Säkerhetskontroll: Identitet och Access Control
Anteckning
Det senaste Azure Security Benchmark finns här.
Rekommendationer för identitets- och åtkomsthantering fokuserar på att åtgärda problem som rör identitetsbaserad åtkomstkontroll, låsning av administrativ åtkomst, aviseringar om identitetsrelaterade händelser, onormalt kontobeteende och rollbaserad åtkomstkontroll.
3.1: Bevara en förteckning över administrativa konton
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.1 | 4.1 | Kund |
Azure AD har inbyggda roller som måste tilldelas uttryckligen och är frågebara. Använd Azure AD PowerShell-modulen för att utföra ad hoc-frågor för att identifiera konton som är medlemmar i administrativa grupper.
3.2: Ändra standardlösenord där det är tillämpligt
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.2 | 4.2 | Kund |
Azure AD har inte begreppet standardlösenord. Andra Azure-resurser som kräver ett lösenord tvingar fram att ett lösenord skapas med komplexitetskrav och en minsta längd på lösenord, som skiljer sig beroende på tjänsten. Du ansvarar för program från tredje part och Marketplace-tjänster som kan använda standardlösenord.
3.3: Använd dedikerade administrativa konton
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.3 | 4.3 | Kund |
Skapa standardprocedurer för användning av dedikerade administrativa konton. Använd rekommendationerna i Azure Security Center säkerhetskontrollen "Hantera åtkomst och behörigheter" för att övervaka antalet administrativa konton.
Du kan också aktivera just-in-time/just-enough-access med hjälp av Azure AD Privileged Identity Management privilegierade roller för Microsoft-tjänster och Azure Resource Manager.
3.4: Använd enkel inloggning (SSO) med Azure Active Directory
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.4 | 4.4 | Kund |
När det är möjligt använder du enkel inloggning med Azure Active Directory i stället för att konfigurera enskilda fristående autentiseringsuppgifter per tjänst. Använd rekommendationerna i Azure Security Center säkerhetskontrollen "Hantera åtkomst och behörigheter".
3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | Kund |
Aktivera Azure AD MFA och följ Azure Security Center rekommendationer för identitets- och åtkomsthantering.
3.6: Använd dedikerade datorer (arbetsstationer för privilegierad åtkomst) för alla administrativa uppgifter
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3,6 | 4.6, 11.6, 12.12 | Kund |
Använd PAW-datorer (arbetsstationer med privilegierad åtkomst) med MFA konfigurerat för att logga in på och konfigurera Azure-resurser.
3.7: Logga och varna om misstänkta aktiviteter från administrativa konton
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.7 | 4.8, 4.9 | Kund |
Använd Azure Active Directory-säkerhetsrapporter för generering av loggar och aviseringar när misstänkt eller osäker aktivitet inträffar i miljön. Använd Azure Security Center för att övervaka identitets- och åtkomstaktivitet.
3.8: Hantera Azure-resurser från endast godkända platser
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3,8 | 11,7 | Kund |
Använd namngivna platser med villkorsstyrd åtkomst för att endast tillåta åtkomst från specifika logiska grupperingar av IP-adressintervall eller länder/regioner.
3.9: Använda Azure Active Directory
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Kund |
Använd Azure Active Directory som centralt autentiserings- och auktoriseringssystem. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även saltar, hashar och lagrar användarautentiseringsuppgifter på ett säkert sätt.
3.10: Granska och stämma av användaråtkomst regelbundet
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.10 | 16.9, 16.10 | Kund |
Azure AD innehåller loggar som hjälper dig att identifiera inaktuella konton. Dessutom kan du använda Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att endast rätt användare har fortsatt åtkomst.
3.11: Övervakaren försöker komma åt inaktiverade autentiseringsuppgifter
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.11 | 16.12 | Kund |
Du har åtkomst till Azure AD loggkällor för inloggningsaktivitet, granskning och riskhändelse, vilket gör att du kan integrera med valfritt SIEM-/övervakningsverktyg.
Du kan effektivisera den här processen genom att skapa diagnostikinställningar för Azure Active Directory-användarkonton och skicka granskningsloggar och inloggningsloggar till en Log Analytics-arbetsyta. Du kan konfigurera önskade aviseringar i Log Analytics-arbetsytan.
3.12: Avisering om kontoinloggningsbeteendeavvikelse
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.12 | 16.13 | Kund |
Använd funktionerna Azure AD Risk och Identity Protection för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till användaridentiteter. Du kan också mata in data i Azure Sentinel för vidare undersökning.
3.13: Ge Microsoft åtkomst till relevanta kunddata under supportscenarier
| Azure-ID | CIS-ID:n | Ansvar |
|---|---|---|
| 3.13 | 16 | Kund |
I supportscenarier där Microsoft behöver åtkomst till kunddata tillhandahåller Customer Lockbox ett gränssnitt där du kan granska och godkänna eller avvisa begäranden om åtkomst till kunddata.
Nästa steg
- Se nästa säkerhetskontroll: Dataskydd