共用方式為


安全性控制 V2:身分識別管理

注意

這裡 提供最新的Azure 安全性效能評定。

身分識別管理涵蓋使用 Azure Active Directory 建立安全身分識別和存取控制的控制項。 這包括針對應用程式、條件式存取和帳戶異常監視使用單一登入、增強式驗證、受控識別 (和服務主體) 。

若要查看適用的內建Azure 原則,請參閱Azure 安全性效能評定法規合規性內建方案的詳細資料:身分識別管理

IM-1:將 Azure Active Directory 標準化為中央身分識別與驗證系統

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-1 16.1, 16.2, 16.4, 16.5 IA-2、IA-8、AC-2、AC-3

Azure Active Directory (Azure AD) 是 Azure 的預設身分識別和存取管理服務。 您應該在 Azure AD 上標準化,以控管貴組織的身分識別和存取管理:

  • Microsoft 雲端資源,例如 Azure 入口網站、Azure 儲存體、Azure 虛擬機器 (Linux 和 Windows)、Azure Key Vault、PaaS 和 SaaS 應用程式。

  • 您的組織資源,例如 Azure 上的應用程式或您的公司網路資源。

在貴組織的雲端安全性實務中,保護 Azure AD 應該是高優先順序。 Azure AD 提供身分識別安全分數,可協助您評估與 Microsoft 最佳做法建議相對的身分識別安全性狀態。 您可以使用分數來衡量您的設定與最佳做法建議的貼近程度,並改善安全性態勢。

注意:Azure AD 支援外部識別提供者,可讓沒有 Microsoft 帳戶的使用者透過外部身分識別登入其應用程式和資源。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-2:安全且自動地管理應用程式識別碼

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-2 N/A AC-2、AC-3、IA-2、IA-4、IA-9

對於非人為帳戶,例如服務或自動化,請使用 Azure 受控識別,而不是建立更強大的人力資源帳戶來存取資源或執行程式碼。 Azure 受控識別可以向支援 Azure AD 驗證 的 Azure 服務和資源進行驗證。 驗證是透過預先定義的存取授與規則來啟用,避免原始程式碼或組態檔中的硬式編碼認證。

對於不支援受控識別的服務,請改用 Azure AD 來建立具有資源層級限制許可權的服務主體。 建議使用憑證認證來設定服務主體,並切換回用戶端密碼。 在這兩種情況下,Azure 金鑰保存庫都可以與 Azure 受控識別搭配使用,讓執行時間環境 (例如 Azure 函式,) 可以從金鑰保存庫擷取認證。

使用 Azure 金鑰保存庫進行安全性主體註冊:authentication#authorize-a-security-principal-to-access-key-vault

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-3:使用 Azure AD 單一登入 (SSO) 進行應用程式存取

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-3 4.4 IA-2、IA-4

Azure AD 提供 Azure 資源、雲端應用程式和內部部署應用程式的身分識別和存取管理。 身分識別和存取管理適用于企業身分識別,例如員工,以及合作夥伴、廠商和供應商等外部身分識別。

使用 Azure AD 單一登入 (SSO) 來管理及保護貴組織內部部署和雲端中資料的存取。 將所有使用者、應用程式和裝置連線至 Azure AD,以順暢、安全存取,以及更高的可見度和控制。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-4:針對所有以 Azure Active Directory 為基礎的存取,使用增強式驗證控制項

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-4 4.2, 4.4 4.5, 11.5, 12.11, 16.3 AC-2、AC-3、IA-2、IA-4

Azure AD 透過多重要素驗證支援增強式驗證控制, (MFA) 和強式密碼無密碼方法。

  • 多重要素驗證:啟用 Azure AD MFA,並遵循Azure 資訊安全中心「啟用 MFA」安全性控制中的建議。 您可以針對所有使用者強制執行 MFA、選取使用者,或根據登入條件和風險因素,在每個使用者層級強制執行 MFA。

  • 無密碼驗證:有三個無密碼驗證選項可供使用:Windows Hello 企業版、Microsoft Authenticator 應用程式和內部部署驗證方法,例如智慧卡。

對於系統管理員和特殊許可權的使用者,請確定使用最高層級的增強式驗證方法,然後向其他使用者推出適當的增強式驗證原則。

如果舊版密碼型驗證仍用於 Azure AD 驗證,請注意,僅限雲端帳戶 (直接在 Azure 中建立的使用者帳戶,) 具有預設的基準密碼原則。 而混合式帳戶 (來自內部部署的 Active Directory) 的使用者帳戶遵循內部部署密碼原則。 使用密碼型驗證時,Azure AD 提供密碼保護功能,可防止使用者設定容易猜測的密碼。 Microsoft 提供以遙測為基礎的禁用密碼全域清單,而客戶可以根據其需求來增強清單 (,例如品牌、文化參考等) 。 此密碼保護可用於僅限雲端和混合式帳戶。

注意:根據密碼認證而單獨進行驗證很容易受到熱門的攻擊方法。 若要提高安全性,請使用增強式驗證,例如 MFA 和強式密碼原則。 對於可能有預設密碼的協力廠商應用程式和市集服務,您應該在初始服務設定期間加以變更。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-5:監視及警示帳戶異常

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-5 4.8, 4.9, 16.12, 16.13 AC-2、AC-3、AC-7、AU-6

Azure AD 提供下列資料來源:

  • 登入 – 登入報告會提供受控應用程式和使用者登入活動的使用情況相關資訊。

  • 稽核記錄 - 透過記錄提供透過 Azure AD 中各種功能所做的所有變更的可追蹤性。 記錄變更稽核記錄的範例包括新增或移除使用者、應用程式、群組、角色和原則。

  • 有風險的登入 - 有風險的登入表示非使用者帳戶合法擁有者的某人嘗試登入。

  • 標幟為有風險的使用者 - 有風險的使用者表示可能被盜用的使用者帳戶。

這些資料來源可以與 Azure 監視器、Azure Sentinel 或協力廠商 SIEM 系統整合。

Azure 資訊安全中心也可以針對某些可疑活動發出警示,例如大量失敗的驗證嘗試,以及訂用帳戶中已被取代的帳戶。

適用於身分識別的 Microsoft Defender是一種安全性解決方案,可使用內部部署的 Active Directory訊號來識別、偵測及調查進階威脅、遭入侵的身分識別和惡意內部動作。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-6:根據條件限制 Azure 資源存取

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-6 N/A AC-2、AC-3

使用 Azure AD 條件式存取,根據使用者定義的條件進行更細微的存取控制,例如要求特定 IP 範圍的使用者登入才能使用 MFA。 針對不同的使用案例,也可以透過 Azure AD 條件式存取原則使用細微的驗證會話管理。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-7:消除非預期的認證暴露

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-7 18.1, 18.7 IA-5

實作 Azure DevOps 認證掃描器,以識別程式碼內的認證。 認證掃描器也鼓勵將探索到的認證移至更安全的位置,例如 Azure 金鑰保存庫。

針對 GitHub,您可以使用原生密碼掃描功能來識別程式碼中的認證或其他形式的秘密。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :

IM-8:保護使用者對繼承應用程式的存取

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
IM-8 14.6 AC-2、AC-3、SC-11

請確定您有繼承應用程式的現代存取控制和會話監視,以及它們儲存和處理的資料。 雖然 VPN 通常用來存取繼承應用程式,但通常只有基本存取控制和有限的會話監視。

Azure AD 應用程式 Proxy可讓您使用單一登入 (SSO) ,將舊版內部部署應用程式發佈至遠端使用者,同時使用 Azure AD 條件式存取明確驗證遠端使用者和裝置的可信任性。

或者,Microsoft Defender for Cloud Apps是雲端存取安全性代理程式 (CASB) 服務,可為舊版內部部署應用程式和雲端軟體 (提供監視應用程式會話的控制項,以及封鎖舊版內部部署應用程式和雲端軟體即服務 (SaaS) 應用程式) 的控制項。

責任:客戶

客戶安全性專案關係人 (深入瞭解) :