Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
O Gerenciamento de Identidade abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Active Directory. Isso inclui o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta.
Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Identity Management
IM-1: padronizar o Azure Active Directory como o sistema central de identidade e autenticação
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
O Azure AD (Azure Active Directory) é o serviço de gerenciamento de acesso e identidade padrão do Azure. Você deve padronizar no Azure AD para controlar o gerenciamento de identidade e acesso da sua organização em:
Recursos de nuvem da Microsoft, como o portal do Azure, Armazenamento do Azure, Máquinas Virtuais do Azure (Linux e Windows), Azure Key Vault, PaaS e aplicativos SaaS.
Recursos da sua organização, como aplicativos no Azure ou recursos de rede corporativa.
Proteger o Azure AD deve ser uma prioridade alta na prática de segurança na nuvem da sua organização. O Azure AD fornece uma pontuação de segurança de identidade para ajudá-lo a avaliar sua postura de segurança de identidade em relação às recomendações de melhores práticas da Microsoft. Use a classificação para medir o alinhamento da sua configuração com as recomendações de melhores práticas e fazer aprimoramentos na sua postura de segurança.
Observação: o Azure AD dá suporte a provedores de identidade externos, que permitem que usuários sem uma conta da Microsoft entrem em seus aplicativos e recursos com sua identidade externa.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-2: gerenciar identidades de aplicativo de maneira segura e automática
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | Não aplicável | AC-2, AC-3, IA-2, IA-4, IA-9 |
Para contas não humanas, como serviços ou automação, use identidades gerenciadas do Azure, em vez de criar uma conta humana mais poderosa para acessar recursos ou executar código. As identidades gerenciadas do Azure podem ser autenticadas nos serviços e recursos do Azure que dão suporte à autenticação do Azure AD. A autenticação é habilitada por meio de regras de concessão de acesso predefinidas, evitando credenciais codificadas em código-fonte ou arquivos de configuração.
Para serviços que não dão suporte a identidades gerenciadas, use o Azure AD para criar uma entidade de serviço com permissões restritas no nível do recurso. É recomendável configurar entidades de serviço com credenciais de certificado e recorrer a chaves secretas do cliente como alternativa. Em ambos os casos, o Azure Key Vault pode ser usado em conjunto com identidades gerenciadas do Azure, de modo que o ambiente de runtime (como uma função do Azure) possa recuperar a credencial do cofre de chaves.
Usar o Azure Key Vault para registro de principal de segurança: authentication#authorize-a-security-principal-to-access-key-vault
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-3: usar o SSO (logon único) do Azure AD para acesso ao aplicativo
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
O Azure AD fornece gerenciamento de identidade e acesso a recursos do Azure, aplicativos de nuvem e aplicativos locais. O gerenciamento de identidade e acesso se aplica a identidades empresariais, como funcionários, bem como identidades externas, como parceiros, fornecedores e fornecedores.
Use o SSO (logon único) do Azure AD para gerenciar e proteger o acesso aos dados e recursos da sua organização localmente e na nuvem. Conecte todos os usuários, aplicativos e dispositivos ao Azure AD para acesso contínuo e seguro e maior visibilidade e controle.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-4: usar controles de autenticação fortes para todo o acesso baseado no Azure Active Directory
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
O Azure AD dá suporte a controles de autenticação fortes por meio da MFA (autenticação multifator) e métodos fortes sem senha.
Autenticação multifator: habilite a MFA do Azure AD e siga as recomendações no controle de segurança "Habilitar MFA" da Central de Segurança do Azure. A MFA pode ser imposta a todos os usuários, selecionar usuários ou no nível por usuário com base em condições de entrada e fatores de risco.
Autenticação sem senha: três opções de autenticação sem senha estão disponíveis: Windows Hello para Empresas, aplicativo Microsoft Authenticator e métodos de autenticação local, como cartões inteligentes.
Para administrador e usuários privilegiados, verifique se o nível mais alto do método de autenticação forte é usado, seguido pela distribuição da política de autenticação forte apropriada para outros usuários.
Se a autenticação herdada baseada em senha ainda for usada para autenticação do Azure AD, lembre-se de que as contas somente na nuvem (contas de usuário criadas diretamente no Azure) têm uma política de senha de linha de base padrão. E as contas híbridas (contas de usuário provenientes do Active Directory local) seguem as políticas de senha local. Ao usar a autenticação baseada em senha, o Azure AD fornece uma funcionalidade de proteção de senha que impede que os usuários definam senhas fáceis de adivinhar. A Microsoft fornece uma lista global de senhas proibidas atualizadas com base na telemetria e os clientes podem aumentar a lista com base em suas necessidades (como identidade visual, referências culturais etc.). Essa proteção por senha pode ser usada para contas híbridas e somente na nuvem.
Observação: a autenticação baseada apenas em credenciais de senha é suscetível a métodos de ataque populares. Para maior segurança, use autenticação forte, como MFA e uma política de senha forte. Para aplicativos de terceiros e serviços do marketplace que podem ter senhas padrão, você deve alterá-las durante a configuração inicial do serviço.
Introdução às opções de autenticação sem senha para o Azure Active Directory
Eliminar senhas incorretas usando a Proteção de Senha do Azure AD
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-5: Monitorar e alertar sobre anomalias de conta
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
O Azure AD fornece as seguintes fontes de dados:
Entradas – O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.
Logs de auditoria – fornece rastreabilidade através de logs para todas as alterações realizadas por meio de diferentes funcionalidades no Azure AD. Exemplos de logs de auditoria de alterações registradas incluem a adição ou remoção de usuários, aplicativos, grupos, funções e políticas.
Entradas arriscadas – Uma entrada arriscada é um indicador para uma tentativa de entrada que pode ter sido executada por alguém que não é o proprietário legítimo de uma conta de usuário.
Usuários sinalizados para risco – um usuário arriscado é um indicador para uma conta de usuário que pode ter sido comprometida.
Essas fontes de dados podem ser integradas ao Azure Monitor, ao Azure Sentinel ou a sistemas SIEM de terceiros.
A Central de Segurança do Azure também pode alertar sobre determinadas atividades suspeitas, como um número excessivo de tentativas de autenticação com falha e contas preteridas na assinatura.
O Microsoft Defender para Identidade é uma solução de segurança que pode usar sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas.
Como identificar usuários do Azure AD sinalizados para atividades arriscadas
Como monitorar a identidade e a atividade de acesso dos usuários na Central de Segurança do Azure
Alertas na Central de Segurança do Azure e nos planos do Azure Defender
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-6: restringir o acesso a recursos do Azure com base em condições
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-6 | Não aplicável | AC-2, AC-3 |
Use o acesso condicional do Azure AD para um controle de acesso mais granular com base em condições definidas pelo usuário, como exigir logons de usuário de determinados intervalos de IP para usar a MFA. Um gerenciamento de sessão de autenticação granular também pode ser usado por meio da política de acesso condicional do Azure AD para diferentes casos de uso.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-7: Elimine a exposição não intencional de credenciais
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implemente o Verificador de Credenciais do Azure DevOps para identificar credenciais dentro do código. O Verificador de Credenciais também incentiva a movimentação de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Para o GitHub, você pode usar o recurso de verificação de segredo nativo para identificar credenciais ou outra forma de segredos dentro do código.
Verificação de segredo do GitHub
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
IM-8: Proteger o acesso do usuário a aplicativos herdados
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Verifique se você tem controles de acesso modernos e monitoramento de sessão para aplicativos herdados e os dados que eles armazenam e processam. Embora as VPNs sejam comumente usadas para acessar aplicativos herdados, elas geralmente têm apenas controle de acesso básico e monitoramento de sessão limitado.
O Proxy de Aplicativo do Azure AD permite que você publique aplicativos locais herdados para usuários remotos com SSO (logon único) e valide explicitamente a confiabilidade de usuários remotos e dispositivos com acesso condicional do Azure AD.
Como alternativa, o Microsoft Defender para Aplicativos de Nuvem é um serviço CASB (agente de segurança de acesso à nuvem) que pode fornecer controles para monitorar as sessões de aplicativo de um usuário e ações de bloqueio (para aplicativos locais herdados e aplicativos SaaS (software em nuvem como serviço).
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):