安全性控制:特殊許可權存取
Privileged Access 涵蓋保護租使用者和資源特殊許可權存取的控制項,包括一系列控制項,可保護您的系統管理模型、系統管理帳戶,以及特殊許可權存取工作站,以防止刻意且不小心的風險。
PA-1:個別和限制高度特殊許可權/系統管理使用者
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2、AC-6 | 7.1, 7.2, 8.1 |
安全性準則:確定您識別所有高業務影響帳戶。 限制雲端控制平面、管理平面和資料/工作負載平面中特殊許可權/系統管理帳戶的數目。
Azure 指引:您必須保護所有具有 Azure 託管資源的直接或間接系統管理存取權的角色。
Azure Active Directory (Azure AD) 是 Azure 的預設身分識別和存取管理服務。 Azure AD 中最重要的內建角色是全域管理員和特殊許可權角色管理員,因為指派給這兩個角色的使用者可以委派系統管理員角色。 透過這些許可權,使用者可以直接或間接讀取和修改 Azure 環境中的每個資源:
- 全域管理員/公司管理員:具有此角色的使用者可以存取 Azure AD 中的所有系統管理功能,以及使用 Azure AD 身分識別的服務。
- 特殊許可權角色管理員:具有此角色的使用者可以在 Azure AD 中管理角色指派,以及在 Azure AD 中Privileged Identity Management (PIM) 。 此外,此角色允許管理 PIM 和系統管理單位的所有層面。
Azure 在 Azure AD 之外,Azure 具有內建角色,對於資源層級的特殊許可權存取而言非常重要。
- 擁有者:授與管理所有資源的完整存取權,包括指派 Azure RBAC 中角色的能力。
- 參與者:授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色、管理 Azure 藍圖中的指派,或共用映射庫。
- 使用者存取管理員:讓您管理使用者對 Azure 資源的存取權。
注意:如果您在 Azure AD 層級或資源層級中使用具有特定特殊許可權指派許可權的自訂角色,您可能必須控管其他重要角色。
此外,在 Azure Enterprise 合約 (EA) 入口網站中具有下列三個角色的使用者也應該受到限制,因為它們可用來直接或間接管理 Azure 訂用帳戶。
- 帳戶擁有者:具有此角色的使用者可以管理訂用帳戶,包括建立和刪除訂用帳戶。
- 企業系統管理員:獲指派此角色的使用者可以管理 EA) 入口網站使用者 (。
- 部門管理員:獲指派此角色的使用者可以變更部門內的帳戶擁有者。
最後,請確定您也限制其他管理、身分識別和安全性系統中具有業務關鍵資產系統管理存取權的特殊許可權帳戶,例如Active Directory 網網域控制站 (DC) 、安全性工具和系統管理工具,以及安裝在業務關鍵系統上的代理程式。 入侵這些管理和安全性系統的攻擊者可以立即將其破壞,以危害業務關鍵資產。
Azure 實作和其他內容:
AWS 指引:您必須使用直接或間接系統管理存取 AWS 託管資源來保護所有角色。
特殊許可權/系統管理使用者必須受到保護,包括:
- 根使用者:根使用者是您 AWS 帳戶中最高層級的特殊許可權帳戶。 根帳號應受到高度限制,且僅適用于緊急狀況。 請參閱 PA-5 (設定緊急存取) 中的緊急存取控制。
- IAM 身分識別 (使用者、群組、角色) 具有特殊許可權原則:以許可權原則指派的 IAM 身分識別,例如 AdministratorAccess 可以擁有 AWS 服務和資源的完整存取權。
如果您使用 Azure Active Directory (Azure AD) 作為 AWS 的身分識別提供者,請參閱 Azure 指引,以在 Azure AD 中管理特殊許可權角色。
請確定您也限制其他管理、身分識別和安全性系統中具有業務關鍵資產之系統管理存取權的特殊許可權帳戶,例如 AWS Cognito、安全性工具和系統管理工具,以及安裝在業務關鍵系統上的代理程式。 入侵這些管理和安全性系統的攻擊者可以立即將其破壞,以危害業務關鍵資產。
AWS 實作和其他內容:
GCP 指引:您必須使用直接或間接系統管理存取 GCP 託管資源來保護所有角色。
Google Cloud 中最重要的內建角色是超級系統管理員。 超級系統管理員可以在 管理員 主控台中執行所有工作,並具有無法撤銷的系統管理許可權。 建議您使用進階系統管理員帳戶進行日常管理。
基本角色是高度寬鬆的舊版角色,因此建議基本角色不會用於生產環境中,因為它會授與所有 Google Cloud 資源的廣泛存取權。 基本角色包括檢視器、編輯器和擁有者角色。 建議您改用預先定義的或自訂角色。 值得注意的特殊許可權預先定義角色包括:
- 組織管理員:具有此角色的使用者可以管理 IAM 原則,以及檢視組織、資料夾和專案的組織原則。
- 組織原則管理員:具有此角色的使用者可以藉由設定組織原則,定義組織想要設定雲端資源設定的限制。
- 組織角色管理員:具有此角色的使用者可以管理組織中的所有自訂角色,以及其下方的專案。
- 安全性管理員:具有此角色的使用者可以取得及設定任何 IAM 原則。
- 拒絕管理員:具有此角色的使用者具有讀取和修改 IAM 拒絕原則的許可權。
此外,某些預先定義的角色包含組織、資料夾和專案層級的特殊許可權 IAM 許可權。 這些 IAM 許可權包括:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
此外,藉由將角色指派給不同專案的帳戶,或使用 Google Kubernetes Engine 的二進位授權,來實作職責區隔。
最後,請確定您也限制其他管理、身分識別和安全性系統中具有系統管理存取權的特殊許可權帳戶,例如雲端 DNS、安全性工具和系統管理工具,以及安裝在業務關鍵系統上的代理程式。 入侵這些管理和安全性系統的攻擊者可以立即將其破壞,以危害業務關鍵資產。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-2:避免對使用者帳戶和許可權進行常設存取
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
安全性準則:不要建立常設許可權,而是使用 Just-In-Time (JIT) 機制來指派特殊許可權存取權給不同的資源層。
Azure 指引:使用 Azure AD Privileged Identity Management (PIM) 啟用 Just-In-Time (JIT) 特殊許可權存取 Azure 資源和 Azure AD。 JIT 是一種模型,使用者會收到暫時許可權來執行特殊許可權工作,以防止惡意或未經授權的使用者在許可權過期之後取得存取權。 只有當使用者需要時才會獲得存取權。 當您的 Azure AD 組織中有可疑或不安全的活動時,PIM 也會產生安全性警示。
將輸入流量限制至敏感性虛擬機器, (VM) 管理埠,Microsoft Defender雲端的 Just-In-Time (JIT) VM 存取功能。 這可確保只有在使用者需要 VM 時,才會授與 VM 的特殊許可權存取權。
Azure 實作和其他內容:
AWS 指引:使用 AWS 安全性權杖服務 (AWS STS) 建立暫時性安全性認證,以透過 AWS API 存取資源。 暫時安全性認證幾乎與 IAM 使用者可以使用的長期存取金鑰認證相同,但有下列差異:
- 暫時性安全性認證具有短期生命週期,從分鐘到小時。
- 暫時性安全性認證不會與使用者一起儲存,而是在要求時動態產生並提供給使用者。
AWS 實作和其他內容:
GCP 指引:使用 IAM 條件式存取,在允許原則中使用條件式角色系結建立資源的暫時存取權,此原則會授與雲端身分識別使用者。 設定日期/時間屬性,以強制執行存取特定資源的時間型控制項。 暫時存取可能會有短期的存留期、從分鐘到小時,或可能會根據一周的天數或小時來授與。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-3:管理身分識別和權利生命週期
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5、AC-6 | 7.1, 7.2, 8.1 |
安全性準則:使用自動化程式或技術控制來管理身分識別和存取生命週期,包括要求、檢閱、核准、布建和取消布建。
Azure 指引:使用 Azure AD 權利管理功能,將 Azure 資源群組 (的存取要求工作流程自動化) 。 這可讓 Azure 資源群組的工作流程管理存取指派、檢閱、到期和雙重或多重階段核准。
使用版權管理來偵測、自動調整大小,並持續監視跨多雲端基礎結構指派給使用者和工作負載身分識別的未使用和過多許可權。
Azure 實作和其他內容:
AWS 指引:使用 AWS Access Advisor 來提取使用者帳戶的存取記錄,以及資源的權利。 建置手動或自動化工作流程,以與 AWS IAM 整合,以管理存取權指派、檢閱和刪除。
注意:AWS Marketplace 上有協力廠商解決方案可用來管理身分識別和權利生命週期。
AWS 實作和其他內容:
GCP 指引:使用 Google 的雲端稽核記錄來提取使用者帳戶和資料存取稽核記錄,以及資源的權利。 建置手動或自動化工作流程,以與 GCP IAM 整合,以管理存取權指派、檢閱和刪除。
使用 Google Cloud Identity Premium 來提供核心身分識別和裝置管理服務。 這些服務包括自動化使用者布建、應用程式允許清單和自動化行動裝置管理等功能。
注意:Google Cloud Marketplace 上有協力廠商解決方案可用來管理身分識別和權利生命週期。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-4:定期檢閱及協調使用者存取權
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2、AC-6 | 7.1、7.2、8.1、A3.4 |
安全性準則:定期檢閱特殊許可權帳戶權利。 請確定授與帳戶的存取權適用于控制平面、管理平面和工作負載的管理。
Azure 指引:檢閱 Azure 中的所有特殊許可權帳戶和存取權利,包括 Azure 租使用者、Azure 服務、VM/IaaS、CI/CD 程式,以及企業管理和安全性工具。
使用 Azure AD 存取權檢閱來檢閱 Azure AD 角色、Azure 資源存取角色、群組成員資格,以及企業應用程式的存取權。 Azure AD 報告也可以提供記錄,以協助探索過時的帳戶,或尚未用於特定時間的帳戶。
此外,Azure AD Privileged Identity Management可以設定為在針對特定角色建立過多的系統管理員帳戶時發出警示,並識別過時或未正確設定的系統管理員帳戶。
Azure 實作和其他內容:
AWS 指引:檢閱 AWS 中的所有特殊許可權帳戶和存取權利,包括 AWS 帳戶、服務、VM/IaaS、CI/CD 程式,以及企業管理和安全性工具。
使用 IAM Access Advisor、Access Analyzer 和認證報告來檢閱資源存取角色、群組成員資格,以及企業應用程式的存取權。 IAM 存取分析器和認證報告報告也可以提供記錄,以協助探索過時的帳戶,或尚未用於特定時間的帳戶。
如果您使用 Azure Active Directory (Azure AD) 作為 AWS 的識別提供者,請使用 Azure AD 存取權檢閱,定期檢閱特殊許可權帳戶和存取權利。
AWS 實作和其他內容:
GCP 指引:檢閱 Google Cloud 中的所有特殊許可權帳戶和存取權利,包括雲端身分識別帳戶、服務、VM/IaaS、CI/CD 程式,以及企業管理和安全性工具。
使用雲端稽核記錄和原則分析器來檢閱資源存取角色和群組成員資格。 在原則分析器中建立分析查詢,以瞭解哪些主體可以存取特定資源。
如果您使用 Azure Active Directory (Azure AD) 作為 Google Cloud 的識別提供者,請使用 Azure AD 存取權檢閱,定期檢閱特殊許可權帳戶和存取權利。
此外,Azure AD Privileged Identity Management可以設定為在針對特定角色建立過多的系統管理員帳戶時發出警示,並識別過時或未正確設定的系統管理員帳戶。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-5:設定緊急存取
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
安全性原則:設定緊急存取,以確保您不會意外鎖定重要雲端基礎結構, (例如身分識別和存取管理系統) 緊急狀況。
如果遭到入侵,緊急存取帳戶應該很少使用,而且如果遭到入侵,對組織而言可能會高度損害,但對於需要時,對組織的可用性也很重要。
Azure 指引:為了避免意外鎖定 Azure AD 組織,請設定緊急存取帳戶 (例如,當無法使用一般系統管理帳戶時,具有全域管理員角色的帳戶) 存取。 緊急存取帳戶通常具有高權限,不應將其指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「中斷」案例。
您應該確保緊急存取帳戶的認證 (例如密碼、憑證或智慧卡) 受到保護,而且只有在緊急情況下有權使用這些認證的個人才會知道。 您也可以使用其他控制項,這類雙重控制項 (例如,將認證分割成兩個部分,並將認證提供給個別人員) ,以增強此程式的安全性。 您也應該監視登入和稽核記錄,以確保只有在獲得授權時才會使用緊急存取帳戶。
Azure 實作和其他內容:
AWS 指引:AWS「根」帳戶不應用於一般系統管理工作。 由於「根」帳戶具有高度許可權,因此不應指派給特定個人。 使用僅限於無法使用一般系統管理帳戶時的緊急或「急用」案例。 針對每日系統管理工作,應該使用個別具有特殊許可權的使用者帳戶,並透過 IAM 角色指派適當的許可權。
您也應該確保認證 (,例如密碼、MFA 權杖和存取金鑰,) 根帳號都受到保護,而且只有獲得授權的人員只能在緊急狀況中使用。 應該為根帳號啟用 MFA,您也可以使用其他控制項,例如雙重控制項 (例如,將認證分割成兩個部分,並將認證提供給個別人員) ,以增強此程式的安全性。
您也應該監視 CloudTrail 或 EventBridge 中的登入和稽核記錄,以確保只有在授權時才會使用根存取帳戶。
AWS 實作和其他內容:
GCP 指引:Google Cloud Identity 進階系統管理員帳戶不應用於一般系統管理工作。 由於進階系統管理員帳戶具有高度許可權,因此不應指派給特定個人。 使用僅限於無法使用一般系統管理帳戶時的緊急或「急用」案例。 針對每日系統管理工作,應該使用個別具有特殊許可權的使用者帳戶,並透過 IAM 角色指派適當的許可權。
您也應該確保進階系統管理員帳戶的密碼、MFA 權杖和存取) 金鑰等認證 (受到保護,而且只有獲得授權的人員只能在緊急情況下使用認證。 應該為進階系統管理員帳戶啟用 MFA,您也可以使用其他控制項,例如雙重控制 (,例如將認證分割成兩個部分,並讓它分隔人員) ,以增強此程式的安全性。
您也應該監視雲端稽核記錄中的登入和稽核記錄,或查詢原則分析器,以確保只有在獲得授權時才會使用進階系統管理員帳戶。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-6:使用特殊權限存取工作站
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2、SC-2、SC-7 | N/A |
安全性準則:安全、隔離的工作站對於系統管理員、開發人員和重要服務操作員等敏感性角色的安全性非常重要。
Azure 指引:使用 Azure Active Directory、Microsoft Defender和/或Microsoft Intune來部署特殊許可權存取工作站, (PAW) 內部部署或 Azure 中的特殊許可權工作。 PAW 應集中管理以強制執行安全設定,包括增強式驗證、軟體和硬體基準,以及限制的邏輯和網路存取。
您也可以使用 Azure Bastion,這是可在虛擬網路內布建的完整平臺受控 PaaS 服務。 Azure Bastion 可讓您使用網頁瀏覽器直接從Azure 入口網站連線到虛擬機器的 RDP/SSH 連線。
Azure 實作和其他內容:
AWS 指引:在 AWS 系統管理員中使用會話管理員,建立連線會話 (連線會話) 至 EC2 實例的存取路徑,或針對特殊許可權工作建立 AWS 資源的瀏覽器會話。 會話管理員可透過埠轉送,允許 RDP、SSH 和 HTTPS 連線到目的地主機。
您也可以選擇 (PAW 部署特殊許可權存取工作站,) 透過 Azure Active Directory、Microsoft Defender和/或Microsoft Intune集中管理。 中央管理應強制執行安全的設定,包括增強式驗證、軟體和硬體基準,以及限制的邏輯和網路存取。
AWS 實作和其他內容:
GCP 指引:使用 Identity-Aware Proxy (IAP) Desktop,在特殊許可權工作的計算實例 (連線會話建立存取路徑) 。 IAP Desktop 允許透過埠轉送連線到目的地主機的 RDP 和 SSH 連線。 此外,外部對向的 Linux 計算實例可能透過 Google Cloud 主控台透過 SSH-in-browser 連線。
您也可以選擇 (PAW 部署特殊許可權存取工作站,) 透過 Google 工作區端點管理或 Microsoft 解決方案集中管理, (Azure Active Directory、Microsoft Defender和/或Microsoft Intune) 。 中央管理應強制執行安全的設定,包括增強式驗證、軟體和硬體基準,以及限制的邏輯和網路存取。
您也可以建立防禦主機,以使用已定義的參數安全地存取信任的環境。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-7:遵循足夠的系統管理 (最低許可權) 原則
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2、AC-3、AC-6 | 7.1, 7.2 |
安全性準則:遵循足夠的系統管理 (最低許可權) 原則,以更精細地管理許可權。 使用角色型存取控制 (RBAC) 等功能,透過角色指派來管理資源存取。
Azure 指引:使用 Azure 角色型存取控制 (Azure RBAC) 透過角色指派來管理 Azure 資源存取。 透過 RBAC,您可以將角色指派給使用者、群組、服務主體和受控識別。 某些資源有預先定義的內建角色,這些角色可以透過 Azure CLI、Azure PowerShell和Azure 入口網站等工具來清查或查詢。
您透過 Azure RBAC 指派給資源的許可權應一律受限於角色所需的許可權。 有限的許可權可補充 Azure AD Privileged Identity Management (PIM) 的 Just-In-Time (JIT) 方法,而且應該定期檢閱這些許可權。 如有需要,您也可以使用 PIM 來定義時間系結指派,這是角色指派的條件,其中使用者只能在指定的開始和結束日期內啟用角色。
注意:使用 Azure 內建角色來配置許可權,並只在需要時建立自訂角色。
Azure 實作和其他內容:
- 什麼是 Azure 角色型存取控制 (Azure RBAC)
- 如何在 Azure 中設定 RBAC
- 如何使用 Azure AD 身分識別和存取權檢閱
- Azure AD Privileged Identity Management - 時間系結指派
AWS 指引:使用 AWS 原則來管理 AWS 資源存取。 有六種類型的原則:身分識別型原則、資源型原則、許可權界限、AWS 組織服務控制原則 (SCP) 、存取控制清單和會話原則。 您可以針對常見的許可權使用案例使用 AWS 受控原則。 不過,您應該留意受管理的原則可能會具有不應該指派給使用者的過多許可權。
您也可以使用 AWS ABAC (屬性型存取控制) 根據附加至 IAM 資源的屬性 () 標籤指派許可權,包括 IAM 實體 (使用者或角色) 和 AWS 資源。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud IAM 原則透過角色指派來管理 GCP 資源存取。 您可以針對常見的許可權使用案例使用 Google Cloud 預先定義的角色。 不過,您應該留意預先定義的角色可能會具有不應該指派給使用者的過多許可權。
此外,搭配 IAM 建議工具使用原則智慧來識別和移除帳戶過多的許可權。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-8 決定雲端提供者支援的存取程式
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4、AC-2、AC-3 | N/A |
安全性準則:建立核准程式和存取路徑,以要求和核准廠商支援要求,以及透過安全通道暫時存取您的資料。
Azure 指引:在 Microsoft 需要存取資料的支援案例中,使用客戶加密箱來檢閱並核准或拒絕 Microsoft 提出的每個資料存取要求。
Azure 實作和其他內容:
AWS 指引:在 AWS 支援小組需要存取資料的支援案例中,請在 AWS 支援入口網站中建立帳戶以要求支援。 檢閱可用的選項,例如提供唯讀資料存取,或 AWS 支援的螢幕共用選項,以存取您的資料。
AWS 實作和其他內容:
GCP 指引:在 Google Cloud Customer Care 需要存取資料的支援案例中,使用存取核准來檢閱和核准或拒絕 Cloud Customer Care 提出的每項資料存取要求。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :