Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw tenant en resources, waaronder een reeks besturingselementen voor het beveiligen van uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations tegen opzettelijk en onbedoeld risico.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 5,4, 6,8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Beveiligingsprincipe: zorg ervoor dat u alle accounts met hoge bedrijfsimpact identificeert. Beperk het aantal bevoegde/beheerdersaccounts in het besturingsvlak, het beheervlak en het gegevens-/workloadvlak van uw cloud.
Azure-richtlijnen: u moet alle rollen beveiligen met directe of indirecte beheerderstoegang tot gehoste Azure-resources.
Azure Active Directory (Azure AD) is de standaardservice voor identiteits- en toegangsbeheer van Azure. De meest kritieke ingebouwde rollen in Azure AD zijn globale beheerder en bevoorrechte rolbeheerder, omdat gebruikers die aan deze twee rollen zijn toegewezen, beheerdersrollen kunnen delegeren. Met deze bevoegdheden kunnen gebruikers elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen:
- Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD en services die gebruikmaken van Azure AD-identiteiten.
- Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast staat deze rol het beheer van alle aspecten van PIM en beheereenheden toe.
Buiten Azure AD heeft Azure ingebouwde rollen die essentieel kunnen zijn voor bevoegde toegang op resourceniveau.
- Eigenaar: verleent volledige toegang om alle resources te beheren, inclusief de mogelijkheid om rollen toe te wijzen in Azure RBAC.
- Inzender: verleent volledige toegang om alle resources te beheren, maar u kunt geen rollen toewijzen in Azure RBAC, toewijzingen beheren in Azure Blueprints of afbeeldingengalerieën delen.
- Beheerder van gebruikerstoegang: hiermee kunt u gebruikerstoegang tot Azure-resources beheren.
Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt op azure AD-niveau of resourceniveau waaraan bepaalde bevoegde machtigingen zijn toegewezen.
Bovendien moeten gebruikers met de volgende drie rollen in de Azure Enterprise Agreement -portal (EA) ook worden beperkt, omdat ze kunnen worden gebruikt om Azure-abonnementen direct of indirect te beheren.
- Accounteigenaar: gebruikers met deze rol kunnen abonnementen beheren, waaronder het maken en verwijderen van abonnementen.
- Ondernemingsbeheerder: gebruikers die met deze rol zijn toegewezen, kunnen portalgebruikers (EA) beheren.
- Afdelingsbeheerder: Gebruikers die met deze rol zijn toegewezen, kunnen accounteigenaren binnen de afdeling wijzigen.
Ten slotte moet u ervoor zorgen dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals Active Directory-domeincontrollers (DC's), beveiligingshulpprogramma's en systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk wapenen om bedrijfskritieke activa in gevaar te brengen.
Azure-implementatie en aanvullende context:
- Machtigingen voor beheerdersrollen in Azure AD
- Beveiligingswaarschuwingen voor Azure Privileged Identity Management gebruiken
- Bevoegde toegang beveiligen voor hybride en cloudimplementaties in Azure AD
AWS-richtlijnen: u moet alle rollen beveiligen met directe of indirecte beheerderstoegang tot gehoste AWS-resources.
De bevoegde/gebruikers met beheerdersrechten moeten worden beveiligd:
- Rootgebruiker: De rootgebruiker is het hoogste bevoegde account in uw AWS-account. Hoofdaccounts moeten zeer beperkt zijn en alleen worden gebruikt in noodsituaties. Raadpleeg toegangsbeheer voor noodgevallen in PA-5 (noodtoegang instellen).
- IAM-identiteiten (gebruikers, groepen, rollen) met het machtigingsbeleid met bevoegdheden: IAM-identiteiten die zijn toegewezen met een machtigingsbeleid, zoals AdministratorAccess, kunnen volledige toegang hebben tot AWS-services en -resources.
Als u Azure Active Directory (Azure AD) gebruikt als id-provider voor AWS, raadpleegt u de Azure-richtlijnen voor het beheren van de bevoorrechte rollen in Azure AD.
Zorg ervoor dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals AWS Cognito, beveiligingshulpprogramma's en systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk wapenen om bedrijfskritieke activa in gevaar te brengen.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: u moet alle rollen beveiligen met directe of indirecte beheerderstoegang tot gehoste GCP-resources.
De meest kritieke ingebouwde rol in Google Cloud is de superbeheerder. De superbeheerder kan alle taken uitvoeren in de beheerconsole en heeft onherroepelijke beheerdersmachtigingen. Het wordt afgeraden om het superbeheerdersaccount te gebruiken voor dagelijkse administratie.
Basisrollen zijn zeer permissieve verouderde rollen en het wordt aangeraden dat basisrollen niet worden gebruikt in productieomgevingen, omdat deze brede toegang verleent tot alle Google Cloud-resources. Basisrollen zijn de rollen Viewer, Editor en Eigenaar. Het wordt in plaats daarvan aanbevolen om vooraf gedefinieerde of aangepaste rollen te gebruiken. De belangrijke vooraf gedefinieerde rollen met bevoegdheden zijn onder andere:
- Organisatiebeheerder: gebruikers met deze rol kunnen IAM-beleid beheren en organisatiebeleid voor organisaties, mappen en projecten weergeven.
- Beheerder van organisatiebeleid: gebruikers met deze rol kunnen definiëren welke beperkingen een organisatie wil plaatsen voor de configuratie van cloudresources door organisatiebeleid in te stellen.
- Beheerder van organisatierol: gebruikers met deze rol kunnen alle aangepaste rollen in de organisatie en projecten eronder beheren.
- Beveiligingsbeheerder: gebruikers met deze rol kunnen elk IAM-beleid ophalen en instellen.
- Deny beheerder: gebruikers met deze rol hebben machtigingen om IAM-weigeringsbeleid te lezen en te wijzigen.
Daarnaast bevatten bepaalde vooraf gedefinieerde rollen bevoegde IAM-machtigingen op organisatie-, map- en projectniveau. Deze IAM-machtigingen zijn onder andere:
- organisatiebeheerder
- mapIAMAdmin
- projectIAMAdmin
Implementeer verder scheiding van taken door rollen toe te wijzen aan accounts voor verschillende projecten of door gebruik te maken van binaire autorisatie met Google Kubernetes Engine.
Ten slotte moet u ervoor zorgen dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals Cloud DNS, beveiligingshulpprogramma's en systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk wapenen om bedrijfskritieke activa in gevaar te brengen.
GCP-implementatie en aanvullende context:
- Best practices voor superbeheerdersaccounts
- Naslaginformatie over basis- en vooraf gedefinieerde IAM-rollen
- Scheiding van taken en rollen voor identiteits- en toegangsbeheer
Belanghebbenden voor klantbeveiliging (meer informatie):
- Identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
- Beveiligingsnalevingsbeheer
- Beveiligingsbewerkingen
PA-2: Voorkom permanente toegang voor gebruikersaccounts en -machtigingen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| Niet van toepassing. | AC-2 | Niet van toepassing. |
Beveiligingsprincipe: in plaats van permanente bevoegdheden te maken, gebruikt u het JIT-mechanisme (Just-In-Time) om bevoegde toegang toe te wijzen aan de verschillende resourcelagen.
Azure-richtlijnen: Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure AD inschakelen met behulp van Azure AD Privileged Identity Management (PIM). JIT is een model waarin gebruikers tijdelijke machtigingen ontvangen om bevoegde taken uit te voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang krijgen nadat de machtigingen zijn verlopen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten in uw Azure AD-organisatie zijn.
Beperk inkomend verkeer naar uw gevoelige vm-beheerpoorten met JIT (Just-In-Time) van Microsoft Defender for Cloud voor VM-toegangsfunctie. Dit zorgt ervoor dat bevoegde toegang tot de virtuele machine alleen wordt verleend wanneer gebruikers deze nodig hebben.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: AWS Security Token Service (AWS STS) gebruiken om tijdelijke beveiligingsreferenties te maken voor toegang tot de resources via de AWS-API. Tijdelijke beveiligingsreferenties werken bijna identiek aan de referenties voor de toegangssleutel voor de lange termijn die uw IAM-gebruikers kunnen gebruiken, met de volgende verschillen:
- Tijdelijke beveiligingsreferenties hebben een korte levensduur, van minuten tot uren.
- Tijdelijke beveiligingsreferenties worden niet met de gebruiker opgeslagen, maar worden dynamisch gegenereerd en aan de gebruiker verstrekt wanneer dit wordt aangevraagd.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik voorwaardelijke IAM-toegang om tijdelijke toegang tot resources te maken met behulp van bindingen voor voorwaardelijke rollen in beleid voor toestaan, dat wordt verleend aan cloudidentiteitsgebruikers. Stel datum-/tijdkenmerken in om tijdgebaseerde controles toe te passen voor toegang tot een bepaalde bron. Tijdelijke toegang kan een korte levensduur hebben, van minuten tot uren, of kan worden verleend op basis van dagen of uren van de week.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
- Identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
- Beveiligingsnalevingsbeheer
- Beveiligingsbewerkingen
PA-3: De levenscyclus van identiteiten en rechten beheren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Beveiligingsprincipe: gebruik een geautomatiseerd proces of technisch beheer om de identiteits- en toegangslevenscyclus te beheren, waaronder de aanvraag, beoordeling, goedkeuring, inrichting en ongedaan maken van de inrichting.
Azure-richtlijnen: Azure AD-rechtenbeheerfuncties gebruiken om werkstromen voor toegangsaanvragen te automatiseren (voor Azure-resourcegroepen). Hierdoor kunnen werkstromen voor Azure-resourcegroepen toegangstoewijzingen, beoordelingen, verlooptijd en goedkeuring voor dubbele of meerdere fasen beheren.
Gebruik Machtigingenbeheer om ongebruikte en overmatige machtigingen die zijn toegewezen aan gebruikers- en workloadidentiteiten in multi-cloud infrastructuren te detecteren, automatisch aan te passen en continu te bewaken.
Azure-implementatie en aanvullende context:
- Wat zijn Azure AD-toegangsbeoordelingen?
- Wat is Azure AD-rechtenbeheer?
- Overzicht van machtigingenbeheer
AWS-richtlijnen: Gebruik AWS Access Advisor om de toegangslogboeken voor de gebruikersaccounts en rechten voor resources op te halen. Bouw een handmatige of geautomatiseerde werkstroom om te integreren met AWS IAM voor het beheren van toegangstoewijzingen, beoordelingen en verwijderingen.
Opmerking: er zijn oplossingen van derden beschikbaar op AWS Marketplace voor het beheren van de levenscyclus van identiteiten en rechten.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik cloudcontrolelogboeken van Google om de auditlogboeken voor beheerdersactiviteiten en gegevenstoegang op te halen voor de gebruikersaccounts en rechten voor resources. Bouw een handmatige of geautomatiseerde werkstroom om te integreren met GCP IAM voor het beheren van toegangstoewijzingen, beoordelingen en verwijderingen.
Gebruik Google Cloud Identity Premium om kernservices voor identiteiten en apparaatbeheer te bieden. Deze services omvatten functies zoals geautomatiseerde inrichting van gebruikers, whitelisting van apps en geautomatiseerd beheer van mobiele apparaten.
Opmerking: er zijn oplossingen van derden beschikbaar op de Google Cloud Marketplace voor het beheren van de levenscyclus van identiteiten en rechten.
GCP-implementatie en aanvullende context:
- IAM Access Adviseur
- Cloudidentiteit en Atlassian Access: levenscyclusbeheer van gebruikers in uw organisatie
- Toegang tot de API verlenen en intrekken
- Toegang tot een Google Cloud-project intrekken
Belanghebbenden voor klantbeveiliging (meer informatie):
PA-4: Gebruikerstoegang regelmatig controleren en afstemmen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Beveiligingsprincipe: regelmatig controleren op rechten voor bevoegde accounts. Zorg ervoor dat de toegang die aan de accounts is verleend, geldig zijn voor het beheer van het besturingsvlak, het beheervlak en de workloads.
Azure-richtlijnen: bekijk alle bevoegde accounts en de toegangsrechten in Azure, waaronder Azure-tenants, Azure-services, VM/IaaS-, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en -beveiliging.
Gebruik Azure AD-toegangsbeoordelingen om Azure AD-rollen, Azure-resourcetoegangsrollen, groepslidmaatschappen en toegang tot bedrijfstoepassingen te controleren. Azure AD-rapportage kan ook logboeken bieden voor het detecteren van verouderde accounts of accounts die gedurende bepaalde tijd niet zijn gebruikt.
Bovendien kan Azure AD Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.
Azure-implementatie en aanvullende context:
- Maak een toegangsbeoordeling van rollen voor Azure-resources in Privileged Identity Management (PIM)
- Hoe je Azure AD-identiteit en toegangsbeoordelingen gebruikt
AWS-richtlijnen: bekijk alle bevoegde accounts en de toegangsrechten in AWS, waaronder AWS-accounts, services, VM/IaaS-, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en -beveiliging.
Gebruik IAM Access Advisor, Access Analyzer en referentierapporten om toegangsrollen voor resources, groepslidmaatschappen en toegang tot bedrijfstoepassingen te controleren. Rapportage van IAM Access Analyzer en referentiegegevensrapporten kan ook logbestanden verstrekken om verouderde accounts of accounts te detecteren die voor een bepaalde periode niet zijn gebruikt.
Als u Azure Active Directory (Azure AD) gebruikt als id-provider voor AWS, gebruikt u Azure AD-toegangsbeoordeling om de bevoegde accounts en toegangsrechten periodiek te controleren.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: bekijk alle bevoegde accounts en de toegangsrechten in Google Cloud, waaronder cloudidentiteitsaccounts, services, VM/IaaS- en CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en -beveiliging.
Gebruik cloudcontrolelogboeken en Policy Analyzer om rollen voor toegang tot resources en groepslidmaatschappen te controleren. Maak analysequery's in Policy Analyzer om te begrijpen welke principals toegang hebben tot specifieke resources.
Als u Azure Active Directory (Azure AD) gebruikt als id-provider voor Google Cloud, gebruikt u Azure AD-toegangsbeoordeling om de bevoegde accounts en toegangsrechten periodiek te controleren.
Bovendien kan Azure AD Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
PA-5: Toegang voor noodgevallen instellen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| Niet van toepassing. | AC-2 | Niet van toepassing. |
Beveiligingsprincipe: stel toegang in voor noodgevallen om ervoor te zorgen dat u niet per ongeluk bent vergrendeld voor uw kritieke cloudinfrastructuur (zoals uw identiteits- en toegangsbeheersysteem) in een noodgeval.
Accounts voor toegang tot noodgevallen moeten zelden worden gebruikt en kunnen zeer schadelijk zijn voor de organisatie als ze zijn gecompromitteerd, maar hun beschikbaarheid voor de organisatie is ook van cruciaal belang voor de weinige scenario's wanneer ze nodig zijn.
Azure-richtlijnen: Als u wilt voorkomen dat uw Azure AD-organisatie per ongeluk wordt vergrendeld, moet u een account voor toegang voor noodgevallen (bijvoorbeeld een account met de rol Globale beheerder) instellen voor toegang wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Accounts voor toegang tot noodgevallen zijn meestal zeer bevoegd en mogen niet worden toegewezen aan specifieke personen. Noodtoegangsaccounts zijn beperkt tot nood- of 'break glass'-scenario's waarbij normale beheerdersaccounts niet kunnen worden gebruikt.
U moet ervoor zorgen dat de referenties (zoals wachtwoord, certificaat of smartcard) voor accounts voor toegang tot noodgevallen veilig worden bewaard en alleen bekend zijn voor personen die gemachtigd zijn om ze alleen in een noodgeval te gebruiken. U kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en deze aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren. U moet ook de aanmeldings- en auditlogboeken controleren om ervoor te zorgen dat accounts voor toegang tot noodgevallen alleen worden gebruikt wanneer ze zijn gemachtigd.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: AWS-hoofdaccounts mogen niet worden gebruikt voor reguliere beheertaken. Omdat het hoofdaccount zeer bevoegd is, mag het niet worden toegewezen aan specifieke personen. Het gebruik moet beperkt blijven tot alleen noodgevallen of uiterste noodscenario's wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Voor dagelijkse beheertaken moeten afzonderlijke bevoegde gebruikersaccounts worden gebruikt en de juiste machtigingen toegewezen via IAM-rollen.
U moet er ook voor zorgen dat de referenties (zoals wachtwoord, MFA-tokens en toegangssleutels) voor hoofdaccounts veilig blijven en alleen bekend zijn bij personen die gemachtigd zijn om ze alleen in noodgevallen te gebruiken. MFA moet zijn ingeschakeld voor het hoofdaccount en u kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en het aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren.
U moet ook de aanmeldings- en auditlogboeken in CloudTrail of EventBridge controleren om ervoor te zorgen dat accounts voor hoofdtoegang alleen worden gebruikt wanneer ze zijn geautoriseerd.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Superbeheerdersaccounts voor Google Cloud Identity mogen niet worden gebruikt voor normale beheertaken. Omdat het superbeheerdersaccount zeer bevoegd is, mag het niet worden toegewezen aan specifieke personen. Het gebruik moet beperkt blijven tot alleen noodgevallen of uiterste noodscenario's wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Voor dagelijkse beheertaken moeten afzonderlijke bevoegde gebruikersaccounts worden gebruikt en de juiste machtigingen toegewezen via IAM-rollen.
U moet er ook voor zorgen dat de referenties (zoals wachtwoord, MFA-tokens en toegangssleutels) voor superbeheerdersaccounts veilig worden gehouden en alleen bekend zijn voor personen die gemachtigd zijn om ze alleen in een noodgeval te gebruiken. MFA moet zijn ingeschakeld voor het superbeheerdersaccount en u kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en het aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren.
U moet ook de aanmeldings- en auditlogboeken in Cloud Audit Logs controleren of query's uitvoeren op Policy Analyzer om ervoor te zorgen dat superbeheerdersaccounts alleen worden gebruikt wanneer deze zijn geautoriseerd.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
PA-6: Bevoegde toegangswerkstations gebruiken
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Niet van toepassing. |
Beveiligingsprincipe: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator.
Azure-richtlijnen: Azure Active Directory, Microsoft Defender en/of Microsoft Intune gebruiken om on-premises of in Azure bevoegde toegangswerkstations (PAW) te implementeren voor bevoorrechte taken. Het PAW moet centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.
U kunt ook Azure Bastion gebruiken. Dit is een volledig door het platform beheerde PaaS-service die in uw virtuele netwerk kan worden ingericht. Met Azure Bastion is RDP-/SSH-connectiviteit met uw virtuele machines rechtstreeks vanuit Azure Portal mogelijk met behulp van een webbrowser.
Azure-implementatie en aanvullende context:
- Inzicht krijgen in bevoegde toegangswerkstations
- Implementatie van geprivilegieerde toegangswerkstations
AWS-richtlijnen: Gebruik Session Manager in AWS Systems Manager om een toegangspad (een verbindingssessie) te maken met het EC2-exemplaar of een browsersessie naar de AWS-resources voor bevoorrechte taken. Met Session Manager kunt u RDP-, SSH- en HTTPS-verbindingen naar uw doelhosts via port forwarding maken.
U kunt er ook voor kiezen om een PAW (Privileged Access Workstation) uit te rollen dat centraal wordt beheerd via Azure Active Directory, Microsoft Defender en/of Microsoft Intune. Het centrale beheer moet beveiligde configuratie afdwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik Identity-Aware Proxy (IAP) Desktop om een toegangspad (een verbindingssessie) te maken naar het rekenproces voor bevoegde taken. Met IAP Desktop kunt u RDP- en SSH-connectiviteit met uw doelhosts tot stand brengen via poortdoorschakeling. Bovendien kunnen Linux-rekeninstanties die extern zijn verbonden met een SSH-in-browser via de Google Cloud-console worden verbonden.
U kunt er ook voor kiezen om een PAW (Privileged Access Workstation) centraal te implementeren en te beheren via Google Workspace Endpoint Management of Microsoft-oplossingen (Azure Active Directory, Microsoft Defender en/of Microsoft Intune). Het centrale beheer moet beveiligde configuratie afdwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.
U kunt ook bastionhosts maken voor beveiligde toegang tot vertrouwde omgevingen met gedefinieerde parameters.
GCP-implementatie en aanvullende context:
- Veilig verbinding maken met VM-exemplaren
- Verbinding maken met Virtuele Linux-machines met behulp van Identity-Aware Proxy
- Verbinding maken met VM's met behulp van een bastionhost
Belanghebbenden voor klantbeveiliging (meer informatie):
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Beveiligingsprincipe: volg het principe van slechts voldoende beheer (minimale bevoegdheden) om machtigingen op fijnmazig niveau te beheren. Gebruik functies zoals op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van resourcetoegang via roltoewijzingen.
Azure-richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via roltoewijzingen. Via RBAC kunt u rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell en Azure Portal.
De bevoegdheden die u toewijst aan resources via Azure RBAC, moeten altijd worden beperkt tot wat vereist is voor de rollen. Beperkte bevoegdheden vormen een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en deze bevoegdheden moeten periodiek worden gecontroleerd. Indien nodig kunt u PIM ook gebruiken om een tijdgebonden toewijzing te definiëren. Dit is een voorwaarde in een roltoewijzing waarbij een gebruiker alleen de rol binnen de opgegeven begin- en einddatum kan activeren.
Opmerking: Gebruik ingebouwde Azure-rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.
Azure-implementatie en aanvullende context:
- Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
- RBAC configureren in Azure
- Hoe je Azure AD-identiteit en toegangsbeoordelingen gebruikt
- Azure AD Privileged Identity Management - Tijdgebonden toewijzing
AWS-richtlijnen: AWS-beleid gebruiken om toegang tot AWS-resources te beheren. Er zijn zes soorten beleidsregels: beleid op basis van identiteiten, op resources gebaseerde beleidsregels, machtigingengrenzen, AWS Organizations Service Control Policy (SCP), Access Control List en sessiebeleid. U kunt beheerde AWS-beleidsregels gebruiken voor algemene gebruiksscenario's voor machtigingen. Houd er echter rekening mee dat beheerde beleidsregels overmatige machtigingen kunnen hebben die niet aan de gebruikers moeten worden toegewezen.
U kunt OOK AWS ABAC (op kenmerken gebaseerd toegangsbeheer) gebruiken om machtigingen toe te wijzen op basis van kenmerken (tags) die zijn gekoppeld aan IAM-resources, waaronder IAM-entiteiten (gebruikers of rollen) en AWS-resources.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Google Cloud IAM-beleid gebruiken om toegang tot GCP-resources te beheren via roltoewijzingen. U kunt de vooraf gedefinieerde rollen van Google Cloud gebruiken voor algemene gebruiksscenario's voor machtigingen. Houd er echter rekening mee dat vooraf gedefinieerde rollen overmatige machtigingen kunnen hebben die niet aan de gebruikers moeten worden toegewezen.
Gebruik daarnaast Policy Intelligence met de IAM-aanbeveeler om overmatige machtigingen van accounts te identificeren en te verwijderen.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
- Toepassingsbeveiliging en DevSecOps
- Beveiligingsnalevingsbeheer
- Postuurbeheer
- Identiteits- en sleutelbeheer
PA-8 Bepalen toegangsproces voor cloudproviderondersteuning
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Niet van toepassing. |
Beveiligingsprincipe: stel een goedkeuringsproces en toegangspad in voor het aanvragen en goedkeuren van ondersteuningsaanvragen van leveranciers en tijdelijke toegang tot uw gegevens via een beveiligd kanaal.
Azure-richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elke aanvraag voor gegevenstoegang van Microsoft te beoordelen en af te keuren of af te wijzen.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: In ondersteuningsscenario's waarin AWS-ondersteuningsteams toegang moeten hebben tot uw gegevens, maakt u een account in de AWS-ondersteuningsportal om ondersteuning aan te vragen. Bekijk de beschikbare opties, zoals het bieden van alleen-lezen gegevenstoegang of de optie voor schermdeling voor AWS-ondersteuning voor toegang tot uw gegevens.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: In ondersteuningsscenario's waarin Google Cloud Customer Care toegang nodig heeft tot uw gegevens, gebruikt u Goedkeuring voor toegang om alle aanvragen voor gegevenstoegang te beoordelen en af te keuren of af te wijzen die zijn gedaan door de cloudklantservice.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):