjänster, VM/IaaS, CI/CD-processer samt verktyg för företagshantering och säkerhet.

Använd Azure AD åtkomstgranskningar för att granska Azure AD roller och Azure-resursåtkomstroller, gruppmedlemskap, åtkomst till företagsprogram. Azure AD rapportering kan också ge loggar för att identifiera inaktuella konton, konton som inte används under en viss tid.

Dessutom kan Azure AD Privileged Identity Management konfigureras för att avisera när ett stort antal administratörskonton skapas för en viss roll och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-5: Konfigurera nödåtkomst

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
Ej tillämpligt AC-2 Ej tillämpligt

Säkerhetsprincip: Konfigurera nödåtkomst för att säkerställa att du inte av misstag är utelåst från din kritiska molninfrastruktur (till exempel ditt identitets- och åtkomsthanteringssystem) i en nödsituation.

Konton för nödåtkomst bör sällan användas och kan vara mycket skadliga för organisationen om de komprometteras, men deras tillgänglighet för organisationen är också mycket viktig för de få scenarier när de behövs.

Azure-vägledning: Konfigurera ett konto för nödåtkomst (t.ex. ett konto med rollen Global administratör) för åtkomst när normala administrativa konton inte kan användas för att förhindra att du av misstag blir utelåst från din Azure AD organisation. Konton för nödåtkomst har ofta hög behörighet och bör inte tilldelas till specifika individer. Konton för nödåtkomst är begränsade till nödsituations- eller "break glass"-scenarier där normala administrativa konton inte kan användas.

Du bör se till att autentiseringsuppgifterna (som lösenord, certifikat eller smartkort) för nödåtkomstkonton är skyddade och bara kända av personer som har behörighet att använda dem i nödfall. Du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge dem till separata personer) för att förbättra säkerheten för den här processen. Du bör också övervaka inloggnings- och granskningsloggarna för att säkerställa att konton för åtkomst till nödsituationer endast kan användas under auktorisering.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-6: Använd arbetsstationer med privilegierad åtkomst

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 Ej tillämpligt

Säkerhetsprincip: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör.

Azure-vägledning: Använd Azure Active Directory, Microsoft Defender och/eller Microsoft Intune för att distribuera paw-datorer (Privileged Access Workstation) lokalt eller i Azure för privilegierade uppgifter. PAW-datorn bör hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.

Du kan också använda Azure Bastion som är en fullständigt plattformshanterad PaaS-tjänst som kan etableras i ditt virtuella nätverk. Azure Bastion tillåter RDP/SSH-anslutning till dina virtuella datorer direkt från Azure Portal med hjälp av webbläsaren.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Säkerhetsprincip: Följ principen för precis tillräcklig administration (lägsta behörighet) för att hantera behörigheter på detaljerad nivå. Använd funktioner som rollbaserad åtkomstkontroll (RBAC) för att hantera resursåtkomst via rolltilldelningar.

Azure-vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via rolltilldelningar. Via RBAC kan du tilldela roller till användare, grupptjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell och Azure Portal.

De behörigheter som du tilldelar till resurser via Azure RBAC bör alltid begränsas till vad som krävs av rollerna. Begränsade privilegier kompletterar JIT-metoden (just-in-time) för Azure AD Privileged Identity Management (PIM), och dessa privilegier bör granskas regelbundet. Om det behövs kan du också använda PIM för att definiera tidslängdsvillkoret (tidsbunden tilldelning) i rolltilldelningen där en användare kan aktivera eller använda rollen endast inom start- och slutdatum.

Obs! Använd inbyggda Roller i Azure för att allokera behörigheter och endast skapa anpassade roller när det behövs.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

PA-8 Fastställa åtkomstprocess för molnleverantörssupport

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 Ej tillämpligt

Säkerhetsprincip: Upprätta en godkännandeprocess och åtkomstsökväg för att begära och godkänna leverantörssupportbegäran och tillfällig åtkomst till dina data via en säker kanal.

Azure-vägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och godkänna eller avvisa varje Microsofts begäran om dataåtkomst.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):