備註
您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。
身分識別和存取管理建議著重於解決與身分識別型訪問控制相關的問題、鎖定系統管理存取、警示身分識別相關事件、異常帳戶行為和角色型訪問控制。
3.1:維護系統管理帳戶的清查
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.1 | 4.1 | 客戶 |
Azure AD 具有必須明確指派且可查詢的內建角色。 使用 Azure AD PowerShell 模組來執行臨機作查詢,以探索屬於系統管理群組成員的帳戶。
3.2:變更預設密碼 (如果適用的話)
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.2 | 4.2 | 客戶 |
Azure AD 沒有默認密碼的概念。 其他需要密碼的 Azure 資源會強制使用複雜度需求和密碼長度下限來建立密碼,視服務而有所不同。 您必須負責可能使用預設密碼的第三方應用程式和市集服務。
3.3:使用專用的系統管理帳戶
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.3 | 4.3 | 客戶 |
建立使用專用系統管理帳戶的標準作業程式。 使用 Azure 資訊安全中心的「管理存取權和許可權」安全性控制中的建議,來監視系統管理帳戶的數目。
您還可以透過使用適用於 Microsoft 服務和 Azure 資源管理器的 Azure AD 特權身份管理的特權角色,啟用 Just-In-Time 和 Just-Enough-Access。
3.4:使用 Azure Active Directory 的單一登入(SSO)
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.4 | 4.4 | 客戶 |
盡可能使用 Azure Active Directory SSO,而不是為每個服務設定獨立的認證。 使用 Azure 資訊安全中心的「管理存取權和許可權」安全性控制中的建議。
3.5:針對所有 Azure Active Directory 型存取使用多重要素驗證
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | 客戶 |
啟用 Azure AD MFA,並遵循 Azure 資訊安全中心身分識別和存取管理建議。
3.6:針對所有系統管理工作使用專用機器 (特殊許可權存取工作站)
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | 客戶 |
使用PAW(特殊許可權存取工作站),並將 MFA 設定為登入及設定 Azure 資源。
3.7:從系統管理帳戶記錄可疑活動併發出警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.7 | 4.8, 4.9 | 客戶 |
當環境中發生可疑或不安全的活動時,請使用 Azure Active Directory 安全性報告來產生記錄和警示。 使用 Azure 資訊安全中心來監視身分識別和存取活動。
3.8:僅從核准的位置管理 Azure 資源
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.8 | 11.7 | 客戶 |
使用條件式存取具名位置,只允許從IP位址範圍或國家/地區的特定邏輯群組進行存取。
3.9:使用 Azure Active Directory
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | 客戶 |
使用 Azure Active Directory 作為中央驗證和授權系統。 Azure AD 會針對待用和傳輸中的數據使用強式加密來保護數據。 Azure AD 也會對使用者認證進行鹽化、哈希,並安全地儲存用戶認證。
3.10:定期檢閱和協調使用者存取
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.10 | 16.9, 16.10 | 客戶 |
Azure AD 提供記錄來協助探索過時的帳戶。 此外,使用 Azure 身分識別存取權檢閱,有效率地管理群組成員資格、企業應用程式的存取權,以及角色指派。 您可以定期檢閱使用者存取權,以確保只有正確的用戶能夠繼續存取。
3.11:監視嘗試存取已停用的認證
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.11 | 16.12 | 客戶 |
您可以存取 Azure AD 登入活動、稽核和風險事件記錄檔來源,這可讓您與任何 SIEM/Monitoring 工具整合。
您可以建立 Azure Active Directory 使用者帳戶的診斷設定,並將稽核記錄和登入記錄傳送至 Log Analytics 工作區,以簡化此程式。 您可以在 Log Analytics 工作區內設定所需的警示。
3.12:帳戶登入行為偏差警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.12 | 16.13 | 客戶 |
使用 Azure AD 風險和 Identity Protection 功能來設定自動回應,以偵測到與使用者身分識別相關的可疑動作。 您也可以將數據內嵌至 Azure Sentinel 以進一步調查。
3.13:在支援案例期間提供Microsoft存取相關客戶數據
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 3.13 | 16 | 客戶 |
在Microsoft需要存取客戶數據的支援案例中,客戶加密箱會提供一個介面供您檢閱及核准或拒絕客戶數據存取要求。
後續步驟
- 請參閱下一個安全性控制: 數據保護