Udostępnij przez

Security Control V2: Zarządzanie tożsamościami

Uwaga / Notatka

Najbardziej aktualny up-tostandard zabezpieczeń platformy Azure jest dostępny tutaj.

Usługa Identity Management obejmuje mechanizmy kontroli w celu ustanowienia bezpiecznej tożsamości i kontroli dostępu przy użyciu usługi Azure Active Directory. Obejmuje to korzystanie z logowania jednokrotnego, silnego uwierzytelniania, zarządzanych tożsamości (i zasadniczych jednostek usług) dla aplikacji; dostępu warunkowego i monitorowania anomalii kont.

Aby wyświetlić odpowiednie wbudowane zasady usługi Azure Policy, zobacz Szczegóły dotyczące wbudowanej inicjatywy zgodności regulacyjnej testu porównawczego zabezpieczeń platformy Azure: Zarządzanie tożsamością

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-1 16.1, 16.2, 16.4, 16.5 IA-2, IA-8, AC-2, AC-3

Azure Active Directory (Azure AD) to domyślna usługa zarządzania tożsamościami i dostępem platformy Azure. Należy wprowadzić standaryzację w usłudze Azure AD do zarządzania tożsamościami i dostępem w organizacji w:

  • Zasoby w chmurze firmy Microsoft, takie jak witryna Azure Portal, usługa Azure Storage, usługi Azure Virtual Machines (Linux i Windows), usługa Azure Key Vault, usługa PaaS i aplikacje SaaS.

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub zasoby sieci firmowej.

Zabezpieczanie usługi Azure AD powinno mieć wysoki priorytet w praktyce zabezpieczeń w chmurze organizacji. Usługa Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który ułatwia ocenę stanu zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft. Użyj oceny, aby ocenić, jak ściśle konfiguracja jest zgodna z zaleceniami dotyczącymi najlepszych rozwiązań, oraz aby wprowadzić ulepszenia stanu zabezpieczeń.

Uwaga: usługa Azure AD obsługuje zewnętrznych dostawców tożsamości, którzy umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-2 N/A AC-2, AC-3, IA-2, IA-4, IA-9

W przypadku kont innych niż ludzkie, takich jak usługi lub automatyzacja, użyj tożsamości zarządzanych platformy Azure, zamiast tworzyć bardziej zaawansowane konto człowieka w celu uzyskiwania dostępu do zasobów lub wykonywania kodu. Zarządzane tożsamości Azure mogą uwierzytelniać się w usługach i zasobach Azure, które obsługują uwierzytelnianie usługi Azure Active Directory. Uwierzytelnianie jest włączane za pomocą wstępnie zdefiniowanych reguł udzielania dostępu, unikając zakodowanych na sztywno poświadczeń w kodzie źródłowym lub plikach konfiguracji.

W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj usługi Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Zaleca się skonfigurowanie jednostek usługi przy użyciu poświadczeń certyfikatu i powrót do wpisów tajnych klienta. W obu przypadkach usługa Azure Key Vault może być używana w połączeniu z tożsamościami zarządzanymi platformy Azure, dzięki czemu środowisko uruchomieniowe (takie jak funkcja platformy Azure) może pobrać poświadczenia z magazynu kluczy.

Aby autoryzować dostęp podmiotu zabezpieczeń do usługi Azure Key Vault, użyj rejestracji podmiotu zabezpieczeń: authentication#authorize-a-security-principal-to-access-key-vault

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-3: Używanie logowania jednokrotnego (SSO) usługi Azure AD na potrzeby dostępu do aplikacji

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-3 4.4 IA-2, IA-4

Usługa Azure AD zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Zarządzanie tożsamościami i dostępem ma zastosowanie do tożsamości przedsiębiorstwa, takich jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy.

Użyj logowania jednokrotnego (SSO) usługi Azure AD, aby zarządzać i zabezpieczać dostęp do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu oraz większej widoczności i kontroli.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-4: Używanie kontroli silnego uwierzytelniania dla całego dostępu opartego na usłudze Azure Active Directory

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-4 4.2, 4.4 4.5, 11.5, 12.11, 16.3 AC-2, AC-3, IA-2, IA-4

Usługa Azure AD obsługuje silne mechanizmy uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego (MFA) i silnych metod bez hasła.

  • Uwierzytelnianie wieloskładnikowe: włącz usługę Azure AD MFA i postępuj zgodnie z zaleceniami w usłudze Azure Security Center "Włączanie uwierzytelniania wieloskładnikowego". Uwierzytelnianie wieloskładnikowe można wymusić dla wszystkich użytkowników, dla wybranych użytkowników lub na poziomie indywidualnym, w zależności od warunków logowania i czynników ryzyka.

  • Uwierzytelnianie bez hasła: dostępne są trzy opcje uwierzytelniania bez hasła: Usługa Windows Hello dla firm, aplikacja Microsoft Authenticator i lokalne metody uwierzytelniania, takie jak karty inteligentne.

W przypadku administratorów i uprzywilejowanych użytkowników upewnij się, że jest używany najwyższy poziom metody silnego uwierzytelniania, a następnie wprowadź odpowiednie zasady silnego uwierzytelniania dla innych użytkowników.

Jeśli starsze uwierzytelnianie oparte na hasłach jest nadal używane do uwierzytelniania usługi Azure AD, pamiętaj, że konta tylko w chmurze (konta użytkowników utworzone bezpośrednio na platformie Azure) mają domyślne zasady haseł punktu odniesienia. Konta hybrydowe (konta użytkowników pochodzące z lokalnej usługi Active Directory) są zgodne z lokalnymi zasadami haseł. W przypadku korzystania z uwierzytelniania opartego na hasłach usługa Azure AD zapewnia funkcję ochrony haseł, która uniemożliwia użytkownikom ustawianie haseł, które są łatwe do odgadnięcia. Firma Microsoft udostępnia globalną listę zakazanych haseł, które są aktualizowane na podstawie danych telemetrycznych, a klienci mogą rozszerzać listę na podstawie ich potrzeb (takich jak znakowanie, odwołania kulturowe itp.). Tej ochrony haseł można używać tylko w chmurze i kontach hybrydowych.

Uwaga: Uwierzytelnianie oparte na samych danych logowania za pomocą hasła jest podatne na powszechne metody ataku. W przypadku wyższych zabezpieczeń należy użyć silnego uwierzytelniania, takiego jak uwierzytelnianie wieloskładnikowe i silne zasady haseł. W przypadku aplikacji innych firm i usług platformy handlowej, które mogą mieć domyślne hasła, należy je zmienić podczas początkowej konfiguracji usługi.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-5: Monitorowanie i alerty dotyczące anomalii konta

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Komunikator IM-5 4.8, 4.9, 16.12, 16.13 AC-2, AC-3, AC-7, AU-6

Usługa Azure AD udostępnia następujące źródła danych:

  • Logowania — raport logowania zawiera informacje o użyciu aplikacji zarządzanych i działań logowania użytkowników.

  • Dzienniki inspekcji — zapewnia możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzonych za pośrednictwem różnych funkcji w usłudze Azure AD. Przykłady zarejestrowanych dzienników inspekcji zmian obejmują dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.

  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, która mogła zostać wykonana przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani pod kątem ryzyka — ryzykowny użytkownik jest wskaźnikiem dla konta użytkownika, które mogło zostać naruszone.

Te źródła danych można zintegrować z usługami Azure Monitor, Azure Sentinel lub systemami SIEM innych firm.

Usługa Azure Security Center może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelniania i przestarzałe konta w subskrypcji.

Usługa Microsoft Defender for Identity to rozwiązanie zabezpieczeń, które może używać lokalnych sygnałów usługi Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-6: Ograniczanie dostępu do zasobów platformy Azure na podstawie warunków

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-6 N/A AC-2, AC-3

Użyj dostępu warunkowego usługi Azure AD, aby uzyskać bardziej szczegółową kontrolę dostępu na podstawie warunków zdefiniowanych przez użytkownika, takich jak wymaganie logowania użytkownika z określonych zakresów adresów IP do korzystania z uwierzytelniania wieloskładnikowego. Szczegółowe zarządzanie sesjami uwierzytelniania można również używać za pośrednictwem zasad dostępu warunkowego usługi Azure AD w różnych przypadkach użycia.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-7: Eliminowanie niezamierzonej ekspozycji poświadczeń

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-7 18.1, 18.7 IA-5

Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń zachęca również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

W usłudze GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inną formę wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IM-8: Zabezpieczanie dostępu użytkowników do starszych aplikacji

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
Im-8 14.6 AC-2, AC-3, SC-11

Upewnij się, że masz nowoczesne mechanizmy kontroli dostępu i monitorowanie sesji dla starszych aplikacji oraz danych, które przechowują i przetwarzają. Sieci VPN są często używane do uzyskiwania dostępu do starszych aplikacji, ale często mają tylko podstawową kontrolę dostępu i ograniczone monitorowanie sesji.

Serwer proxy aplikacji usługi Azure AD umożliwia publikowanie starszych aplikacji lokalnych użytkownikom zdalnym przy użyciu logowania jednokrotnego przy jawnym weryfikowaniu wiarygodności użytkowników zdalnych i urządzeń przy użyciu dostępu warunkowego usługi Azure AD.

Alternatywnie usługa Microsoft Defender for Cloud Apps to usługa brokera zabezpieczeń dostępu do chmury (CASB), która umożliwia monitorowanie sesji aplikacji użytkownika i blokowania akcji (zarówno w przypadku starszych aplikacji lokalnych, jak i aplikacji saaS w chmurze).

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

  • Last updated on