Řízení zabezpečení: Identita a Access Control
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Doporučení pro správu identit a přístupu se zaměřují na řešení problémů souvisejících s řízením přístupu na základě identit, uzamčením přístupu pro správu, upozorňováním na události související s identitou, neobvyklým chováním účtu a řízením přístupu na základě role.
3.1: Udržování inventáře účtů pro správu
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.1 | 4.1 | Zákazník |
Azure AD má předdefinované role, které je potřeba explicitně přiřadit a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.
3.2: Změna výchozích hesel tam, kde je to možné
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.2 | 4.2 | Zákazník |
Azure AD nemá koncept výchozích hesel. Jiné prostředky Azure, které vyžadují heslo, vynutí vytvoření hesla s požadavky na složitost a minimální délkou hesla, která se liší v závislosti na službě. Zodpovídáte za aplikace třetích stran a služby marketplace, které můžou používat výchozí hesla.
3.3: Použití vyhrazených účtů pro správu
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.3 | 4.3 | Zákazník |
Vytvořte standardní provozní postupy pro použití vyhrazených účtů pro správu. Pomocí doporučení v ovládacím prvku zabezpečení Spravovat přístup a oprávnění Azure Security Center můžete monitorovat počet účtů pro správu.
Můžete také povolit přístup za běhu nebo dostatečný přístup pomocí Azure AD Privileged Identity Management privilegovaných rolí pro služby Microsoftu a Azure Resource Manager.
3.4: Použití jednotného přihlašování (SSO) s Azure Active Directory
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.4 | 4.4 | Zákazník |
Pokud je to možné, použijte místo konfigurace jednotlivých samostatných přihlašovacích údajů pro jednotlivé služby jednotné přihlašování Azure Active Directory. Použijte doporučení v ovládacím prvku zabezpečení "Spravovat přístup a oprávnění" Azure Security Center.
3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3,5 | 4.5, 11.5, 12.11, 16.3 | Zákazník |
Povolte vícefaktorové ověřování Azure AD a postupujte podle doporučení Azure Security Center Identity and Access Management.
3.6: Použití vyhrazených počítačů (pracovních stanic s privilegovaným přístupem) pro všechny úlohy správy
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3,6 | 4.6, 11.6, 12.12 | Zákazník |
Používejte pracovní stanice s privilegovaným přístupem s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure.
3.7: Protokolování a upozorňování na podezřelé aktivity z účtů pro správu
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.7 | 4.8, 4.9 | Zákazník |
Sestavy zabezpečení Azure Active Directory můžete použít pro generování protokolů a výstrah v případě, že v prostředí dojde k podezřelé nebo nebezpečné aktivitě. Pomocí Azure Security Center můžete monitorovat identitu a aktivitu přístupu.
Identifikace uživatelů Azure AD označených příznakem rizikové aktivity
Monitorování identit a aktivit přístupu uživatelů ve službě Azure Security Center
3.8: Správa prostředků Azure pouze ze schválených umístění
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.8 | 11.7 | Zákazník |
Pomocí pojmenovaných umístění podmíněného přístupu povolte přístup pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.
3.9: Použití Azure Active Directory
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Zákazník |
Jako systém centrálního ověřování a autorizace použijte Azure Active Directory. Azure AD chrání data pomocí silného šifrování neaktivních uložených a přenášených dat. Azure AD také solí, hash a bezpečně ukládá přihlašovací údaje uživatele.
3.10: Pravidelná kontrola a odsouhlasení přístupu uživatelů
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.10 | 16.9, 16.10 | Zákazník |
Azure AD poskytuje protokoly, které pomáhají zjišťovat zastaralé účty. Kromě toho můžete pomocí služby Azure Identity Access Reviews efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že přístup mají jen správná uživatelé.
3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.11 | 16.12 | Zákazník |
Máte přístup k Azure AD zdrojů protokolů událostí přihlašování, auditu a rizik, které umožňují integraci s libovolným nástrojem SIEM/monitorováním.
Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro uživatelské účty Azure Active Directory a odesláním protokolů auditu a přihlášení do pracovního prostoru služby Log Analytics. V pracovním prostoru služby Log Analytics můžete nakonfigurovat požadovaná upozornění.
3.12: Upozornění na odchylku chování přihlášení k účtu
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.12 | 16.13 | Zákazník |
Pomocí funkcí Azure AD Risk a Identity Protection můžete nakonfigurovat automatizované odpovědi na zjištěné podezřelé akce související s identitami uživatelů. Můžete také ingestovat data do služby Azure Sentinel k dalšímu šetření.
3.13: Poskytnutí přístupu k relevantním zákaznickým datům microsoftu během scénářů podpory
| Azure ID | CIS ID | Odpovědnost |
|---|---|---|
| 3.13 | 16 | Zákazník |
Ve scénářích podpory, kdy Microsoft potřebuje přístup k zákaznickým datům, poskytuje Customer Lockbox rozhraní, které vám umožní kontrolovat a schvalovat nebo zamítat žádosti o přístup k datům zákazníků.
Další kroky
- Podívejte se na další ovládací prvek zabezpečení: Ochrana dat