安全性控制 V2:特殊許可權存取
注意
這裡 提供最新的Azure 安全性效能評定。
特殊許可權存取涵蓋保護 Azure 租使用者和資源特殊許可權存取的控制項。 這包括一系列控制項,可保護您的系統管理模型、系統管理帳戶和特殊許可權存取工作站,以防止刻意和不小心的風險。
若要查看適用的內建Azure 原則,請參閱Azure 安全性效能評定法規合規性內建方案的詳細資料:特殊許可權存取
PA-1:保護及限制高權限使用者
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
限制高許可權使用者帳戶的數目,並在提高許可權的層級保護這些帳戶。 Azure AD 中最重要的內建角色是全域管理員和特殊許可權角色管理員,因為指派給這兩個角色的使用者可以委派系統管理員角色。 透過這些許可權,使用者可以直接或間接讀取和修改 Azure 環境中的每個資源:
全域管理員:具有此角色的使用者可以存取 Azure AD 中的所有系統管理功能,以及使用 Azure AD 身分識別的服務。
特殊許可權角色管理員:具有此角色的使用者可以在 Azure AD 中管理角色指派,以及在 Azure AD 中管理 PIM Privileged Identity Management (PIM) 。 此外,此角色允許管理 PIM 和管理單位的所有層面。
注意:如果您使用已指派特定特殊許可權的自訂角色,則可能需要控管其他重要角色。 此外,您可能也想要將類似的控制項套用至重要商務資產的系統管理員帳戶。
您可以使用 Azure AD Privileged Identity Management (PIM),啟用對 Azure 資源和 Azure AD 的 Just-In-Time (JIT) 特殊權限存取。 JIT 只有在使用者需要時,才會授與暫時性權限以執行特殊權限的工作。 當您的 Azure AD 組織中有可疑或不安全的活動時,PIM 也會產生安全性警示。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-2:限制對業務關鍵系統的系統管理存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2、SC-3、SC-7 |
藉由限制哪些帳戶獲授與其所在訂用帳戶和管理群組的特殊許可權存取權,以隔離對業務關鍵系統的存取。 請確定您也限制對具有商務關鍵資產系統管理存取權的管理、身分識別和安全性系統,例如Active Directory 網網域控制站 (DC) 、安全性工具和系統管理工具,以及安裝在業務關鍵系統上的代理程式。 入侵這些管理和安全性系統的攻擊者可以立即將其重組,以危害業務關鍵資產。
所有類型的存取控制都應該與您的企業分割策略一致,以確保一致的存取控制。
請務必指派與用於電子郵件、流覽和生產力工作之標準使用者帳戶不同的個別特殊許可權帳戶。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-3:定期檢閱及協調使用者存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
定期檢閱使用者帳戶和存取指派,以確保帳戶及其存取層級有效。 您可以使用 Azure AD 存取權檢閱來檢閱群組成員資格、企業應用程式的存取權,以及角色指派。 Azure AD 報告可以提供記錄,以協助探索過時的帳戶。 您也可以使用 Azure AD Privileged Identity Management來建立存取權檢閱報告工作流程,以利檢閱程式。 此外,Azure Privileged Identity Management可以設定為在建立過多的系統管理員帳戶時發出警示,並識別過時或未正確設定的系統管理員帳戶。
注意:某些 Azure 服務支援本機使用者和未透過 Azure AD 管理的角色。 您必須個別管理這些使用者。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-4:在 Azure AD 中設定緊急存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-4 | 16 | AC-2、CP-2 |
若要防止意外鎖定 Azure AD 組織,請在無法使用一般系統管理帳戶時設定緊急存取帳戶以供存取。 緊急存取帳戶通常具有高權限,不應將其指派給特定個人。 緊急存取帳戶僅限用於無法使用一般系統管理帳戶的緊急或「急用」狀況。 您應該確保緊急存取帳戶的認證 (例如密碼、憑證或智慧卡) 受到保護,而且只有在緊急情況下有權使用這些認證的個人才會知道。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-5:自動化權利管理
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-5 | 16 | AC-2、AC-5、PM-10 |
使用 Azure AD 權利管理功能,將存取要求工作流程自動化,包括存取指派、檢閱和到期。 也支援雙重或多階段核准。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-6:使用特殊權限存取工作站
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2、SC-3、SC-7 |
安全、隔離的工作站對於系統管理員、開發人員和重要服務操作員等敏感性角色的安全性而言非常重要。 針對系統管理工作使用高度安全的使用者工作站和/或 Azure Bastion。 使用 Azure Active Directory、適用於身分識別的 Microsoft Defender和/或Microsoft Intune來部署安全且受控的使用者工作站以進行系統管理工作。 受保護的工作站可以集中管理,以強制執行受保護的設定,包括增強式驗證、軟體和硬體基準,以及受限制的邏輯和網路存取。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-7:遵循恰到好處的系統管理 (最低權限原則)
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-7 | 14.6 | AC-2、AC-3、SC-3 |
Azure 角色型存取控制 (Azure RBAC) 可讓您透過角色指派來管理 Azure 資源存取。 您可以將這些角色指派給使用者、群組服務主體和受控識別。 某些資源有預先定義的內建角色,這些角色可以透過 Azure CLI、Azure PowerShell和Azure 入口網站等工具來清查或查詢。 您透過 Azure RBAC 指派給資源的許可權應一律受限於角色所需的許可權。 有限的許可權可補充 Azure AD Privileged Identity Management (PIM) 的 Just-In-Time (JIT) 方法,而且應該定期檢閱這些許可權。
使用內建角色來配置許可權,並只在需要時建立自訂角色。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
PA-8:選擇 Microsoft 支援的核准程式
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| PA-8 | 16 | AC-2、AC-3、AC-4 |
在 Microsoft 需要存取客戶資料的支援案例中,客戶加密箱可讓您明確檢閱和核准或拒絕每個客戶資料存取要求。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :