安全性控制 v3:身分識別管理
身分識別管理涵蓋使用 Azure Active Directory 建立安全身分識別和存取控制的控制項,包括使用單一登入、強式驗證、受控識別 (和服務主體,) 應用程式、條件式存取和帳戶異常監視。
IM-1:使用集中式身分識別和驗證系統
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2、AC-3、IA-2、IA-8 | 7.2, 8.3 |
安全性準則:使用集中式身分識別和驗證系統來管理貴組織的雲端和非雲端資源的身分識別和驗證。
Azure 指引:Azure Active Directory (Azure AD) 是 Azure 的身分識別和驗證管理服務。 您應該在 Azure AD 上標準化,以控管貴組織的身分識別和驗證:
- Microsoft 雲端資源,例如 Azure 儲存體、Azure 虛擬機器 (Linux 和 Windows) 、Azure 金鑰保存庫、PaaS 和 SaaS 應用程式。
- 貴組織的資源,例如 Azure 上的應用程式、在公司網路資源上執行的協力廠商應用程式,以及協力廠商 SaaS 應用程式。
- 透過同步至 Azure AD 在 Active Directory 中的企業身分識別,以確保一致且集中受控的身分識別策略。
注意:一旦技術上可行,您應該將內部部署的 Active Directory型應用程式遷移至 Azure AD。 這可能是 Azure AD Enterprise Directory、商務對企業組態,或企業對取用者設定。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-2:保護身分識別和驗證系統
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2、AC-3、IA-2、IA-8、SI-4 | 8.2, 8.3 |
安全性準則:保護您的身分識別和驗證系統,作為貴組織雲端安全性實務的高優先順序。 常見的安全性控制包括:
- 限制特殊許可權角色和帳戶
- 需要所有特殊許可權存取的增強式驗證
- 監視和稽核高風險活動
Azure 指引:使用 Azure AD 安全性基準和 Azure AD 身分識別安全分數來評估您的 Azure AD 身分識別安全性狀態,並補救安全性和設定差距。 Azure AD 身分識別安全分數會針對下列設定評估 Azure AD:-使用有限的系統管理角色
- 開啟使用者風險原則
- 指定一個以上的全域管理員
- 啟用原則來封鎖舊版驗證
- 確定所有使用者都可以完成多重要素驗證,以安全存取
- 需要管理角色的 MFA
- 啟用自助式密碼重設
- 不要過期密碼
- 開啟登入風險原則
- 不允許使用者授與 Unmanaged 應用程式的同意
注意:遵循所有其他身分識別元件的已發佈最佳做法,包括內部部署的 Active Directory和任何協力廠商功能,以及 (基礎結構,例如作業系統、網路、資料庫) 裝載它們。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-3:安全地且自動管理應用程式身分識別
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | AC-2、AC-3、IA-4、IA-5、IA-9 | N/A |
安全性準則:使用受控應用程式身分識別,而不是為應用程式建立人為帳戶,以存取資源和執行程式碼。 受控應用程式識別提供優點,例如減少認證曝光。 自動輪替認證,以確保身分識別的安全性。
Azure 指引:使用 Azure 受控識別,可向支援 Azure AD 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平臺管理、輪替及保護,避免原始程式碼或組態檔中的硬式編碼認證。
對於不支援受控識別的服務,請使用 Azure AD 建立具有資源層級限制許可權的服務主體。 建議使用憑證認證來設定服務主體,並回復至用戶端密碼以進行驗證。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-4:驗證服務器和服務
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | IA-9 | N/A |
安全性準則:從用戶端驗證遠端伺服器和服務,以確保您連線到受信任的伺服器和服務。 最常見的伺服器驗證通訊協定是傳輸層安全性 (TLS) ,其中用戶端 (通常是瀏覽器或用戶端裝置,) 驗證服務器的憑證是由受信任的憑證授權單位單位所簽發。
注意:當伺服器和用戶端同時驗證彼此時,可以使用相互驗證。
Azure 指引:許多 Azure 服務預設都支援 TLS 驗證。 對於支援使用者啟用/停用 TLS 參數的服務,請確定一律啟用支援伺服器/服務驗證。 用戶端應用程式也應該設計為驗證服務器/服務身分識別 (,方法是驗證交握階段中信任憑證授權單位單位所簽發的伺服器憑證) 。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-5:使用單一登入 (SSO) 進行應用程式存取
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 12.5 | IA-4、IA-2、IA-8 | N/A |
安全性準則:使用單一登入 (SSO) ,簡化驗證資源的使用者體驗,包括跨雲端服務和內部部署環境的應用程式和資料。
Azure 指引:透過 Azure AD 單一登入 (SSO) 使用 Azure AD 進行工作負載應用程式存取,而不需要多個帳戶。 Azure AD 提供 Azure 資源的身分識別和存取管理, (管理平面,包括 CLI、PowerShell、入口網站) 、雲端應用程式和內部部署應用程式。
Azure AD 支援企業身分識別的 SSO,例如公司使用者身分識別,以及來自受信任協力廠商和公用使用者的外部使用者身分識別。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-6:使用增強式驗證控制項
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2、AC-3、IA-2、IA-5、IA-8 | 7.2, 8.2, 8.3, 8.4 |
安全性準則:使用集中式身分識別和驗證管理系統強制執行強式驗證控制, (強式密碼驗證或多重要素驗證) ,以取得所有資源的存取權。 以密碼認證為基礎的驗證會被視為舊版,因為它不安全,而且無法支援熱門的攻擊方法。
部署增強式驗證時,請先設定系統管理員和特殊許可權使用者,以確保最高層級的增強式驗證方法,接著快速向所有使用者推出適當的強式驗證原則。
注意:如果繼承應用程式和案例需要舊版密碼型驗證,請遵循密碼安全性最佳做法,例如複雜度需求。
Azure 指引:Azure AD 透過無密碼方法和多重要素驗證支援增強式驗證控制, (MFA) 。
- 無密碼驗證:使用無密碼驗證作為預設驗證方法。 無密碼驗證提供三個選項:Windows Hello 企業版、Microsoft Authenticator 應用程式電話登入和 FIDO 2Keys。 此外,客戶可以使用內部部署驗證方法,例如智慧卡。
- 多重要素驗證:您可以針對所有使用者強制執行 Azure MFA、選取使用者,或根據登入條件和風險因素在每個使用者層級強制執行。 啟用 Azure MFA,並遵循適用于雲端的 Azure Defender 身分識別和 MFA 設定的存取管理建議。
如果舊版密碼型驗證仍用於 Azure AD 驗證,請注意,僅限雲端帳戶 (直接在 Azure 中建立的使用者帳戶,) 具有預設的基準密碼原則。 而混合式帳戶 (來自內部部署的 Active Directory) 的使用者帳戶遵循內部部署密碼原則。
對於可能有預設識別碼和密碼的協力廠商應用程式和服務,您應該在初始服務設定期間停用或變更它們。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-7:根據條件限制資源存取
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2、AC-3、AC-6 | 7.2 |
安全性準則:明確驗證信任的訊號,以允許或拒絕使用者存取資源,做為零信任存取模型的一部分。 要驗證的訊號應包括使用者帳戶的增強式驗證、使用者帳戶的行為分析、裝置信任度、使用者或群組成員資格、位置等等。
Azure 指引:根據使用者定義的條件,使用 Azure AD 條件式存取取得更細微的存取控制,例如要求特定 IP 範圍的使用者登入 (或裝置) 使用 MFA。 Azure AD 條件式存取可讓您根據特定條件,對貴組織的應用程式強制執行存取控制。
在工作負載中定義 Azure AD 條件式存取適用的條件和準則。 請考慮下列常見的使用案例:
- 針對具有系統管理角色的使用者,要求執行多重要素驗證
- Azure 管理工作需要多重要素驗證
- 封鎖嘗試使用舊版驗證通訊協定的使用者登入
- 需要適用於 Azure AD Multi-Factor Authentication 註冊的信任位置
- 封鎖或授與特定位置的存取權
- 封鎖有風險的登入行為
- 需要由組織管理的裝置來使用特定應用程式
注意:細微的驗證會話管理也可以用來透過 Azure AD 條件式存取原則,以取得登入頻率和持續性瀏覽器會話等控制項。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-8:限制認證和秘密的公開
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
安全性準則:確保應用程式開發人員安全地處理認證和秘密:
- 避免將認證和秘密內嵌至程式碼和組態檔
- 使用金鑰保存庫或安全的金鑰存放區服務來儲存認證和秘密
- 掃描原始程式碼中的認證。
注意:這通常是透過安全軟體發展生命週期來管理並強制執行, (SDLC) 和 DevOps 安全性程式。
Azure 指引:確定秘密和認證會儲存在安全的位置,例如 Azure 金鑰保存庫,而不是將它們內嵌到程式碼和組態檔中。
- 實作 Azure DevOps 認證掃描器,以識別程式碼內的認證。
- 針對 GitHub,請使用原生密碼掃描功能來識別程式碼中的認證或其他形式的秘密。
Azure Functions、Azure Apps 服務和 VM 等用戶端可以使用受控識別安全地存取 Azure 金鑰保存庫。 請參閱與使用 Azure 金鑰保存庫進行秘密管理相關的資料保護控制項。
實作和其他內容:
- 如何設定認證掃描器
- GitHub 祕密掃描 (英文)
客戶安全性專案關係人 (深入瞭解) :
IM-9:保護使用者對現有應用程式的存取
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2、AC-3、SC-11 | N/A |
安全性準則:在混合式環境中,使用舊版驗證擁有內部部署應用程式或非原生雲端應用程式,請考慮雲端存取安全性代理程式 (CASB) 、應用程式 Proxy、單一登入 (SSO) ,以控管這些應用程式的存取,以取得下列優點:
- 強制執行集中式增強式驗證
- 監視和控制有風險的使用者活動
- 監視和補救有風險的繼承應用程式活動
- 偵測並防止敏感性資料傳輸
Azure 指引:使用舊版驗證保護您的內部部署和非原生雲端應用程式,方法是將其連線至:
- Azure AD 應用程式 Proxy搭配標頭式驗證,將舊版內部部署應用程式發佈至具有單一登入 (SSO) 的遠端使用者,同時使用 Azure AD 條件式存取明確驗證遠端使用者和裝置的可信任性。 如有需要,請使用協力廠商Software-Defined周邊 (SDP) 解決方案,以提供類似的功能。
- 您現有的協力廠商應用程式傳遞控制器和網路
- Microsoft Defender for Cloud Apps,使用它作為雲端存取安全性代理程式 (CASB) 服務,為舊版內部部署應用程式和雲端軟體 (提供監視應用程式會話的控制項,以及封鎖舊版內部部署應用程式和雲端軟體即服務 (SaaS) 應用程式的控制項) 。
注意:VPN 通常用來存取繼承應用程式,它們通常只有基本存取控制和有限的會話監視。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :