安全性控制 v3:特殊許可權存取
Privileged Access 涵蓋保護 Azure 租使用者和資源特殊許可權存取的控制項,包括一系列控制項,可保護您的系統管理模型、系統管理帳戶,以及特殊許可權存取工作站,以防止刻意且不小心的風險。
PA-1:個別和限制高度特殊許可權/系統管理使用者
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2、AC-6 | 7.1, 7.2, 8.1 |
安全性準則: 請確定您識別所有高業務影響帳戶。 限制雲端控制平面、管理平面和資料/工作負載平面中特殊許可權/系統管理帳戶的數目。
Azure 指引:Azure Active Directory (Azure AD) 是 Azure 的預設身分識別和存取管理服務。 Azure AD 中最重要的內建角色是全域管理員和特殊許可權角色管理員,因為指派給這兩個角色的使用者可以委派系統管理員角色。 透過這些許可權,使用者可以直接或間接讀取和修改 Azure 環境中的每個資源:
- 全域管理員/公司管理員:具有此角色的使用者可以存取 Azure AD 中的所有系統管理功能,以及使用 Azure AD 身分識別的服務。
- 特殊許可權角色管理員:具有此角色的使用者可以在 Azure AD 中管理角色指派,以及在 Azure AD 中Privileged Identity Management (PIM) 。 此外,此角色允許管理 PIM 和系統管理單位的所有層面。
Azure 在 Azure AD 之外,Azure 具有內建角色,對於資源層級的特殊許可權存取而言非常重要。
- 擁有者:授與管理所有資源的完整存取權,包括指派 Azure RBAC 中角色的能力。
- 參與者:授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色、管理 Azure 藍圖中的指派,或共用映射庫。
- 用户访问管理员:可管理用户对 Azure 资源的访问权限。 注意:如果您在 Azure AD 層級或資源層級中使用具有特定特殊許可權指派許可權的自訂角色,您可能必須控管其他重要角色。
請確定您也限制其他管理、身分識別和安全性系統中具有業務關鍵資產之系統管理存取權的特殊許可權帳戶,例如Active Directory 網網域控制站 (DC) 、安全性工具和系統管理工具,以及安裝在業務關鍵系統上的代理程式。 入侵這些管理和安全性系統的攻擊者可以立即將其破壞,以危害業務關鍵資產。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-2:避免對使用者帳戶和許可權進行常設存取
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
安全性準則: 不要建立常設許可權,而是使用 Just-In-Time (JIT) 機制,將特殊許可權存取權指派給不同的資源層。
Azure 指引:使用 Azure AD (Privileged Identity Management (PIM) ,啟用 JIT) 特殊許可權存取 Azure 資源和 Azure AD。 JIT 是一種模型,使用者會收到暫時許可權來執行特殊許可權工作,以防止惡意或未經授權的使用者在許可權過期之後取得存取權。 只有當使用者需要時才會獲得存取權。 當您的 Azure AD 組織中有可疑或不安全的活動時,PIM 也會產生安全性警示。
使用 VM 存取功能的 just-In-Time (JIT) ,限制對敏感性虛擬機器的輸入流量 (VM) 管理 適用於雲端的 Microsoft Defender埠。 這可確保只有在使用者需要 VM 時,才會授與 VM 的特殊許可權存取權。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-3:管理身分識別和權利生命週期
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5、AC-6 | 7.1, 7.2, 8.1 |
安全性準則: 使用自動化程式或技術控制來管理身分識別和存取生命週期,包括要求、檢閱、核准、布建和取消布建。
Azure 指引: 使用 Azure AD 權利管理功能,將 Azure 資源群組的存取 (自動化) 要求工作流程。 這可讓 Azure 資源群組的工作流程管理存取指派、檢閱、到期和雙重或多重階段核准。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-4:定期檢閱及協調使用者存取權
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2、AC-6 | 7.1、7.2、8.1、A3.4 |
安全性準則: 定期檢閱特殊許可權帳戶權利。 確定授與帳戶的存取權適用于控制平面、管理平面和工作負載的管理。
Azure 指引: 檢閱 Azure 中的所有特殊許可權帳戶和存取權利,包括 Azure 租使用者、Azure 服務、VM/IaaS、CI/CD 程式,以及企業管理和安全性工具。
使用 Azure AD 存取權檢閱來檢閱 Azure AD 角色和 Azure 資源存取角色、群組成員資格、企業應用程式的存取權。 Azure AD 報告也可以提供記錄,以協助探索過時的帳戶、未用於特定時間的帳戶。
此外,Azure AD Privileged Identity Management可以設定為在針對特定角色建立過多的系統管理員帳戶時發出警示,並識別過時或未正確設定的系統管理員帳戶。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-5:設定緊急存取
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
安全性準則: 設定緊急存取,以確保您不會意外鎖定重要雲端基礎結構 (,例如身分識別和存取管理系統) 緊急狀況。
如果遭到入侵,緊急存取帳戶應該很少使用,而且如果遭到入侵,對組織而言可能會高度損害,但其可用性對組織而言也很重要,在需要時,這些案例也很重要。
Azure 指引: 若要防止意外鎖定 Azure AD 組織,請設定緊急存取帳戶 (例如,當無法使用一般系統管理帳戶時,具有全域管理員角色的帳戶) 進行存取。 緊急存取帳戶通常具有高權限,不應將其指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「中斷」案例。
您應該確保緊急存取帳戶的認證 (例如密碼、憑證或智慧卡) 受到保護,而且只有在緊急情況下有權使用這些認證的個人才會知道。 您也可以使用其他控制項,例如將認證分割成兩個部分,並讓其分隔人員) ,以增強此程式的安全性, 這類雙重控制項 (。 您也應該監視登入和稽核記錄,以確保緊急存取帳戶只能在授權下使用。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-6:使用特殊權限存取工作站
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2、SC-2、SC-7 | N/A |
安全性準則: 安全、隔離的工作站對於系統管理員、開發人員和重要服務操作員等敏感性角色的安全性而言非常重要。
Azure 指引:使用 Azure Active Directory、Microsoft Defender 和/或Microsoft Intune,在內部部署或 Azure 中部署特殊許可權工作, (PAW) 部署特殊許可權存取工作站。 PAW 應集中管理以強制執行安全設定,包括增強式驗證、軟體和硬體基準,以及限制的邏輯和網路存取。
您也可以使用 Azure Bastion,這是可在虛擬網路內布建的完整平臺受控 PaaS 服務。 Azure Bastion 允許使用瀏覽器直接從Azure 入口網站連線到虛擬機器的 RDP/SSH 連線。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
PA-7:遵循足夠的系統管理 (最低許可權) 原則
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2、AC-3、AC-6 | 7.1, 7.2 |
安全性準則: 遵循足夠的管理 (最低許可權) 原則,以更精細地管理許可權。 使用角色型存取控制 (RBAC) 等功能,透過角色指派來管理資源存取。
Azure 指引: 使用 Azure 角色型存取控制 (Azure RBAC) 透過角色指派來管理 Azure 資源存取。 透過 RBAC,您可以將角色指派給使用者、群組服務主體和受控識別。 某些資源有預先定義的內建角色,這些角色可以透過 Azure CLI、Azure PowerShell和Azure 入口網站等工具來清查或查詢。
您透過 Azure RBAC 指派給資源的許可權應一律受限於角色所需的許可權。 有限的許可權可補充 Azure AD Privileged Identity Management (PIM) 的 Just-In-Time (JIT) 方法,而且應該定期檢閱這些許可權。 如有需要,您也可以使用 PIM 在角色指派中定義時間長度 (時間範圍指派) 條件,讓使用者只能在開始和結束日期內啟用或使用角色。
注意:使用 Azure 內建角色來配置許可權,並只在需要時建立自訂角色。
實作和其他內容:
- 什麼是 Azure 角色型存取控制 (Azure RBAC)
- 如何在 Azure 中設定 RBAC
- 如何使用 Azure AD 身分識別和存取權檢閱
- Azure AD Privileged Identity Management - 時間系結指派
客戶安全性專案關係人 (深入瞭解) :
PA-8 決定雲端提供者支援的存取程式
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4、AC-2、AC-3 | N/A |
安全性準則: 建立核准程式和存取路徑,以透過安全通道要求和核准廠商支援要求和暫時存取您的資料。
Azure 指引: 在 Microsoft 需要存取您的資料的支援案例中,使用客戶加密箱來檢閱和核准或拒絕每個 Microsoft 的資料存取要求。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :