安全性控制:身分識別和 存取控制
注意
這裡 提供最新的 Azure 安全性基準檢驗。
身分識別和存取管理建議著重於解決與身分識別型訪問控制相關的問題、鎖定系統管理存取、警示身分識別相關事件、異常帳戶行為,以及角色型訪問控制。
3.1:維護系統管理帳戶的清查
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.1 | 4.1 | 客戶 |
Azure AD 具有必須明確指派且可查詢的內建角色。 使用 Azure AD PowerShell 模組來執行臨機操作查詢,以探索屬於系統管理群組成員的帳戶。
3.2:變更預設密碼 (如果適用)
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.2 | 4.2 | 客戶 |
Azure AD 沒有默認密碼的概念。 其他需要密碼的 Azure 資源會強制使用複雜度需求和最小密碼長度來建立密碼,這會根據服務而有所不同。 您必須負責使用預設密碼的第三方應用程式和市集服務。
3.3:使用專用的系統管理帳戶
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.3 | 4.3 | 客戶 |
建立使用專用系統管理帳戶的標準作業程式。 使用 Azure 資訊安全中心「管理存取權和許可權」安全性控制中的建議,監視系統管理帳戶的數目。
您也可以使用適用於 Microsoft 服務的 Azure AD Privileged Identity Management Privileged Roles 和 Azure Resource Manager,啟用 Just-In-Time/Just-Enough-Access。
3.4:搭配 Azure Active Directory 使用單一登入 (SSO)
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.4 | 4.4 | 客戶 |
盡可能使用 Azure Active Directory SSO,而不是設定個別的獨立認證。 使用 Azure 資訊安全中心「管理存取權和許可權」安全性控制中的建議。
3.5:針對所有 Azure Active Directory 型存取使用多重要素驗證
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.5 | 4.5, 11.5, 12.11, 16.3 | 客戶 |
啟用 Azure AD MFA,並遵循 Azure 資訊安全中心 身分識別和存取管理建議。
3.6:使用專用電腦 (特殊權限存取工作站) 進行所有系統管理工作
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.6 | 4.6, 11.6, 12.12 | 客戶 |
使用PAW (特殊許可權存取工作站,) 設定 MFA 來登入及設定 Azure 資源。
3.7:從系統管理帳戶記錄和警示可疑活動
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.7 | 4.8, 4.9 | 客戶 |
當環境中發生可疑或不安全的活動時,請使用 Azure Active Directory 安全性報告來產生記錄和警示。 使用 Azure 資訊安全中心來監視身分識別和存取活動。
3.8:僅從核准的位置管理 Azure 資源
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.8 | 11.7 | 客戶 |
使用條件式存取具名位置,只允許從IP位址範圍或國家/地區的特定邏輯群組進行存取。
3.9:使用 Azure Active Directory
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | 客戶 |
使用 Azure Active Directory 作為集中驗證和授權系統。 Azure AD 會對待用資料和傳輸中資料使用增強式加密,以保護資料安全。 Azure AD 也會對使用者認證進行 Salt 處理、雜湊處理並安全儲存資料。
3.10:定期檢閱並協調使用者存取
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.10 | 16.9, 16.10 | 客戶 |
Azure AD 提供記錄,以協助探索過時的帳戶。 此外,使用 Azure 身分識別存取權檢閱有效率地管理群組成員資格、企業應用程式的存取權,以及角色指派。 您可以定期檢閱使用者的存取權,以確定只有適當的使用者具有持續存取權。
3.11:監視嘗試存取停用的認證
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.11 | 16.12 | 客戶 |
您可以存取 Azure AD 登入活動、稽核和風險事件記錄來源,這可讓您與任何 SIEM/監視工具整合。
若要簡化此流程,您可以建立 Azure Active Directory 使用者帳戶的診斷設定,並將稽核記錄和登入記錄傳送到 Log Analytics 工作區。 您可以在 Log Analytics 工作區中設定所需的警示。
3.12:帳戶登入行為偏差警示
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.12 | 16.13 | 客戶 |
使用 Azure AD Risk 和 Identity Protection 功能來設定自動回應,以偵測到與使用者身分識別相關的可疑動作。 您也可將資料內嵌到 Azure Sentinel 中,以便進一步調查。
3.13:在支援案例期間為 Microsoft 提供相關客戶資料的存取權
Azure 識別碼 | CIS 識別碼 | 責任 |
---|---|---|
3.13 | 16 | 客戶 |
在 Microsoft 需要存取客戶數據的支援案例中,客戶加密箱會提供介面供您檢閱和核准或拒絕客戶數據存取要求。
下一步
- 請參閱下一個安全性控制: 數據保護