安全控制 v3:特权访问
特权访问包括用于保护对你的 Azure 租户和资源的特权访问的控制措施,包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。
PA-1:隔离和限制高度特权/管理用户
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4、6.8 | AC-2、AC-6 | 7.1、7.2、8.1 |
安全原则:确保你将标识所有严重影响业务的帐户。 限制云的控制平面、管理平面和数据/工作负载平面中的特权/管理帐户的数量。
Azure 指导:Azure Active Directory (Azure AD) 是 Azure 的默认标识和访问管理服务。 Azure AD 中最重要的内置角色是全局管理员和特权角色管理员,因为分配到这两种角色的用户可以委派管理员角色。 有了这些特权,用户可直接或间接读取和修改 Azure 环境中的每项资源:
- 全局管理员/公司管理员:具有此角色的用户可访问 Azure AD 中的所有管理功能,还可访问使用 Azure AD 标识的服务。
- 特权角色管理员:具有此角色的用户可管理 Azure AD 和 Azure AD Privileged Identity Management (PIM) 中的角色分配。 此外,该角色可管理 PIM 和管理单元的各个方面。
在 Azure AD 外部,Azure 具有对资源级别的特权访问至关重要的内置角色。
- 所有者:授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。
- 参与者:授予管理所有资源所需的完全访问权限,但不允许在 Azure RBAC 中分配角色、在 Azure 蓝图中管理分配或共享映像库。
- 用户访问管理员:可管理用户对 Azure 资源的访问权限。 注意:如果在 Azure AD 级别或资源级别使用自定义角色并分配了某些特权权限,则可能需要治理其他关键角色。
确保还限制了对业务关键型资产具有管理访问权限的其他管理、标识和安全系统中的特权帐户,这些资产包括在业务关键型系统上安装了代理的 Active Directory 域控制器 (DC)、安全工具和系统管理工具。 入侵这些管理和安全系统的攻击者可以立即将它们用作损害业务关键型资产的武器。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PA-2:避免对用户帐户和权限的长期访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | AC-2 | 空值 |
安全原则:使用实时 (JIT) 机制将特权访问分配到不同的资源层,而不是创建已有的权限。
Azure 指导:使用 Azure AD Privileged Identity Management (PIM) 启用对 Azure 资源和 Azure AD 的实时 (JIT) 特权访问。 JIT 是一种访问模式。在此模式下,用户会收到执行特权任务的临时权限,防止恶意用户或未授权用户在权限过期后获得访问权限。 只有在用户需要的情况下,才会授予访问权限。 当 Azure AD 组织中存在可疑或不安全的活动时,PIM 还会生成安全警报。
使用 Microsoft Defender for Cloud 的实时 (JIT) VM 访问功能限制到敏感虚拟机 (VM) 管理端口的入站流量。 这可确保仅在用户需要时才授予对 VM 的特权访问权限。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PA-3:管理标识和权利的生命周期
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1、6.2 | AC-5、AC-6 | 7.1、7.2、8.1 |
安全原则:使用自动化流程或技术控制来管理标识和访问生命周期,包括请求、审查、批准、预配和取消预配。
Azure 指导:使用 Azure AD 权利管理功能自动执行访问(针对 Azure 资源组)请求工作流。 这使 Azure 资源组的工作流能够管理访问分配、审查、到期以及两阶段或多阶段审批。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PA-4:定期审查和协调用户访问权限
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.1、5.3、5.5 | AC-2、AC-6 | 7.1、7.2、8.1、A3.4 |
安全原则:定期审查特权帐户权利。 确保授予帐户的访问权限对控制平面、管理平面和工作负载的管理有效。
Azure 指导:查看 Azure 中的所有特权帐户和访问权利,包括 Azure 租户、Azure 服务、VM/IaaS、CI/CD 流程以及企业管理和安全工具。
使用 Azure AD 访问评审来审查 Azure AD 角色和 Azure 资源访问角色、组成员资格以及对企业应用程序的访问。 Azure AD 报告还可以提供日志来帮助发现过时的帐户,即在特定时间段内未使用的帐户。
此外,Azure AD Privileged Identity Management 还可配置为在为特定角色创建过多的管理员帐户时发出警报,并识别过时或配置不正确的管理员帐户。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PA-5:设置紧急访问
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | AC-2 | 空值 |
安全原则:设置紧急访问,确保不会在紧急情况下意外锁定关键云基础结构(例如标识和访问管理系统)。
紧急访问帐户应很少使用,如果泄露,会对组织造成巨大损害,但在极少数需要紧急访问帐户的情况下,紧急访问帐户对于组织的可用性又是至关重要的。
Azure 指导:为防止被意外锁定在 Azure AD 组织外部,请设置一个紧急访问帐户(例如具有全局管理员角色的帐户)以便在正常管理帐户无法使用时进行访问。 紧急访问帐户通常拥有较高的权限,因此请不要将其分配给特定的个人。 紧急访问帐户只能用于紧急情况或“破窗式”情况,即不能使用正常管理帐户。
应确保妥善保管紧急访问帐户的凭据(例如密码、证书或智能卡),仅将其告诉只能在紧急情况下有权使用它们的个人。 你还可以使用双重控制(例如,将凭据拆分为两个部分并将其提供给不同的人)等其他控制来增强此过程的安全性。 你还应该监视登录和审核日志,确保只能在已获授权的情况下使用紧急访问帐户。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PA-6:使用特权访问工作站
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.8、13.5 | AC-2、SC-2、SC-7 | 空值 |
安全原则:受保护的独立工作站对于机密角色(如管理员、开发人员和关键服务操作员)的安全性至关重要。
Azure 指导:使用 Azure Active Directory、Microsoft Defender 和/或 Microsoft Intune 在本地或 Azure 中为特权任务部署特权访问工作站 (PAW)。 应该集中管理 PAW,强制实施安全配置,包括强身份验证、软件和硬件基线,以及受限制的逻辑和网络访问。
你还可以使用 Azure Bastion,它是一项完全由平台管理的 PaaS 服务,可在虚拟网络中进行预配。 Azure Bastion 允许使用浏览器直接从 Azure 门户将 RDP/SSH 连接到虚拟机。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
PA-7:遵循 Just Enough Administration(最小特权)原则
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3、6.8 | AC-2、AC-3、AC-6 | 7.1、7.2 |
安全原则:遵循 Just Enough Administration(最小特权)原则以在精细的级别管理权限。 使用基于角色的访问控制 (RBAC) 等功能,通过角色分配管理资源访问。
Azure 指导:使用 Azure 基于角色的访问控制 (Azure RBAC) 通过角色分配管理 Azure 资源访问。 通过 RBAC,可以为用户、组服务主体和托管标识分配角色。 某些资源具有预定义的内置角色,可通过 Azure CLI、Azure PowerShell 和 Azure 门户等工具来清点或查询这些角色。
通过 Azure RBAC 分配给资源的权限应始终限制为角色所需的权限。 受限权限将补充 Azure AD Privileged Identity Management (PIM) 的实时 (JIT) 方法,应定期查看这些权限。 如果需要,还可以使用 PIM 在角色分配中定义时间长度(时限性分配)条件,在此条件中,用户只能在开始日期和结束日期内激活或使用角色。
注意:请使用 Azure 内置角色分配权限,仅在必要时创建自定义角色。
实现和其他上下文:
- 什么是 Azure 基于角色的访问控制 (Azure RBAC)
- 如何在 Azure 中配置 RBAC
- 如何使用 Azure AD 标识和访问评审
- Azure AD Privileged Identity Management - 时限性分配
客户安全利益干系人(了解详细信息):
PA-8 确定云提供商支持的访问流程
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1、6.2 | AC-4、AC-2、AC-3 | 空值 |
安全原则:建立用于请求和批准供应商支持请求的审批流程和访问路径,并通过安全通道临时访问数据。
Azure 指导:在 Microsoft 需要访问数据的支持方案中,使用客户密码箱来审查和批准/拒绝每个 Microsoft 的数据访问请求。
实现和其他上下文:
客户安全利益干系人(了解详细信息):