Delen via

Bevoegde toegang

Met privileged access management worden controlemechanismen voor het beveiligen van beheerdersreferenties en kritieke bewerkingen in cloudomgevingen vastgelegd. In tegenstelling tot traditionele on-premises modellen met statische beheerdersgroepen, vereisen moderne cloudplatforms dynamische, tijdgebonden bevoegdheidstoewijzing, continue bewaking en Just-In-Time-toegang om snelle infrastructuurwijzigingen en uitgebreide aanvalsoppervlakken aan te pakken, waaronder diefstal van referenties, escalatie van bevoegdheden en zijdelingse verplaatsing. Organisaties die deze controles implementeren, dwingen minimale bevoegdheden en Zero Trust-principes af terwijl ze operationele flexibiliteit behouden, terwijl degenen die deze maatregelen negeren, te maken krijgen met onopgemerkte referentie-inbreuk en onbeperkte beheerderstoegang waardoor tenantbrede schendingen mogelijk worden.

Hier volgen de vier kernpijlers van het Privileged Access-beveiligingsdomein.

Gebruikersidentiteiten beveiligen: Stel beveiliging in voor alle gebruikersaccounts, met name bevoorrechte accounts, via gecentraliseerd identiteitsbeheer, sterke meervoudige verificatie, levenscyclusbeheer, werkstations voor bevoegde toegang en planning voor toegang voor noodgevallen.

Gerelateerde besturingselementen:

Toepassingen en geheimen beveiligen: Beheer niet-menselijke identiteiten veilig via geautomatiseerde server-/serviceverificatie en veilig geheimenbeheer voor API-sleutels en -certificaten.

Gerelateerde besturingselementen:

Beveiligde toegang: Dwing minimale bevoegdheden en just-enough beheer af via tijdsgebonden machtigingen, beleid voor voorwaardelijke toegang en beheerde externe toegang voor cloudproviderondersteuning.

Gerelateerde besturingselementen:

Bewaken en beheren: Houd doorlopend toezicht via regelmatige toegangsbeoordelingen, afstemming van gebruikersrechten, anomaliedetectie en auditlogboekregistratie om ervoor te zorgen dat de juiste machtigingen en tijdige intrekking worden gegarandeerd.

Gerelateerde besturingselementen:

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: PA-1.

Beveiligingsprincipe

Identificeer alle accounts met hoge bedrijfsimpact en beperk het aantal bevoegde beheerdersaccounts binnen het besturingsvlak, het beheervlak en het gegevensworkloadvlak om het aanvalsoppervlak en de impact van gecompromitteerde referenties te minimaliseren.

Risico om te beperken

  • Onbevoegde toegang vanaf accounts met overprivilegiatie Kwaadwillende personen maken gebruik van accounts met hoge bevoegdheden met overmatige machtigingen om onbevoegde toegang te krijgen tot kritieke cloudresources, zoals beheerconsoles, API's of gevoelige gegevensarchieven. Zonder scheiding kan één gecompromitteerd beheerdersaccount aanvallers onbeperkte toegang bieden om IAM-beleid te wijzigen, schadelijke workloads te implementeren of gegevens over een hele tenant te exfiltreren.
  • Escalatie van bevoegdheden via gecompromitteerde beheerdersreferenties Aanvallers maken gebruik van gecompromitteerde bevoegde referenties om de toegang te escaleren en controle te krijgen over cloudtenants of kritieke infrastructuur. In omgevingen waarin beheerdersaccounts niet zijn geïsoleerd, kan een gestolen referentie worden gebruikt voor het manipuleren van roltoewijzingen, het maken van nieuwe bevoegde accounts of het uitschakelen van beveiligingscontroles, waardoor inbreuk op de hele tenant mogelijk is.
  • Permanente toegang vanaf verlopen of niet-bewaakte bevoegde accounts Aanvallers misbruiken verouderde of niet-bewaakte bevoegde accounts om permanente toegang te behouden, waardoor detectie na eerste inbreuk wordt ontwijkd. Beheerdersaccounts die actief blijven nadat rolwijzigingen of projectvoltooiing zijn voltooid, bieden aanvallers langetermijntoegang om API's aan te roepen of resources te wijzigen, waardoor het risico op langdurige schendingen toeneemt.

MITRE ATT&CK

  • Eerste toegang (TA0001) Geldige accounts: Cloudaccounts (T1078.004): In gevaar brengen van accounts met hoge bevoegdheden voor verificatie bij cloudconsoles of API's, toegang tot kritieke resources met behulp van gestolen beheerdersreferenties.
  • Escalatie van bevoegdheden (TA0004) Misbruik van Elevation Control Mechanisme: Cloudinfrastructuur (T1548.005): Misbruik van ongescopede geprivilegieerde accounts om toegang te escaleren door IAM-beleid te wijzigen, waardoor tenantbrede controle wordt verkregen.
  • Persistentie (TA0003) Accountmanipulatie: Aanvullende cloudrollen (T1098.001): Het wijzigen van bevoegde accounts om permanente rollen toe te voegen, waardoor de toegang op lange termijn tot cloudresources wordt gehandhaafd.

PA-1.1: Hoogbevoegde/administratieve gebruikers beperken en limiteren in Microsoft Entra

Als u sterk geprivilegieerde administratieve accounts beperkt, voorkomt u onbevoegde tenantbrede toegang en beperkt u het impactgebied van gecompromitteerde referenties. Organisaties met overmatige globale beheerders lopen een verhoogd risico op schendingen waarbij aanvallers IAM-beleid kunnen manipuleren, schadelijke workloads kunnen implementeren of gegevens kunnen exfiltreren in alle resources. Als u deze accounts beperkt tot alleen essentieel personeel, dwingt u minimale bevoegdheden af en vermindert u de kwetsbaarheid voor aanvallen.

Implementeer de volgende beperkingen voor beheerdersrollen voor cloudidentiteiten:

  • Kritieke ingebouwde rollen identificeren De meest kritieke ingebouwde rollen in Microsoft Entra ID zijn globale beheerder en bevoorrechte rolbeheerder, omdat gebruikers die aan deze rollen zijn toegewezen, beheerdersrollen kunnen delegeren en direct of indirect elke resource in uw cloudomgeving lezen en wijzigen.

  • Aangepaste rolmachtigingen evalueren Controleer aangepaste rollen in uw identiteitsbeheersysteem voor bevoegde machtigingen die moeten worden beheerd op basis van uw bedrijfsbehoeften, waarbij dezelfde beperkingen worden toegepast als ingebouwde bevoorrechte rollen.

  • Beperkingen uitbreiden buiten cloudidentiteitssystemen Beperk bevoegde accounts in on-premises identiteitssystemen, beveiligingshulpprogramma's en systeembeheerprogramma's met beheerderstoegang tot bedrijfskritieke assets (zoals Active Directory-domeincontrollers, beveiligingsbewakingssystemen en configuratiebeheerhulpprogramma's), omdat inbreuk op deze beheersystemen aanvallers in staat stelt om ze te wapenen voor laterale verplaatsing naar cloudresources.

PA-1.2: Gebruikers met hoge bevoegdheden/beheerdersrechten beperken op Azure-resourceniveau

Het beperken van bevoorrechte rollen op resourceniveau voorkomt onbevoegde toegang tot cloudresources en dwingt minimale bevoegdheden af voor abonnementen en resourcegroepen. Overmatige toewijzingen van eigenaar of inzender in het abonnementsbereik stellen aanvallers in staat om resources te bewerken, beveiligingscontroles te wijzigen of bevoegdheden te escaleren na initiële inbreuk. Het beperken van deze toewijzingen vermindert de straalstraal en zorgt ervoor dat beheerderstoegang overeenkomt met operationele verantwoordelijkheden.

Pas de volgende beperkingen toe voor beheerdersrollen op cloudresourceniveau:

  • Kritieke ingebouwde resourcerollen beperken Azure heeft ingebouwde rollen die uitgebreide machtigingen verlenen (eigenaar verleent volledige toegang, inclusief roltoewijzing; Inzender verleent volledig resourcebeheer; Gebruikerstoegangsbeheerder maakt gebruikerstoegangsbeheer mogelijk, waarvoor dezelfde beperkingen zijn vereist als bevoorrechte rollen op tenantniveau.

  • Aangepaste resourcerollen beheren Controleer en beperk aangepaste rollen op resourceniveau met bevoegde machtigingen die zijn toegewezen aan bedrijfsbehoeften, zodat ze niet per ongeluk overmatige toegang verlenen via machtigingscombinaties.

  • Facturerings- en abonnementsbeheerrollen beheren Beperk voor klanten met Enterprise Agreement azure Cost Management- en factureringsbeheerdersrollen (accounteigenaar, ondernemingsbeheerder, afdelingsbeheerder) omdat ze abonnementen direct of indirect kunnen beheren, abonnementen kunnen maken/verwijderen en andere beheerders kunnen beheren.

Voorbeeld van implementatie

Uitdaging: Een organisatie voor financiële services heeft overmatige bevoorrechte toegang ontdekt in zowel identiteits- als resourcelagen: 47 globale beheerdersaccounts in Microsoft Entra-id (meest ongebruikt voor meer dan zes maanden) en 89 gebruikers met de rol Eigenaar in het abonnementsbereik in Azure, waardoor een enorme kwetsbaarheid voor aanvallen ontstaat en de beginselen voor minimale bevoegdheden worden overtreden.

Solution:

  • Rollen met Entra-bevoegdheden controleren en verminderen: Een uitgebreide controle uitgevoerd van alle globale beheerders- en bevoorrechte rolbeheerderstoewijzingen, waarbij zakelijke rechtvaardiging voor elk account is geïdentificeerd en het aantal globale beheerders van 47 tot 8 is gereduceerd in lijn met de operationele behoeften.
  • Rolspecifieke toewijzingen implementeren in Entra: Gebruikers zijn overgestapt van globale beheerder naar specifieke rollen (gebruikersbeheerder, beveiligingsbeheerder, nalevingsbeheerder) op basis van werkelijke taakfuncties, met behulp van ingebouwde Microsoft Entra-rollen om gedetailleerde machtigingen af te dwingen.
  • Toewijzingen van Azure-abonnementsbereik verminderen: Alle roltoewijzingen van eigenaar en inzender op RBAC-niveau (Op rollen gebaseerd toegangsbeheer) van Azure gecontroleerd, waardoor toewijzingen van eigenaar van abonnementsbereik worden verlaagd van 89 tot 12 door rollen te beperken tot specifieke resourcegroepen op basis van teamverantwoordelijkheden.
  • Resourcegroep scoping implementeren: Ontwikkelingsteams overgezet van Contributor op abonnementsniveau naar Contributor op resourcegroepsniveau of specifieke ingebouwde rollen (Contributor voor virtuele machines, Contributor voor opslagaccounts) die overeenkomen met de werkelijke behoeften.
  • Geïntegreerde governance tot stand brengen: Er is een goedkeuringswerkstroom gemaakt waarvoor leidinggevenden en beveiligingsteam zich moeten afmelden voor nieuwe bevoorrechte roltoewijzingen op zowel Entra- als Azure-resourceniveaus, met driemaandelijkse toegangsbeoordelingen en geautomatiseerde waarschuwingen voor toewijzingen die goedgekeurde bereiken overschrijden.

Resultaat: Organisatie vermindert aanzienlijk het aanvalsoppervlak voor bevoegde accounts in identiteits- en resourcelagen, elimineert verouderde beheerderstoegang en heeft duurzame governance tot stand gebracht, waardoor bevoegdheden op tenant- en abonnementsniveaus worden voorkomen.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2(1), AC-2(7), AC-5, AC-6(1), AC-6(5)
  • PCI-DSS v4 7.2.2, 7.2.4, 8.2.2
  • CIS-controls v8.1 5.4, 6.7, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.2

PA-2: Voorkom permanente toegang voor gebruikersaccounts en -machtigingen

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: PA-2.

Beveiligingsprincipe

Implementeer just-in-time bevoegde toegangsmechanismen om tijdelijke, tijdgebonden machtigingen toe te wijzen in plaats van permanente bevoegdheden, ter voorkoming van kwaadwillende of onbevoegde gebruikers die gebruik kunnen maken van altijd-actieve beheerderstoegang bij compromittering van referenties of acties van insiders.

Risico om te beperken

  • Onbevoegde toegang vanaf permanente bevoegde accounts Altijd beschikbare rollen met hoge bevoegdheden stellen kwaadwillenden in staat gecompromitteerde referenties te misbruiken voor onbevoegde toegang tot cloudbronnen, zoals het aanroepen van API's om gegevens te exfiltreren of kwaadaardige workloads te implementeren, waarbij gebruik wordt gemaakt van altijd aanwezige machtigingen zonder tijdsbeperkingen.
  • Escalatie van bevoegdheden via gecompromitteerde referenties Met gecompromitteerde accounts met permanente verhoogde rollen kunnen aanvallers bevoegdheden escaleren door IAM-beleid aan te passen, zoals het toewijzen van beheerdersrollen voor de hele tenant, waarbij gebruik wordt gemaakt van de afwezigheid van beperkte toegang om controle te krijgen over abonnementen of resources.
  • Langdurige blootstelling door verouderde toegang Niet ingetrokken rollen na voltooiing van de taak creëren uitgebreide blootstellingsvensters, waardoor aanvallers verouderde inloggegevens kunnen misbruiken voor onbevoegde toegang, zoals het extraheren van gegevens uit opslagaccounts, vanwege vergeten of onbeheerde machtigingen.

MITRE ATT&CK

  • Eerste toegang (TA0001) Geldige accounts: Cloudaccounts (T1078.004): Compromitteren van accounts met hoge bevoegdheden en vaste rollen om authenticatie voor cloudbeheerconsoles of API's mogelijk te maken, waarbij het gebruik van permanente referenties toegang biedt tot resources zonder tijdsbeperkingen.
  • Escalatie van bevoegdheden (TA0004) Mechanisme voor misbruik van bevoegdhedenbeheer: Cloudinfrastructuur (T1548.005): Gebruik van permanente bevoorrechte rollen om de toegang te escaleren door IAM-beleid te wijzigen, waarbij gebruik wordt gemaakt van always-on-machtigingen om onbevoegde controle over abonnementen te krijgen.
  • Persistentie (TA0003) Accountmanipulatie: aanvullende cloudrollen (T1098.001): roltoewijzingen wijzigen om permanente toegang te behouden door rollen met hoge bevoegdheden toe te voegen aan gecompromitteerde accounts, waarbij het gebrek aan beperkte toegang wordt misbruikt.

PA-2.1: Just-In-Time-beheer (JIT) gebruiken voor toegang tot Azure-resources

Just-in-Time bevoegde toegang voorkomt permanente beheerdersmachtigingen die ongeautoriseerde toegang mogelijk maken na compromittering van inloggegevens. Organisaties met permanente bevoorrechte rollen hebben te maken met uitgebreide blootstellingsvensters, waarbij aanvallers altijd gebruik kunnen maken van machtigingen voor gegevensexfiltratie, escalatie van bevoegdheden of laterale verplaatsing zonder tijdsbeperkingen. Het implementeren van JIT-toegang zorgt ervoor dat machtigingen automatisch verlopen, waardoor de impactstraal beperkt wordt en het aanvalsoppervlak verminderd wordt.

Just-In-Time-toegang inschakelen via de volgende methode:

  • Privileged Identity Management implementeren Schakel Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Microsoft Entra-id in met behulp van Microsoft Entra Privileged Identity Management (PIM), waarbij gebruikers tijdelijke machtigingen ontvangen om bevoegde taken uit te voeren die automatisch verlopen, waardoor onbevoegde toegang wordt voorkomen nadat machtigingen zijn verlopen en beveiligingswaarschuwingen voor verdachte activiteiten worden gegenereerd.

  • In aanmerking komende roltoewijzingen configureren Beheerders wijzen in aanmerking komende rollen toe aan gebruikers of groepen via PIM, opgeven wie bevoorrechte rollen kan aanvragen en activeringsvereisten kunnen definiëren, waaronder goedkeuringswerkstromen, MFA-vereisten en tijdgebonden duur (meestal 1-8 uur).

  • Activeringswerkstromen tot stand brengen Gebruikers vragen om rolactivering via de Azure-portal of PIM-API wanneer bevoegde toegang nodig is, waarbij goedkeurders aanvragen beoordelen op basis van beleid en toegang verlenen of weigeren, terwijl PIM alle acties voor controledoeleinden registreert.

  • Automatische verlooptijd implementeren Toegang verloopt automatisch wanneer de activeringsperiode afloopt of gebruikers kunnen handmatig deactiveren als taken zijn voltooid, zodat bevoegde machtigingen niet actief blijven na operationele behoeften.

  • JIT inschakelen voor toegang tot virtuele machines Gebruik Azure Bastion met JIT-VM-toegang vanuit Microsoft Defender voor Cloud om inkomend verkeer te beperken tot de beheerpoorten van gevoelige virtuele machines, waarbij alleen toegang wordt verleend wanneer gebruikers deze nodig hebben en automatisch intrekken wanneer de tijd verloopt.

Voorbeeld van implementatie

Uitdaging Een wereldwijd retailbedrijf had 156 gebruikers met vaste rollen Eigenaar en Inzender in het abonnementsbereik, waardoor permanente toegang met hoge bevoegdheden werd gemaakt die actief bleef 24/7 ondanks onregelmatige administratieve behoeften.

Solution

  • PIM implementeren voor Azure-resources Alle vaste roltoewijzingen van eigenaar en inzender geconverteerd naar in aanmerking komende rollen in PIM, waarbij gebruikers alleen rollen moeten activeren wanneer ze beheertaken uitvoeren met een tijdsgebonden activering van vier uur.
  • Goedkeuringswerkstromen configureren Er is goedkeuring met meerdere fasen tot stand gebracht voor activering van de rol van eigenaar waarvoor goedkeuring van de resource-eigenaar en beveiligingsteam is vereist, met geautomatiseerde MFA-afdwingings- en rechtvaardigingsvereisten voor alle bevoegde toegangsaanvragen.
  • JIT VM-toegang inschakelen Azure Bastion geïmplementeerd met Defender for Cloud JIT-besturingselementen waarmee RDP-/SSH-toegang tot virtuele machines in productieomgevingen wordt beperkt, waardoor alleen toegang wordt verleend via goedgekeurde tijdgebonden aanvragen, waardoor permanente blootstelling aan beheerpoorten wordt geëlimineerd.

Resultaat Organisatie heeft permanente bevoegde toegang geëlimineerd, aanzienlijk minder kwetsbaarheid voor aanvallen van permanente beheerdersmachtigingen en tot stand gebrachte automatische verlooptijd die vergeten verhoogde toegang verhindert.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2(1), AC-5, AC-6(2), AC-6(5), AC-16
  • PCI-DSS v4 7.2.2, 7.2.5, 8.2.8
  • CIS-controles v8.1 5.4, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.3

PA-3: De levenscyclus van identiteiten en rechten beheren

Beveiligingsprincipe

Gebruik geautomatiseerde processen of technische controles om de volledige identiteits- en toegangslevenscyclus te beheren, zoals aanvragen, beoordelen, goedkeuren, inrichten en ongedaan maken van de inrichting, om ervoor te zorgen dat machtigingen worden afgestemd op bedrijfsbehoeften en worden ingetrokken wanneer ze niet meer nodig zijn.

Risico om te beperken

  • Onbevoegde toegang vanwege overmatige machtigingen Identiteiten verleenden meer toegangsrechten dan vereist, schenden van minimale bevoegdheden en het vergroten van de kwetsbaarheid voor aanvallen.
  • Verouderde of zwevende toegang vanuit niet-beheerde accounts Machtigingen die behouden blijven nadat ze niet meer nodig zijn of accounts actief na vertrek van de gebruiker, waardoor potentiële exploitatie mogelijk is.
  • Insider-bedreigingen van onjuist geconfigureerde of niet-bewaakte toegang Geautoriseerde gebruikers die machtigingen misbruiken vanwege onjuist geconfigureerd beleid of gebrek aan toezicht, waaronder het omzeilen van goedkeuringsprocessen.
  • Niet-naleving van regelgevingsstandaarden Het niet afdwingen van minimale bevoegdheden, niet uitvoeren van toegangscontroles of het niet tijdig ongedaan maken van inrichtingen, met het risico op schendingen van standaarden zoals AVG, HIPAA, SOC 2 of ISO 27001.
  • Menselijke fout in toegangsbeheer Handmatige processen die leiden tot onjuiste machtigingstoekenningen, over het hoofd geziene deprovisioning, of onjuist geconfigureerde goedkeuringsketens.
  • Gebrek aan controlebaarheid en traceerbaarheid Geen goede logboekregistratie en documentatie, waardoor het bijhouden van toegangsaanvragen, goedkeuringen of inrichting wordt belemmerd, waardoor de detectie van schendingen wordt vertraagd.

MITRE ATT&CK

  • Initiële toegang (TA0001) waarbij geldige accounts (T1078.004) worden misbruikt door gebruik te maken van gecompromitteerde of verlopen cloudreferenties voor verificatie bij API's of beheerconsoles, waardoor onbevoegde toegang tot cloudresources mogelijk is.
  • Uitbreiding van bevoegdheden (TA0004) misbruiken van mechanismen voor uitbreidingsbeheer (T1548.005) door misbruik te maken van onjuist geconfigureerd RBAC-beleid of overmatige machtigingen om verhoogde rollen toe te wijzen vanuit een resourcegroepsrol.
  • Persistentie (TA0003) waarbij aanvallers accounts manipuleren (T1098.001) door IAM-beleid te wijzigen of MFA uit te schakelen om voortgezette toegang te verkrijgen, zodat zij onbevoegde controle over cloudresources kunnen behouden.
  • Exfiltratie (TA0010), toegang krijgen tot gegevens uit cloudopslag (T1530) met behulp van overprivilegieerde accounts om gevoelige gegevens op te sporen en op te halen uit storage buckets of databases.
  • Verdedigingsontduiking (TA0005) die de verdediging schaden (T1562.001) door auditlogboekregistratie van de cloud uit te schakelen of te monitoren met accounts met hoge bevoegdheden, waardoor schadelijke acties zoals resourcewijzigingen verborgen blijven.

PA-3.1: Levenscyclus van identiteiten en rechten beheren

Geautomatiseerd beheer van identiteitslevenscycli voorkomt zwevende accounts, niet-aangetrokken machtigingen en overmatige toegang die behouden blijven na rolwijzigingen of vertrek van werknemers. Organisaties die afhankelijk zijn van handmatig toegangsbeheer, hebben te maken met vertraagde verwijdering van toegang, inconsistente goedkeuringsprocessen en gebrek aan traceerbaarheid, waardoor beveiligingsgaten ontstaan waarbij onbevoegde gebruikers verouderde referenties benutten voor gegevensexfiltratie of escalatie van bevoegdheden. Het implementeren van geautomatiseerde werkstromen zorgt ervoor dat de toegang overeenkomt met de huidige bedrijfsbehoeften door consistente aanvragen, goedkeuring, inrichting en verloopprocessen.

Geautomatiseerd beheer van identiteits- en toegangslevenscyclus tot stand brengen via de volgende aanpak:

  • Doelstellingen en bereik van toegangsbeheer plannen Definieer toegangsbehoeften door Azure-resourcegroepen te identificeren die toegangsbeheer vereisen, inclusief specifieke rollen (bijvoorbeeld Eigenaar, Inzender) en identiteiten van gebruikers of werkbelastingen, waarmee grenzen worden vastgesteld voor governance- en goedkeuringswerkstromen.

  • Verantwoordelijkheden toewijzen Globale beheerders, identiteitsbeheerbeheerders of cataloguseigenaren toewijzen voor het beheren van rechtenbeheer en toegangspakketten, het delegeren aan resource-eigenaren of projectmanagers die toegangsaanvragen voor specifieke Azure-resourcegroepen beoordelen en goedkeuren.

  • Rechtenbeheer instellen voor werkstromen voor toegangsaanvragen Maak catalogi in het Microsoft Entra-beheercentrum om gerelateerde resources en toegangspakketten te organiseren, specifieke Azure-resourcegroepen toe te voegen met hun rollen (bijvoorbeeld Inzender, Lezer) als catalogusresources en vervolgens toegangspakketten te definiëren die aangeven welke Gebruikers van de Azure-resourcegroeprollen samen met de toegangsduur en goedkeuringsvereisten kunnen aanvragen.

  • Toegangsbeleid configureren Stel gebruikers in staat om toegang aan te vragen via de Microsoft Entra My Access-portal, het instellen van eenmalige, dubbele of goedkeuringswerkstromen met meerdere fasen met aangewezen goedkeurders (bijvoorbeeld resource-eigenaren, managers), het definiëren van vervaldatums voor toegang of tijdgebonden toegang voor automatische intrekking en het configureren van waarschuwingen voor inzendingen, goedkeuringen, weigeringen en toekomstige vervaldatums.

  • Toegangsaanvragen verwerken en controleren Gebruikers verzenden toegangsaanvragen voor Azure-resourcegroepsrollen via de Portal Mijn toegang, waarbij geconfigureerde werkstromen worden geactiveerd die aangewezen goedkeurders informeren en details van logboekaanvragen melden, terwijl goedkeurders aanvragen beoordelen op basis van de gebruikersrol, aangevraagde toegang en rechtvaardiging, indien nodig om verduidelijking te vragen voordat ze worden goedgekeurd of geweigerd met gedocumenteerde redenen.

  • Toegang automatisch inrichten en ongedaan maken Na goedkeuring wijst Microsoft Entra automatisch aangevraagde Azure-rollen toe aan gebruikers voor opgegeven resourcegroepen met directe toegang, waarbij automatische intrekking wordt afgedwongen wanneer vooraf gedefinieerde vervaldatums per beleid voor toegangspakketten worden bereikt, terwijl beheerders of resource-eigenaren de toegang handmatig kunnen verwijderen als gebruikersrollen of projecten vóór de vervaldatum veranderen.

  • Overmatige machtigingen detecteren en de juiste grootte geven Gebruik Microsoft Entra Permissions Management om ongebruikte en overmatige machtigingen te identificeren die zijn toegewezen aan identiteiten van gebruikers en werkbelastingen in meerdere cloudinfrastructuren, waarbij automatisch de grootte van machtigingen wordt aangepast en continu wordt gecontroleerd om bevoegdheden te voorkomen.

Voorbeeld van implementatie

Uitdaging Een multinationale onderneming met 8.500 werknemers in 40 landen/regio's worstelde met handmatige toegangsinrichting waarvoor 3-5 werkdagen per aanvraag nodig was, waardoor operationele vertragingen ontstaan en 450+ zwevende accounts van vertrekkene werknemers met actieve bevoegde toegang accumuleren.

Solution

  • Rechtenbeheer implementeren Microsoft Entra ID-rechtenbeheer geïmplementeerd met toegangspakketten voor alle Azure-resourcegroepen, het tot stand brengen van geautomatiseerde werkstromen voor aanvraag, goedkeuring in meerdere fasen en tijdgebonden toegang met automatische vervaldatum.
  • Levenscycluswerkstromen configureren Geautomatiseerde joiner-/mover-/verlofwerkstromen gemaakt die directe inrichting activeren voor nieuwe werknemers, toegangsupdates voor rolwijzigingen en onmiddellijke ongedaan maken van de inrichting bij beëindiging met verwijdering van alle toegangspakketten en bevoorrechte groepen.
  • Machtigingenbeheer implementeren Continue bewaking geïmplementeerd voor het detecteren van ongebruikte machtigingen in een infrastructuur met meerdere clouds, automatisch het aanpassen van de grootte van overingerichte rollen en het genereren van waarschuwingen voor bevoegdheden waarvoor revisie vereist is.

Resultaat De organisatie verminderde inrichtingstijd van 3-5 dagen tot minder dan 2 uur, elimineerde alle weesaccounts via geautomatiseerde deprovisioning, en bereikte volledige controleerbaarheid van toegangsverzoeken met volledige goedkeuringsspoordocumentatie.

Kritieksniveau

Had moeten.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2, AC-2(1), AC-2(3), AC-2(4), IA-4
  • PCI-DSS v4 7.2.2, 7.2.4, 8.1.3, 8.1.4
  • CIS-controles v8.1 5.1, 5.2, 5.3, 6.1
  • NIST CSF v2.0 PR. AA-3, PR. AC-1, PR. AC-4
  • ISO 27001:2022 A.5.15, A.5.16, A.5.17, A.5.18
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-4: Gebruikerstoegang regelmatig controleren en afstemmen

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: PA-4.

Beveiligingsprincipe

Voer periodieke controles uit van bevoegde accountrechten om te controleren of toegangsmachtigingen strikt zijn afgestemd op geautoriseerde beheerfuncties, waardoor het beginsel van minimale bevoegdheden wordt nageleefd.

Risico om te beperken

  • Onbevoegde toegang vanwege overmatige machtigingen Identiteiten verleenden meer toegangsrechten dan vereist, schenden van minimale bevoegdheden en het vergroten van de kwetsbaarheid voor aanvallen.
  • Verouderde of zwevende toegang vanuit niet-beheerde accounts Machtigingen die behouden blijven nadat ze niet meer nodig zijn of accounts actief na vertrek van de gebruiker, waardoor potentiële exploitatie mogelijk is.
  • Insider-bedreigingen van onjuist geconfigureerde of niet-bewaakte toegang Geautoriseerde gebruikers die machtigingen misbruiken vanwege onjuist geconfigureerd beleid of gebrek aan toezicht, waaronder het omzeilen van goedkeuringsprocessen.
  • Niet-naleving van regelgevingsstandaarden Het niet afdwingen van minimale bevoegdheden, niet uitvoeren van toegangscontroles of het niet tijdig ongedaan maken van inrichtingen, met het risico op schendingen van standaarden zoals AVG, HIPAA, SOC 2 of ISO 27001.
  • Menselijke fout in toegangsbeheer Handmatige processen die leiden tot onjuiste machtigingstoekenningen, over het hoofd geziene deprovisioning, of onjuist geconfigureerde goedkeuringsketens.
  • Gebrek aan controlebaarheid en traceerbaarheid Geen goede logboekregistratie en documentatie, waardoor het bijhouden van toegangsaanvragen, goedkeuringen of inrichting wordt belemmerd, waardoor de detectie van schendingen wordt vertraagd.

MITRE ATT&CK

  • Initiële toegang (TA0001) waarbij geldige accounts (T1078.004) worden misbruikt door gebruik te maken van gecompromitteerde of verlopen cloudreferenties, zoals overprivilegieerde serviceaccounts, om te verifiëren bij API's of beheerconsoles, waardoor onbevoegde toegang tot cloudresources mogelijk is zonder waarschuwingen te activeren.
  • Escalatie van bevoegdheden (TA0004) misbruikt elevatiecontrolemechanismen (T1548.005) door gebruik te maken van onjuist geconfigureerd RBAC-beleid of overmatige machtigingen voor het toevoegen van verhoogde rollen, zoals beheerderstoegang tenantbreed, vanuit een rol in de resourcegroep.
  • Persistentie (TA0003) door accounts te manipuleren (T1098.001) door IAM-beleid te wijzigen of MFA uit te schakelen om permanente toegang te verankeren, waardoor aanvallers onbevoegde controle over cloudresources, zoals opslag of rekenkracht, kunnen behouden.
  • Exfiltratie (TA0010) toegang verkrijgen tot gegevens uit cloudopslag (T1530) met behulp van over-privilegieerde accounts om gevoelige gegevens te inventariseren en op te halen uit opslagbuckets of databases, waarbij gebruik wordt gemaakt van niet ingetrokken of slecht gevalideerde machtigingen.
  • Beveiligingsontduiking (TA0005) die de verdediging belemmeren (T1562.001) door auditlogboekregistratie van de cloud uit te schakelen of bewaking met accounts met hoge bevoegdheden uit te schakelen, waardoor schadelijke acties, zoals wijzigingen in resources of toegang tot gegevens, worden verborgen.

PA-4.1: Gebruikerstoegang regelmatig controleren en afstemmen

Bekijk alle bevoegde accounts en toegangsrechten in Microsoft Azure, waaronder Azure-tenants, Azure-services, virtuele machines (VM's)/Infrastructure as a Service (IaaS), CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en -beveiliging.

Gebruik Microsoft Entra ID-toegangsbeoordelingen om Microsoft Entra-rollen , Azure-resourcetoegangsrollen, groepslidmaatschappen en toegang tot bedrijfstoepassingen te evalueren. Rapportage over Microsoft Entra ID bevat logboeken voor het identificeren van verouderde accounts of accounts die niet gedurende een bepaalde periode zijn gebruikt.

Bovendien kan Microsoft Entra Privileged Identity Management (PIM) worden geconfigureerd om waarschuwingen te verzenden wanneer een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol en om beheerdersaccounts te detecteren die verouderd of onjuist zijn geconfigureerd.

Het bereik en de doelstellingen van de toegangsbeoordeling plannen Bepaal welke Azure-resources (bijvoorbeeld abonnementen, resourcegroepen, VM's) en Microsoft Entra-rollen (bijvoorbeeld globale beheerder, gebruikersbeheerder) moeten worden beoordeeld, beoordelingsfrequentie (bijvoorbeeld maandelijks, kwartaal) moeten worden ingesteld op basis van beveiligingsvereisten en wettelijke behoeften.

Beoordelingsverantwoordelijkheden toewijzen Wijs resource-eigenaren, beveiligingsteams of rolbeheerders aan om beoordelingen uit te voeren, zodat revisoren over de juiste machtigingen in PIM beschikken.

Toegangsbeoordelingen instellen in Microsoft Entra PIM Maak toegangsbeoordelingen voor Entra-rollen door specifieke Microsoft Entra-rollen te selecteren die moeten worden gecontroleerd, revisoren (personen, groepseigenaren of zelfbeoordelingen) te selecteren en beoordelingsparameters in te stellen, waaronder duur en terugkeerpatroon. Voor Azure-resources kiest u abonnementen of resourcegroepen, selecteert u Azure-resourcerollen (bijvoorbeeld Eigenaar, Inzender) voor evaluatie, wijst u revisoren toe en configureert u controle-instellingen, waaronder begin-/einddatums en terugkeerpatroon.

Toegangsbeoordelingen uitvoeren Revisoren evalueren of gebruikers nog steeds toegewezen Microsoft Entra-rollen nodig hebben op basis van taakfuncties of projectbehoeften, beoordelen of gebruikers permanente toegang nodig hebben tot specifieke Azure-resources en -rollen die de afstemming met de huidige verantwoordelijkheden verifiëren en vereisen dat gebruikers of revisoren redenen hebben om toegang te behouden, zodat beslissingen worden gedocumenteerd.

Acties uitvoeren op basis van beoordelingsresultaten Verwijder onnodige toegang door rollen of toegang in te trekken voor gebruikers die ze niet meer nodig hebben, door Gebruik te maken van Microsoft Entra ID-rapportage naast PIM om accounts zonder recente activiteit te identificeren en hun rollen te verwijderen of te deactiveren. U kunt pim-functies ook gebruiken voor verbeterde afstemming, het detecteren van overmatige roltoewijzingen en het automatiseren van lopende beoordelingen op vooraf gedefinieerde planningen.

Voorbeeld van implementatie

Uitdaging Een technologiebedrijf met 650 bevoegde rekeningen ontdekt tijdens de jaarlijkse audit dat 89 rekeningen (14%) niet meer dan 180 dagen waren gebruikt, terwijl 34 accounts verhoogde machtigingen behouden ondanks dat gebruikers overschakelen naar niet-administratieve rollen.

Solution

  • Kwartaaltoegangsbeoordelingen implementerenMicrosoft Entra PIM-toegangsbeoordelingen geïmplementeerd voor alle Azure-abonnementen en Entra-rollen met driemaandelijkse terugkerende planningen, waarbij resource-eigenaren worden toegewezen als primaire revisoren en beveiligingsteam als secundaire revisoren voor toezicht.
  • Automatische detectie inschakelen Geconfigureerde PIM-waarschuwingen voor overmatige roltoewijzingen (>8 globale beheerders) en accounts die gedurende 90+ dagen niet worden gebruikt, waarbij integratie met Microsoft Sentinel wordt uitgevoerd voor realtime meldingen naar het Security Operations Center.
  • Remediatiewerkstromen instellen Er zijn gestandaardiseerde responsprocedures gemaakt waarbij revisoren moeten redenen geven voor het onderhouden van toegang of het onmiddellijk intrekken van onbevoegde toestemmingen, met automatische escalatie voor te late beoordelingen aan het governance-team.

Resultaat Organisatie identificeerde en verwijderde 89 verouderde accounts en 34 te ruim ingerichte accounts, verminderde het aantal globale beheerders van 12 naar 6 en bereikte een voltooiingspercentage van 100% per kwartaal met gedocumenteerde rechtvaardigingen.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2(3), AC-2(7), AC-6(7), IA-4
  • PCI-DSS v4 7.2.4, 8.1.4, 8.2.6
  • CIS Controls v8.1 5.3, 5.4, 6.2
  • NIST CSF v2.0 PR. AA-3, PR. AC-6, DE. CM-3
  • ISO 27001:2022 A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-5: Toegang voor noodgevallen instellen

Beveiligingsprincipe

Stel toegang voor noodgevallen in om ervoor te zorgen dat u in een noodgeval niet per ongeluk bent uitgesloten van uw kritieke cloudinfrastructuur. Accounts voor toegang tot noodgevallen moeten zelden worden gebruikt en kunnen zeer schadelijk zijn als ze worden aangetast, maar hun beschikbaarheid is van cruciaal belang voor scenario's wanneer ze vereist zijn.

Risico om te beperken

  • Beheervergrendeling van cloudtenantbeheer Verlies van toegang tot een cloudtenant wanneer alle bevoegde accounts worden geblokkeerd door MFA-fouten, federatiestoringen of gecompromitteerde/verwijderde accounts, waardoor IAM-beleidsupdates of resourcebeheer worden voorkomen.
  • Onbevoegde toegang tot accounts met hoge bevoegdheden Met zwak beveiligde referenties of onbeperkte toegang tot accounts voor noodgevallen kunnen kwaadwillende gebruikers zich verifiëren bij cloudbeheerconsoles of API's, waardoor uitbreiding van bevoegdheden of gegevensexfiltratie wordt vergemakkelijkt.
  • Insider-bedreigingen via oneigenlijk gebruikte noodtoegang Noodaccounts die standaardcontroles omzeilen, worden door geautoriseerd personeel oneigenlijk gebruikt voor niet-noodsituatiedoeleinden, met het risico op het blootleggen van inloggegevens of onbevoegde toegang.
  • Gebrek aan controlebaarheid voor toegang tot noodgevallen Onvoldoende logboekregistratie of bewaking van accountactiviteiten voor noodgevallen voorkomt detectie van niet-geautoriseerd gebruik, waardoor incidentrespons wordt vertraagd.
  • Operationele fout van niet-geteste accounts voor noodgevallen Niet-geteste noodaccounts met verouderde referenties of onjuist geconfigureerde IAM-bindingen mislukken tijdens crises, waardoor het herstel van toegang en het verergeren van vergrendelingen wordt voorkomen.

MITRE ATT&CK

  • Eerste toegang (TA0001) - Geldige accounts: cloudaccounts (T1078.004) Het benutten van gecompromitteerde noodtoegangsaccounts met hoge privileges om te verifiëren bij cloudbeheerconsoles of API's, waarbij onveilig opgeslagen inloggegevens worden misbruikt.
  • Escalatie van bevoegdheden (TA0004) - Mechanisme voor onrechtmatige uitbreiding van bevoegdheden: Cloudinfrastructuur (T1548.005) Accounts voor overprivilegieerde noodgevallen met overmatige IAM-rollen worden misbruikt om toegang te escaleren, zodat kwaadwillende personen beleidsregels kunnen wijzigen of beheerdersmachtigingen op tenantniveau kunnen toewijzen.
  • Persistentie (TA0003) - Accountmanipulatie: Aanvullende cloudreferenties (T1098.001) Het wijzigen van accountconfiguraties voor noodgevallen, zoals het toevoegen van permanente rollen of het uitschakelen van MFA, om onbevoegde toegang te behouden.
  • Defensieontduiking (TA0005) - Beveiligingsfouten: Cloudlogboeken uitschakelen of wijzigen (T1562.008) Het gebruik van accounts voor noodgevallen om auditlogboekregistratie of controle uit te schakelen in cloudomgevingen, waarbij schadelijke acties worden verborgen.
  • Referentietoegang (TA0006) - Toegangstoken voor toepassingen stelen (T1528) Het stelen van referenties voor noodaccounts die onveilig zijn opgeslagen om te verifiëren bij cloudservices.

PA-5.1: Noodtoegang instellen

Accounts voor noodtoegang ('break-glass'-accounts) voorkomen volledige administratieve afsluiting tijdens storingen bij MFA, federatiestoringen of gecompromitteerde beheerdersaccounts. Zonder deze accounts lopen organisaties het risico om tenanttoegang te verliezen wanneer normale verificatiepaden mislukken. Het implementeren van noodtoegang zorgt voor bedrijfscontinuïteit terwijl de beveiliging wordt gehandhaafd via beheerd referentiebeheer, bewaking en testen.

Maak accounts voor noodtoegang via de volgende gestructureerde aanpak:

  • Accounts voor noodtoegang maken Configureer ten minste twee cloudaccounts (niet gefedereerd) met de rol Globale beheerder in Microsoft Entra ID, met behulp van beschrijvende namen (bijvoorbeeld EmergencyAccess01, BreakGlass02) die duidelijk hun doel identificeren, zodat accounts niet worden toegewezen aan specifieke personen en uitsluitend toegewezen blijven voor noodscenario's.

  • Referenties beveiligen met dubbele controle Genereer sterke, willekeurig aangemaakte wachtwoorden van ten minste 32 tekens die zo zijn geconfigureerd dat ze nooit verlopen. Implementeer dubbele controlemechanismen door referenties op te splitsen in meerdere onderdelen die zijn opgeslagen op afzonderlijke veilige fysieke locaties (bijvoorbeeld brandwerende kluizen op verschillende locaties) die alleen toegankelijk zijn voor geautoriseerde C-level executives of beveiligingsleiders. Documenteer ophaalprocedures waarvoor goedkeuring van meerdere personen nodig is.

  • Uitsluitingen voor voorwaardelijke toegang configureren Sluit ten minste één account voor noodgevallen uit van alle beleidsregels voor voorwaardelijke toegang en MFA-vereisten om toegang te garanderen tijdens serviceonderbrekingen, terwijl eventueel het tweede account wordt beveiligd met FIDO2-beveiligingssleutels die zijn opgeslagen op beveiligde locaties, waardoor referentiediversiteit wordt beschermd tegen verificatiefouten met één punt.

  • Uitgebreide bewaking en waarschuwingen inschakelen Configureer Azure Monitor of Microsoft Sentinel voor het analyseren van aanmeldings- en auditlogboeken van Microsoft Entra ID, het maken van realtime waarschuwingen (e-mail en sms) die worden geactiveerd voor verificatie van noodgevallen of configuratiewijzigingen, het tot stand brengen van procedures voor het reageren op incidenten waarvoor onmiddellijke meldingen van beveiligingsteam en documentatie voor alle gebruik van noodgevallenaccounts zijn vereist.

  • Test- en onderhoudsprocedures instellen Test driemaandelijkse toegang tot het account voor noodgevallen om de functionaliteit te controleren, werk referenties elke 90 dagen bij of onmiddellijk na wijzigingen van het personeel die van invloed zijn op geautoriseerde gebruikers, train geautoriseerde beheerders op break-glass-procedures, waaronder het ophalen van referenties en incidentdocumentatie, het onderhouden van geschreven runbooks die het volledige toegangsproces voor noodgevallen documenteren voor naleving en operationele gereedheid.

Voorbeeld van implementatie

Uitdaging Een multinationale financiële dienstverlening heeft een federatiestoring ervaren die van invloed is op hun hybride identiteitsinfrastructuur, waardoor ze geen functionerend toegangspad voor noodgevallen naar Microsoft Entra ID hadden. Alle 15 globale beheerders vertrouwden op federatieve verificatie, waardoor de organisatie volledig is vergrendeld tijdens het incident waarvoor escalatie van Microsoft-ondersteuning nodig is om na 6 uur downtime weer toegang te krijgen.

Solution

  • Accounts voor noodtoegang maken Er zijn twee cloudtoegangsaccounts (EmergencyAccess01@contoso.onmicrosoft.com, ) BreakGlass02@contoso.onmicrosoft.comingericht met permanente roltoewijzingen van globale beheerder in Microsoft Entra ID, zodat accounts niet zijn gefedereerd of gesynchroniseerd vanuit on-premises Active Directory om afhankelijkheid van federatie-infrastructuur te elimineren.

  • Verificatie zonder wachtwoord implementeren met dubbel beheer EmergencyAccess01 geconfigureerd met FIDO2-wachtwoordsleutelverificatie en BreakGlass02 met verificatie op basis van certificaten voor referentiediversiteit, waarbij FIDO2-beveiligingssleutels worden opgeslagen in twee afzonderlijke brandveilige kluizen op hoofdkantoor en noodherstelsite, terwijl persoonlijke certificaatsleutels op hardwarebeveiligingsmodules alleen toegankelijk zijn voor leidinggevenden op C-niveau met twee persoonsautorisatievereisten die worden beschreven in noodresponsprocedures.

  • Uitsluitingen voor voorwaardelijke toegang strategisch configureren Er is een benoemd uitsluitingsbeleid voor locaties gemaakt voor EmergencyAccess01, waarbij het wordt uitgesloten van alle beleidsregels voor voorwaardelijke toegang, inclusief MFA-vereisten, terwijl BreakGlass02 onderworpen bleef aan phishingbestendige MFA-vereisten die een evenwichtige beveiligingsbenadering bieden, waardoor ten minste één account gegarandeerde toegang wordt gegarandeerd tijdens onderbrekingen van de verificatieservice.

  • Azure Monitor-waarschuwingen implementeren voor accountactiviteit voor noodgevallen Geconfigureerde Log Analytics-werkruimte met aangepaste waarschuwingsregels voor het opvragen van SigninLogs voor object-id's voor noodgevallen, het activeren van waarschuwingen voor kritieke ernst (Sev 0) met onmiddellijke e-mail- en sms-meldingen naar security Operations Center, CISO en IT-directeur wanneer accounts voor noodgevallen zijn geverifieerd, met waarschuwingsquery: SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" elke vijf minuten evalueren.

  • Driemaandelijkse validatie- en testprocedures instellen Er is een gedocumenteerd driemaandelijks oefenplan opgesteld waarbij aangewezen medewerkers van het beveiligingsteam referenties moeten ophalen uit beveiligde opslag, verifiëren via noodaccounts, en testadministratieve taken uitvoeren (zoals het opvragen van gebruikerslijsten via Microsoft Graph API). De activiteiten worden gedocumenteerd in incidentlogboeken en het beveiligingsteam wordt onmiddellijk op de hoogte gebracht om de werking van waarschuwingsfunctionaliteit en de toegankelijkheid van referenties te valideren. Referenties worden elke 90 dagen geroteerd en onmiddellijk na personeelswijzigingen die invloed hebben op geautoriseerde personen.

Resultaat Organisatie heeft een veerkrachtige noodtoegangsmogelijkheid vastgesteld die het falen van de volledige federatie-infrastructuur kan overleven, detecteerde 100% van verificaties voor noodaccounts binnen 5 minuten via geautomatiseerde waarschuwingen, waarbij vier keer per kwartaal validatietests met gemiddeld 12 minuten tijd voor het ophalen van referenties zijn uitgevoerd en het ongeautoriseerde gebruik van noodaccounts gedurende 12 maanden met uitgebreide audittrail voor alle testactiviteiten werd gehandhaafd.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2, CP-2, CP-9, IR-4, IA-4
  • PCI-DSS v4 8.2.8, 8.6.1, 12.10.1
  • CIS Controls v8.1 5.4, 6.5, 17.9
  • NIST CSF v2.0 PR.IP-10, RS.CO-3, RS.RP-1
  • ISO 27001:2022 A.5.24, A.5.29, A.17.1
  • SOC 2 CC6.1, CC7.4, CC9.1

PA-6: Oplossing voor bevoegde toegang gebruiken

Beveiligingsprincipe

Beveiligde, geïsoleerde bevoegde toegangsoplossingen zijn van cruciaal belang voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator.

Risico om te beperken

  • Inbreuk op referenties via malware of phishing op beheerwerkstations Aanvallers implementeren keyloggers, phishingpagina's of geheugen-scraping malware op onbeveiligde werkstations om bevoegde referenties vast te leggen, zoals API-tokens of wachtwoorden, waardoor onbevoegde toegang tot cloudbeheerconsoles of API's mogelijk is. Een phishing-aanval nabootst bijvoorbeeld een aanmeldingspagina in de cloudportal of een trojan op een niet-PAW-apparaat kan beheerdersreferenties extraheren, zodat kwaadwillende personen API-aanroepen kunnen aanroepen, IAM-beleid kunnen wijzigen of gegevens kunnen exfiltreren.
  • Escalatie van bevoegdheden via niet-beveiligde werkstationconfiguraties Aanvallers misbruiken lokale beheerdersrechten, niet-gepatchte beveiligingsproblemen of zwakke toepassingsbeheer op beheerwerkstations om bevoegdheden te escaleren, IAM-rollen of toegangstokens te bewerken. Een werkstation zonder AppLocker-beleid kan bijvoorbeeld toestaan dat schadelijke scripts worden uitgevoerd, zodat aanvallers van gebruikersniveau kunnen uitbreiden naar tenantbrede beheerderstoegang, waardoor resources zoals virtuele machines of opslag in gevaar worden gebracht.
  • Onbevoegde toegang via onveilige externe connectiviteit Aanvallers richten zich op openbaar gemaakte RDP-/SSH-eindpunten of onbeveiligde protocollen om beheersessies te onderscheppen of brute force-aanvallen uit te voeren, zodat ze toegang krijgen tot cloudresources. Directe verbindingen via openbare IP-adressen riskeren sessie hijacking of credential stuffing, waardoor kwaadwillende personen onbevoegde opdrachten kunnen uitvoeren of gegevens kunnen extraheren uit virtuele machines of databases.
  • Insider-bedreigingen vanwege misbruikte bevoegde toegang op niet-PAW-apparaten Geautoriseerde beheerders misbruiken voortdurende bevoegde toegang of omzeilen besturingselementen door persoonlijke apparaten te gebruiken, wat het risico inhoudt dat referenties aan malware worden blootgesteld of beleidsregels worden geschonden. Een beheerder die bevoorrechte taken uitvoert op een BYOD-apparaat kan bijvoorbeeld onbedoeld referenties lekken naar spyware, waardoor onbevoegde IAM-wijzigingen of gegevenstoegang mogelijk zijn, waardoor de principes van minimale bevoegdheden worden overtreden.
  • Doorgifte en persistentie van malware op beheerwerkstations Aanvallers implementeren persistente malware, zoals ransomware of backdoors, op ongeharde werkstations om gegevens te exfiltreren of naar cloud resources over te stappen. Een gecompromitteerd beheerapparaat zonder beperkte uitvoering kan malware toestaan om IAM-configuraties te manipuleren of schadelijke workloads te implementeren, waarbij verouderde software wordt misbruikt om langdurige toegang te behouden.
  • Gebrek aan controlebaarheid en traceerbaarheid voor bevoegde werkstationactiviteit Onvoldoende logboekregistratie van bevoegde sessies of IAM-acties op werkstations voorkomt detectie van onbevoegde toegang, vertraging van incidentrespons. Niet-bewaakte beheeractiviteiten, zoals consoleaanmeldingen of API-aanroepen, met beperkte logboekretentie (bijvoorbeeld 30 dagen), verhinderen forensische analyse, zodat aanvallers onopgemerkt kunnen werken in cloudomgevingen.

MITRE ATT&CK

  • Verkrijgen van Referenties (TA0006) Het stelen van referenties (bijvoorbeeld wachtwoorden, API-tokens) van niet-geharde beheerwerkstations via keyloggers, phishing of geheugen-scraping malware (T1552.001), met behulp van verkregen referenties voor verificatie bij cloudbeheerconsoles of API's voor ongeautoriseerde toegang.
  • Escalatie van bevoegdheden (TA0004) Misbruik maken van lokale beheerdersrechten of niet-gepatchte beveiligingsproblemen op niet-PAW-apparaten om bevoegdheden (T1068) te escaleren, IAM-rollen of toegangstokens te bewerken om tenantbrede beheerderstoegang te krijgen, zoals het wijzigen van cloudresourcebeleid.
  • Eerste toegang (TA0001) Het doelwit zijn blootgestelde RDP-/SSH-eindpunten op cloudbronnen via brute force of sessieonderschepping (T1133), gebruikmakend van gecompromitteerde beheersessies vanuit onbeveiligde externe verbindingen om commando's uit te voeren of toegang te verkrijgen tot gevoelige gegevens.
  • Persistentie (TA0003) Permanente toegang tot stand brengen door malware of backdoors te implementeren op niet-geharde werkstations (T1547.001), het beheren van beheerapparaten om herhaaldelijk toegang te krijgen tot cloud-IAM-configuraties of schadelijke workloads te implementeren.
  • Defense Evasion (TA0005) Het uitschakelen van cloudlogboeken of bewakingsservices via gecompromitteerde beheerdersaccounts op niet-PAW-apparaten (T1562.008), waarbij niet-geautoriseerde IAM-wijzigingen of resourcemanipulaties worden verborgen door audittrails te onderdrukken.

PA-6.1: Oplossing voor bevoegde toegang gebruiken

Privileged Access Workstations (PAWs) bieden versterkte, geïsoleerde omgevingen die het stelen van inloggegevens door malware, phishing en onbevoegde toegang op beheerapparaten voorkomen. Zonder PAWs stellen beheerders die gebruik maken van standaardwerkstations of persoonlijke apparaten bevoegde referenties bloot aan keyloggers, geheugen-scraping malware en sessiekaping, waardoor aanvallers cloudtenants kunnen compromitteren. Het implementeren van PAW's met apparaatbeveiliging, sterke verificatie en beveiligde externe toegang zorgt ervoor dat beheerbewerkingen beschermd blijven tegen aanvallen op basis van eindpunten.

Implementeer bevoegde toegangswerkstations via de volgende gestructureerde benadering:

Geharde PAW-apparaten inrichten en configureren Toegewezen Windows-apparaten implementeren als PAW's (fysieke werkstations of Azure-VM's) door ze in te schrijven bij Microsoft Intune voor gecentraliseerd beheer, toepassen van Microsoft Defender voor Endpoint-beveiligingsbasislijnen om lokale beheerdersrechten te verwijderen, apparaatversleuteling afdwingen met BitLocker en Windows Defender Application Control (WDAC) of AppLocker-beleid configureren om de uitvoering van toepassingen te beperken tot alleen goedgekeurde beheerhulpprogramma's (Azure-portal, PowerShell, Azure CLI, Visual Studio Code).

Apparaatnaleving en toepassingsbeheer implementeren Configureer Intune-apparaatconfiguratieprofielen die beveiligingsbeleid afdwingen, inclusief uitgeschakelde lokale beheerdersaccounts, verplicht schermvergrendeling na 5 minuten inactiviteit, geblokkeerde verwisselbare opslagapparaten en beperkte Microsoft Store-installaties, het implementeren van de bedrijfsportal-app voor beheerde toepassingslevering, zodat alleen goedgekeurde hulpprogramma's PAW's bereiken terwijl persoonlijke toepassingen en cloudservices voor consumenten worden geblokkeerd via Microsoft Defender voor Cloud Apps-integratie .

Detectie en bewaking van bedreigingen inschakelen Integreer Microsoft Defender voor Eindpunt op alle PAW's voor realtime gedragsbewaking voor het detecteren van diefstalpogingen van referenties, verdachte procesuitvoering en malwareactiviteit, het configureren van regels voor het verminderen van kwetsbaarheid voor aanvallen die Office-macro's blokkeren, op scripts gebaseerde malware en hulpprogramma's voor het dumpen van referenties, met geautomatiseerde waarschuwingen die beveiligingsteammeldingen activeren voor bedreigingen met hoge ernst die onmiddellijk onderzoek vereisen.

Identiteits- en toegangsbeheer afdwingen Maak beleid voor voorwaardelijke toegang van Microsoft Entra waarvoor phishingbestendige MFA (FIDO2-beveiligingssleutels of verificatie op basis van certificaten) is vereist voor alle bevoegde accounttoegang tot De Azure-portal en Microsoft 365 van PAW's, waarbij op apparaten gebaseerde filters worden geïmplementeerd die de toegang beperken tot entra-gekoppelde of intune-compatibele PAW's terwijl BYOD-scenario's worden geblokkeerd en Microsoft Entra Privileged Identity Management (PIM) inschakelt voor just-in-time-rolactivering waarvoor goedkeuring en rechtvaardiging is vereist voordat het verlenen van tijdsgebonden beheerdersmachtigingen.

Veilige externe toegang voor cloudresources implementeren Azure Bastion inrichten als volledig platformbeheerde PaaS-service in virtuele netwerken, waardoor RDP-/SSH-connectiviteit met Azure-VM's rechtstreeks via Azure Portal via webbrowser zonder openbare IP-blootstelling wordt opgeslagen, SSH-persoonlijke sleutels als geheimen in Azure Key Vault opslaan met op Entra ID gebaseerd toegangsbeleid waardoor sleutelgebruik wordt beperkt tot geautoriseerde PAW-apparaten, netwerkbeveiligingsgroepen (NSG's) configureren Het beperken van Bastion-verkeer op bron-IP-bereiken en -protocollen en integratie met Azure Monitor voor waarschuwingen over configuratiewijzigingen of pogingen tot onbevoegde toegang.

PAW-gebruiksbeleid en -training instellen Documenteer verplichte PAW-gebruiksvereisten voor alle bevoorrechte bewerkingen, waaronder toegang tot de Azure-portal, PowerShell-beheer en wijzigingen in de infrastructuur, en verbied het gebruik van bevoorrechte accounts vanaf niet-PAW-apparaten via technische controles en beleidsafdwinging. Train administrators in PAW-toegangsprocedures, het gebruik van goedgekeurde hulpmiddelen en protocollen voor incidentrapportage, met driemaandelijkse nalevingsbeoordelingen die de naleving van PAW-only beheertoegang verifiëren.

Voorbeeld van implementatie

Uitdaging Een gezondheidszorgorganisatie ontdekte 23 beheerders die persoonlijke laptops en standaard bedrijfswerkstations gebruiken met onbeperkte lokale beheerdersrechten voor het beheren van productie-Azure-resources met beschermde gezondheidsinformatie (PHI), het blootstellen van bevoegde referenties aan malware en phishingaanvallen zonder eindpuntbeveiliging, toepassingsbeheer of activiteitenbewaking, waardoor HIPAA-nalevingsrisico's worden gemaakt en potentiële referentiediefstal mogelijk wordt gemaakt.

Solution

  • Dedicated PAW-infrastructuur inzetten 25 dedicated Windows 11 Enterprise-apparaten ingericht als PAW's die zijn ingeschreven bij Microsoft Intune met strikte nalevingsbeleid voor apparaten, Microsoft Defender voor Endpoint-beveiligingsbasislijn toegepast waarbij alle lokale beheerdersrechten worden verwijderd, BitLocker volledige schijfversleuteling met TPM-bescherming is ingeschakeld en Windows Defender Application Control (WDAC) is geconfigureerd om alleen goedgekeurde beheertools (Azure Portal, PowerShell 7, Azure CLI, Visual Studio Code, Microsoft Remote Desktop) toe te staan, waarbij alle andere toepassingen worden geblokkeerd, inclusief Office-productiviteitssuites en webbrowsers, met uitzondering van Edge in Application Guard-modus.

  • Uitgebreide apparaatbeveiliging implementeren Geconfigureerde Intune-apparaatconfiguratieprofielen die beveiligingsbeleid afdwingen, inclusief verplichte 5 minuten schermvergrendeling met Windows Hello-verificatie, geblokkeerde USB-opslagapparaten en externe media, uitgeschakelde camera- en microfoontoegang, lokale referentiecaching verhinderd, geïmplementeerde bedrijfsportal voor het leveren van beheerde apps, waardoor installaties worden beperkt tot goedgekeurde beheerprogramma's en geïntegreerde Microsoft Defender voor Cloud Apps die de toegang tot cloudopslagservices voor consumenten blokkeren (Dropbox, persoonlijke OneDrive, Gmail) via inspectie van netwerkverkeer.

  • Geavanceerde bedreigingsbescherming inschakelen Geïntegreerde Microsoft Defender voor Eindpunt op alle PAW's met regels voor het verminderen van de aanvalsoppervlakte die Office-macro's blokkeren, bedreigingen op basis van scripts, hulpprogramma's voor het verzamelen van inloggegevens (Mimikatz) en verdachte procesinjecties. Geconfigureerde eindpuntdetectie en -reactie (EDR) met geautomatiseerd onderzoek en herstel voor bedreigingen met hoge ernst, ingeschakelde manipulatiebeveiliging die uitschakeling van beveiligingscontrole voorkomt, en tot stand gebrachte SOC-waarschuwingen (Security Operations Center) met een 15-minuten respons SLA voor kritieke PAW-beveiligingsevenementen.

  • Phishing-bestendige verificatie afdwingen Microsoft Entra-beleid voor voorwaardelijke toegang gemaakt waarvoor FIDO2-beveiligingssleutelverificatie is vereist voor alle bevoegde accounts die toegang hebben tot Azure Portal en Microsoft 365 van PAW's, geïmplementeerde nalevingsfilters voor apparaten die exclusief toegang bieden vanuit door Intune beheerde PAW's met een conforme beveiligingspostuur, geblokkeerde verouderde verificatieprotocollen (Basisverificatie, POP3, IMAP), ingeschakelde Microsoft Entra PIM waarvoor goedkeuringswerkstroom en 4-uurs activering voor eigenaars- en inzenderrollen is vereist met verplichte rechtvaardigingsdocumentatie.

  • Beveiligde infrastructuur voor externe toegang implementeren Azure Bastion ingericht in standard-SKU in alle virtuele productienetwerken, waardoor op browsers gebaseerde RDP-/SSH-toegang tot Azure-VM's zonder openbare IP-blootstelling, opgeslagen persoonlijke SSH-sleutels in Azure Key Vault Premium met HSM-beveiliging en op entra-id gebaseerd toegangsbeleid wordt beperkt tot specifieke PAW-apparaatidentiteiten, geconfigureerde NSG's die het verkeer van Bastion-subnet beperken tot geautoriseerde bron-IP-bereiken van bedrijfsnetwerk en PAW-subnet, geïntegreerde Azure Monitor met waarschuwingsregels die worden geactiveerd bij wijzigingen in de Bastion-configuratie, pogingen tot onbevoegde toegang of sessieduur van meer dan 8 uur.

  • Verplichte PAW-gebruiksbeheer instellen Gedocumenteerd en afgedwongen nultolerantiebeleid dat het gebruik van bevoegde accounts van niet-PAW-apparaten verbiedt via voorwaardelijke toegangsblokken, getrainde 23 beheerders op PAW-toegangsprocedures, waaronder FIDO2-sleutelgebruik, goedgekeurde hulpprogrammabeperkingen en protocollen voor incidentrapportage via praktijkworkshops, driemaandelijkse nalevingscontroles met geautomatiseerde Intune-rapportage die 100% bevoegde bewerkingen valideren die afkomstig zijn van compatibele PAW's en een gevestigde escalatie van leidinggevenden voor beleid schendingen die onmiddellijk onderzoek en herstel vereisen.

Resultaat Organisatie heeft het risico van blootstelling van inloggegevens geëlimineerd van 23 niet-beveiligde beheerapparaten, bereikt 100% PAW-acceptatie voor bevoegde toegang met nul schendingen van beveiligingsbasislijn op 25 apparaten gedurende een periode van 6 maanden, 12 phishingpogingen gedetecteerd door Defender for Endpoint met geautomatiseerde blokkering van diefstal van referenties, reduceerde het risico van compromittering van geprivilegieerde accounts met 87% via phishingbestendige verificatie en apparaatbeveiliging, en bereikte HIPAA-naleving voor administratieve toegangscontroles met een volledige audittrail voor alle bevoegde bewerkingen.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6, IA-2, IA-5, IA-8, SI-4
  • PCI-DSS v4 2.2.1, 7.2.5, 8.2.8, 8.4.2
  • CIS Controls v8.1 4.1, 5.4, 6.3, 6.4
  • NIST CSF v2.0 PR. AC-7, PR. PT-3, DE. CM-1
  • ISO 27001:2022 A.5.15, A.8.5, A.8.16
  • SOC 2 CC6.1, CC6.6, CC6.7

PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: PA-7.

Beveiligingsprincipe

Volg het principe van slechts voldoende beheer (minimale bevoegdheden) om machtigingen op fijnmazig niveau te beheren. Gebruik functies zoals op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van resourcetoegang via roltoewijzingen.

Risico om te beperken

  • Onbevoegde toegang vanwege overmatige machtigingen Aanvallers misbruiken accounts met overprivilegieerde accounts met machtigingen die niet nodig zijn voor hun rol, waardoor onbevoegde toegang tot gevoelige cloudresources, zoals opslagaccounts, virtuele machines of databases, mogelijk is. In cloudomgevingen zijn overmatige machtigingen vaak het gevolg van brede roltoewijzingen (bijvoorbeeld het verlenen van eigenaar in plaats van Inzender in een abonnementsbereik), waardoor aanvallers acties kunnen uitvoeren zoals gegevensexfiltratie, resourceverwijdering of wijziging van IAM-beleid. Een gebruiker met onnodige schrijftoegang tot een opslagaccount kan bijvoorbeeld vertrouwelijke gegevens extraheren of schadelijke inhoud implementeren, wat de kwetsbaarheid voor aanvallen versterkt.
  • Escalatie van bevoegdheden door foutief geconfigureerde roltoewijzingen Kwaadwillende personen maken gebruik van foutief geconfigureerde of te veel permissies in roltoewijzingen om hun bevoegdheden uit te breiden, waardoor zij onbevoegde controle over cloudresources of volledige tenants verkrijgen. Zonder gedetailleerd RBAC-beleid kan een gebruiker met een schijnbaar lage bevoegdheidsrol (bijvoorbeeld Lezer in een bereik van een resourcegroep) gebruikmaken van overgenomen machtigingen of onjuiste rolconfiguraties om zichzelf hogere bevoegdheden toe te wijzen, zoals Eigenaar op abonnementsniveau. Dit kan leiden tot inbreuk op de hele tenant, waardoor aanvallers IAM-configuraties kunnen manipuleren, schadelijke workloads kunnen implementeren of beveiligingsmaatregelen kunnen uitschakelen.
  • Bedreigingen van insiders van onbeperkte toegang Geautoriseerde gebruikers, opzettelijk of onbedoeld, misbruiken brede toegangsbevoegdheden om onbevoegde acties uit te voeren, zoals het wijzigen van kritieke resources of het openen van gevoelige gegevens. In cloudplatforms kan een insider met een rol die overmatige machtigingen verleent (bijvoorbeeld Inzender voor meerdere resourcegroepen) configuraties van virtuele machines wijzigen, gegevens extraheren uit databases of services verstoren zonder detectie. Door gebrek aan afdwinging van minimale bevoegdheden kunnen dergelijke acties standaardtoezicht omzeilen, waardoor het risico op gegevensschendingen of operationele onderbrekingen toeneemt.
  • Laterale verplaatsing tussen cloudresources Aanvallers misbruiken accounts met overprivilegieerde accounts om zich lateraal over cloudresources te verplaatsen, toegang te krijgen tot niet-gerelateerde systemen of gegevens nadat ze een enkel account in gevaar hebben gebracht. In een cloudtenant kan een gecompromitteerd account met een rol die toegang verleent tot meerdere resourcegroepen (bijvoorbeeld Inzender in een abonnementsbereik) kwaadwillende personen in staat stellen om van de ene resource (bijvoorbeeld een virtuele machine) naar een andere resource te draaien (bijvoorbeeld een opslagaccount), waardoor de impact ervan wordt geëscaleerd. Dit risico wordt vergroot wanneer roltoewijzingen niet specifiek op resources zijn gericht, waardoor aanvallers intergeconnecteerde resources in kaart kunnen brengen en misbruiken.

MITRE ATT&CK

  • Eerste toegang (TA0001) Geldige accounts: Cloudaccounts (T1078.004): Het in gevaar brengen van accounts met uitgebreide RBAC-rollen (bijvoorbeeld eigenaar van abonnementsbereik) voor verificatie bij cloudbeheerconsoles of API's, waardoor kwaadwillende personen toegang hebben tot gevoelige resources, zoals opslagaccounts of virtuele machines zonder detectie.
  • Escalatie van bevoegdheden (TA0004) Misbruik van toegangsbeheermechanisme: Cloudinfrastructuur (T1548.005): Misbruik van onjuist geconfigureerde RBAC-rollen met overmatige machtigingen om bevoegdheden te escaleren, zoals het wijzigen van IAM-beleid om tenantbrede beheerdersrollen toe te wijzen vanuit een resourcegroepbereik, waardoor onbevoegde controle over cloudresources wordt verleend.
  • Persistentie (TA0003) Accountmanipulatie: aanvullende cloudrollen (T1098.001): RBAC-roltoewijzingen wijzigen om permanente rollen met hoge bevoegdheden toe te voegen aan gecompromitteerde accounts, zodat kwaadwillende personen toegang kunnen behouden tot cloudresources, zoals databases of rekeninstanties via onbevoegde rolbindingen.
  • Exfiltratie (TA0010) Gegevens uit Cloud Storage (T1530): gevoelige gegevens openen en extraheren uit cloudopslag met accounts met te veel RBAC-rollen, waardoor kwaadwillende aanvallers vertrouwelijke bestanden kunnen inventariseren en downloaden uit opslagbuckets vanwege niet-gescoopte machtigingen.
  • Defense Evasion (TA0005) Bescherming tegen beperkingen: Cloudlogboeken uitschakelen of wijzigen (T1562.008): Accounts met overmatige RBAC-machtigingen gebruiken om auditlogboekregistratie of bewakingsservices uit te schakelen, schadelijke acties zoals resourcewijzigingen of IAM-wijzigingen verbergen door cloudeigen audittrails te onderdrukken.

PA-7.1: Azure RBAC gebruiken om toegang tot Azure-resources te beheren

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om toegang tot Azure-resources te beheren via roltoewijzingen. Via RBAC kunt u rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell en Azure Portal.

De bevoegdheden die u toewijst aan resources via Azure RBAC, moeten altijd worden beperkt tot wat vereist is voor de rollen. Beperkte bevoegdheden vormen een aanvulling op de Just-In-Time-benadering (JIT) van Microsoft Entra ID Privileged Identity Management (PIM) en deze bevoegdheden moeten periodiek worden gecontroleerd. Indien nodig kunt u PIM ook gebruiken om een tijdgebonden toewijzing te definiëren. Dit is een voorwaarde in een roltoewijzing waarbij een gebruiker alleen de rol binnen de opgegeven begin- en einddatum kan activeren.

Opmerking: Gebruik ingebouwde Azure-rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Voorbeeld van implementatie

Uitdaging Een softwarebedrijf heeft voor het gemak 145 ontwikkelaars de rol Eigenaar van het abonnement verleend, waardoor overmatige machtigingen worden geboden voor het verwijderen van databases, het wijzigen van netwerkbeveiligingsgroepen en wijzigingen in het IAM-beleid veel verder gaan dan de ontwikkelingsbehoeften.

Solution

  • RBAC met minimale bevoegdheden implementeren Daadwerkelijke machtigingsvereisten geanalyseerd en ontwikkelaars opnieuw toegewezen aan aangepaste rollen die de toegang tot specifieke resourcegroepen beperken met gedetailleerde machtigingen (lezen/schrijven voor App Services, alleen-lezen voor Key Vault, geen toegang tot netwerk- of IAM-resources).
  • PIM implementeren voor tijdgebonden toewijzingen Microsoft Entra PIM geconfigureerd voor verhoogde toegangsbehoeften, waarbij ontwikkelaars de rol Inzender moeten activeren voor 4-uursvensters met reden en goedkeuring, waarbij permanente eigenaarstoewijzingen worden vervangen door toegang op aanvraag.
  • RBAC-governance instellen Geautomatiseerde maandelijkse beoordelingen van alle roltoewijzingen zijn gemaakt met PIM-toegangsbeoordelingen. Hierbij worden resource-eigenaren verplicht om de doorlopende toegang te rechtvaardigen, en worden roltoewijzingen die breder zijn dan het bereik van de resourcegroep automatisch gemarkeerd voor beoordeling door het beveiligingsteam.

Resultaat Organisatie heeft 145 permanente eigenaarstoewijzingen gereduceerd tot 0, beperkte toegang voor ontwikkelaars tot 23 resourcegroepen met aangepaste rollen met een gemiddelde van 8 machtigingen versus vorige 100+ eigenaarsmachtigingen en verhinderde in het eerste kwartaal 3 onbedoelde productieverwijderingen via beperkte toegang.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-5, AC-6, AC-6(1), AC-6(2)
  • PCI-DSS v4 7.2.1, 7.2.2, 7.2.3, 8.2.2
  • CIS-maatregelen v8.1 3.3, 5.4, 6.1, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AC-7, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.3, CC6.7

PA-8: Toegangsproces bepalen voor cloudproviderondersteuning

Beveiligingsprincipe

Stel een goedkeuringsproces en toegangspad in voor het aanvragen en goedkeuren van ondersteuningsaanvragen van leveranciers en tijdelijke toegang tot uw gegevens via een beveiligd kanaal.

Risico om te beperken

  • Onbevoegde toegang tot gegevens via cloudproviderondersteuning Risico van het ondersteunen van medewerkers van cloudproviders die toegang hebben tot gegevensarchieven van klanten zonder expliciete toestemming, mogelijk misbruik maken van bevoegde referenties tijdens diagnostische of onderhoudsbewerkingen.
  • Misbruik van insider-bedreigingen via toegang tot providers Potentieel voor kwaadwillende of nalatige cloudprovider insiders voor misbruik van bevoegde toegang, wat leidt tot gegevensexfiltratie of onbevoegde wijzigingen binnen tenants van klanten.
  • Ondoorzichtige toegangsbewerkingen zonder zichtbaarheid Gebrek aan zichtbaarheid van gegevenstoegangsgebeurtenissen, waardoor traceerbaarheid en verantwoordelijkheid worden belemmerd, waardoor vertrouwen kan worden aangetast en de controlevereisten worden geschonden.
  • Overmatige escalatie van bevoegdheden Het risico van cloudproviderondersteuningstechnici die te brede toegangsbereiken verkrijgen, het principe van minimale bevoegdheden overschrijden en de kwetsbaarheid voor aanvallen binnen cloudresources verhogen.
  • Niet-naleving van regelgeving met auditvereisten Onbeheerde toegang tot gegevens die inbreuk maken op frameworks voor gegevensbescherming (bijvoorbeeld AVG, HIPAA, CCPA), risico's voor niet-nalevingsstraffen vanwege onvoldoende toegangsbeheer.
  • Gegevensblootstelling tijdens ondersteuningsbewerkingen Potentieel voor het lekken of verkeerd verwerken van gevoelige gegevens tijdens ondersteuningsactiviteiten, zoals sessies met extern bureaublad of logboekanalyse, zonder klantbeheer.

MITRE ATT&CK

  • Geldige accounts (T1078.004) Misbruik van gecompromitteerde of misbruikte cloudaccountreferenties, zoals die van ondersteuningspersoneel, voor toegang tot klantgegevens in cloudomgevingen, waarbij standaardverificatiecontroles worden overgeslagen.
  • Accountmanipulatie (T1098.001) Toevoeging van niet-geautoriseerde referenties, zoals sleutels of tokens, aan cloudidentiteitsservices of -toepassingen, waardoor permanente toegang tot klantresources mogelijk is tijdens ondersteuningsbewerkingen.
  • Brute Force (T1110) Herhaalde pogingen om referenties voor cloudaccounts te raden, zoals referenties die worden gebruikt door ondersteuningstechnici, om onbevoegde toegang te krijgen tot klantgegevens tijdens het oplossen van problemen.
  • Toegangstoken voor toepassingen stelen (T1528) Diefstal van toegangstokens die worden gebruikt door ondersteuningsmedewerkers om te communiceren met cloudresources van klanten, waardoor onbevoegde gegevenstoegang of laterale verplaatsing binnen de tenant wordt vergemakkelijkt.
  • Dumping van besturingssysteemreferenties (T1003.006) Extractie van referenties van cloudidentiteitsservices door insiders met tijdelijke verhoogde toegang, waardoor gevoelige identiteitsgegevens kunnen worden gesynchroniseerd voor permanente toegang.

PA-8.1: Azure Customer Lockbox gebruiken

Customer Lockbox biedt expliciet goedkeuringsbeheer voor gegevenstoegang van microsoft-ondersteuningstechnicus, zodat klanten governance behouden over wie toegang heeft tot hun cloudresources tijdens het oplossen van problemen. Zonder Lockbox kunnen ondersteuningstechnici zonder expliciete toestemming toegang krijgen tot klantgegevens, nalevingsrisico's creëren en de zichtbaarheid van activiteiten van leverancierstoegang verminderen. Het implementeren van Lockbox zorgt ervoor dat elke aanvraag voor ondersteuningsgegevenstoegang goedkeuring van de klant vereist, waarbij audittrails en naleving van regelgeving worden onderhouden.

Implementeer Customer Lockbox via het volgende proces:

  • Lockbox inschakelen Een globale beheerder schakelt Customer Lockbox op tenantniveau in via de beheermodule van de Azure-portal, waarvoor een Azure-ondersteuningsplan (ontwikkelaar of hoger) met alle abonnementen en resources onder de tenant is vereist.

  • Ondersteuningsaanvraag initiëren Gebruikers openen ondersteuningstickets in De Azure-portal voor problemen met workloads, waarbij microsoft-ondersteuningstechnici tickets beoordelen en bepalen of gegevenstoegang nodig is buiten de standaardhulpprogramma's voor probleemoplossing.

  • Verhoogde toegang aanvragen Als standaardhulpprogramma's het probleem niet kunnen oplossen, vragen technici verhoogde machtigingen aan via just-In-Time (JIT)-toegangsservice, waarbij lockbox-aanvragen worden gemaakt voor directe gegevenstoegang (bijvoorbeeld extern bureaublad van virtuele machines) die doel, duur en resources opgeven.

  • Aangewezen goedkeurders op de hoogte stellen Aangewezen goedkeurders (abonnementseigenaren, globale beheerders of goedkeurders van Azure Customer Lockbox) ontvangen e-mailmeldingen met aanvraagdetails en koppelingen naar de blade Lockbox, met alternatieve e-mailmeldingen die kunnen worden geconfigureerd voor accounts zonder e-mail of service-principals.

  • Controleren en goedkeuren of weigeren Goedkeurders melden zich aan bij Azure Portal om aanvragen en bijbehorende ondersteuningstickets te bekijken, binnen vier dagen goedkeuring te verlenen, met goedkeuring die toegang verleent voor beperkte tijd (standaard: 8 uur) en weigering of vervaldatum, waardoor toegang wordt voorkomen.

Voorbeeld van implementatie

Uitdaging Een organisatie voor financiële services vereist expliciet goedkeuringsbeheer voor toegang tot Microsoft-ondersteuningsgegevens vanwege wettelijke vereisten, maar onvoldoende inzicht in toegangsaanvragen van ondersteuningstechnicus en goedkeuringswerkstromen voor nalevingscontrole.

Solution

  • Klant-lockbox inschakelenIngeschakelde Customer Lockbox op tenantniveau voor alle abonnementen waarvoor goedkeuring door de globale beheerder vereist is, waarbij een gedocumenteerd goedkeuringsproces wordt opgezet waarin de aangewezen abonnementseigenaren en Azure Customer Lockbox-goedkeurders automatische e-mailmeldingen ontvangen voor alle verzoeken tot toegang tot gegevens.
  • Goedkeuringswerkstromen configureren Er is een beoordelingsvenster van vier dagen tot stand gebracht voor alle Lockbox-aanvragen met verplichte documentatie voor goedkeurde redenen, het configureren van alternatieve e-mailmeldingen voor service-principals en het implementeren van escalatieprocedures voor tijdgevoelige ondersteuningsscenario's.
  • Bewakings- en controlelogboekregistratie implementeren Geïntegreerde goedkeuringsgebeurtenissen van Customer Lockbox met Microsoft Sentinel voor het genereren van realtime waarschuwingen voor beveiligingsteam, waardoor uitgebreide audittrails mogelijk zijn voor alle ondersteuningsaanvragen, goedkeuringsbeslissingen en toegangsduur voor regelgevingsrapportage.

Resultaat De organisatie bereikte 100% expliciete goedkeuring voor toegang tot Microsoft-ondersteuningsdata met een gemiddelde goedkeuringslatentie van 2 uur, onderhield de volledige audittrail van 47 Lockbox-aanvragen gedurende 6 maanden voor naleving en weigerde 3 aanvragen die niet voldeden aan goedkeuringscriteria om de beheersing van de governance te demonstreren.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6(2), AU-6, CA-3
  • PCI-DSS v4 8.2.2, 10.2.2, 12.8.2, 12.8.5
  • CIS-controles v8.1 5.4, 6.8, 8.2, 8.11
  • NIST CSF v2.0 PR. AC-4, PR. PT-2, DE. AE-3
  • ISO 27001:2022 A.5.19, A.5.20, A.5.23, A.8.2
  • SOC 2 CC6.3, CC6.7, CC7.2
  • Last updated on