共用方式為

安全性控制 V2:身分識別管理

備註

您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。

身分識別管理涵蓋使用 Azure Active Directory 建立安全身分識別和訪問控制的控制件。 這包括針對應用程式、條件式存取和帳戶異常監視使用單一登錄、強式驗證、受控識別(和服務主體)。

若要查看適用的內建 Azure 原則,請參閱 Azure 安全性效能評定法規合規性內建方案的詳細數據:身分識別管理

IM-1:將 Azure Active Directory 標準化為中央身分識別和驗證系統

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-1 16.1, 16.2, 16.4, 16.5 IA-2、IA-8、AC-2、AC-3

Azure Active Directory (Azure AD) 是 Azure 的預設身分識別和存取管理服務。 您應該在 Azure AD 上標準化,以控管貴組織的身分識別和存取管理:

  • Microsoft雲端資源,例如 Azure 入口網站、Azure 記憶體、Azure 虛擬機(Linux 和 Windows)、Azure Key Vault、PaaS 和 SaaS 應用程式。

  • 貴組織的資源,例如 Azure 上的應用程式或公司網路資源。

保護 Azure AD 在貴組織的雲端安全性實務中應該是高優先順序。 Azure AD 提供身分識別安全分數,可協助您評估與Microsoft最佳做法建議相關的身分識別安全性狀態。 使用分數來量測設定與最佳做法建議的相符程度,以及改善安全性狀態。

注意:Azure AD 支援外部識別提供者,可讓用戶沒有Microsoft帳戶使用其外部身分識別登入其應用程式和資源。

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-2:安全地且自動管理應用程式身分識別

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-2 型 N/A AC-2、AC-3、IA-2、IA-4、IA-9

對於服務或自動化等非人為帳戶,請使用 Azure 受控識別,而不是建立更強大的人力帳戶來存取資源或執行程序代碼。 Azure 受控識別可以向支援 Azure AD 驗證的 Azure 服務和資源進行驗證。 驗證是透過預先定義的存取授與規則來啟用,避免原始程式碼或組態檔中的硬式編碼認證。

對於不支援受控識別的服務,請改用 Azure AD 來建立具有資源層級限制許可權的服務主體。 建議使用憑證認證設定服務主體,並回復至客戶端密碼。 在這兩種情況下,Azure Key Vault 可以搭配 Azure 受控識別使用,讓運行時間環境(例如 Azure 函式)可以從密鑰保存庫擷取認證。

使用 Azure Key Vault 來註冊安全主體:authentication#authorize-a-security-principal-to-access-key-vault

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-3:使用 Azure AD 單一登錄 (SSO) 進行應用程式存取

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-3 4.4 IA-2、IA-4

Azure AD 提供 Azure 資源、雲端應用程式和內部部署應用程式的身分識別和存取管理。 身分識別和存取管理適用於企業身分識別,例如員工,以及合作夥伴、廠商和供應商等外部身分識別。

使用 Azure AD 單一登入 (SSO) 來管理及保護組織內部部署和雲端中資料和資源存取的安全。 將所有使用者、應用程式和裝置連線至 Azure AD,以順暢、安全存取,以及更高的可見度和控制。

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-4:針對所有 Azure Active Directory 型存取使用強身份驗證控件

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-4 4.2, 4.4 4.5, 11.5, 12.11, 16.3 AC-2、AC-3、IA-2、IA-4

Azure AD 藉由多重要素驗證 (MFA) 和可靠的無密碼方法,來支持強身份驗證控制。

  • 多重要素驗證:啟用 Azure AD MFA,並遵循 Azure 資訊安全中心的「啟用 MFA」安全性控制中的建議。 您可以對所有用戶強制執行 MFA、選取使用者,或根據登入條件和風險因素,在每個用戶層級強制執行 MFA。

  • 無密碼驗證:有三種無密碼驗證選項可供使用:Windows Hello 企業版、Microsoft Authenticator 應用程式,以及智慧卡等內部部署驗證方法。

對於系統管理員和具特殊許可權的使用者,請確定使用強式驗證方法的最高層級,然後向其他使用者推出適當的強式驗證原則。

如果舊版密碼型驗證仍用於 Azure AD 驗證,請注意,僅限雲端帳戶(直接在 Azure 中建立的用戶帳戶)具有預設的基準密碼原則。 混合式帳戶(來自內部部署 Active Directory 的用戶帳戶)遵循內部部署密碼原則。 使用密碼型驗證時,Azure AD 提供密碼保護功能,可防止使用者設定容易猜測的密碼。 Microsoft提供以遙測為基礎更新的禁用密碼全域清單,客戶可以根據其需求來增強清單(例如品牌、文化參考等)。 此密碼保護可用於僅限雲端和混合式帳戶。

注意:僅以密碼認證為基礎的驗證很容易受到熱門攻擊方法的影響。 若要提高安全性,請使用強式驗證,例如 MFA 和強密碼原則。 對於可能有默認密碼的第三方應用程式和市集服務,您應該在初始服務設定期間變更它們。

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-5:監視和警示帳戶異常

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-5 4.8, 4.9, 16.12, 16.13 AC-2、AC-3、AC-7、AU-6

Azure AD 提供下列數據源:

  • 登入 – 登入報告提供受控應用程式和使用者登入活動使用方式的相關信息。

  • 稽核記錄 - 針對透過 Azure AD 中各種功能所做的所有變更,提供記錄的可追蹤性。 記錄的變更稽核記錄範例包括新增或移除使用者、應用程式、群組、角色和原則。

  • 具風險的登入 - 具風險的登入是一個指標,表明登入嘗試可能不是由用戶帳戶的合法擁有者執行。

  • 標示為高風險的使用者 - 高風險的使用者顯示該用戶帳戶可能已遭到入侵。

這些數據源可以與 Azure 監視器、Azure Sentinel 或第三方 SIEM 系統整合。

Azure 資訊安全中心也可以針對某些可疑活動發出警示,例如過多失敗的驗證嘗試,以及訂用帳戶中已被取代的帳戶。

Microsoft Defender for Identity 是一種安全性解決方案,可以利用內部部署 Active Directory 的訊號來識別、偵測以及調查進階威脅、已洩露的身分識別,以及惡意內部人員行動。

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-6:根據條件限制 Azure 資源存取

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-6 N/A AC-2、AC-3

根據使用者定義的條件,使用 Azure AD 條件式存取進行更細微的存取控制,例如要求特定 IP 範圍的使用者登入才能使用 MFA。 針對不同的使用案例,也可以透過 Azure AD 條件式存取原則使用細微的驗證會話管理。

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-7:消除非預期的憑證暴露

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-7 18.1, 18.7 IA-5

實作 Azure DevOps 認證掃描器,以識別程式代碼內的認證。 認證掃描器也鼓勵將探索到的認證移至更安全的位置,例如 Azure Key Vault。

針對 GitHub,您可以使用原生秘密掃描功能來識別程式代碼中的認證或其他形式的秘密。

責任:客戶

客戶安全性項目關係人深入瞭解):

IM-8:保護使用者對舊版應用程式的存取

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
IM-8 14.6 AC-2、AC-3、SC-11

請確定您有舊版應用程式的新式訪問控制和會話監視,以及它們儲存和處理的數據。 雖然 VPN 通常用來存取舊版應用程式,但它們通常只有基本訪問控制和有限的會話監視。

Azure AD 應用程式 Proxy 可讓您將舊版內部部署應用程式發佈至具有單一登錄 (SSO) 的遠端使用者,同時使用 Azure AD 條件式存取明確驗證遠端使用者和裝置的可信度。

或者,Microsoft Defender for Cloud Apps 是一項雲端存取安全性代理(CASB)服務,可提供控制措施來監控使用者的應用程式會話並阻止動作(適用於傳統的內部部署應用程式和雲端軟體即服務(SaaS)應用程式)。

責任:客戶

客戶安全性項目關係人深入瞭解):