Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Privileged Access omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw Azure-tenant en -resources, waaronder een reeks besturingselementen voor het beveiligen van uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations tegen opzettelijk en onbedoeld risico.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 5,4, 6,8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Beveiligingsprincipe: Zorg ervoor dat u alle accounts met hoge bedrijfsimpact identificeert. Beperk het aantal bevoegde/beheerdersaccounts in het besturingsvlak, het beheervlak en het gegevens-/workloadvlak van uw cloud.
Azure-richtlijnen: Azure Active Directory (Azure AD) is de standaardservice voor identiteits- en toegangsbeheer van Azure. De meest kritieke ingebouwde rollen in Azure AD zijn globale beheerder en bevoorrechte rolbeheerder, omdat gebruikers die aan deze twee rollen zijn toegewezen, beheerdersrollen kunnen delegeren. Met deze bevoegdheden kunnen gebruikers elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen:
- Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD-identiteiten.
- Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast staat deze rol het beheer van alle aspecten van PIM en beheereenheden toe.
Buiten Azure AD heeft Azure ingebouwde rollen die essentieel kunnen zijn voor bevoegde toegang op resourceniveau.
- Eigenaar: verleent volledige toegang om alle resources te beheren, inclusief de mogelijkheid om rollen toe te wijzen in Azure RBAC.
- Inzender: verleent volledige toegang om alle resources te beheren, maar u kunt geen rollen toewijzen in Azure RBAC, toewijzingen beheren in Azure Blueprints of afbeeldingengalerieën delen.
- Beheerder van gebruikerstoegang: hiermee kunt u gebruikerstoegang tot Azure-resources beheren. Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt op azure AD-niveau of resourceniveau waaraan bepaalde bevoegde machtigingen zijn toegewezen.
Zorg ervoor dat u ook bevoegde accounts beperkt in andere beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke assets, zoals Active Directory-domeincontrollers (DC's), beveiligingshulpprogramma's en systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen. Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk wapenen om bedrijfskritieke activa in gevaar te brengen.
Implementatie en aanvullende context:
- Machtigingen voor beheerdersrollen in Azure AD
- Beveiligingswaarschuwingen voor Azure Privileged Identity Management gebruiken
- Bevoegde toegang beveiligen voor hybride en cloudimplementaties in Azure AD
Belanghebbenden voor klantbeveiliging (Meer informatie):
- identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
- Beveiligingsnalevingsbeheer
- Beveiligingsbewerkingen
PA-2: Voorkom permanente toegang voor gebruikersaccounts en -machtigingen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| Niet van toepassing. | AC-2 | Niet van toepassing. |
Beveiligingsprincipe: In plaats van permanente bevoegdheden te maken, gebruikt u het JIT-mechanisme (Just-In-Time) om bevoegde toegang toe te wijzen aan de verschillende resourcelagen.
Azure-richtlijnen: Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure AD inschakelen met behulp van Azure AD Privileged Identity Management (PIM). JIT is een model waarin gebruikers tijdelijke machtigingen ontvangen om bevoegde taken uit te voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang krijgen nadat de machtigingen zijn verlopen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten in uw Azure AD-organisatie zijn.
Beperk inkomend verkeer naar uw gevoelige vm-beheerpoorten met JIT (Just-In-Time) van Microsoft Defender for Cloud voor VM-toegangsfunctie. Dit zorgt ervoor dat de bevoegde toegang tot de virtuele machine alleen wordt verleend wanneer gebruikers deze nodig hebben.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (Meer informatie):
- identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
- Beveiligingsnalevingsbeheer
- Beveiligingsbewerkingen
PA-3: De levenscyclus van identiteiten en rechten beheren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Beveiligingsprincipe: Gebruik een geautomatiseerd proces of technisch beheer om de identiteits- en toegangslevenscyclus te beheren, waaronder de aanvraag, beoordeling, goedkeuring, inrichting en ongedaan maken van de inrichting.
Azure-richtlijnen: Gebruik azure AD-rechtenbeheerfuncties om toegangswerkstromen (voor Azure-resourcegroepen) te automatiseren. Hierdoor kunnen werkstromen voor Azure-resourcegroepen toegangstoewijzingen, beoordelingen, verlooptijd en goedkeuring voor dubbele of meerdere fasen beheren.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (Meer informatie):
PA-4: Gebruikerstoegang regelmatig controleren en afstemmen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Beveiligingsprincipe: Controleer regelmatig de rechten van bevoegde accounts. Zorg ervoor dat de toegang die aan de accounts is verleend, geldig is voor het beheer van het besturingsvlak, het beheervlak en de workloads.
Azure-richtlijnen: Bekijk alle bevoegde accounts en de toegangsrechten in Azure, waaronder Azure-tenant, Azure-services, VM/IaaS-, CI/CD-processen en hulpprogramma's voor bedrijfsbeheer en -beveiliging.
Gebruik Azure AD-toegangsbeoordelingen om Azure AD-rollen en Azure-resourcetoegangsrollen, groepslidmaatschappen, toegang tot bedrijfstoepassingen te bekijken. Azure AD-rapportage kan ook logboeken bieden om verouderde accounts te detecteren, accounts die gedurende bepaalde tijd niet worden gebruikt.
Bovendien kan Azure AD Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt voor een specifieke rol en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.
Implementatie en aanvullende context:
- Maak een toegangsbeoordeling van rollen voor Azure-resources in Privileged Identity Management (PIM)
- Hoe je Azure AD-identiteit en toegangsbeoordelingen gebruikt
Belanghebbenden voor klantbeveiliging (Meer informatie):
PA-5: Toegang voor noodgevallen instellen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| Niet van toepassing. | AC-2 | Niet van toepassing. |
Beveiligingsprincipe: Stel toegang voor noodgevallen in om ervoor te zorgen dat u niet per ongeluk bent vergrendeld voor uw kritieke cloudinfrastructuur (zoals uw identiteits- en toegangsbeheersysteem) in een noodgeval.
Accounts voor toegang tot noodgevallen moeten zelden worden gebruikt en kunnen zeer schadelijk zijn voor de organisatie als ze zijn gecompromitteerd, maar hun beschikbaarheid voor de organisatie is ook van cruciaal belang voor de weinige scenario's wanneer ze nodig zijn.
Azure-richtlijnen: Als u wilt voorkomen dat uw Azure AD-organisatie per ongeluk wordt vergrendeld, moet u een account voor toegang voor noodgevallen (bijvoorbeeld een account met de rol Globale beheerder) instellen voor toegang wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Accounts voor toegang tot noodgevallen zijn meestal zeer bevoegd en mogen niet worden toegewezen aan specifieke personen. Noodtoegangsaccounts zijn beperkt tot nood- of 'break glass'-scenario's waarbij normale beheerdersaccounts niet kunnen worden gebruikt.
U moet ervoor zorgen dat de referenties (zoals wachtwoord, certificaat of smartcard) voor accounts voor toegang tot noodgevallen veilig worden bewaard en alleen bekend zijn voor personen die gemachtigd zijn om ze alleen in een noodgeval te gebruiken. U kunt ook aanvullende besturingselementen gebruiken, zoals dubbele besturingselementen (bijvoorbeeld het splitsen van de referentie in twee delen en deze aan afzonderlijke personen geven) om de beveiliging van dit proces te verbeteren. U moet ook de aanmeldings- en auditlogboeken controleren om ervoor te zorgen dat de accounts voor toegang tot noodgevallen alleen kunnen worden gebruikt onder autorisatie.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (Meer informatie):
PA-6: Bevoegde toegangswerkstations gebruiken
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Niet van toepassing. |
Beveiligingsprincipe: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator.
Azure-richtlijnen: Gebruik Azure Active Directory, Microsoft Defender en/of Microsoft Intune om PAW (Privileged Access Workstations) on-premise of in Azure uit te rollen voor bevoorrechte taken. Het PAW moet centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.
U kunt ook Azure Bastion gebruiken. Dit is een volledig door het platform beheerde PaaS-service die in uw virtuele netwerk kan worden ingericht. Met Azure Bastion is RDP-/SSH-connectiviteit met uw virtuele machines rechtstreeks vanuit Azure Portal mogelijk met behulp van de browser.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (Meer informatie):
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Beveiligingsprincipe: Volg het principe van slechts voldoende beheer (minimale bevoegdheden) om machtigingen op fijnmazig niveau te beheren. Gebruik functies zoals op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van resourcetoegang via roltoewijzingen.
Azure-richtlijnen: Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om toegang tot Azure-resources te beheren via roltoewijzingen. Via RBAC kunt u rollen toewijzen aan gebruikers, service-principals voor groepen en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell en Azure Portal.
De bevoegdheden die u toewijst aan resources via Azure RBAC, moeten altijd worden beperkt tot wat vereist is voor de rollen. Beperkte bevoegdheden vormen een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en deze bevoegdheden moeten periodiek worden gecontroleerd. Indien nodig kunt u PIM ook gebruiken om de voorwaarde voor tijdsduur (tijdgebonden toewijzing) in roltoewijzing te definiëren, waarbij een gebruiker de rol alleen binnen begin- en einddatums kan activeren of gebruiken.
Opmerking: Gebruik ingebouwde Azure-rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.
Implementatie en aanvullende context:
- Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
- RBAC configureren in Azure
- Hoe je Azure AD-identiteit en toegangsbeoordelingen gebruikt
- Azure AD Privileged Identity Management - Tijdgebonden toewijzing
Belanghebbenden voor klantbeveiliging (Meer informatie):
- Toepassingsbeveiliging en DevSecOps
- Beveiligingsnalevingsbeheer
- Postuurbeheer
- identiteits- en sleutelbeheer
PA-8 Bepalen toegangsproces voor cloudproviderondersteuning
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Niet van toepassing. |
Beveiligingsprincipe: Stel een goedkeuringsproces en toegangspad in voor het aanvragen en goedkeuren van ondersteuningsaanvragen van leveranciers en tijdelijke toegang tot uw gegevens via een beveiligd kanaal.
Azure-richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elke aanvraag voor gegevenstoegang van Microsoft te beoordelen en goedkeuren of af te wijzen.
Implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (Meer informatie):