Создание базового плана Системы управления идентификацией и доступом

  • 5 мин

Система управления идентификацией и доступом (IAM) является ключом к предоставлению доступа и повышению безопасности корпоративных ресурсов. Для защиты облачных ресурсов и управления ими необходимо управлять идентификацией и доступом для администраторов Azure, разработчиков и пользователей приложений.

Рекомендации по обеспечению безопасности IAM

В следующих разделах описаны рекомендации IAM, которые находятся в cis Microsoft Azure Foundations Security Benchmark версии 3.0.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Внимание

Чтобы выполнить некоторые из этих действий, необходимо быть администратором экземпляра Microsoft Entra.

Ограничение доступа к порталу администрирования Microsoft Entra — уровень 1

Пользователи, не являющиеся администраторами, не должны иметь доступа к порталу администрирования Microsoft Entra, так как данные конфиденциальны и в соответствии с правилами наименьших привилегий.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Параметры пользователя.

  4. В параметрах пользователя в центре администрирования убедитесь, что для центра администрирования Microsoft Entra задано значение "Да". Если задано значение "Да" , все неадминистраторы не могут получать доступ к данным на портале администрирования Microsoft Entra. Этот параметр не ограничивает доступ к использованию PowerShell или другого клиента, например Visual Studio.

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Снимок экрана: портал Azure, на котором показан параметр

Включение многофакторной проверки подлинности для пользователей Microsoft Entra

  • Включение многофакторной проверки подлинности для привилегированных пользователей Microsoft Entra ID — уровень 1
  • Включение многофакторной проверки подлинности для пользователей, не привилегированных пользователей Microsoft Entra — уровень 2

Включите многофакторную проверку подлинности для всех пользователей Microsoft Entra.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В строке меню Все пользователи выберите MFA для каждого пользователя.

    Снимок экрана: параметр многофакторной проверки подлинности в области Microsoft Entra портал Azure.

  4. В окне многофакторной проверки подлинности для каждого пользователя установите флажок для всех пользователей, а затем нажмите кнопку "Включить MFA".

    Снимок экрана: включение многофакторной проверки подлинности для пользователя с помощью ссылки на быстрые шаги.

Не сохраняйте многофакторную проверку подлинности на доверенных устройствах — уровень 2

Функция сохранения данных многофакторной проверки подлинности для устройств и браузеров, которым доверяют пользователи, является бесплатной для всех пользователей многофакторной проверки подлинности. Пользователи могут обходить последовательные проверки в течение определенного количества дней после успешного входа на устройство с использованием многофакторной проверки подлинности.

Если учетная запись или устройство окажутся скомпрометированы, то запоминание состояния многофакторной проверки подлинности для доверенных устройств может негативно повлиять на безопасность. Рекомендуется отключить сохранение многофакторной проверки подлинности для доверенных устройств.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В строке меню Все пользователи выберите MFA для каждого пользователя.

  4. В окне многофакторной проверки подлинности для каждого пользователя выберите пользователя. Нажмите кнопку "Параметры MFA пользователя".

    Снимок экрана: окно пользователей многофакторной проверки подлинности Microsoft Entra и ссылка на управление параметрами пользователя.

  5. Установите флажок "Восстановить многофакторную проверку подлинности" на всех запоминаемых устройствах и нажмите кнопку "Сохранить".

    Снимок экрана: выбран параметр

Убедитесь, что гостевые пользователи регулярно проверяются на уровне 1

Убедитесь, что гостевые пользователи не существуют, или, если они требуются для выполнения бизнес-задач, убедитесь, что гостевые разрешения ограничены.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. Нажмите кнопку Добавить фильтры.

  4. В поле Фильтры выберите Тип пользователя. В поле Значение выберите Гость. Выберите Применить, чтобы убедиться, что гостевые пользователи не существуют.

    Снимок экрана: портал Azure, на котором показана фильтрация идентификатора Microsoft Entra для гостевых пользователей.

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Параметры пароля

  • Уведомление пользователей о сбросе пароля — уровень 1
  • Уведомление всех администраторов, если другие администраторы сбрасывают свои пароли — уровень 2
  • Два метода сброса паролей — уровень 1

При установленной многофакторной проверке подлинности злоумышленнику придется скомпрометировать обе формы проверки подлинности, прежде чем он сможет злонамеренно сбросить пароль пользователя. Убедитесь, что для сброса пароля требуются две формы проверки подлинности удостоверения.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе "Управление" выберите "Сброс пароля".

  3. В меню слева в разделе Управлениевыберите Способы проверки подлинности.

  4. Задайте для параметра Количество способов, необходимых для сброса значение 2.

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Снимок экрана: портал Azure, на котором показана область методов проверки подлинности сброса пароля Microsoft Entra с количеством методов, необходимых для сброса набора 2.

Установка интервала для повторного подтверждения методов проверки подлинности пользователя — уровень 1

Если повторное подтверждение проверки подлинности отключено, зарегистрированным пользователям не будет предлагаться повторно подтверждать свою информацию для проверки подлинности. Более безопасный вариант — включить повторное подтверждение проверки подлинности с заданным интервалом.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе "Управление" выберите "Сброс пароля".

  3. В меню слева в разделе Управление выберите Регистрация.

  4. Убедитесь, что для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности не задано 0. По умолчанию — 180 дней.

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Снимок экрана: портал Azure с формой ввода количества дней между повторными подтверждениями сведений для проверки подлинности.

Параметр приглашения гостевых пользователей — уровень 2

Только администраторы должны иметь возможность приглашать гостевых пользователей. Ограничение приглашений администраторами гарантирует, что только авторизованные учетные записи будут иметь доступ к ресурсам Azure.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Параметры пользователя.

  4. В области Параметры пользователей в разделе Внешние пользователи выберите Управление параметрами внешнего взаимодействия.

  5. В области Параметры внешнего взаимодействия в разделе Параметры приглашения гостевых пользователей выберите Приглашать гостевых пользователей могут лишь пользователи, которым назначены конкретные роли администраторов.

    Снимок экрана: в разделе

  6. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Пользователи могут создавать и администрировать группы безопасности — уровень 2

Если эта функция включена, все пользователи в идентификаторе Microsoft Entra могут создавать новые группы безопасности. Необходимо ограничить создание группы безопасности администраторами.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Группы.

  3. В области Все группы в меню слева в разделе Параметры выберите Общие.

  4. В разделе Группы безопасности убедитесь, что для параметра Пользователи могут создавать группы безопасности с помощью порталов Azure, API или PowerShell установлено значение Нет.

    Снимок экрана: панель общих параметров группы, где для параметра

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Самостоятельное управление группами включено — уровень 2

Если бизнес не требует делегирования самостоятельного управления группами для различных пользователей, рекомендуется отключить эту функцию в качестве меры предосторожности.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Группы.

  3. В области Все группы в меню слева в разделе Параметры выберите Общие.

  4. В разделе Самостоятельное управление группами убедитесь, что для всех параметров установлено значение Нет.

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Снимок экрана: параметры группы самообслуживания Microsoft Entra, для параметра

Параметры приложения — разрешить пользователям регистрировать приложения — уровень 2

Потребуйте от администраторов регистрировать пользовательские приложения.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Entra ID.

  2. В меню слева в разделе Управление выберите Пользователи.

  3. В меню слева выберите Параметры пользователя.

  4. В области Параметры пользователя убедитесь, что для параметра Регистрация приложений задано значение Нет.

  5. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Снимок экрана: пользователи Microsoft Entra с регистрацией приложений, заданными как No.