Kontrola zabezpieczeń: tożsamość i Access Control

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Zalecenia dotyczące zarządzania tożsamościami i dostępem koncentrują się na rozwiązywaniu problemów związanych z kontrolą dostępu opartą na tożsamościach, blokowania dostępu administracyjnego, zgłaszania alertów dotyczących zdarzeń związanych z tożsamościami, nietypowego zachowania konta i kontroli dostępu opartej na rolach.

3.1. Utrzymywanie spisu kont administracyjnych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3,1	4.1	Klient

Azure AD ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont należących do grup administracyjnych.

• Jak uzyskać rolę katalogu w Azure AD za pomocą programu PowerShell

• Jak uzyskać członków roli katalogu w Azure AD za pomocą programu PowerShell

3.2. Zmiana domyślnych haseł, jeśli ma to zastosowanie

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3,2	4.2	Klient

Azure AD nie ma pojęcia haseł domyślnych. Inne zasoby platformy Azure wymagające hasła wymusza utworzenie hasła z wymaganiami dotyczącymi złożoności i minimalną długością hasła, która różni się w zależności od usługi. Odpowiadasz za aplikacje innych firm i usługi platformy handlowej, które mogą używać domyślnych haseł.

3.3. Korzystanie z dedykowanych kont administracyjnych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.3	4.3	Klient

Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych. Użyj zaleceń w kontroli zabezpieczeń "Zarządzanie dostępem i uprawnieniami" w Azure Security Center, aby monitorować liczbę kont administracyjnych.

Możesz również włączyć dostęp just-in-time /Just-Enough-Access przy użyciu Azure AD Privileged Identity Management ról uprzywilejowanych dla usług firmy Microsoft i platformy Azure Resource Manager.

• Dowiedz się więcej o Privileged Identity Management

3.4. Korzystanie z logowania jednokrotnego w usłudze Azure Active Directory

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.4	4.4	Klient

Jeśli to możliwe, użyj logowania jednokrotnego usługi Azure Active Directory zamiast konfigurowania pojedynczych poświadczeń autonomicznych na usługę. Skorzystaj z zaleceń w Azure Security Center "Zarządzanie dostępem i uprawnieniami" kontroli zabezpieczeń.

• Omówienie logowania jednokrotnego przy użyciu Azure AD

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3,5	4.5, 11.5, 12.11, 16.3	Klient

Włącz Azure AD uwierzytelnianie wieloskładnikowe i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem Azure Security Center.

• Jak włączyć usługę MFA na platformie Azure

• Jak monitorować tożsamość i dostęp w Azure Security Center

3.6: Używanie dedykowanych maszyn (uprzywilejowanych stacji roboczych dostępu) dla wszystkich zadań administracyjnych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3,6	4.6, 11.6, 12.12	Klient

Użyj stacji roboczych z dostępem uprzywilejowanym (uprzywilejowanym dostępem) z usługą MFA skonfigurowaną do logowania się i konfigurowania zasobów platformy Azure.

• Dowiedz się więcej o stacjach roboczych uprzywilejowanego dostępu

• Jak włączyć usługę MFA na platformie Azure

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.7	4.8, 4.9	Klient

Raporty zabezpieczeń usługi Azure Active Directory umożliwiają generowanie dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku. Użyj Azure Security Center do monitorowania aktywności tożsamości i dostępu.

• Identyfikowanie użytkowników usługi Azure AD oflagowanych na skutek ryzykownego działania

• Jak monitorować działania użytkowników związane z tożsamościami i dostępem w usłudze Azure Security Center

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3,8	11,7	Klient

Użyj dostępu warunkowego nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

• Jak skonfigurować nazwane lokalizacje na platformie Azure

3.9: Korzystanie z usługi Azure Active Directory

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.9	16.1, 16.2, 16.4, 16.5, 16.6	Klient

Użyj usługi Azure Active Directory jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

• Jak utworzyć i skonfigurować wystąpienie usługi Azure AD

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.10	16.9, 16.10	Klient

Azure AD zawiera dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można przeglądać regularnie, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

• Omówienie raportowania Azure AD

• Jak używać przeglądów dostępu do tożsamości platformy Azure

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.11	16.12	Klient

Masz dostęp do Azure AD źródeł dzienników zdarzeń logowania, inspekcji i ryzyka, które umożliwiają integrację z dowolnym narzędziem SIEM/Monitoring.

Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników usługi Azure Active Directory i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. Żądane alerty można skonfigurować w obszarze roboczym usługi Log Analytics.

• Jak zintegrować dzienniki aktywności platformy Azure z usługą Azure Monitor

3.12: Alert dotyczący odchylenia zachowania logowania konta

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.12	16.13	Klient

Użyj funkcji Azure AD Risk and Identity Protection, aby skonfigurować automatyczne odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskać dane do usługi Azure Sentinel w celu dalszego badania.

• Jak wyświetlić ryzykowne logowania w usłudze Azure AD

• Jak skonfigurować i włączyć zasady ryzyka usługi Identity Protection

• Jak dołączyć usługę Azure Sentinel

3.13: Zapewnianie firmie Microsoft dostępu do odpowiednich danych klientów podczas scenariuszy pomocy technicznej

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
3.13	16	Klient

W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, blokada klienta udostępnia interfejs umożliwiający przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych klienta.

• Informacje o blokadzie klienta

Następne kroki

• Zobacz następną kontrolę zabezpieczeń: ochrona danych