安全控制:标识和访问控制
注意
此处提供了最新的 Azure 安全基准。
标识和访问管理建议侧重于解决与以下方面相关的问题:基于标识的访问控制、锁定管理访问权限、对与标识相关的事件发出警报、异常帐户行为和基于角色的访问控制。
3.1:维护管理帐户的清单
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.1 | 4.1 | 客户 |
Azure AD 具有必须显式分配且可查询的内置角色。 使用 Azure AD PowerShell 模块执行即席查询,以发现属于管理组的成员的帐户。
3.2:在适用的情况下更改默认密码
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.2 | 4.2 | 客户 |
Azure AD 没有默认密码。 其他需要密码的 Azure 资源会强制创建具有复杂性要求和最小密码长度的密码,该长度因服务而异。 你对可能使用默认密码的第三方应用程序和市场服务负责。
3.3:使用专用管理帐户
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.3 | 4.3 | 客户 |
围绕专用管理帐户的使用创建标准操作程序。 使用 Azure 安全中心的“管理访问和权限”安全控制中的建议来监视管理帐户的数量。
还可以通过使用 Microsoft 服务的 Azure AD Privileged Identity Management 特权角色和 Azure 资源管理器来启用实时/足够访问权限。
3.4:将单一登录 (SSO) 与 Azure Active Directory 配合使用
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.4 | 4.4 | 客户 |
请尽可能使用 Azure Active Directory SSO,而不是为每个服务配置单个独立凭据。 使用 Azure 安全中心的“管理访问和权限”安全控制中的建议。
3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.5 | 4.5、11.5、12.11、16.3 | 客户 |
启用 Azure AD MFA,并遵循 Azure 安全中心标识和访问管理建议。
3.6:对所有管理任务使用专用计算机(特权访问工作站)
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.6 | 4.6、11.6、12.12 | 客户 |
使用配置了 MFA 的 PAW(特权访问工作站)来登录并配置 Azure 资源。
3.7:记录来自管理帐户的可疑活动并对其发出警报
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.7 | 4.8、4.9 | 客户 |
使用 Azure Active Directory 安全报告在环境中发生可疑活动或不安全的活动时生成日志和警报。 使用 Azure 安全中心监视标识和访问活动。
3.8:仅从批准的位置管理 Azure 资源
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.8 | 11.7 | 客户 |
使用条件访问命名位置,仅允许从 IP 地址范围或国家/地区的特定逻辑分组进行访问。
3.9:使用 Azure Active Directory
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.9 | 16.1、16.2、16.4、16.5、16.6 | 客户 |
使用 Azure Active Directory 作为集中身份验证和授权系统。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。
3.10:定期审查和协调用户访问
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.10 | 16.9、16.10 | 客户 |
Azure AD 提供日志来帮助发现过时的帐户。 此外,请使用 Azure 标识访问评审来有效管理组成员身份、对企业应用程序的访问和角色分配。 可以定期评审用户的访问权限,确保只有适当的用户才持续拥有访问权限。
3.11:监视尝试访问已停用凭据的行为
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.11 | 16.12 | 客户 |
你有权访问 Azure AD 登录活动、审核和风险事件日志源,以便与任何 SIEM/监视工具集成。
可以通过为 Azure Active Directory 用户帐户创建诊断设置,并将审核日志和登录日志发送到 Log Analytics 工作区,来简化此过程。 可在 Log Analytics 工作区中配置所需的警报。
3.12:针对帐户登录行为偏差发出警报
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.12 | 16.13 | 客户 |
可使用 Azure AD 风险和标识保护功能来配置对检测到的与用户标识相关的可疑操作的自动响应。 还可以将数据引入 Azure Sentinel 中以便进一步调查。
3.13:在支持场合下为 Microsoft 提供对相关客户数据的访问权限
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 3.13 | 16 | 客户 |
在 Microsoft 需要访问客户数据的支持方案中,客户密码箱为你提供接口来审核和批准/拒绝客户数据访问请求。
后续步骤
- 请参阅下一个安全控制:数据保护