Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.
Privileged Access umfasst Steuerelemente zum Schutz des privilegierten Zugriffs auf Ihren Azure-Mandanten und -Ressourcen. Dazu gehören eine Reihe von Steuerelementen zum Schutz Ihres Verwaltungsmodells, Administrativen Konten und arbeitsstationen mit privilegiertem Zugriff vor absichtlichen und versehentlichen Risiken.
Informationen zur integrierten Azure-Richtlinie finden Sie in den Details der integrierten Azure Security Benchmark Compliance-Initiative: Privilegierter Zugriff
PA-1: Schützen und Einschränken von Benutzern mit hohen Rechten
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Beschränken Sie die Anzahl von Benutzerkonten mit erhöhten Rechten, und schützen Sie diese Konten auf einer erhöhten Ebene. Die wichtigsten integrierten Rollen in Azure AD sind globaler Administrator und der Administrator für privilegierte Rollen, da Benutzer, die diesen beiden Rollen zugewiesen sind, Administratorrollen delegieren können. Mit diesen Berechtigungen können Benutzer jede Ressource in Ihrer Azure-Umgebung direkt oder indirekt lesen und ändern:
Globaler Administrator: Benutzer mit dieser Rolle haben Zugriff auf alle administrativen Features in Azure AD sowie Dienste, die Azure AD-Identitäten verwenden.
Administrator für privilegierte Rollen: Benutzer mit dieser Rolle können Rollenzuweisungen in Azure AD sowie in Azure AD Privileged Identity Management (PIM) verwalten. Darüber hinaus ermöglicht diese Rolle die Verwaltung aller Aspekte von PIM und administrativen Einheiten.
Hinweis: Möglicherweise verfügen Sie über andere wichtige Rollen, die geregelt werden müssen, wenn Sie benutzerdefinierte Rollen mit bestimmten privilegierten Berechtigungen verwenden. Und Sie können auch ähnliche Steuerelemente auf das Administratorkonto kritischer Geschäftsressourcen anwenden.
Sie können den just-in-time(JIT)-privilegierten Zugriff auf Azure-Ressourcen und Azure AD mithilfe von Azure AD Privileged Identity Management (PIM) aktivieren. JIT gewährt temporäre Berechtigungen, um privilegierte Aufgaben nur auszuführen, wenn Benutzer sie benötigen. PIM kann auch Sicherheitswarnungen generieren, wenn in Ihrer Azure AD-Organisation verdächtige oder unsichere Aktivitäten vorhanden sind.
Verwenden von Azure Privileged Identity Management-Sicherheitswarnungen
Schützen des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Azure AD
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-2: Einschränken des administrativen Zugriffs auf geschäftskritische Systeme
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Isolieren Sie den Zugriff auf unternehmenskritische Systeme, indem Sie einschränken, welche Konten privilegierten Zugriff auf die Abonnements und Verwaltungsgruppen erhalten, in denen sie sich befinden. Stellen Sie sicher, dass Sie auch den Zugriff auf die Verwaltungs-, Identitäts- und Sicherheitssysteme einschränken, die administrativen Zugriff auf ihre geschäftskritischen Ressourcen haben, z. B. Active Directory-DOmänencontroller (DCs), Sicherheitstools und Systemverwaltungstools mit Agents, die auf geschäftskritischen Systemen installiert sind. Angreifer, die diese Verwaltungs- und Sicherheitssysteme kompromittieren, können sie sofort zur Kompromittierung geschäftskritischer Ressourcen aufwaffnen.
Alle Arten von Zugriffssteuerungen sollten an Die Segmentierungsstrategie Ihres Unternehmens ausgerichtet werden, um eine konsistente Zugriffssteuerung sicherzustellen.
Stellen Sie sicher, dass separate privilegierte Konten zugewiesen werden, die sich von den Standardbenutzerkonten unterscheiden, die für E-Mail-, Browsen- und Produktivitätsaufgaben verwendet werden.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-3: Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Überprüfen Sie regelmäßig Benutzerkonten und die zugewiesenen Zugriffsrechte, um sicherzustellen, dass die Konten und deren Zugriffsebene gültig sind. Sie können Azure AD-Zugriffsüberprüfungen verwenden, um Gruppenmitgliedschaften, Zugriff auf Unternehmensanwendungen und Rollenzuweisungen zu überprüfen. Azure AD-Berichte können Protokolle bereitstellen, um veraltete Konten zu ermitteln. Sie können azure AD Privileged Identity Management auch verwenden, um einen Workflow für zugriffsüberprüfungsberichte zu erstellen, der den Überprüfungsprozess erleichtert. Darüber hinaus kann Azure Privileged Identity Management so konfiguriert werden, dass sie benachrichtigt werden, wenn eine übermäßige Anzahl von Administratorkonten erstellt wird, und um Administratorkonten zu identifizieren, die veraltet oder nicht ordnungsgemäß konfiguriert sind.
Hinweis: Einige Azure-Dienste unterstützen lokale Benutzer und Rollen, die nicht über Azure AD verwaltet werden. Sie müssen diese Benutzer separat verwalten.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-4: Einrichten des Notfallzugriffs in Azure AD
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Um zu verhindern, dass Sie versehentlich von Ihrer Azure AD-Organisation ausgeschlossen werden, richten Sie ein Notfallzugriffskonto ein, das verwendet werden kann, wenn normale administrative Konten nicht benutzt werden können. Notfallzugriffskonten sind in der Regel hochgradig privilegierte und sollten bestimmten Personen nicht zugewiesen werden. Notfallzugriffskonten sind auf Notfall- oder "Unterbrechungsglas"-Szenarien beschränkt, in denen normale Verwaltungskonten nicht verwendet werden können. Sie sollten sicherstellen, dass die Anmeldeinformationen (z. B. Kennwort, Zertifikat oder Smartcard) für Notfallzugriffskonten sicher und nur für Personen bekannt sind, die berechtigt sind, sie nur in einem Notfall zu verwenden.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-5: Automatisieren der Berechtigungsverwaltung
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Verwenden Sie die Funktionen der Azure AD-Berechtigungsverwaltung, um Zugriffsanforderungsworkflows zu automatisieren, einschließlich Zugriffszuweisungen, Überprüfungen und Ablauf. Die duale oder mehrstufige Genehmigung wird ebenfalls unterstützt.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-6: Verwenden von Arbeitsstationen mit privilegiertem Zugriff
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Sichere, isolierte Arbeitsstationen sind für die Sicherheit vertraulicher Rollen wie Administrator, Entwickler und kritischer Dienstanbieter von entscheidender Bedeutung. Verwenden Sie hoch gesicherte Benutzerarbeitsstationen und/oder Azure Bastion für Administrative Aufgaben. Verwenden Sie Azure Active Directory, Microsoft Defender for Identity und/oder Microsoft Intune, um eine sichere und verwaltete Benutzerarbeitsstation für administrative Aufgaben bereitzustellen. Die gesicherten Arbeitsstationen können zentral verwaltet werden, um eine gesicherte Konfiguration zu erzwingen, einschließlich starker Authentifizierung, Software- und Hardwarebasispläne sowie eingeschränkter logischer und Netzwerkzugriff.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-7: Befolgen Sie eine angemessene Verwaltung (Mindestprivilegienprinzip)
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) ermöglicht ihnen die Verwaltung des Azure-Ressourcenzugriffs über Rollenzuweisungen. Sie können diese Rollen Benutzern, den Dienstprinzipalen von Gruppen und verwalteten Identitäten zuweisen. Es gibt vordefinierte integrierte Rollen für bestimmte Ressourcen, und diese Rollen können über Tools wie Azure CLI, Azure PowerShell und das Azure-Portal inventarisiert oder abgefragt werden. Die Berechtigungen, die Sie Ressourcen über Azure RBAC zuweisen, sollten immer auf die anforderungen der Rollen beschränkt sein. Eingeschränkte Berechtigungen ergänzen den Just-in-Time-Ansatz (JIT) von Azure AD Privileged Identity Management (PIM), und diese Berechtigungen sollten regelmäßig überprüft werden.
Verwenden Sie integrierte Rollen, um Berechtigungen zuzuweisen und bei Bedarf nur benutzerdefinierte Rollen zu erstellen.
Was ist die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC)
Verwenden von Azure AD-Identitäts- und Zugriffsüberprüfungen
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PA-8: Auswählen des Genehmigungsprozesses für den Microsoft-Support
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
In Supportszenarien, in denen Microsoft auf Kundendaten zugreifen muss, bietet Kunden-Lockbox eine Möglichkeit, die einzelnen Kundendatenzugriffsanforderungen explizit zu überprüfen und zu genehmigen oder abzulehnen.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):