Condividi tramite

Controllo sicurezza: identità e Controllo di accesso

  • Articolo

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

Le raccomandazioni sulla gestione delle identità e degli accessi si concentrano su problemi correlati al controllo degli accessi in base all'identità, bloccando l'accesso amministrativo, avvisando gli eventi correlati all'identità, il comportamento anomalo dell'account e il controllo degli accessi in base al ruolo.

3.1: gestire un inventario degli account amministrativi

ID di Azure ID CIS Responsabilità
3.1 4.1 Customer

Azure AD ha ruoli predefiniti che devono essere assegnati in modo esplicito e sono queryabili. Usare il modulo Di Azure AD PowerShell per eseguire query ad hoc per individuare gli account membri dei gruppi amministrativi.

3.2: modificare le password predefinite, ove applicabile

ID di Azure ID CIS Responsabilità
3.2 4.2 Customer

Azure AD non ha il concetto di password predefinite. Altre risorse di Azure che richiedono una password forzano la creazione di una password con requisiti di complessità e una lunghezza minima della password, che varia a seconda del servizio. Si è responsabili di applicazioni e servizi marketplace di terze parti che possono usare password predefinite.

3.3: usare account amministrativi dedicati

ID di Azure ID CIS Responsabilità
3.3 4.3 Customer

Creare procedure operative standard sull'uso degli account amministrativi dedicati. Usare i consigli nel controllo di sicurezza "Gestire l'accesso e le autorizzazioni" di Centro sicurezza di Azure per monitorare il numero di account amministrativi.

È anche possibile abilitare un accesso JUST-In-Time/Just-Enough usando Azure AD Privileged Identity Management ruoli con privilegi per i servizi Microsoft e Azure Resource Manager.

3.4: usare Single Sign-On (SSO) con Azure Active Directory

ID di Azure ID CIS Responsabilità
3.4 4.4 Customer

Se possibile, usare l'accesso SSO di Azure Active Directory anziché configurare le singole credenziali autonome per servizio. Usare le raccomandazioni nel controllo di sicurezza "Gestire l'accesso e le autorizzazioni" di Centro sicurezza di Azure.

3.5: usare l'autenticazione a più fattori per tutti gli accessi basati su Azure Active Directory

ID di Azure ID CIS Responsabilità
3,5 4.5, 11.5, 12.11, 16.3 Customer

Abilitare Azure AD MFA e seguire Centro sicurezza di Azure raccomandazioni sulla gestione delle identità e degli accessi.

3.6: usare computer dedicati (workstation con accesso con privilegi) per tutte le attività amministrative

ID di Azure ID CIS Responsabilità
3,6 4.6, 11.6, 12.12 Customer

Usare paWs (workstation di accesso con privilegi) con MFA configurata per accedere e configurare le risorse di Azure.

3.7: Registrare e avvisare le attività sospette dagli account amministrativi

ID di Azure ID CIS Responsabilità
3,7 4.8, 4.9 Customer

Usare i report di sicurezza di Azure Active Directory per la generazione di log e avvisi quando si verifica un'attività sospetta o non sicura nell'ambiente. Usare il Centro sicurezza di Azure per monitorare l'identità e le attività di accesso.

3.8: gestire le risorse di Azure solo dalle posizioni approvate

ID di Azure ID CIS Responsabilità
3.8 11.7 Customer

Usare percorsi denominati di accesso condizionale per consentire l'accesso solo da gruppi logici specifici di intervalli di indirizzi IP o paesi/aree geografiche.

3.9: Usare Azure Active Directory

ID di Azure ID CIS Responsabilità
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Customer

Usare Azure Active Directory come sistema di autenticazione e autorizzazione centrale. Azure AD protegge i dati usando la crittografia avanzata per i dati inattivi e in transito. Azure AD effettua anche il salting, aggiunge hash e archivia in modo sicuro le credenziali utente.

3.10: controllare e riconciliare regolarmente l'accesso utente

ID di Azure ID CIS Responsabilità
3.10 16.9, 16.10 Customer

Azure AD fornisce log che consentono di individuare gli account non aggiornati. Usare anche le verifiche di accesso alle identità di Azure per gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo. È possibile verificare regolarmente l'accesso degli utenti per assicurarsi che solo le persone appropriate dispongano di accesso continuo.

3.11: Monitorare i tentativi di accesso alle credenziali disattivate

ID di Azure ID CIS Responsabilità
3.11 16.12 Customer

È possibile accedere alle origini del registro eventi di accesso, controllo e rischio di Azure AD, che consentono di eseguire l'integrazione con qualsiasi strumento SIEM/Monitoring.

È possibile semplificare questo processo creando impostazioni di diagnostica per gli account utente di Azure Active Directory e inviando i log di controllo e di accesso a un'area di lavoro di Log Analytics. È possibile configurare gli avvisi desiderati nell'area di lavoro di Log Analytics.

3.12: avvisare in caso di deviazione dal comportamento di accesso dell'account

ID di Azure ID CIS Responsabilità
3.12 16.13 Customer

Usare le funzionalità di Azure AD Risk e Identity Protection per configurare risposte automatiche alle azioni sospette rilevate correlate alle identità utente. È anche possibile inserire i dati in Azure Sentinel per un'analisi più approfondita.

3.13: fornire a Microsoft l'accesso ai dati dei clienti pertinenti durante gli scenari di supporto

ID di Azure ID CIS Responsabilità
3.13 16 Customer

Negli scenari di supporto in cui Microsoft deve accedere ai dati dei clienti, Customer Lockbox offre un'interfaccia che consente di esaminare e approvare o rifiutare le richieste di accesso ai dati dei clienti.

Passaggi successivi