Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej up-to— data testu porównawczego zabezpieczeń platformy Azure jest dostępna tutaj.
Dostęp uprzywilejowany obejmuje mechanizmy kontroli w celu ochrony uprzywilejowanego dostępu do dzierżawy i zasobów platformy Azure. Obejmuje to szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i uprzywilejowanych stacji roboczych dostępu przed celowym i nieumyślnym ryzykiem.
Aby zapoznać się z odpowiednimi wbudowanymi zasadami Azure Policy, zobacz Szczegóły inicjatywy zgodności z przepisami wbudowanego benchmarku bezpieczeństwa Azure: Dostęp uprzywilejowany
PA-1: Ochrona i ograniczanie użytkowników z wysokimi uprawnieniami
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Ogranicz liczbę kont użytkowników z wysokim poziomem uprawnień i chroń te konta na podwyższonym poziomie. Najważniejsze role wbudowane w usłudze Azure AD to administrator globalny i administrator ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych dwóch ról mogą delegować role administratora. Dzięki tym uprawnieniam użytkownicy mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure:
Administrator globalny: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w usłudze Azure AD, a także usług korzystających z tożsamości usługi Azure AD.
Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w usłudze Azure AD, a także w usłudze Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.
Uwaga: jeśli używasz ról niestandardowych z przypisanymi określonymi uprawnieniami uprzywilejowanymi, może istnieć inne role krytyczne, które muszą być zarządzane. Możesz również zastosować podobne mechanizmy kontroli do konta administratora krytycznych zasobów biznesowych.
Dostęp uprzywilejowany just in time (JIT) do zasobów platformy Azure i usługi Azure AD można włączyć przy użyciu usługi Azure AD Privileged Identity Management (PIM). Dostęp JIT przyznaje tymczasowe uprawnienia do wykonywania zadań uprzywilejowanych tylko wtedy, gdy jest to potrzebne użytkownikom. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanej lub niebezpiecznej aktywności w organizacji usługi Azure AD.
Korzystanie z alertów zabezpieczeń usługi Azure Privileged Identity Management
Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i w chmurze w usłudze Azure AD
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-2: Ograniczanie dostępu administracyjnego do systemów krytycznych dla działania firmy
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Izoluj dostęp do systemów o krytycznym znaczeniu dla działania firmy, ograniczając, które konta mają uprzywilejowany dostęp do subskrypcji i grup zarządzania, w których się znajdują. Upewnij się, że ograniczasz również dostęp do systemów zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do zasobów krytycznych dla działania firmy, takich jak kontrolery domeny usługi Active Directory (DCs), narzędzia zabezpieczeń i narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach krytycznych dla działania firmy. Osoby atakujące, które zagrażają tym systemom zarządzania i zabezpieczeń, mogą natychmiast zbroić je w celu naruszenia krytycznych zasobów biznesowych.
Wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa w celu zapewnienia spójnej kontroli dostępu.
Upewnij się, że przypisz oddzielne uprzywilejowane konta, które różnią się od standardowych kont użytkowników używanych do wykonywania zadań związanych z pocztą e-mail, przeglądaniem i produktywnością.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Regularnie przeglądaj konta użytkowników i przypisywanie dostępu, aby upewnić się, że konta i ich poziom dostępu są prawidłowe. Przeglądy dostępu usługi Azure AD umożliwiają przeglądanie członkostwa w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Raportowanie usługi Azure AD może udostępniać dzienniki ułatwiające odnajdywanie nieaktualnych kont. Możesz również użyć usługi Azure AD Privileged Identity Management, aby utworzyć przepływ pracy przeglądu dostępu, który ułatwia proces przeglądu. Ponadto usługę Azure Privileged Identity Management można skonfigurować tak, aby otrzymywać alerty po utworzeniu nadmiernej liczby kont administratorów oraz identyfikować konta administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.
Uwaga: niektóre usługi platformy Azure obsługują lokalnych użytkowników i role, które nie są zarządzane za pośrednictwem usługi Azure AD. Musisz zarządzać tymi użytkownikami oddzielnie.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-4: Konfigurowanie dostępu awaryjnego w usłudze Azure AD
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Aby zapobiec przypadkowemu zablokowaniu z organizacji usługi Azure AD, skonfiguruj konto dostępu awaryjnego w celu uzyskania dostępu, gdy nie można używać normalnych kont administracyjnych. Konta dostępu awaryjnego są zwykle wysoce uprzywilejowane i nie powinny być przypisane do określonych osób. Konta dostępu awaryjnego są przeznaczone wyłącznie do sytuacji wyjątkowych lub „break glass”, w których użycie normalnych kont administracyjnych nie jest możliwe. Należy upewnić się, że poświadczenia (takie jak hasło, certyfikat lub karta inteligentna) dla kont dostępu awaryjnego są bezpieczne i znane tylko osobom, które mają uprawnienia do korzystania z nich tylko w nagłych wypadkach.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-5: Automatyzowanie zarządzania upoważnieniami
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Funkcje zarządzania upoważnieniami usługi Azure AD umożliwiają automatyzowanie przepływów pracy żądań dostępu, w tym przypisań dostępu, przeglądów i wygasania. Obsługiwane jest również zatwierdzenie dwuetapowe lub wieloetapowe.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-6: Używanie stacji roboczych z dostępem uprzywilejowanym
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4,6, 11,6, 12,12 | AC-2, SC-3, SC-7 |
Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń ról poufnych, takich jak administrator, deweloper i operator usługi krytycznej. Do zadań administracyjnych należy używać stacji roboczych użytkowników o wysokim poziomie bezpieczeństwa i/lub usługi Azure Bastion. Użyj usługi Azure Active Directory, usługi Microsoft Defender for Identity i/lub usługi Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze można centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu oraz ograniczonego dostępu logicznego i sieciowego.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-7: Stosuj wystarczającą administrację (zasada najmniejszych uprawnień)
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pośrednictwem przypisań ról. Możesz przypisać te role użytkownikom, usługom głównym grupy i tożsamościom zarządzanym. Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów, a te role można tworzyć w spisie lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell i witryna Azure Portal. Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Ograniczone uprawnienia uzupełniają podejście just in time (JIT) usługi Azure AD Privileged Identity Management (PIM), a te uprawnienia powinny być okresowo przeglądane.
Użyj ról wbudowanych, aby przydzielić uprawnienia i tworzyć tylko role niestandardowe, jeśli jest to wymagane.
Co to jest kontrola dostępu oparta na rolach Azure (Azure RBAC)
Jak skonfigurować kontrolę dostępu opartą na rolach platformy Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
PA-8: Wybierz proces zatwierdzania dla pomocy technicznej firmy Microsoft
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, Customer Lockbox udostępnia możliwość jawnego przeglądania oraz zatwierdzania lub odrzucania każdego żądania dostępu do danych klienta.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):