Säkerhetskontroll V2: Identitetshantering
Anteckning
Det senaste Azure Security Benchmark finns här.
Identitetshantering omfattar kontroller för att upprätta en säker identitets- och åtkomstkontroll med hjälp av Azure Active Directory. Detta omfattar användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstens huvudnamn) för program, villkorlig åtkomst och övervakning av kontoavvikelser.
IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) är Azures standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:
Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machines (Linux och Windows), Azure Key Vault, PaaS och SaaS-program.
Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.
Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att utvärdera din identitetssäkerhetsstatus i förhållande till Microsofts rekommendationer för bästa praxis. Använd poängen för att mäta hur nära konfigurationen matchar rekommendationerna för bästa praxis och för att göra förbättringar i din säkerhetsstatus.
Obs! Azure AD har stöd för externa identitetsleverantörer, vilket gör det möjligt för användare utan Microsoft-konto att logga in på sina program och resurser med sin externa identitet.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-2: Hantera appidentiteter säkert och automatiskt
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE-2 | Ej tillämpligt | AC-2, AC-3, IA-2, IA-4, IA-9 |
För icke-mänskliga konton, till exempel tjänster eller automatisering, använder du hanterade Azure-identiteter i stället för att skapa ett kraftfullare personalkonto för att komma åt resurser eller köra kod. Hanterade Azure-identiteter kan autentisera mot Azure-tjänster och resurser som stöder Azure AD autentisering. Autentisering aktiveras via fördefinierade regler för åtkomstbeviljande, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
För tjänster som inte stöder hanterade identiteter använder du Azure AD för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå i stället. Vi rekommenderar att du konfigurerar tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgår till klienthemligheter. I båda fallen kan Azure Key Vault användas tillsammans med hanterade Azure-identiteter, så att körningsmiljön (till exempel en Azure-funktion) kan hämta autentiseringsuppgifterna från nyckelvalvet.
Använd Azure Key Vault för registrering av säkerhetsobjekt: authentication#authorize-a-security-principal-to-access-key-vault
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE-3 | 4.4 | IA-2, IA-4 |
Azure AD tillhandahåller identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. Identitets- och åtkomsthantering gäller för företagsidentiteter som anställda, samt externa identiteter som partners, leverantörer och leverantörer.
Använd Azure AD enkel inloggning (SSO) för att hantera och skydda åtkomsten till organisationens data och resurser lokalt och i molnet. Anslut alla användare, program och enheter till Azure AD för sömlös, säker åtkomst och bättre synlighet och kontroll.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-4: Använd kraftfulla verifieringskontroller för all Azure Active Directory-baserad åtkomst
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD stöder starka autentiseringskontroller via multifaktorautentisering (MFA) och starka metoder utan lösenord.
Multifaktorautentisering: Aktivera Azure AD MFA och följ rekommendationerna i säkerhetskontrollen "Aktivera MFA" i Azure Security Center. MFA kan tillämpas på alla användare, välja användare eller per användare baserat på inloggningsvillkor och riskfaktorer.
Lösenordsfri autentisering: Tre alternativ för lösenordsfri autentisering är tillgängliga: Windows Hello för företag, Microsoft Authenticator-appen och lokala autentiseringsmetoder som smartkort.
För administratörer och privilegierade användare kontrollerar du att den högsta nivån av den starka autentiseringsmetoden används, följt av att distribuera lämplig princip för stark autentisering till andra användare.
Om äldre lösenordsbaserad autentisering fortfarande används för Azure AD autentisering bör du vara medveten om att molnbaserade konton (användarkonton som skapats direkt i Azure) har en standardprincip för baslinjelösenord. Och hybridkonton (användarkonton som kommer från lokal Active Directory) följer de lokala lösenordsprinciperna. När du använder lösenordsbaserad autentisering tillhandahåller Azure AD en funktion för lösenordsskydd som hindrar användare från att ange lösenord som är lätta att gissa. Microsoft tillhandahåller en global lista över förbjudna lösenord som uppdateras baserat på telemetri, och kunder kan utöka listan baserat på deras behov (till exempel varumärkesanpassning, kulturella referenser osv.). Det här lösenordsskyddet kan användas för molnbaserade konton och hybridkonton.
Obs! Enbart autentisering baserat på lösenordsautentisering är sårbar för populära attackmetoder. Använd stark autentisering som MFA och en stark lösenordsprincip för högre säkerhet. För program från tredje part och Marketplace-tjänster som kan ha standardlösenord bör du ändra dem under den inledande tjänstkonfigurationen.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-5: Övervaka och skicka aviseringar vid kontoavvikelser
Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE 5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD tillhandahåller följande datakällor:
Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.
Granskningsloggar – Ger spårningsbarhet via loggar för alla ändringar som görs via olika funktioner i Azure AD. Exempel på loggade ändringar i granskningsloggar är att lägga till eller ta bort användare, appar, grupper, roller och principer.
Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.
Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.
Dessa datakällor kan integreras med Azure Monitor, Azure Sentinel eller SIEM-system från tredje part.
Azure Security Center kan också avisera om vissa misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök och inaktuella konton i prenumerationen.
Microsoft Defender for Identity är en säkerhetslösning som kan använda lokal Active Directory signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder.
Så här identifierar du Azure AD-användare som har flaggats för riskfylld aktivitet
Aviseringar i Azure Security Center- och Azure Defender-planer
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-6: Begränsa åtkomsten till Azure-resurser baserat på villkor
Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE 6 | Ej tillämpligt | AC-2, AC-3 |
Använd Azure AD villkorlig åtkomst för mer detaljerad åtkomstkontroll baserat på användardefinierade villkor, till exempel att kräva att användarinloggningar från vissa IP-intervall använder MFA. En detaljerad autentiseringssessionshantering kan också användas via Azure AD princip för villkorlig åtkomst för olika användningsfall.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter
Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE 7 | 18.1, 18.7 | IA-5 |
Implementera Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i koden. Genomsökning av autentiseringsuppgifter uppmuntrar också till att flytta identifierade autentiseringsuppgifter till säkrare platser som Azure Key Vault.
För GitHub kan du använda funktionen för intern hemlighetsgenomsökning för att identifiera autentiseringsuppgifter eller någon annan form av hemligheter i koden.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
IM-8: Skydda användaråtkomst till äldre program
Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
SNABBMEDDELANDE 8 | 14.6 | AC-2, AC-3, SC-11 |
Se till att du har moderna åtkomstkontroller och sessionsövervakning för äldre program och de data som de lagrar och bearbetar. Vpn-nätverk används ofta för att komma åt äldre program, men de har ofta bara grundläggande åtkomstkontroll och begränsad sessionsövervakning.
Azure AD Programproxy gör att du kan publicera äldre lokala program till fjärranvändare med enkel inloggning (SSO) samtidigt som du uttryckligen validerar tillförlitligheten för både fjärranvändare och enheter med Azure AD villkorlig åtkomst.
Du kan också Microsoft Defender for Cloud Apps är en CASB-tjänst (Cloud Access Security Broker) som kan tillhandahålla kontroller för övervakning av en användares programsessioner och blockera åtgärder (för både äldre lokala program och saaS-program (molnprogramvara som en tjänst).
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):