Udostępnij przez

Dostęp uprzywilejowany

Zarządzanie dostępem uprzywilejowanym ustanawia mechanizmy kontroli w celu ochrony poświadczeń administracyjnych i operacji o dużym wpływie w środowiskach chmury. W przeciwieństwie do tradycyjnych modeli lokalnych ze statycznymi grupami administratorów nowoczesne platformy w chmurze wymagają dynamicznego, ograniczonego czasowo przypisywania uprawnień, ciągłego monitorowania i dostępu just in time w celu rozwiązania szybkich zmian infrastruktury i rozszerzonych powierzchni ataków, w tym kradzieży poświadczeń, eskalacji uprawnień i przenoszenia bocznego. Organizacje wdrażające te mechanizmy kontroli wymuszają zasady najniższych uprawnień i Zero Trust przy zachowaniu elastyczności operacyjnej, podczas gdy te, które zaniedbują te środki, napotykają niewykryte naruszenie poświadczeń i nieograniczony dostęp administracyjny prowadzący do ataków w całej organizacji.

Oto cztery podstawowe filary domeny zabezpieczeń uprzywilejowanego dostępu.

Ochrona tożsamości użytkowników: Ustanów zabezpieczenia dla wszystkich kont użytkowników, szczególnie uprzywilejowanych, za pomocą scentralizowanego zarządzania tożsamościami, silnego uwierzytelniania wieloskładnikowego, zarządzania cyklem życia, uprzywilejowanych stacji roboczych dostępu i planowania dostępu awaryjnego.

Powiązane kontrolki:

Ochrona aplikacji i wpisów tajnych: Bezpieczne zarządzanie tożsamościami nieludzkimi za pomocą zautomatyzowanego uwierzytelniania serwera/usługi i bezpiecznego zarządzania wpisami tajnymi dla kluczy i certyfikatów interfejsu API.

Powiązane kontrolki:

Bezpieczny dostęp: Wymuszanie najniższych uprawnień i wystarczającej ilości uprawnień administracyjnych za pomocą uprawnień ograniczonych czasowo, zasad dostępu warunkowego i kontrolowanego dostępu zewnętrznego na potrzeby obsługi dostawcy usług w chmurze.

Powiązane kontrolki:

Monitorowanie i nadzór: Zachowaj ciągły nadzór dzięki regularnym przeglądom dostępu, uzgadnianiu praw użytkownika, wykrywaniu anomalii i rejestrowaniu inspekcji, aby zapewnić odpowiednie uprawnienia i terminowe odwołanie.

Powiązane kontrolki:

PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PA-1.

Zasada zabezpieczeń

Zidentyfikuj wszystkie konta o wysokim wpływie na działalność biznesową i ogranicz liczbę uprzywilejowanych kont administracyjnych na płaszczyźnie sterowania, płaszczyźnie zarządzania i płaszczyźnie obciążenia danych, aby zminimalizować obszar ataków i promień wybuchu z naruszonych poświadczeń.

Ryzyko w celu ograniczenia ryzyka

  • Nieautoryzowany dostęp z kont o nadmiernych uprawnieniach Osoby atakujące wykorzystują konta z nadmiernymi uprawnieniami, aby uzyskać nieautoryzowany dostęp do krytycznych zasobów w chmurze, takich jak konsole zarządzania, interfejsy API lub poufne dane. Bez separacji pojedyncze konto administratora z naruszeniem zabezpieczeń może zapewnić osobom atakującym nieograniczony dostęp do modyfikowania zasad zarządzania dostępem i tożsamościami, wdrażania złośliwych obciążeń lub eksfiltrowania danych w całej dzierżawie.
  • Eskalacja uprawnień za pośrednictwem poświadczeń administracyjnych, których bezpieczeństwo jest naruszone Osoby atakujące korzystają z naruszonych poświadczeń uprzywilejowanych w celu eskalacji dostępu, uzyskania kontroli nad dzierżawami w chmurze lub infrastruktury krytycznej. W środowiskach, w których konta administracyjne nie są izolowane, skradzione poświadczenia mogą służyć do manipulowania przypisaniami ról, tworzenia nowych kont uprzywilejowanych lub wyłączania mechanizmów kontroli zabezpieczeń, co umożliwia naruszenie zabezpieczeń dla całej dzierżawy.
  • Trwały dostęp ze niemonitorowanych lub niemonitorowanych kont uprzywilejowanych Osoby atakujące wykorzystują nieaktualne lub niemonitorowane uprzywilejowane konta, aby zachować trwały dostęp, unikając wykrywania po początkowym naruszeniu zabezpieczeń. Konta administratora, które pozostają aktywne po zmianie roli lub zakończeniu projektu, zapewniają osobom atakującym długoterminowy dostęp do wywoływania interfejsów API lub modyfikowania zasobów, zwiększając ryzyko długotrwałych naruszeń.

MITRE ATT&CK

  • Dostęp początkowy (TA0001) Prawidłowe konta: Konta w chmurze (T1078.004): naruszenie wysoce uprzywilejowanych kont w celu uwierzytelniania w konsolach lub interfejsach API w chmurze, uzyskiwanie dostępu do krytycznych zasobów przy użyciu skradzionych poświadczeń administratora.
  • Eskalacja uprawnień (TA0004) Nadużycie mechanizmu kontroli podnoszenia uprawnień: Infrastruktura chmury (T1548.005): Wykorzystanie nieograniczonych kont uprzywilejowanych do eskalacji dostępu przez modyfikację polityk IAM, uzyskując kontrolę nad całą dzierżawą.
  • Trwałość (TA0003) Manipulowanie kontami: dodatkowe role w chmurze (T1098.001): Zmienianie kont uprzywilejowanych w celu dodania trwałych ról, utrzymywanie długoterminowego dostępu do zasobów w chmurze.

PA-1.1: Ogranicz i ogranicz wysoce uprzywilejowanych/administracyjnych użytkowników w firmie Microsoft Entra

Ograniczenie kont administracyjnych z wysokimi uprawnieniami uniemożliwia nieautoryzowany dostęp do zasobów wszystkich dzierżawców i ogranicza zasięg zagrożenia związany z naruszonymi poświadczeniami. Organizacje z nadmiernymi administratorami globalnymi napotykają zwiększone ryzyko naruszeń, w których osoby atakujące mogą manipulować zasadami zarządzania dostępem i tożsamościami, wdrażać złośliwe obciążenia lub eksfiltrować dane we wszystkich zasobach. Ograniczenie tych kont tylko do podstawowych pracowników wymusza najmniejsze uprawnienia i zmniejsza obszar ataków.

Zaimplementuj następujące ograniczenia dotyczące ról administracyjnych tożsamości w chmurze:

  • Identyfikowanie krytycznych ról wbudowanych Najbardziej krytyczne role wbudowane w identyfikatorze Entra firmy Microsoft to administrator globalny i administrator ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych ról mogą delegować role administratora i bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku chmury.

  • Ocena uprawnień roli niestandardowej Przejrzyj role niestandardowe w systemie zarządzania tożsamościami i sprawdź, czy zawierają uprawnienia uprzywilejowane, którymi należy zarządzać na podstawie potrzeb biznesowych, stosując te same ograniczenia co wbudowane role uprzywilejowane.

  • Rozszerz ograniczenia poza systemy tożsamości w chmurze Ogranicz uprzywilejowane konta w lokalnych systemach tożsamości, narzędziach zabezpieczeń i narzędziach do zarządzania systemem z dostępem administracyjnym do zasobów o krytycznym znaczeniu dla działania firmy (takich jak kontrolery domeny usługi Active Directory, systemy monitorowania zabezpieczeń i narzędzia do zarządzania konfiguracją), ponieważ naruszenie tych systemów zarządzania umożliwia osobom atakującym uzbrojenie ich w celu przechodzenia do zasobów w chmurze.

PA-1.2: Ograniczanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników na poziomie zasobów platformy Azure

Ograniczenie ról uprzywilejowanych na poziomie zasobu uniemożliwia nieautoryzowany dostęp do zasobów w chmurze i wymusza najmniejsze uprawnienia w subskrypcjach i grupach zasobów. Nadmierne przypisania właściciela lub współautora w zakresie subskrypcji umożliwiają osobom atakującym manipulowanie zasobami, modyfikowanie mechanizmów kontroli zabezpieczeń lub eskalację uprawnień po początkowym naruszeniu zabezpieczeń. Ograniczenie tych przydziałów zmniejsza zakres zasięgu i zapewnia, że dostęp administracyjny jest zgodny z obowiązkami operacyjnymi.

Zastosuj następujące ograniczenia dotyczące ról administracyjnych na poziomie zasobów w chmurze:

  • Ograniczanie krytycznych wbudowanych ról zasobów Platforma Azure ma wbudowane role , które udzielają rozległych uprawnień (właściciel przyznaje pełny dostęp, w tym przypisanie roli; Współautor przyznaje pełne zarządzanie zasobami; Administrator dostępu użytkowników umożliwia zarządzanie dostępem użytkowników), które wymagają tych samych ograniczeń co role uprzywilejowane na poziomie dzierżawy.

  • Zarządzaj rolami zasobów niestandardowych Przeglądaj i ograniczaj role niestandardowe na poziomie zasobu, przypisując uprawnienia zgodnie z potrzebami biznesowymi, dbając o to, aby przypadkowo nie przyznawały nadmiernego dostępu za pomocą kombinacji uprawnień.

  • Kontrolowanie ról zarządzania rozliczeniami i subskrypcjami W przypadku klientów z umową Enterprise Agreement ogranicz role administracyjne usługi Azure Cost Management i Rozliczeń (właściciel konta, administrator przedsiębiorstwa, administrator działu), ponieważ mogą bezpośrednio lub pośrednio zarządzać subskrypcjami, tworzyć/usuwać subskrypcje i zarządzać innymi administratorami.

Przykład implementacji

Wyzwanie: Organizacja usług finansowych odkryła nadmierny uprzywilejowany dostęp w warstwach tożsamości i zasobów: 47 kont administratora globalnego w usłudze Microsoft Entra ID (większość nieużywanych przez ponad sześć miesięcy) i 89 użytkowników z rolą Właściciel w zakresie subskrypcji na platformie Azure, tworząc ogromną powierzchnię ataków i naruszając zasady najniższych uprawnień.

Rozwiązanie:

  • Przeprowadzanie audytu i redukcja ról uprzywilejowanych Entra: Przeprowadzono kompleksowy audyt wszystkich przypisań Administratora Globalnego i Administratora Ról Uprzywilejowanych, identyfikując uzasadnienie biznesowe dla każdego konta i redukując liczbę z 47 do 8 globalnych administratorów zgodnych z potrzebami operacyjnymi.
  • Zaimplementuj przypisania specyficzne dla roli w Entra: Przekształcono użytkowników z globalnych administratorów na określone role (administrator użytkowników, administrator zabezpieczeń, administrator zgodności) na podstawie rzeczywistych obowiązków służbowych przy użyciu wbudowanych ról firmy Microsoft Entra, aby zapewnić bardziej szczegółowe uprawnienia.
  • Zmniejszenie przypisań ról na poziomie subskrypcji platformy Azure: Przeprowadzono inspekcję wszystkich przypisań ról Właściciela i Współautora na poziomie kontroli dostępu opartej na rolach (RBAC) platformy Azure, zmniejszając przypisania Właściciela na poziomie subskrypcji z 89 do 12 przez określenie ról do konkretnych grup zasobów w oparciu o obowiązki zespołu.
  • Implementowanie zakresu grupy zasobów: Przeniesiono zespoły programistyczne z poziomu Kontrybutora na poziomie subskrypcji do roli Kontrybutora na poziomie grupy zasobów lub do określonych wbudowanych ról (Kontrybutor maszyny wirtualnej, Kontrybutor konta magazynu), które odpowiadają rzeczywistym potrzebom.
  • Ustanów ujednolicony ład: Utworzono przepływ pracy zatwierdzania, który wymaga od kierownictwa i zespołu ds. zabezpieczeń logowania się w przypadku nowych przypisań ról uprzywilejowanych na poziomach zasobów Entra i Azure, z kwartalnymi przeglądami dostępu i automatycznymi alertami dotyczącymi przypisań przekraczających zatwierdzone zakresy.

Wynik: Organizacja znacznie zmniejszyła obszar ataków na konta uprzywilejowane między warstwami tożsamości i zasobów, wyeliminowała przestarzały dostęp administracyjny i ustanowiła trwałe zarządzanie, zapobiegając rozrostowi uprawnień zarówno na poziomie dzierżawy, jak i subskrypcji.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2(1), AC-2(7), AC-5, AC-6(1), AC-6(5)
  • PCI-DSS 4 7.2.2, 7.2.4, 8.2.2
  • Kontrole CIS w wersji 8.1 5.4, 6.7, 6.8
  • NIST CSF v2.0 PR.AC-4, PR.AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.2

PA-2: Unikaj stałego dostępu dla kont użytkowników i uprawnień

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PA-2.

Zasada zabezpieczeń

Zaimplementuj mechanizmy dostępu uprzywilejowanego just-in-time, aby przypisywać tymczasowe, ograniczone czasowo uprawnienia zamiast trwałych, stałych przywilejów, co uniemożliwi złośliwym lub nieautoryzowanym użytkownikom wykorzystanie zawsze aktywnego dostępu administracyjnego po naruszeniu poświadczeń lub działaniu osób wewnętrznych.

Ryzyko w celu ograniczenia ryzyka

  • Nieautoryzowany dostęp z trwałych kont uprzywilejowanych Stałe role wysokiego poziomu uprawnień umożliwiają przeciwnikom niewłaściwe użycie poświadczeń naruszonych w celu nieautoryzowanego dostępu do zasobów w chmurze, takich jak wywoływanie interfejsów API w celu eksfiltrowania danych lub wdrażania złośliwych obciążeń, wykorzystując zawsze włączone uprawnienia bez ograniczeń czasowych.
  • Eskalacja uprawnień poprzez skompromitowane poświadczenia Skompromitowane konta z trwałymi podwyższonymi rolami pozwalają atakującym eskalować uprawnienia poprzez modyfikację zasad IAM, takich jak przyznawanie administracyjnych ról na poziomie całej dzierżawy, wykorzystując brak czasowo ograniczonego dostępu do przejęcia kontroli nad subskrypcjami lub zasobami.
  • Długotrwałe narażenie na nieaktualny dostęp Nieprzywoływane role po zakończeniu zadania tworzą rozszerzone okna ekspozycji, dzięki czemu osoby atakujące mogą wykorzystać nieaktualne poświadczenia w celu uzyskania nieautoryzowanego dostępu, takiego jak wyodrębnianie danych z kont magazynu z powodu zapomnianych lub niezarządzanych uprawnień.

MITRE ATT&CK

  • Dostęp początkowy (TA0001) Prawidłowe konta: Konta w chmurze (T1078.004): naruszenie kont z stałymi rolami z wysokimi uprawnieniami w celu uwierzytelniania w konsolach zarządzania w chmurze lub interfejsach API przy użyciu trwałych poświadczeń w celu uzyskania dostępu do zasobów bez ograniczeń związanych z czasem.
  • Eskalacja uprawnień (TA0004) Nadużycie mechanizmu kontroli eskalacji: Infrastruktura chmurowa (T1548.005): Wykorzystanie trwałych ról uprzywilejowanych w celu eskalacji dostępu przez zmodyfikowanie polityk IAM (Identity and Access Management), wykorzystując stale aktywne uprawnienia do uzyskania nieautoryzowanej kontroli nad subskrypcjami.
  • Trwałość (TA0003) Manipulowanie kontami: dodatkowe role w chmurze (T1098.001): Modyfikowanie przypisań ról w celu utrzymania trwałego dostępu przez dodanie ról z wysokimi uprawnieniami do kont z naruszonymi zabezpieczeniami, wykorzystując brak ograniczonego czasu dostępu.

PA-2.1: Użyj kontroli just in time (JIT) na potrzeby dostępu do zasobów platformy Azure

Dostęp uprzywilejowany just in time uniemożliwia trwałe uprawnienia administracyjne, które umożliwiają nieautoryzowany dostęp po naruszeniu poświadczeń. Organizacje ze stałymi rolami uprzywilejowanymi napotykają rozszerzone okna ekspozycji, w których osoby atakujące mogą wykorzystywać zawsze włączone uprawnienia do eksfiltracji danych, eskalacji uprawnień lub przenoszenia bocznego bez ograniczeń czasowych. Implementowanie dostępu JIT zapewnia automatyczne wygasanie uprawnień, ograniczanie promieni wybuchu i zmniejszanie powierzchni ataków.

Włącz dostęp just in time za pomocą następującego podejścia:

  • Wdrażanie usługi Privileged Identity Management Włącz uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i identyfikator entra firmy Microsoft przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM), gdzie użytkownicy otrzymują tymczasowe uprawnienia do wykonywania zadań uprzywilejowanych, które automatycznie wygasają, uniemożliwiając nieautoryzowany dostęp po wygaśnięciu uprawnień i wygenerowaniu alertów zabezpieczeń dla podejrzanych działań.

  • Konfigurowanie kwalifikujących się przypisań ról Administratorzy przypisują kwalifikujące się role użytkownikom lub grupom za pośrednictwem usługi PIM, określając, kto może żądać ról uprzywilejowanych i definiować wymagania dotyczące aktywacji, w tym przepływy pracy zatwierdzania, wymagania uwierzytelniania wieloskładnikowego i czasy trwania (zazwyczaj 1–8 godzin).

  • Ustanawianie przepływów pracy aktywacji Użytkownicy proszą o aktywację roli za pośrednictwem Azure Portal lub interfejsu API PIM, gdy potrzebują dostępu uprzywilejowanego. Muszą podać uzasadnienie oraz przedział czasowy. Osoby zatwierdzające przeglądają żądania, opierając się na politykach, i następnie przyznają lub odmawiają dostępu. W międzyczasie usługa PIM rejestruje wszystkie działania na potrzeby audytu.

  • Implementowanie automatycznego wygasania Dostęp automatycznie wygasa po zakończeniu okresu aktywacji lub użytkownicy mogą go ręcznie dezaktywować wcześniej, jeśli zadania zostały ukończone, co zapewnia, że uprawnienia o podwyższonym poziomie nie pozostają aktywne poza potrzebami operacyjnymi.

  • Włącz tryb JIT dla dostępu do maszyny wirtualnej Użyj usługi Azure Bastion z dostępem do maszyny wirtualnej JIT poprzez Microsoft Defender for Cloud, aby ograniczyć ruch przychodzący do poufnych portów zarządzania maszynami wirtualnymi, udzielając dostępu tylko wtedy, gdy użytkownicy tego potrzebują, i odwołuje dostęp automatycznie po wygaśnięciu czasu.

Przykład implementacji

Wyzwanie Globalna firma zajmująca się sprzedażą detaliczną miała 156 użytkowników ze stałą rolą Właściciel i Współautor w zakresie subskrypcji, tworząc trwały dostęp o wysokim poziomie uprawnień, który pozostał aktywny 24/7 pomimo rzadkich potrzeb administracyjnych.

Solution

  • Implementowanie PIM dla zasobów platformy Azure Zamieniono wszystkie stałe przypisania ról Właściciel i Współautor na kwalifikujące się role w PIM, co wymaga od użytkowników aktywacji ról tylko podczas wykonywania zadań administracyjnych z 4-godzinnym limitem czasowym na aktywację.
  • Skonfiguruj przepływy pracy zatwierdzania Ustalono wieloetapowy proces zatwierdzania aktywacji roli właściciela, wymagający akceptacji przez właściciela zasobu i zespół ds. zabezpieczeń, z automatycznym egzekwowaniem uwierzytelniania wieloskładnikowego i wymaganiami uzasadnienia dla wszystkich żądań uprzywilejowanego dostępu.
  • Włączanie dostępu do maszyny wirtualnej JIT Wdrożono usługę Azure Bastion z kontrolkami JIT usługi Defender for Cloud ograniczającymi dostęp RDP/SSH do produkcyjnych maszyn wirtualnych, umożliwiając dostęp tylko za pośrednictwem zatwierdzonych żądań związanych z czasem eliminujących trwałe narażenie portów zarządzania.

Wynik Organizacja wyeliminowała trwały uprzywilejowany dostęp, znacząco zmniejszyła powierzchnię ataków z powodu stałych uprawnień administracyjnych oraz ustanowiła automatyczne wygaśnięcie, uniemożliwiając zapomniane podwyższenie poziomu dostępu.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2(1), AC-5, AC-6(2), AC-6(5), AC-16
  • PCI-DSS 4 7.2.2, 7.2.5, 8.2.8
  • Kontrolki CIS w wersji 8.1 5.4, 6.8
  • NIST CSF v2.0 PR.AC-4, PR.AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.3

PA-3: Zarządzanie cyklem życia tożsamości i uprawnień

Zasada zabezpieczeń

Użyj zautomatyzowanych procesów lub mechanizmów kontroli technicznej, aby zarządzać pełnym cyklem życia tożsamości i dostępu, w tym żądaniem, przeglądem, zatwierdzeniem, przydzielaniem i usuwaniem, zapewniając, że uprawnienia pozostają zgodne z potrzebami biznesowymi i są cofane, gdy nie są już wymagane.

Ryzyko w celu ograniczenia ryzyka

  • Nieautoryzowany dostęp z powodu nadmiernych uprawnień Tożsamościom przypisano więcej praw dostępu niż to konieczne, naruszając zasadę najmniejszych uprawnień i zwiększając powierzchnię ataków.
  • Nieaktywny lub oddzielony dostęp z niezarządzanych kont Uprawnienia zachowane po tym, jak nie są już potrzebne, lub konta pozostają aktywne po odejściu użytkownika, co umożliwia potencjalne wykorzystanie.
  • Zagrożenia dla niejawnych z powodu błędnie skonfigurowanego lub niemonitorowanego dostępu Autoryzowani użytkownicy błędnie korzystają z uprawnień z powodu błędnie skonfigurowanych zasad lub braku nadzoru, w tym pomijania procesów zatwierdzania.
  • Niezgodność ze standardami regulacyjnymi Brak wymuszania zasady najmniejszych uprawnień, audytowania dostępu lub terminowego cofania uprawnień, ryzyko naruszenia standardów, takich jak RODO, HIPAA, SOC 2 lub ISO 27001.
  • Błąd człowieka w zarządzaniu dostępem Ręczne procesy prowadzące do nieprawidłowego przyznawania uprawnień, pomijanego cofania uprawnień lub błędnie skonfigurowanych łańcuchów zatwierdzania.
  • Brak możliwości inspekcji i możliwości śledzenia Brak odpowiedniego rejestrowania i dokumentacji, utrudnianie śledzenia żądań dostępu, zatwierdzeń lub aprowizacji, opóźnianie wykrywania naruszeń.

MITRE ATT&CK

  • Dostęp początkowy (TA0001) wykorzystujący prawidłowe konta (T1078.004) przy użyciu poświadczeń ze złamanych zabezpieczeń lub nieaktualnych poświadczeń w chmurze w celu uwierzytelniania w interfejsach API lub konsolach zarządzania, umożliwiając nieautoryzowany dostęp do zasobów w chmurze.
  • Eskalacja uprawnień (TA0004) nadużywanie mechanizmów kontroli podniesienia uprawnień (T1548.005) przez wykorzystanie nieprawidłowo skonfigurowanych zasad RBAC lub nadmiernych uprawnień do przypisywania podniesionych ról z roli grupy zasobów.
  • Trwałość (TA0003) manipulowanie kontami (T1098.001) przez zmodyfikowanie zasad zarządzania dostępem i tożsamościami lub wyłączenie uwierzytelniania wieloskładnikowego w celu osadzenia trwałego dostępu, dzięki czemu przeciwnicy zachowają nieautoryzowaną kontrolę nad zasobami w chmurze.
  • Eksfiltracja (TA0010) uzyskiwanie dostępu do danych z magazynu w chmurze (T1530) przy użyciu kont z nadmiernymi uprawnieniami w celu wyliczania i pobierania poufnych danych z zasobników magazynu lub baz danych.
  • Uchylanie się od obrony (TA0005) osłabiające zabezpieczenia (T1562.001) przez wyłączenie rejestrowania inspekcji w chmurze lub monitorowania przy użyciu kont z wysokimi uprawnieniami, ukrywając złośliwe działania, takie jak modyfikacje zasobów.

PA-3.1: Zarządzanie cyklem życia tożsamości i uprawnień

Automatyczne zarządzanie cyklem życia tożsamości uniemożliwia osierocone konta, nieodwołane uprawnienia i nadmierny dostęp, które pozostają po zmianie roli lub odejściu pracowników. Organizacje uzależnione od ręcznego zarządzania dostępem napotykają opóźnienia w deprowizjonowaniu, niespójne procesy zatwierdzania dostępu i brak możliwości audytowania, tworząc luki w zabezpieczeniach, w których nieautoryzowani użytkownicy wykorzystują nieaktualne poświadczenia umożliwiające eksfiltrację danych lub eskalację przywilejów. Implementowanie zautomatyzowanych przepływów pracy zapewnia dostęp zgodny z bieżącymi potrzebami biznesowymi dzięki spójnym procesom żądań, zatwierdzania, aprowizacji i wygasania.

Ustanów automatyczne zarządzanie tożsamościami i cyklem życia dostępu za pomocą następującego podejścia:

  • Planowanie celów i zakresu zarządzania dostępem Zdefiniuj potrzeby dostępu, identyfikując grupy zasobów platformy Azure wymagające zarządzania dostępem, w tym określone role (np. właściciel, współautor) i tożsamości użytkowników lub obciążeń, ustanawiając granice przepływów pracy nadzoru i zatwierdzania.

  • Przypisywanie obowiązków Wyznaczanie administratorów globalnych, administratorów zarządzania tożsamościami lub właścicieli katalogu do zarządzania zarządzaniem uprawnieniami i pakietami dostępu, delegując właścicieli zasobów lub menedżerów projektów do przeglądania i zatwierdzania żądań dostępu dla określonych grup zasobów platformy Azure.

  • Konfigurowanie zarządzania uprawnieniami dla przepływów pracy żądań dostępu Utwórz katalogi w centrum administracyjnym Microsoft Entra, aby organizować powiązane zasoby i pakiety dostępu, dodając określone grupy zasobów Azure z ich rolami (np. Współautor, Czytelnik) jako zasoby katalogu, a następnie definiując pakiety dostępu, które określają, jakie role grup zasobów Azure mogą być żądane przez użytkowników, wraz z ustalaniem wymagań dotyczących czasu trwania dostępu i zatwierdzania.

  • Konfigurowanie zasad dostępu Umożliwianie użytkownikom żądania dostępu za pośrednictwem portalu Microsoft Entra My Access, skonfigurowanie przepływów pracy zatwierdzania pojedynczego, podwójnego lub wieloetapowego z wyznaczonymi osobami zatwierdzającymi (np. właścicielami zasobów, menedżerami), definiowanie dat wygaśnięcia dostępu lub dostępu powiązanego z czasem na potrzeby automatycznego odwoływania oraz konfigurowanie alertów dotyczących przesłanych żądań, zatwierdzeń, odmowy i nadchodzących wygasań.

  • Przetwarzanie i przeglądanie żądań dostępu Użytkownicy przesyłają żądania dostępu do ról grup zasobów platformy Azure za pośrednictwem portalu Mój dostęp, co wyzwala skonfigurowane przepływy pracy, które powiadamiają wyznaczone osoby zatwierdzające i rejestrują szczegóły żądania, podczas gdy osoby zatwierdzające oceniają żądania na podstawie roli użytkownika, żądanego dostępu i uzasadnienia, prosząc o wyjaśnienia w razie potrzeby przed zatwierdzeniem lub odmową z udokumentowanymi uzasadnieniami.

  • Automatyczne przydzielanie i usuwanie dostępu Po zatwierdzeniu Microsoft Entra automatycznie przypisuje żądane role platformy Azure użytkownikom dla określonych grup zasobów, zapewniając natychmiastowy dostęp oraz wymuszając automatyczne cofnięcie dostępu po osiągnięciu określonych dat wygaśnięcia zgodnie z zasadami pakietu dostępu. Administratorzy lub właściciele zasobów mogą ręcznie usunąć dostęp, jeśli role użytkownika lub projekty zmienią się przed wygaśnięciem.

  • Wykrywanie i ustawianie odpowiedniego rozmiaru nadmiernych uprawnień Użyj usługi Microsoft Entra Permissions Management , aby zidentyfikować nieużywane i nadmierne uprawnienia przypisane do tożsamości użytkowników i obciążeń w infrastrukturze z wieloma chmurami, automatycznie ustalając odpowiednie uprawnienia i stale monitorując, aby zapobiec pełzaniu uprawnień.

Przykład implementacji

Wyzwanie Wielonarodowe przedsiębiorstwo z 8500 pracownikami w 40 krajach/regionach zmagało się z ręcznym aprowizowaniem dostępu wymagającym 3–5 dni roboczych na żądanie, tworząc opóźnienia operacyjne i gromadząc 450+ oddzielonych kont od odchodzących pracowników z aktywnym uprzywilejowanym dostępem.

Solution

  • Implementowanie zarządzania uprawnieniami Wdrożono Microsoft Entra ID entitlement management z pakietami dostępu dla wszystkich grup zasobów platformy Azure, ustanowiono zautomatyzowane przepływy pracy na potrzeby żądania, wieloetapowego zatwierdzania oraz dostępu ograniczonego czasowo z automatycznym wygaśnięciem.
  • Konfiguracja przepływów pracy cyklu życia Utworzono zautomatyzowane przepływy pracy dla nowych pracowników/przesunięć/zwolnień, które wyzwalają natychmiastowe wdrożenie nowych pracowników, aktualizacje dostępu przy zmianach ról oraz natychmiastowe wycofanie aprowizacji po zakończeniu pracy, z usunięciem ze wszystkich pakietów dostępu i grup z uprzywilejowaniami.
  • Zarządzanie uprawnieniami wdrożeń Zaimplementowano ciągłe monitorowanie wykrywające nieużywane uprawnienia w infrastrukturze multicloud, automatyczne dostosowywanie nadmiernie aprowizowanych ról i generowanie alertów dotyczących niekontrolowanego zwiększania uprawnień wymagających przeglądu.

Wynik Organizacja zmniejszyła czas udostępniania dostępu z 3–5 dni do poniżej 2 godzin, wyeliminowała wszystkie osierocone konta za pomocą zautomatyzowanego cofania udostępniania i osiągnęła 100% audytowalności żądań dostępu z pełną dokumentacją ścieżki zatwierdzania.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2, AC-2(1), AC-2(3), AC-2(4), IA-4
  • PCI-DSS 4 7.2.2, 7.2.4, 8.1.3, 8.1.4
  • Kontrole CIS w wersji 8.1 5.1, 5.2, 5.3, 6.1
  • NIST CSF v2.0 PR.AA-3, PR.AC-1, PR.AC-4
  • ISO 27001:2022 A.5.15, A.5.16, A.5.17, A.5.18
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-4: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PA-4.

Zasada zabezpieczeń

Przeprowadzaj okresowe inspekcje uprawnień uprzywilejowanego konta, aby sprawdzić, czy uprawnienia dostępu są ściśle zgodne z autoryzowanymi funkcjami administracyjnymi, zapewniając zgodność z zasadą najniższych uprawnień.

Ryzyko w celu ograniczenia ryzyka

  • Nieautoryzowany dostęp z powodu nadmiernych uprawnień Tożsamościom przypisano więcej praw dostępu niż to konieczne, naruszając zasadę najmniejszych uprawnień i zwiększając powierzchnię ataków.
  • Nieaktywny lub oddzielony dostęp z niezarządzanych kont Uprawnienia zachowane po tym, jak nie są już potrzebne, lub konta pozostają aktywne po odejściu użytkownika, co umożliwia potencjalne wykorzystanie.
  • Zagrożenia dla niejawnych z powodu błędnie skonfigurowanego lub niemonitorowanego dostępu Autoryzowani użytkownicy błędnie korzystają z uprawnień z powodu błędnie skonfigurowanych zasad lub braku nadzoru, w tym pomijania procesów zatwierdzania.
  • Niezgodność ze standardami regulacyjnymi Brak wymuszania zasady najmniejszych uprawnień, audytowania dostępu lub terminowego cofania uprawnień, ryzyko naruszenia standardów, takich jak RODO, HIPAA, SOC 2 lub ISO 27001.
  • Błąd człowieka w zarządzaniu dostępem Ręczne procesy prowadzące do nieprawidłowego przyznawania uprawnień, pomijanego cofania uprawnień lub błędnie skonfigurowanych łańcuchów zatwierdzania.
  • Brak możliwości inspekcji i możliwości śledzenia Brak odpowiedniego rejestrowania i dokumentacji, utrudnianie śledzenia żądań dostępu, zatwierdzeń lub aprowizacji, opóźnianie wykrywania naruszeń.

MITRE ATT&CK

  • Dostęp początkowy (TA0001) wykorzystujący ważne konta (T1078.004) przy użyciu skompromitowanych lub nieaktualnych poświadczeń dostępu w chmurze, takich jak konta usług z nadmiernymi uprawnieniami, w celu uwierzytelniania w interfejsach API lub konsolach zarządzania, umożliwiając uzyskanie nieautoryzowanego dostępu do zasobów chmurowych bez wywoływania alarmów.
  • Eskalacja uprawnień (TA0004) nadużywanie mechanizmów kontroli eskalacji uprawnień (T1548.005) przez wykorzystywanie nieprawidłowo skonfigurowanych zasad RBAC lub nadmiernych uprawnień w celu przypisania podniesionych ról, takich jak dostęp administracyjny na poziomie całej dzierżawy, z roli grupy zasobów.
  • Trwałość (TA0003) manipulowanie kontami (T1098.001) przez zmodyfikowanie zasad IAM lub wyłączenie uwierzytelniania wieloskładnikowego w celu osadzenia trwałego dostępu, dzięki czemu przeciwnicy mogą zachować nieautoryzowaną kontrolę nad zasobami w chmurze, takimi jak pamięć masowa czy obliczenia.
  • Eksfiltracja (TA0010) uzyskiwanie dostępu do danych z magazynu w chmurze (T1530), wykorzystując konta z nadmiernymi uprawnieniami do wyliczania i pobierania poufnych danych z kontenerów lub baz danych, wykorzystując niewycofane lub źle zweryfikowane uprawnienia.
  • Zacieranie śladów (TA0005) osłabiającym zabezpieczenia (T1562.001) przez wyłączanie audytu chmury lub monitorowania przy użyciu kont o wysokich uprawnieniach, ukrywając złośliwe działania, takie jak modyfikacje zasobów lub dostęp do danych.

PA-4.1: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Przejrzyj wszystkie uprzywilejowane konta i uprawnienia dostępu na platformie Microsoft Azure, obejmujące dzierżawy Azure, usługi Azure, maszyny wirtualne (VM) / infrastruktura jako usługa (IaaS), procesy CI/CD oraz narzędzia do zarządzania i bezpieczeństwa przedsiębiorstwa.

Przeglądy dostępu Microsoft Entra ID umożliwiają ocenę ról Microsoft Entra, ról dostępu do zasobów Azure, członkostwa w grupach oraz dostępu do aplikacji korporacyjnych. Funkcja raportowania Microsoft Entra ID udostępnia dzienniki umożliwiające identyfikowanie nieaktywnych kont lub kont nieużywanych przez określony okres.

Ponadto usługę Microsoft Entra Privileged Identity Management (PIM) można skonfigurować do wysyłania alertów, gdy dla określonej roli jest tworzona nadmierna liczba kont administratorów i wykrywanie kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Planowanie zakresu i celów przeglądu dostępu Określ, które zasoby platformy Azure (np. subskrypcje, grupy zasobów, maszyny wirtualne) i role firmy Microsoft Entra (np. administrator globalny, administrator użytkowników) wymagają przeglądu, ustanawiania częstotliwości przeglądu (np. miesięcznej, kwartalnej) na podstawie wymagań dotyczących zabezpieczeń i potrzeb regulacyjnych.

Przypisywanie obowiązków do przeglądu Wyznaczanie właścicieli zasobów, zespołów ds. zabezpieczeń lub administratorów ról w celu przeprowadzania przeglądów, zapewniając recenzentom odpowiednie uprawnienia w usłudze PIM.

Konfigurowanie recenzji dostępu w usłudze Microsoft Entra PIM Utwórz recenzje dostępu dla ról Entra, wybierając określone role Microsoft Entra do recenzji, określając recenzentów (osoby, opiekunowie grup lub własne recenzje) i ustawiając parametry recenzji, w tym czas trwania i częstotliwość. W przypadku zasobów platformy Azure wybierz subskrypcje lub grupy zasobów, wybierz role zasobów platformy Azure (np. właściciel, współautor) na potrzeby oceny, przypisz recenzentów i skonfiguruj ustawienia przeglądu, w tym daty rozpoczęcia/zakończenia i cykl.

Przeprowadzanie przeglądów dostępu Recenzenci oceniają, czy użytkownicy nadal wymagają przypisanych ról firmy Microsoft Entra na podstawie funkcji zadań lub potrzeb projektu, oceniają, czy użytkownicy potrzebują ciągłego dostępu do określonych zasobów i ról platformy Azure weryfikując dostosowanie się do bieżących obowiązków, i wymagają od użytkowników lub recenzentów, aby zapewnić przyczyny utrzymania dostępu, dzięki czemu decyzje są udokumentowane.

Podejmij działania na podstawie wyników przeglądu Usuń niepotrzebny dostęp, cofając role lub dostęp dla użytkowników, którzy już ich nie potrzebują, korzystając z raportowania Microsoft Entra ID wraz z usługą PIM, aby identyfikować konta bez niedawnej aktywności i usuwać ich role lub dezaktywować konta. Możesz również korzystać z funkcji PIM na potrzeby rozszerzonego uzgadniania, wykrywania nadmiernych przypisań ról i automatyzowania bieżących przeglądów według wstępnie zdefiniowanych harmonogramów.

Przykład implementacji

Wyzwanie Firma technologiczna z 650 kontami uprzywilejowanymi odkryła podczas corocznej kontroli, że 89 kont (14%) nie było używane przez ponad 180 dni, podczas gdy 34 konta zachowały podwyższone uprawnienia, mimo że użytkownicy przeszli na role nieadministracyjne.

Solution

  • Implementowanie kwartalnych przeglądów dostępu Wdrożono przeglądy dostępu Microsoft Entra PIM dla wszystkich subskrypcji platformy Azure i ról Entra, z kwartalnymi cyklicznymi harmonogramami, przypisując właścicieli zasobów jako głównych przeglądających, a zespół ds. zabezpieczeń jako pomocniczych przeglądających dla nadzoru.
  • Włączanie automatycznego wykrywania Skonfigurowano alerty usługi PIM dla nadmiernych przypisań ról (>8 administratorów globalnych) i kont nieużywanych przez 90 dni, integrując się z usługą Microsoft Sentinel na potrzeby powiadomień w czasie rzeczywistym do centrum operacji zabezpieczeń.
  • Tworzenie przepływów pracy w zakresie działań naprawczych Utworzono standardowe procedury odpowiedzi wymagające od recenzentów uzasadnienia utrzymania dostępu lub natychmiastowego odwoływania niepotrzebnych uprawnień z automatyczną eskalacją zaległych przeglądów do zespołu ds. ładu.

Wynik Organizacja zidentyfikowała i usunęła 89 nieaktualnych kont oraz dopasowała rozmiar 34 nadmiernie przydzielonych kont, zmniejszyła liczbę administratorów globalnych z 12 do 6 i osiągnęła 100% kwartalny wskaźnik ukończenia przeglądu z udokumentowanymi uzasadnieniami.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2(3), AC-2(7), AC-6(7), IA-4
  • PCI-DSS 4 7.2.4, 8.1.4, 8.2.6
  • Kontrolki CIS w wersji 8.1 5.3, 5.4, 6.2
  • NIST CSF v2.0 PR.AA-3, PR.AC-6, DE.CM-3
  • ISO 27001:2022 A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-5: Konfigurowanie dostępu awaryjnego

Zasada zabezpieczeń

Skonfiguruj dostęp awaryjny, aby mieć pewność, że w razie nagłego wypadku nie utracisz dostępu do swojej krytycznej infrastruktury chmurowej. Konta dostępu awaryjnego powinny być rzadko używane i mogą być wysoce szkodliwe w przypadku naruszenia zabezpieczeń, ale ich dostępność jest niezwykle ważna w scenariuszach, gdy są one wymagane.

Ryzyko w celu ograniczenia ryzyka

  • Blokada administracyjna od zarządzania dzierżawą w chmurze Utrata dostępu do dzierżawy chmury, gdy wszystkie uprzywilejowane konta są zablokowane przez błędy uwierzytelniania wieloskładnikowego, awarie federacji lub naruszone/usunięte konta, co uniemożliwia aktualizację polityki IAM lub zarządzanie zasobami.
  • Nieautoryzowany dostęp do kont z wysokimi uprawnieniami Słabo zabezpieczone poświadczenia lub nieograniczony dostęp do kont awaryjnych umożliwia przeciwnikom uwierzytelnianie w konsolach zarządzania w chmurze lub interfejsach API, ułatwiając eskalację uprawnień lub eksfiltrację danych.
  • Zagrożenia wewnętrzne za pośrednictwem nieprawidłowego dostępu awaryjnego Konta awaryjne pomijające standardowe mechanizmy kontroli są nieprawidłowo używane przez autoryzowanych pracowników w przypadku zadań nietypowych, ryzykując narażenie na poświadczenia lub nieautoryzowany dostęp.
  • Brak możliwości inspekcji dostępu awaryjnego Nieodpowiednie rejestrowanie lub monitorowanie aktywności konta awaryjnego zapobiega wykrywaniu nieautoryzowanego użycia, opóźnianiu reagowania na zdarzenia.
  • Awaria operacyjna z nietestowanych kont awaryjnych Nietestowane konta awaryjne z nieaktualnymi poświadczeniami lub nieprawidłowo skonfigurowanymi powiązaniami zarządzania dostępem i tożsamościami kończą się niepowodzeniem podczas kryzysów, uniemożliwiając przywrócenie dostępu i zaostrzenie blokad.

MITRE ATT&CK

  • Początkowy dostęp (TA0001) — Prawidłowe konta: Konta w chmurze (T1078.004) Wykorzystanie skompromitowanych kont dostępu awaryjnego z wysokimi uprawnieniami do uwierzytelniania w konsolach zarządzania w chmurze lub interfejsach API, wykorzystując niewłaściwie przechowywane poświadczenia.
  • Eskalacja uprawnień (TA0004) — mechanizm kontroli eskalacji uprawnień: infrastruktura chmurowa (T1548.005) Zbyt uprzywilejowane lub posiadające nadmierne role IAM konta awaryjne są wykorzystywane do eskalacji dostępu, co umożliwia przeciwnikom modyfikowanie zasad lub przypisywanie uprawnień administracyjnych na poziomie dzierżawcy.
  • Trwałość (TA0003) — manipulowanie kontem: dodatkowe poświadczenia dla chmury (T1098.001) Modyfikowanie konfiguracji kont awaryjnych, takich jak dodawanie trwałych ról lub wyłączanie uwierzytelniania wieloskładnikowego, w celu utrzymania nieautoryzowanego dostępu.
  • Uchylanie się od obrony (TA0005) — osłabienie obrony: wyłączanie lub modyfikowanie dzienników chmury (T1562.008) Używanie kont awaryjnych do wyłączania rejestrowania inspekcji lub monitorowania w środowiskach chmurowych w celu ukrycia złośliwych działań.
  • Dostęp poświadczeń (TA0006) — kradzież tokenu dostępu do aplikacji (T1528) Kradzież poświadczeń konta awaryjnego przechowywanych w sposób niezabezpieczony w celu uwierzytelniania w usługach w chmurze.

PA-5.1: Konfigurowanie dostępu awaryjnego

Konta dostępu awaryjnego (kont awaryjnych typu "break-glass") zapobiegają całkowitemu zablokowaniu dostępu administracyjnego podczas awarii uwierzytelniania wieloskładnikowego, przerw w działaniu federacji lub kompromitacji konta administracyjnego. Bez tych kont organizacje ryzykują utratę dostępu do dzierżawy, gdy zawiodą normalne ścieżki uwierzytelniania. Implementowanie dostępu awaryjnego zapewnia ciągłość działania przy zachowaniu zabezpieczeń dzięki kontrolowanemu zarządzaniu poświadczeniami, monitorowaniu i testowaniu.

Ustanów konta dostępu awaryjnego za pomocą następującego podejścia ustrukturyzowanego:

  • Tworzenie kont dostępu awaryjnego Skonfiguruj co najmniej dwa konta tylko w chmurze (nie federacyjne) z rolą administratora globalnego w usłudze Microsoft Entra ID, używając nazw opisowych (np. EmergencyAccess01, BreakGlass02), które wyraźnie identyfikują ich przeznaczenie, zapewniając, że konta nie są przypisane do określonych osób i pozostają przeznaczone wyłącznie dla scenariuszy awaryjnych.

  • Zabezpieczanie poświadczeń za pomocą podwójnej kontroli Generowanie silnych, losowo generowanych haseł o co najmniej 32 znakach skonfigurowanych do nigdy nie wygasania, implementowanie mechanizmów podwójnej kontroli przez podzielenie poświadczeń na wiele części przechowywanych w oddzielnych bezpiecznych lokalizacjach fizycznych (np. odpornych na pożary w różnych miejscach) dostępnych tylko dla autoryzowanych kadry kierowniczej na poziomie C lub kierownictwa zabezpieczeń, dokumentowanie procedur pobierania wymagających zatwierdzenia wielu osób.

  • Konfigurowanie wykluczeń dostępu warunkowego Wyklucz co najmniej jedno konto awaryjne ze wszystkich zasad dostępu warunkowego i wymagań uwierzytelniania wieloskładnikowego, aby zapewnić dostęp podczas przerw w działaniu usługi. Opcjonalnie zabezpiecz drugie konto przy użyciu kluczy bezpieczeństwa FIDO2, przechowywanych w bezpiecznych miejscach, co zapewnia różnorodność poświadczeń i chroni przed błędami uwierzytelnienia pojedynczego punktu.

  • Włącz kompleksowe monitorowanie i zgłaszanie alertów Skonfiguruj usługę Azure Monitor lub Microsoft Sentinel, aby analizować dzienniki logowania i inspekcji Microsoft Entra ID, tworząc alerty w czasie rzeczywistym (wiadomości e-mail i wiadomości SMS) wyzwalane przez uwierzytelnianie lub zmianę konfiguracji dotyczące dowolnego konta awaryjnego, ustanów procedury reagowania na incydenty wymagające natychmiastowego powiadomienia zespołu ds. zabezpieczeń oraz dokumentację uzasadniającą każde użycie konta awaryjnego.

  • Ustanawianie procedur testowania i konserwacji Przetestuj dostęp do konta awaryjnego kwartalnie, aby zweryfikować funkcje, zaktualizuj poświadczenia co 90 dni lub natychmiast po zmianach personelu wpływających na autoryzowanych użytkowników, przeszkól autoryzowanych administratorów w procedurach awaryjnych, obejmujących pobieranie poświadczeń i dokumentację zdarzeń, prowadząc pisemny runbook dokumentujący pełny proces dostępu awaryjnego dla zgodności i gotowości operacyjnej.

Przykład implementacji

Wyzwanie Międzynarodowa organizacja usług finansowych doświadczyła awarii związanej z federacją, wpływającej na ich infrastrukturę tożsamości hybrydowej, odkrywając, że nie miała działającej ścieżki dostępu awaryjnego do Microsoft Entra ID. Wszyscy 15 administratorów globalnych polegali na uwierzytelnianiu federacyjnym, pozostawiając organizację całkowicie zablokowaną podczas zdarzenia wymagającego eskalacji pomocy technicznej firmy Microsoft w celu odzyskania dostępu po 6 godzinach przestoju.

Solution

  • Tworzenie kont dostępu awaryjnego Utworzono dwa konta dostępu awaryjnego wyłącznie w chmurze (EmergencyAccess01@contoso.onmicrosoft.com, BreakGlass02@contoso.onmicrosoft.com) ze stałym przypisaniem ról Administratora Globalnego w Microsoft Entra ID, upewniając się, że konta nie były federacyjne ani synchronizowane z lokalnej usługi Active Directory, aby wyeliminować zależność od infrastruktury federacyjnej.

  • Wdrażanie uwierzytelniania bez hasła przy użyciu podwójnej kontroli Skonfigurowano funkcję EmergencyAccess01 z uwierzytelnianiem z kluczem dostępu FIDO2 i BreakGlass02 z uwierzytelnianiem opartym na certyfikatach dla różnorodności poświadczeń, przechowując klucze zabezpieczeń FIDO2 w dwóch oddzielnych ognioodpornych sejfach w siedzibie i w lokacji odzyskiwania po awarii, podczas gdy klucze prywatne certyfikatów pozostały na sprzętowych modułach bezpieczeństwa dostępnych tylko dla kadry zarządzającej na poziomie C z wymaganiami dotyczącymi autoryzacji dwuosobowej udokumentowanymi w procedurach reagowania awaryjnego.

  • Strategiczne konfigurowanie wykluczeń dostępu warunkowego Utworzono nazwane zasady wykluczania lokalizacji dla konta EmergencyAccess01, wykluczając ją ze wszystkich zasad dostępu warunkowego, w tym wymagań dotyczących uwierzytelniania wieloskładnikowego, podczas gdy BreakGlass02 nadal podlega wymaganiom odpornym na wyłudzanie informacji, zapewniając zrównoważone podejście do zabezpieczeń, gwarantujące co najmniej jedno konto mające dostęp podczas zakłóceń usługi uwierzytelniania.

  • Wdróż alerty usługi Azure Monitor dla aktywności konta awaryjnego Skonfigurowano workspacem Log Analytics z niestandardowymi regułami alertów, które wysyłają zapytania do dzienników logowania dla identyfikatorów obiektów konta awaryjnego, wyzwalając alerty o stopniu krytycznym (stopień 0) z natychmiastowymi powiadomieniami e-mail i SMS do centrum operacji zabezpieczeń, CISO i dyrektora IT za każdym razem, gdy konta awaryjne są uwierzytelniane, z zapytaniem ostrzegawczym: SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" oceniając co 5 minut.

  • Ustanowienie kwartalnych procedur walidacji i testowania Utworzono udokumentowany kwartalny harmonogram prób wymagający wyznaczonych członków zespołu ds. zabezpieczeń do pobierania poświadczeń z bezpiecznego magazynu, uwierzytelniania przy użyciu kont alarmowych, wykonywania testowych zadań administracyjnych (zapytania o listę użytkowników za pośrednictwem interfejsu API Microsoft Graph), dokumentowania działań w dzienniku incydentów oraz natychmiastowego powiadamiania zespołu ds. zabezpieczeń, co wyzwala weryfikację funkcjonalności alertów i dostępności poświadczeń, przy rotacji poświadczeń odbywającej się co 90 dni i natychmiast po zmianach personelu wpływających na osoby autoryzowane.

Wynik Organizacja ustanowiła odporną zdolność awaryjnego dostępu przetrwającą awarie całej infrastruktury federacyjnej, zidentyfikowała 100% uwierzytelnień konta awaryjnego w ciągu 5 minut przez automatyczne alerty, pomyślnie przeprowadziła 4 kwartalne próby weryfikacji, prowadząc je ze średnim czasem pobierania poświadczeń 12 minut, i utrzymała brak nieautoryzowanego użycia konta awaryjnego w ciągu 12 miesięcy, z kompleksowym dziennikiem inspekcji dla wszystkich działań testowych.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2, CP-2, CP-9, IR-4, IA-4
  • PCI-DSS 4 8.2.8, 8.6.1, 12.10.1
  • Kontrole CIS w wersji 8.1 5.4, 6.5, 17.9
  • NIST CSF v2.0 PR.IP-10, RS.CO-3, RS.RP-1
  • ISO 27001:2022 A.5.24, A.5.29, A.17.1
  • SOC 2 CC6.1, CC7.4, CC9.1

PA-6: Korzystanie z rozwiązania uprzywilejowanego dostępu

Zasada zabezpieczeń

Zabezpieczone, izolowane rozwiązania dostępu uprzywilejowanego są niezwykle ważne dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej.

Ryzyko w celu ograniczenia ryzyka

  • Kompromitacja poświadczeń przez złośliwe oprogramowanie lub wyłudzanie informacji na administracyjnych stacjach roboczych Osoby atakujące wdrażają keyloggery, strony phishingowe lub złośliwe oprogramowanie skanujące pamięć na nieodpornych stacjach roboczych w celu przechwytywania poświadczeń uprzywilejowanych, takich jak tokeny API lub hasła, umożliwiając nieautoryzowany dostęp do konsol zarządzania chmurą lub interfejsów API. Na przykład atak phishingowy naśladujący stronę logowania w portalu chmury lub trojan na urządzeniu innym niż PAW może pozyskać dane logowania administratora, umożliwiając przeciwnikom wywoływać wywołania API, modyfikować polityki IAM lub eksfiltrować dane.
  • Podwyższenie poziomu uprawnień za pośrednictwem niezabezpieczonych konfiguracji stacji roboczej Przeciwnicy wykorzystują prawa administratora lokalnego, niesprawdzone luki w zabezpieczeniach lub słabe mechanizmy kontroli aplikacji na stacjach roboczych administracyjnych w celu eskalacji uprawnień, manipulowania rolami IAM lub tokenami dostępu. Na przykład stacja robocza bez zasad AppLocker może zezwalać na wykonywanie złośliwych skryptów, umożliwiając atakującym podniesienie poziomu użytkownika do poziomu administracyjnego całej dzierżawy, kompromitując zasoby, takie jak maszyny wirtualne lub pamięć masową.
  • Nieautoryzowany dostęp za pośrednictwem niezabezpieczonej łączności zdalnej Osoby atakujące są celem uwidocznionych punktów końcowych protokołu RDP/SSH lub niezabezpieczonych protokołów w celu przechwycenia sesji administracyjnych lub przeprowadzania ataków siłowych, uzyskując dostęp do zasobów w chmurze. Bezpośrednie połączenia przez publiczne adresy IP stwarzają ryzyko przejęcia sesji lub przypuszczania ataków typu credential stuffing, co umożliwia przeciwnikom wykonywanie nieautoryzowanych poleceń lub wyodrębnianie danych z maszyn wirtualnych lub baz danych.
  • Zagrożenia wewnętrzne wynikające z niewłaściwego wykorzystania dostępu uprzywilejowanego na urządzeniach innych niż PAW Autoryzowani administratorzy niewłaściwie korzystają z dostępu uprzywilejowanego lub omijają mechanizmy kontroli poprzez użycie urządzeń osobistych, ryzykując narażenie poświadczeń na ryzyko ataków złośliwego oprogramowania lub naruszenia zasad. Na przykład administrator wykonujący uprzywilejowane zadania na urządzeniu BYOD może przypadkowo dopuścić do wycieku poświadczeń przez programy szpiegujące, co umożliwia nieautoryzowane zmiany w zarządzaniu tożsamością i dostępem (IAM) lub uzyskanie dostępu do danych, naruszając zasady najniższych uprawnień.
  • Propagacja złośliwego oprogramowania i trwałość na stacjach roboczych administracyjnych Przeciwnicy wdrażają trwałe złośliwe oprogramowanie, takie jak oprogramowanie wymuszającego okup lub backdoor, na nieudzielonych stacjach roboczych w celu eksfiltrowania danych lub przechodzenia do zasobów w chmurze. Skompromitowane urządzenie administratora bez ograniczeń w wykonywaniu może umożliwić złośliwemu oprogramowaniu manipulowanie konfiguracjami IAM lub wdrażanie złośliwych obciążeń roboczych, wykorzystując nieaktualne oprogramowanie w celu utrzymania długoterminowego dostępu.
  • Brak możliwości inspekcji i możliwości śledzenia działania uprzywilejowanej stacji roboczej Nieodpowiednie rejestrowanie uprzywilejowanych sesji lub akcji zarządzania dostępem i tożsamościami na stacjach roboczych zapobiega wykrywaniu nieautoryzowanego dostępu, opóźniając reagowanie na zdarzenia. Niemonitorowane działania administratora, takie jak logowania do konsoli lub wywołania interfejsu API, z ograniczonym przechowywaniem dzienników (np. 30 dni), utrudniają analizę kryminalistyczną, umożliwiając osobom atakującym działanie niezauważone w środowiskach chmury.

MITRE ATT&CK

  • Dostęp do poświadczeń (TA0006) Kradzież poświadczeń (np. haseł, tokenów interfejsu API) z niewzmocnionych stacji roboczych administracyjnych za pośrednictwem programów rejestrujących naciśnięcia klawiszy, wyłudzania informacji lub złośliwego oprogramowania do przeszukiwania pamięci (T1552.001), wykorzystując przechwycone poświadczenia do uwierzytelniania w konsolach zarządzania w chmurze lub interfejsach API w celu uzyskania nieautoryzowanego dostępu.
  • Eskalacja uprawnień (TA0004) Wykorzystanie lokalnych praw administratora lub nienastawionych luk w zabezpieczeniach na urządzeniach innych niż PAW w celu eskalacji uprawnień (T1068), manipulowanie rolami IAM lub tokenami dostępu w celu uzyskania dostępu administracyjnego dla całej dzierżawy, takiego jak modyfikowanie zasad zasobów w chmurze.
  • Dostęp początkowy (TA0001) Atakowanie uwidocznionych punktów końcowych RDP/SSH w zasobach chmurowych za pomocą ataku siłowego lub przechwytywania sesji (T1133), wykorzystując skompromitowane sesje administratora z niezabezpieczonych połączeń zdalnych do wykonywania poleceń lub dostępu do poufnych danych.
  • Trwałość (TA0003) Ustanowienie trwałego dostępu przez wdrożenie złośliwego oprogramowania lub backdoorów na nieodpornionych stacjach roboczych (T1547.001), utrzymanie kontroli nad urządzeniami administracyjnymi w celu wielokrotnego uzyskiwania dostępu do konfiguracji IAM w chmurze lub wdrażania złośliwych ładunków.
  • Unikanie obrony (TA0005) Wyłączanie rejestrowania w chmurze lub monitorowania usług za pomocą skompromitowanych kont administratora na urządzeniach innych niż PAW (T1562.008), ukrywanie nieautoryzowanych zmian w IAM lub manipulacji zasobami poprzez wyciszanie dzienników inspekcji.

PA-6.1: Korzystanie z rozwiązania uprzywilejowanego dostępu

Stacje robocze z dostępem uprzywilejowanym (PAW) zapewniają wzmocnione, izolowane środowiska uniemożliwiające kradzież poświadczeń przed złośliwym oprogramowaniem, wyłudzaniem informacji i nieautoryzowanym dostępem na urządzeniach administracyjnych. Bez stacji roboczych z dostępem uprzywilejowanym (PAW) administratorzy korzystający ze standardowych stacji roboczych lub urządzeń osobistych narażają uprzywilejowane poświadczenia na keyloggery, złośliwe oprogramowanie do wysysania pamięci i przechwytywanie sesji, umożliwiając atakującym naruszenie bezpieczeństwa najemców w chmurze. Implementacja stacji roboczych z dostępem uprzywilejowanym (Privileged Access Workstations, PAWs) przy użyciu utwardzania zabezpieczeń urządzeń, silnego uwierzytelniania i bezpiecznego dostępu zdalnego zapewnia ochronę operacji administracyjnych przed atakami opartymi na punktach końcowych.

Wdróż stacje robocze z dostępem uprzywilejowanym za pomocą następującego podejścia strukturalnego:

Aprowizuj i konfiguruj urządzenia PAW ze wzmocnionymi zabezpieczeniami Wdrażaj dedykowane urządzenia z systemem Windows jako PAW (fizyczne stacje robocze lub maszyny wirtualne Azure), rejestrując je w usłudze Microsoft Intune dla scentralizowanego zarządzania, stosując bazy wyjściowe zabezpieczeń usługi Microsoft Defender dla punktów końcowych, usuwając prawa administratora lokalnego, wymuszając szyfrowanie urządzeń za pomocą funkcji BitLocker i konfigurując zasady Windows Defender Application Control (WDAC) lub zasady AppLocker, ograniczając wykonanie aplikacji tylko do zatwierdzonych narzędzi administracyjnych (Azure portal, PowerShell, Azure CLI, Visual Studio Code).

Implementowanie zgodności urządzeń i kontroli aplikacji Skonfiguruj profile konfiguracji urządzeń w usłudze Intune wymuszające zasady zabezpieczeń, takie jak wyłączone konta administratora lokalnego, obowiązkowe zablokowanie ekranu po 5 minutach braku aktywności, zablokowane urządzenia pamięci masowej oraz ograniczenie instalacji ze Sklepu Microsoft. Wdrażaj aplikację Portal firmy w celu dostarczania aplikacji zarządzanych, aby zapewnić, że tylko zatwierdzone narzędzia są dostępne na stacjach roboczych z dostępem uprzywilejowanym, przy jednoczesnym blokowaniu aplikacji osobistych i usług chmury konsumenckiej poprzez integrację z usługą Microsoft Defender for Cloud Apps.

Włączanie wykrywania zagrożeń i monitorowania Zintegruj usługę Microsoft Defender dla punktu końcowego na wszystkich stacjach roboczych z dostępem uprzywilejowanym na potrzeby monitorowania zachowań w czasie rzeczywistym w celu wykrywania prób kradzieży poświadczeń, podejrzanego wykonywania procesów i złośliwego oprogramowania, konfigurowania reguł zmniejszania obszaru ataków blokujących makra pakietu Office, złośliwego oprogramowania i narzędzi do dumpingu poświadczeń oraz zautomatyzowanych alertów wyzwalających powiadomienia zespołu ds. zabezpieczeń dla zagrożeń o wysokiej ważności wymagających natychmiastowego badania.

Wymuszanie kontroli tożsamości i dostępu Tworzenie zasad dostępu warunkowego Microsoft Entra wymagających odpornego na wyłudzanie informacji uwierzytelniania wieloskładnikowego (klucze zabezpieczeń FIDO2 lub uwierzytelnianie oparte na certyfikatach) dla wszystkich uprzywilejowanych kont dostępu do portalu Azure i platformy Microsoft 365 ze stacji roboczych z dostępem uprzywilejowanym, implementując filtry oparte na urządzeniach, które ograniczają dostęp wyłącznie do stacji roboczych przyłączonych do Entra lub zgodnych z Intune, jednocześnie blokując scenariusze BYOD oraz umożliwiając Microsoft Entra Privileged Identity Management (PIM) na potrzeby ad hoc aktywacji ról wymagającej zatwierdzenia i uzasadnienia przed udzieleniem czasowo ograniczonych uprawnień administracyjnych.

Wdrażanie bezpiecznego dostępu zdalnego dla zasobów w chmurze Aprowizowanie usługi Azure Bastion jako w pełni zarządzanej przez platformę usługi PaaS w sieciach wirtualnych umożliwiających łączność RDP/SSH z maszynami wirtualnymi platformy Azure bezpośrednio za pośrednictwem witryny Azure Portal za pośrednictwem przeglądarki internetowej bez publicznego ujawnienia adresów IP, przechowywanie kluczy prywatnych SSH jako wpisów tajnych w usłudze Azure Key Vault przy użyciu zasad dostępu opartych na identyfikatorach Entra ograniczające użycie kluczy autoryzowanym urządzeniom PAW, konfigurowanie sieciowych grup zabezpieczeń ograniczanie ruchu usługi Bastion według źródłowych zakresów adresów IP i protokołów oraz integracja z usługą Azure Monitor w celu zgłaszania alertów dotyczących zmian konfiguracji lub nieautoryzowanych prób dostępu.

Ustanawianie zasad użycia PAW i szkolenie Udokumentuj obowiązkowe wymagania dotyczące użycia PAW, w tym dostęp do Azure Portal, administrację za pomocą PowerShell i zmiany infrastruktury, zakazując użycia uprzywilejowanego konta z urządzeń innych niż PAW poprzez kontrole techniczne i wymuszanie zasad. Przeszkol administratorów z procedur dostępu PAW, zatwierdzonego użycia narzędzi i protokołów raportowania zdarzeń. Kwartalne przeglądy zgodności weryfikują przestrzeganie dostępu administracyjnego wyłącznie przez PAW.

Przykład implementacji

Wyzwanie Organizacja opieki zdrowotnej odkryła 23 administratorów korzystających z osobistych laptopów i standardowych firmowych stacji roboczych z nieograniczonymi uprawnieniami administratora lokalnego do zarządzania produkcyjnymi zasobami platformy Azure zawierającymi chronione informacje o kondycji (PHI), ujawniając uprzywilejowane poświadczenia złośliwemu oprogramowaniu i atakom wyłudzającym informacje bez ochrony punktu końcowego, kontroli aplikacji lub monitorowania aktywności, tworząc ryzyko zgodności HIPAA i umożliwiając potencjalną kradzież poświadczeń.

Solution

  • Wdrażanie dedykowanej infrastruktury stacji roboczej z dostępem uprzywilejowanym Udostępniono 25 dedykowanych urządzeń z systemem Windows 11 Enterprise jako stacje robocze z dostępem uprzywilejowanym zarejestrowanych w usłudze Microsoft Intune z rygorystycznymi zasadami zgodności urządzeń, zastosowano punkt odniesienia zabezpieczeń usługi Microsoft Defender dla punktu końcowego, usuwając wszystkie uprawnienia administratora lokalnego, włączono pełne szyfrowanie dysków funkcją BitLocker z ochroną TPM i skonfigurowano Windows Defender Application Control (WDAC) do zatwierdzania tylko narzędzi administracyjnych (portal Azure, PowerShell 7, Azure CLI, Visual Studio Code, zdalny pulpit Microsoft) zablokowano wykonanie wszystkich innych aplikacji, w tym pakiety produktywności Office i przeglądarki internetowe z wyjątkiem Microsoft Edge w trybie Application Guard.

  • Implementacja kompleksowego utwardzania urządzeń Skonfigurowano profile konfiguracji urządzeń w usłudze Intune, które wymuszają zasady zabezpieczeń, w tym obowiązkową 5-minutową blokadę ekranu z uwierzytelnianiem Windows Hello, zablokowane urządzenia magazynujące USB i nośniki zewnętrzne, wyłączony dostęp do aparatu i mikrofonu, uniemożliwiono lokalne buforowanie poświadczeń, wdrożono aplikację Portal firmy na potrzeby dostarczania aplikacji zarządzanych, ograniczając instalacje do zatwierdzonych narzędzi administracyjnych, oraz zintegrowano usługę Microsoft Defender for Cloud Apps, blokującą dostęp do usług przechowywania danych w chmurze dla konsumentów (Dropbox, osobiste usługi OneDrive, Gmail) poprzez inspekcję ruchu sieciowego.

  • Włącz zaawansowaną ochronę przed zagrożeniami Zintegrowano Microsoft Defender for Endpoint na wszystkich PAW z regułami redukcji powierzchni ataku blokującymi makra Office, zagrożenia oparte na skryptach, narzędzia do zbierania poświadczeń (Mimikatz) i podejrzane wstrzyknięcia procesów, skonfigurowano wykrywanie i reagowanie na zagrożenia końcowe (EDR) z automatycznym badaniem i korygowaniem zagrożeń o wysokiej ważności, włączono ochronę przed naruszeniami uniemożliwiającymi wyłączenie kontroli zabezpieczeń, oraz ustanowiono alerty centrum operacji zabezpieczeń (SOC) z 15-minutowym SLA reagowania na krytyczne zdarzenia dotyczące bezpieczeństwa PAW.

  • Wymuszanie uwierzytelniania odpornego na wyłudzanie informacji Utworzono zasady dostępu warunkowego firmy Microsoft Entra, wymagające uwierzytelniania klucza zabezpieczeń FIDO2 dla wszystkich uprzywilejowanych kont uzyskujących dostęp do portalu Azure i platformy Microsoft 365 ze stacji roboczych z dostępem uprzywilejowanym, zaimplementowano filtry zgodności urządzeń pozwalające na dostęp wyłącznie z stacji roboczych zarządzanych przez usługę Intune z zgodną postawą bezpieczeństwa, zablokowano starsze protokoły uwierzytelniania (Uwierzytelnianie podstawowe, POP3, IMAP), włączono usługę Microsoft Entra PIM, wymagając przepływu pracy zatwierdzania oraz 4-godzinną aktywację dla ról właściciela i współautora. Obowiązkowa dokumentacja uzasadnienia.

  • Wdrażanie bezpiecznej infrastruktury dostępu zdalnego Wdrożona usługa Azure Bastion w SKU Standard we wszystkich produkcyjnych sieciach wirtualnych, umożliwiająca dostęp do maszyn wirtualnych platformy Azure za pomocą przeglądarki w protokołach RDP/SSH, bez ujawniania publicznych adresów IP. Prywatne klucze SSH przechowywane w usłudze Azure Key Vault Premium z ochroną modułu HSM oraz zasadami dostępu opartymi na identyfikatorach Entra ID, ograniczając użycie kluczy do określonych tożsamości urządzeń PAW. Skonfigurowano sieciowe grupy zabezpieczeń, ograniczające ruch w podsieci Bastion do autoryzowanych zakresów adresów IP źródłowych z sieci firmowej i podsieci PAW. Zintegrowana usługa Azure Monitor z regułami alertów, wyzwalającymi się przy zmianach konfiguracji usługi Bastion, nieautoryzowanych próbach dostępu lub czasie trwania sesji przekraczającym 8 godzin.

  • Ustanawianie obowiązkowego zarządzania użyciem PAW (stacji roboczych z dostępem uprzywilejowanym) Udokumentowana polityka zerowej tolerancji zakazująca użycia uprzywilejowanych kont z urządzeń innych niż PAW za pomocą bloków dostępu warunkowego, przeszkolonych 23 administratorów w procedurach dostępu PAW, w tym użycia kluczy FIDO2, zatwierdzonych ograniczeń narzędzi i protokołów raportowania incydentów za pośrednictwem warsztatów praktycznych, zaimplementowano kwartalne inspekcje zgodności z automatycznym raportowaniem usługi Intune z weryfikacją 100% operacji uprzywilejowanych pochodzących z zgodnych PAW, i ustanowioną eskalację na poziomie kierowniczym dla naruszeń zasad wymagających natychmiastowego badania i korygowania.

Wynik Organizacja wyeliminowała ryzyko narażenia na poświadczenia z 23 niezabezpieczonych urządzeń administracyjnych, osiągnęła 100% wdrożenie PAW dla dostępu uprzywilejowanego z zerowym naruszeniem punktu odniesienia zabezpieczeń na 25 urządzeniach w ciągu 6 miesięcy, zapobiegła 12 próbom wyłudzania informacji wykrytych przez usługę Defender for Endpoint z automatycznymi blokadami narzędzi kradzieży poświadczeń, zmniejszyła ryzyko naruszenia zabezpieczeń kont uprzywilejowanych o 87% dzięki odpornemu na wyłudzanie informacji uwierzytelnianiu i wzmacnianiu zabezpieczeń urządzeń oraz osiągnęła zgodność ze standardem HIPAA dla kontroli dostępu administracyjnego, zapewniając kompletny dziennik operacji dla wszystkich działań uprzywilejowanych.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6, IA-2, IA-5, IA-8, SI-4
  • PCI-DSS 4 2.2.1, 7.2.5, 8.2.8, 8.4.2
  • Kontrolki CIS w wersji 8.1 4.1, 5.4, 6.3, 6.4
  • NIST CSF v2.0 PR.AC-7, PR.PT-3, DE.CM-1
  • ISO 27001:2022 A.5.15, A.8.5, A.8.16
  • SOC 2 CC6.1, CC6.6, CC6.7

PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PA-7.

Zasada zabezpieczeń

Postępuj zgodnie z zasadą ograniczonej administracji (jak najmniejszych uprawnień), aby zarządzać uprawnieniami na drobiazgowym poziomie. Użyj funkcji, takich jak kontrola dostępu oparta na rolach (RBAC), aby zarządzać dostępem do zasobów za pośrednictwem przypisań ról.

Ryzyko w celu ograniczenia ryzyka

  • Nieautoryzowany dostęp z powodu nadmiernych uprawnień Osoby atakujące wykorzystują konta uprzywilejowane z uprawnieniami wykraczającym poza to, co jest wymagane dla ich roli, umożliwiając nieautoryzowany dostęp do poufnych zasobów w chmurze, takich jak konta magazynu, maszyny wirtualne lub bazy danych. W środowiskach chmurowych nadmierne uprawnienia często wynikają z szerokich przypisań ról (np. przyznania Właściciela zamiast Współautora na poziomie subskrypcji), umożliwiając atakującym wykonywanie działań, takich jak eksfiltracja danych, usuwanie zasobów lub modyfikowanie zasad IAM. Na przykład użytkownik z niepotrzebnym dostępem do zapisu na koncie magazynu może wyodrębnić poufne dane lub wdrożyć złośliwą zawartość, wzmacniając obszar ataku.
  • Eskalacja uprawnień z niewłaściwie skonfigurowanych przypisań ról Przeciwnicy wykorzystują błędnie skonfigurowane lub zbyt liberalne przypisania ról do eskalacji uprawnień, uzyskując nieautoryzowaną kontrolę nad zasobami w chmurze lub całymi dzierżawami. Bez szczegółowych zasad RBAC użytkownik z pozornie małą rolą (np. Czytelnik w zakresie grupy zasobów) może wykorzystać dziedziczone uprawnienia lub błędy konfiguracji ról, aby przypisać sobie wyższe uprawnienia, takie jak Właściciel na poziomie subskrypcji. Może to prowadzić do naruszenia zabezpieczeń, które obejmuje całą dzierżawę, umożliwiając atakującym manipulowanie konfiguracjami Zarządzania Tożsamością i Dostępem, wdrażanie złośliwego oprogramowania lub wyłączanie mechanizmów kontroli zabezpieczeń.
  • Zagrożenia dla niejawnych z nieograniczonego dostępu Autoryzowani użytkownicy, celowo lub nieumyślnie, niewłaściwie wykorzystują szerokie uprawnienia dostępu do wykonywania nieautoryzowanych akcji, takich jak modyfikowanie krytycznych zasobów lub uzyskiwanie dostępu do poufnych danych. Na platformach w chmurze użytkownik wewnętrzny z rolą, która przyznaje nadmierne uprawnienia (np. Kontrybutor w wielu grupach zasobów), może zmieniać konfiguracje maszyn wirtualnych, wyodrębniać dane z baz danych lub zakłócać działanie usług bez wykrycia. Brak wymuszania najniższych uprawnień umożliwia takie działania w celu obejścia standardowego nadzoru, zwiększenia ryzyka naruszeń danych lub zakłóceń operacyjnych.
  • Ruch lateralny między zasobami chmurowymi Atakujący wykorzystują konta z nadmiernymi uprawnieniami, aby przemieszczać się między zasobami chmurowymi, uzyskując dostęp do niepowiązanych systemów lub danych po skompromitowaniu pojedynczego konta. W dzierżawie chmury naruszone konto z rolą udzielającą dostępu do wielu grup zasobów (np. Współtwórca w zakresie subskrypcji) umożliwia przeciwnikom na przestawienie się z jednego zasobu (np. maszyny wirtualnej) na inny (np. konto magazynu), by eskalować ich wpływ. To ryzyko jest zwiększane, gdy przypisania ról nie mają zakresu specyficznego dla zasobów, dzięki czemu osoby atakujące mogą wyliczać i wykorzystywać połączone zasoby.

MITRE ATT&CK

  • Dostęp początkowy (TA0001) Prawidłowe konta: Konta w chmurze (T1078.004): Naruszenie nadmiernie uprzywilejowanych kont z szerokimi rolami RBAC (np. właściciel w zakresie subskrypcji) w celu uwierzytelnienia w konsolach zarządzania chmurą lub API, co umożliwia atakującym uzyskanie dostępu do poufnych zasobów, takich jak konta magazynowe lub maszyny wirtualne, bez wykrycia.
  • Eskalacja uprawnień (TA0004) Nadużywanie mechanizmu kontroli podnoszenia uprawnień: Infrastruktura chmury (T1548.005): Wykorzystanie nieprawidłowo skonfigurowanych ról RBAC z nadmiernymi uprawnieniami do eskalacji uprawnień, takich jak modyfikowanie polityk IAM w celu przypisywania ról administracyjnych na poziomie dzierżawy z kontekstu grupy zasobów, przyznawanie nieautoryzowanej kontroli nad zasobami chmurowymi.
  • Trwałość (TA0003) Manipulowanie kontami: Dodatkowe role w chmurze (T1098.001): Modyfikowanie przypisań ról RBAC w celu dodania trwałych ról z wysokimi uprawnieniami do kont, co umożliwia przeciwnikom utrzymanie dostępu do zasobów w chmurze, takich jak bazy danych lub wystąpienia obliczeniowe za pośrednictwem nieautoryzowanych powiązań ról.
  • Eksfiltracja (TA0010) Dane z magazynu w chmurze (T1530): uzyskiwanie i wyodrębnianie poufnych danych z magazynu w chmurze przy użyciu kont z nadmiernie permissywnymi rolami RBAC, umożliwiając przeciwnikom wyliczanie i pobieranie poufnych plików z zasobników magazynu z powodu niezakresowanych uprawnień.
  • pl-PL: Uchylanie się od obrony (TA0005) Zaburzenie obrony: wyłącz lub zmodyfikuj dzienniki w chmurze (T1562.008): Używanie kont z nadmiernymi uprawnieniami RBAC w celu wyłączenia usług rejestrowania inspekcji lub monitorowania, ukrywając złośliwe działania, takie jak modyfikacje zasobów lub zmiany w zarządzaniu tożsamością i dostępem, tłumiąc natywne dla chmury dzienniki inspekcji.

PA-7.1: Użyj Azure RBAC do zarządzania dostępem do zasobów platformy Azure

Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pośrednictwem przypisań ról. Za pomocą kontroli dostępu opartej na rolach można przypisywać role do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów, a te role można tworzyć w spisie lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell i witryna Azure Portal.

Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Ograniczone uprawnienia będą uzupełniać podejście just in time (JIT) usługi Microsoft Entra ID Privileged Identity Management (PIM), a te uprawnienia powinny być okresowo przeglądane. W razie potrzeby można również użyć usługi PIM do zdefiniowania przypisania powiązanego czasowo, co jest warunkiem w przypisaniu roli, w którym użytkownik może aktywować rolę tylko w określonych datach rozpoczęcia i zakończenia.

Uwaga: Użyj wbudowanych ról platformy Azure, aby przydzielić uprawnienia i tworzyć tylko role niestandardowe, jeśli jest to wymagane.

Przykład implementacji

Wyzwanie Firma zajmująca się oprogramowaniem przyznała 145 deweloperom rolę właściciela w zakresie subskrypcji dla wygody, zapewniając nadmierne uprawnienia umożliwiające usunięcie bazy danych, modyfikację sieciowej grupy zabezpieczeń i zmiany zasad zarządzania dostępem i tożsamościami znacznie wykraczające poza potrzeby programistyczne.

Solution

  • Implementowanie RBAC z najmniejszymi uprawnieniami Przeanalizowano rzeczywiste wymagania dotyczące uprawnień i ponownie przypisano deweloperów do ról niestandardowych o określonym zakresie, ograniczając dostęp do konkretnych grup zasobów z precyzyjnymi uprawnieniami (odczyt/zapis dla App Services, tylko do odczytu dla Key Vault, brak dostępu do zasobów sieci ani zasobów IAM).
  • Wdrażanie PIM dla zadań ograniczonych czasowo Skonfigurowano Microsoft Entra PIM w celu zapewnienia podwyższonego poziomu dostępu wymagającego od deweloperów aktywowania roli Contributor w 4-godzinnych przedziałach czasowych z uzasadnieniem i zatwierdzeniem, zastępując stałe przypisania właściciela dostępem na żądanie.
  • Ustanawianie ładu zarządzania RBAC Utworzono zautomatyzowane comiesięczne przeglądy wszystkich przypisań ról przy użyciu przeglądów dostępu PIM, wymagając od właścicieli zasobów uzasadnienia dalszego dostępu oraz automatycznego oznaczania przypisań ról, które wykraczają poza zakres grupy zasobów, do przeglądu przez zespół ds. bezpieczeństwa.

Wynik Organizacja zmniejszyła 145 stałych przypisań właścicieli do 0, ograniczyła dostęp dewelopera do 23 grup zasobów o określonym zakresie z niestandardowymi rolami posiadającymi średnio 8 uprawnień w porównaniu z poprzednimi ponad 100 uprawnieniami właścicieli oraz uniemożliwiła 3 przypadkowe usunięcia produkcyjne w pierwszym kwartale za pośrednictwem ograniczonego dostępu.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-5, AC-6, AC-6(1), AC-6(2)
  • PCI-DSS 4 7.2.1, 7.2.2, 7.2.3, 8.2.2
  • Kontrolki CIS w wersji 8.1 3.3, 5.4, 6.1, 6.8
  • NIST CSF v2.0 PR.AC-4, PR.AC-7, PR.AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.3, CC6.7

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Zasada zabezpieczeń

Ustanów proces akceptacji oraz ścieżkę dostępu do składania i zatwierdzania wniosków o wsparcie techniczne od dostawcy, a także tymczasowego dostępu do danych za pośrednictwem bezpiecznego kanału.

Ryzyko w celu ograniczenia ryzyka

  • Nieautoryzowany dostęp do danych za pośrednictwem pomocy technicznej dostawcy usług w chmurze Ryzyko, że personel pomocy technicznej dostawcy usług w chmurze uzyskuje dostęp do magazynów danych klienta bez wyraźnej zgody, potencjalnie wykorzystując poświadczenia uprzywilejowane podczas operacji diagnostycznych lub konserwacyjnych.
  • Wykorzystywanie zagrożeń wewnętrznych przez dostęp dostawcy Potencjalnie złośliwi lub nieumyślni pracownicy usług chmurowych mogą nadużywać uprzywilejowanego dostępu, co może prowadzić do eksfiltracji danych lub nieautoryzowanych modyfikacji w dzierżawach klientów.
  • Nieprzezroczyste operacje dostępu bez widoczności Brak wglądu w zdarzenia dostępu do danych, utrudniając śledzenie i odpowiedzialność, co może ograniczać zaufanie i naruszać wymagania dotyczące inspekcji.
  • Nadmierna eskalacja uprawnień Ryzyko uzyskania przez inżynierów pomocy technicznej dostawcy usług w chmurze nadmiernie szerokiego zakresu dostępu, przekroczenia zasady najniższych uprawnień i zwiększenia obszaru ataków w zasobach w chmurze.
  • Niezgodność z przepisami dotyczącymi wymagań dotyczących inspekcji Niekontrolowany dostęp do danych naruszający ramy ochrony danych (np. RODO, HIPAA, KPAA), ryzykując kary za niezgodność ze względu na niewystarczający nadzór nad dostępem.
  • Ujawnienie danych podczas operacji pomocy technicznej Możliwość wycieku poufnych danych lub niewłaściwej obsługi podczas działań pomocy technicznej, takich jak sesje pulpitu zdalnego lub analiza dzienników, bez nadzoru klienta.

MITRE ATT&CK

  • Prawidłowe konta (T1078.004) Wykorzystanie lub nadużywanie poświadczeń skompromitowanych kont w chmurze, takich jak poświadczenia personelu pomocy technicznej, w celu uzyskania dostępu do danych klientów w środowiskach chmurowych, obchodząc standardowe mechanizmy kontroli uwierzytelniania.
  • Manipulowanie kontem (T1098.001) Dodanie nieautoryzowanych poświadczeń, takich jak klucze lub tokeny, do usług tożsamości w chmurze lub aplikacji, co umożliwia trwały dostęp do zasobów klienta podczas operacji pomocy technicznej.
  • Atak siłowy (T1110) Powtarzające się próby odgadnięcia poświadczeń konta w chmurze, takich jak te używane przez inżynierów pomocy technicznej, w celu uzyskania nieautoryzowanego dostępu do danych klientów podczas rozwiązywania problemów.
  • Ukraść token dostępu do aplikacji (T1528) Kradzież tokenów dostępu używanych przez personel pomocy technicznej do interakcji z zasobami chmury klienta, co ułatwia nieautoryzowany dostęp do danych lub przemieszczenia się lateralnego w ramach dzierżawcy.
  • Dumping poświadczeń systemu operacyjnego (T1003.006) Wyodrębnianie poświadczeń z usług tożsamości w chmurze przez osoby niejawne z tymczasowym podwyższonym poziomem dostępu, co umożliwia synchronizację poufnych danych tożsamości na potrzeby trwałego dostępu.

PA-8.1: Używanie skrytki klienta platformy Azure

Customer Lockbox zapewnia pełną kontrolę zatwierdzania dostępu do danych dla inżynierów wsparcia technicznego Microsoft, co pozwala klientom zachować nadzór nad tym, kto uzyskuje dostęp do ich zasobów w chmurze podczas rozwiązywania problemów. Bez blokady inżynierowie pomocy technicznej mogą uzyskiwać dostęp do danych klientów bez wyraźnej zgody, tworząc zagrożenia dotyczące zgodności i zmniejszając wgląd w działania dostępu dostawcy. Zaimplementowanie blokady zapewnia, że każde żądanie dostępu do danych pomocy technicznej wymaga zatwierdzenia przez klienta, utrzymania dzienników inspekcji i zgodności z przepisami.

Zaimplementuj Customer Lockbox według następującego procesu:

  • Włącz Customer Lockbox Administrator globalny włącza Customer Lockbox na poziomie dzierżawy za pośrednictwem modułu administracji w portalu Azure, co wymaga planu pomocy technicznej platformy Azure (dewelopera lub wyższego) obejmującego wszystkie subskrypcje i zasoby znajdujące się w obrębie dzierżawy.

  • Inicjowanie żądania pomocy technicznej Użytkownicy otwierają bilety pomocy technicznej w witrynie Azure Portal pod kątem problemów z obciążeniami, w których inżynierowie pomocy technicznej firmy Microsoft przeglądają bilety i określają, czy dostęp do danych jest potrzebny poza standardowymi narzędziami do rozwiązywania problemów.

  • Żądanie dostępu z podwyższonym poziomem uprawnień Jeśli standardowe narzędzia nie mogą rozwiązać problemu, inżynierowie żądają podwyższonego poziomu uprawnień za pośrednictwem usługi dostępu Just-In-Time (JIT), tworząc funkcji Lockbox na potrzeby bezpośredniego dostępu do danych (np. pulpitu zdalnego maszyny wirtualnej) określające cel, czas trwania i zasobów.

  • Powiadamianie wyznaczonych osób zatwierdzających Wyznaczone osoby zatwierdzające (właściciele subskrypcji, administratorzy globalni lub osoby zatwierdzające Skrytkę klienta platformy Azure) otrzymują powiadomienia e-mail zawierające szczegóły żądania i linki do interfejsu Skrytka, a alternatywne powiadomienia e-mail są konfigurowalne dla kont bez obsługi poczty e-mail lub jednostek usługi.

  • Przeglądanie i zatwierdzanie lub odrzucanie Osoby zatwierdzające logują się do portalu Azure, aby przeglądać żądania oraz powiązane zgłoszenia do pomocy technicznej, zatwierdzając lub odrzucając je w ciągu czterech dni, przy czym zatwierdzenie umożliwia dostęp przez ograniczony czas (domyślnie: 8 godzin), a odmowa lub wygaśnięcie uniemożliwiają dostęp.

Przykład implementacji

Wyzwanie Organizacja usług finansowych wymagała jawnej kontroli zatwierdzania dostępu do danych pomocy technicznej firmy Microsoft ze względu na wymagania prawne, ale nie ma wglądu w żądania dostępu inżyniera pomocy technicznej i przepływy pracy zatwierdzania na potrzeby inspekcji zgodności.

Solution

  • Włącz Blokadę Klienta jest aktywowana na poziomie dzierżawy dla wszystkich subskrypcji wymagających zatwierdzenia przez globalnego administratora oraz ustanowienie udokumentowanego procesu zatwierdzania z wyznaczonymi właścicielami subskrypcji i osobami zatwierdzonymi przez Blokadę Klienta platformy Azure, otrzymujących automatyczne powiadomienia e-mail dla wszystkich żądań dostępu do danych.
  • Konfigurowanie przepływów pracy zatwierdzania Ustanowiono 4-dniowe okno przeglądu dla wszystkich żądań Lockbox ze spełnieniem wymogu dostarczenia dokumentacji uzasadniającej zatwierdzenie przez osobę uprawnioną, konfigurowanie alternatywnych powiadomień e-mail dla podmiotów usługi i implementowanie procedur eskalacji dla krytycznych czasowo scenariuszy pomocy technicznej.
  • Implementowanie monitorowania i audytowania Integracja zdarzeń zatwierdzania Customer Lockbox z usługą Microsoft Sentinel, generując alerty w czasie rzeczywistym dla zespołu ds. zabezpieczeń, umożliwiając kompleksowy dziennik audytowy wszystkich żądań dostępu do pomocy technicznej, decyzji dotyczących zatwierdzenia i czasu trwania dostępu do celów raportowania zgodności z przepisami.

Wynik Organizacja osiągnęła 100% jednoznaczną zgodę na dostęp do danych pomocy technicznej firmy Microsoft ze średnim opóźnieniem zatwierdzania wynoszącym 2 godziny, utrzymała pełny dziennik inspekcji 47 żądań skrytki w ciągu 6 miesięcy na potrzeby zgodności z przepisami i odmówiła 3 żądań, które nie spełniały kryteriów zatwierdzania, co świadczy o kontroli zarządzania.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6(2), AU-6, CA-3
  • PCI-DSS 4 8.2.2, 10.2.2, 12.8.2, 12.8.5
  • Kontrolki CIS w wersji 8.1 5.4, 6.8, 8.2, 8.11
  • NIST CSF v2.0 PR.AC-4, PR.PT-2, DE.AE-3
  • ISO 27001:2022 A.5.19, A.5.20, A.5.23, A.8.2
  • SOC 2 CC6.3, CC6.7, CC7.2
  • Last updated on