阶段 2:调整权限大小并自动实施最小权限原则
Microsoft Entra 权限管理操作参考指南的这一部分介绍了应采取的检查和操作,以修正环境中的关键问题并通过按需权限实施即时 (JIT) 访问。
持续修正权限和调整权限大小
建议所有者:信息安全运营
确定修正和监视责任
若要以最佳方式运行产品,Microsoft Entra 权限管理需要持续执行关键操作任务和流程。 设置关键任务和所有者以维护环境。
任务 | 所有者 |
---|---|
根据目标监视和维护 PCI | 信息安全运营 |
会审和调查报表结果 | 信息安全运营 |
会审和调查警报 | 信息安全运营 |
查看审核查询 | 安全保证和审核 |
跟踪和报告进度 | 信息安全运营 |
将 PCI 降至目标级别
务必根据组织定义的 PCI 阈值和策略降低跨授权系统的 PCI 分数。 根据结果进行操作有助于提升环境安全性。 对降低 PCI 分数影响最大的三个结果是超级标识、非活动标识和预配过度的标识。
超级标识
超级标识在授权系统中拥有最高权限。 其中包括人类和非人类标识,例如用户、服务主体和无服务器函数。 太多的超级标识可能会带来过高的风险,并增加违规时的爆炸半径。
最佳做法:建议每个授权系统使用五个或更少的用户和/或组超级标识。 使用少量的超级应用、服务主体、无服务器功能和服务帐户。 提供使用它们的明确原因和理由。
修正指南
- 对于预期的超级标识(例如基础设施管理员),请使用 ck_exclude_from_pci 和 ck_exclude_from_reports 标签。
- ck_exclude_from_pci 标签会从授权系统的 PCI 分数计算中删除该标识
- ck_exclude_from_reports 标签会从权限分析报表中删除该标识,使其不会作为超级标识调出
- 调整其他超级标识的权限大小并使用 JIT 访问模型
- 使用权限管理修正工具调整大小
- 配置按需权限以实现 JIT 访问模型
非活动标识
这些标识已经 90 天没有执行任何操作。
最佳做法:定期调整非活动标识的权限大小,这可能是不良行为者的潜在攻击媒介。
修正指南
查看非活动标识以确定修正措施:
- 如果需要非活动标识,请应用 ck_exclude_from_reports 标签,从权限分析报表中删除该标识,这样它就不会作为非活动标识调出。
- 如果你的环境中不需要非活动标识,则建议撤销该标识的未使用权限或将其分配为只读状态。 了解如何撤销对高风险任务和未使用任务的访问权限,或分配只读状态。
预配过度的标识
预配过度的标识或授权过度的标识在 90 天内没有使用过它们的许多权限。
最佳做法:定期调整这些标识的权限大小,以降低权限滥用(意外或恶意)的风险。 此操作可降低安全事件期间的潜在爆炸半径。
修正指南
使用具有最低特权内置角色或大小合适的自定义角色来修正预配过度的标识。
注意
请注意自定义角色限制。 如果组织即将达到这些限制,我们建议使用最低特权内置角色方法。
对于最低特权内置角色,建议使用 Microsoft Entra 权限管理来确定标识使用的权限,然后分配符合此用法的内置角色。
对于具有适当权限大小的自定义角色,建议由团队或组来修正预配过度的标识:
确定需要适当权限大小的团队或组。 例如,Web 服务的管理员或开发人员。
根据团队当前使用的内容创建新的具有适当权限大小的角色。
转到“修正”>“角色/策略”>“创建角色/策略”。
从团队或组中选择用户。
单击“下一步”,然后在“选定的任务”下验证新角色的权限。 这些项将根据所选用户/组的历史活动自动填充。
根据需要添加其他团队权限。
创建新的角色/策略。
撤销当前团队权限。
为团队成员分配适当权限大小的角色/策略。
注意
建议首先调整非人类标识的权限大小,例如服务主体和机器帐户。 非人类标识的活动不太可能每天发生变化,因此降低了因权限大小调整而导致的潜在服务中断的风险。
若要详细了解 Microsoft Entra 权限管理中可用的修正工具:
- 创建角色/策略
- 克隆角色/策略
- 修改角色/策略
- 删除角色/策略
- 附加和拆离 AWS 标识的策略
- 添加和移除 Microsoft Azure 和 GCP 标识的角色和任务
- 撤销对高风险任务和未使用任务的访问权限,或为 Microsoft Azure 和 GCP 标识分配只读状态
跟踪进度并衡量成功
为了实现组织目标,启用流程来跟踪和报告进度。 一些内置的 Microsoft Entra 权限管理工具包括:
- PCI 历史记录报表:定期接收有关授权系统和文件夹中的 PCI 分数如何随时间变化的详细概述。 衡量组织满足和维护 PCI 目标的程度。 我们建议为主要利益相关者安排一份定期 PCI 历史记录报表。 确保节奏与内部进度评审匹配。
- 权限分析报表:衡量修正进度并安排将报表发送给主要利益相关者和/或定期为授权系统导出 PDF 版本的报表。 这种做法使组织能够衡量一段时间内的修正进度。 例如,通过这种方法,可以看到每周清理了多少非活动标识以及这对 PCI 分数有何影响。
- 权限管理仪表板:概述你的授权系统及其 PCI 分数。 使用最高 PCI 变更列表部分按 PCI 分数对授权系统进行排序,以确定修正活动的优先级。 另请参阅过去 7 天的 PCI 变更,了解哪些授权系统进展最大,哪些可能需要进行更多审查。 在 PCI 热度地图部分中选择授权系统,以访问该授权系统的 PCI 趋势图。 请注意 PCI 在 90 天内的变化。
按需操作权限
建议所有者:信息安全体系结构
按需权限使组织能够在需要时向用户授予有时限的权限,从而完善 JIT 和最小可用访问权限。
若要操作按需权限,请创建和维护定义完善的流程,以在环境中实施按需权限。 下表概述了任务和建议的所有者。
任务 | 建议的所有者 |
---|---|
确定要用于按需权限的授权系统 | 信息安全体系结构 |
定义将新的授权系统加入到“按需权限”模型的管理流程。 选择并训练审批者和请求者,然后委托权限。 有关详细信息,请参阅以下部分。 | 信息安全体系结构 |
更新初始用户权限分配的标准操作模型程序以及临时权限的请求流程信息安全架构 | 信息安全体系结构 |
确定审批者
审批者查看按需权限请求,并有权批准或拒绝请求。 选择要用于按需权限的授权系统的审批者。 建议为每个授权系统选择至少两个审批者。
为审批者创建 Microsoft Entra 安全组
为了委托权限,IAM 团队将创建一个映射到审批者的 Microsoft Entra 安全组。 确保具有共享所有权和责任的审批者位于同一安全组中。
建议对组使用 PIM。 这提供对审批者权限的 JIT 访问权限,以批准或拒绝权限按需请求。
若要创建 Microsoft Entra ID 安全组,请参阅管理组和组成员身份。
为审批者分配权限
创建 Microsoft Entra 安全组后,权限管理管理员会在权限管理中向安全组授予审批者权限。 确保安全组被授予其负责的授权系统的审批者权限。 详细了解 Microsoft Entra 权限管理角色和权限级别。
确定并创建请求者管理员安全组
指定至少两名代表环境中的标识创建按需权限请求的请求者管理员。 例如,对于计算机标识。 为这些请求者管理员创建 Microsoft Entra 安全组。
建议对组使用 PIM。 这为 JIT 授予代表其他用户发出按需权限请求所需的请求者权限的访问权限。
若要创建 Microsoft Entra ID 安全组,请参阅管理组和组成员身份。
允许用户发出按需权限请求
权限管理管理员将请求者标识添加到每个授权系统的请求者管理员安全组中。 通过添加请求者标识,能够向其拥有权限的任何授权系统发出权限按需请求。 请求者管理员安全组成员可以代表指定授权系统的标识请求权限。 详细了解 Microsoft Entra 权限管理角色和权限级别。
确定按需权限的组织策略
可以将“按需权限”设置配置为符合组织需求。 建议为针对下内容制定策略:
- 用户可以请求的可用角色和策略:使用角色和策略筛选器来指定用户可以请求的内容。 防止不符合资格条件的用户请求高风险、高特权的角色,例如订阅所有者。
- 请求持续时间限制:指定通过按需权限获取的权限的最大允许持续时间。 就与用户请求和获取权限的方式一致的持续时间限制达成一致。
- 一次性密码 (OTP) 策略:可以要求请求者提供电子邮件 OTP 来创建请求。 此外,还可以要求审批者使用电子邮件 OTP 来批准或拒绝请求。 将这些配置用于一种或两种方案。
- AWS 自动审批:作为 AWS 按需权限的一个选项,可以将特定策略请求配置为自动批准。 例如,可以将常见的低风险策略添加到自动批准列表中,并帮助节省请求者和审批者的时间。
了解如何为请求和自动批准进行设置选择。
为组织创建自定义角色/策略模板
在 Microsoft Entra 权限管理中,角色/策略模板是可以为按需权限创建的权限集。 创建映射到环境中执行的常见操作的模板。 然后,用户可以使用模板来请求权限集,而不是不断选择单个权限。
例如,如果创建虚拟机 (VM) 是一项常见任务,请创建具有所需权限的创建 VM 模板。 用户不必知道或手动选择任务所需的所有权限。
要了解创建角色/策略模板,请参阅修正仪表板中的查看角色/策略和权限请求。