Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário do Azure e seus recursos. Isso inclui uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidas.
Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Acesso Privilegiado
PA-1: proteger e limitar usuários altamente privilegiados
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Limite o número de contas de usuário altamente privilegiadas e proteja essas contas em um nível elevado. As funções internas mais críticas no Azure AD são o Administrador Global e o Administrador de Funções Com Privilégios, pois os usuários atribuídos a essas duas funções podem delegar funções de administrador. Com esses privilégios, os usuários podem ler ou modificar indiretamente cada recurso em seu ambiente do Azure:
Administrador global: os usuários com essa função têm acesso a todos os recursos administrativos no Azure AD, bem como aos serviços que usam identidades do Azure AD.
Administrador de funções com privilégios: os usuários com essa função podem gerenciar atribuições de função no Azure AD, bem como no Azure AD Privileged Identity Management (PIM). Além disso, essa função permite o gerenciamento de todos os aspectos do PIM e das unidades administrativas.
Observação: você pode ter outras funções críticas que precisam ser governadas se você usar funções personalizadas com determinadas permissões privilegiadas atribuídas. E talvez você também queira aplicar controles semelhantes à conta de administrador de ativos comerciais críticos.
Você pode habilitar o acesso privilegiado Just-In-Time (JIT) aos recursos do Azure e ao Azure AD usando o Azure AD Privileged Identity Management (PIM). O JIT concede permissões temporárias para executar tarefas privilegiadas somente quando os usuários precisarem dela. O PIM também pode gerar alertas de segurança quando há atividade suspeita ou não segura em sua organização do Azure AD.
Usar alertas de segurança do Azure Privileged Identity Management
Proteção de acesso privilegiado para implantações híbridas e de nuvem no Azure AD
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-2: restringir o acesso administrativo a sistemas comercialmente críticos
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Isole o acesso a sistemas críticos para o negócio restringindo quais contas têm acesso privilegiado às assinaturas e aos grupos de gerenciamento nos quais elas estão inseridas. Certifique-se de também restringir o acesso aos sistemas de gerenciamento, identidade e segurança que têm acesso administrativo a seus ativos comercialmente críticos, como controladores de domínio do Active Directory (DCs), ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas comercialmente críticos. Os invasores que comprometem esses sistemas de gerenciamento e segurança podem armá-los imediatamente para comprometer ativos críticos para os negócios.
Todos os tipos de controles de acesso devem ser alinhados à sua estratégia de segmentação empresarial para garantir um controle de acesso consistente.
Certifique-se de atribuir contas privilegiadas separadas que sejam distintas das contas de usuário padrão usadas para tarefas de email, navegação e produtividade.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-3: examinar e reconciliar o acesso do usuário regularmente
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Examine as contas de usuário e a atribuição de acesso regularmente para garantir que as contas e seu nível de acesso sejam válidos. Você pode usar as revisões de acesso do Azure AD para examinar associações de grupo, acesso a aplicativos empresariais e atribuições de função. Os relatórios do Azure AD podem fornecer logs para ajudar a descobrir contas obsoletas. Você também pode usar o Azure AD Privileged Identity Management para criar um fluxo de trabalho de relatório de revisão de acesso que facilite o processo de revisão. Além disso, o Azure Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador é criado e para identificar contas de administrador obsoletas ou configuradas incorretamente.
Observação: alguns serviços do Azure dão suporte a usuários locais e funções que não são gerenciadas por meio do Azure AD. Você deve gerenciar esses usuários separadamente.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-4: configurar o acesso de emergência no Azure AD
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Para evitar o bloqueio acidental de sua organização do Azure AD, configure uma conta de acesso de emergência para acesso quando contas administrativas normais não puderem ser usadas. As contas de acesso de emergência geralmente são altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou "quebra de vidro", em que as contas administrativas normais não podem ser usadas. Você deve garantir que as credenciais (como senha, certificado ou cartão inteligente) para contas de acesso de emergência sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em uma emergência.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-5: Automatizar o gerenciamento de direitos
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Use os recursos de gerenciamento de direitos do Azure AD para automatizar fluxos de trabalho de solicitação de acesso, incluindo atribuições de acesso, revisões e expiração. Também há suporte para aprovação de dois ou vários estágios.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-6: Usar estações de trabalho de acesso privilegiado
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Estações de trabalho protegidas e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviço crítico. Use estações de trabalho de usuário altamente protegidas e/ou o Azure Bastion para tarefas administrativas. Use o Azure Active Directory, o Microsoft Defender para Identidade e/ou o Microsoft Intune para implantar uma estação de trabalho de usuário segura e gerenciada para tarefas administrativas. As estações de trabalho protegidas podem ser gerenciadas centralmente para impor a configuração protegida, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restritos.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-7: Siga a administração mínima necessária (princípio de privilégio mínimo)
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
O RBAC (controle de acesso baseado em função) do Azure permite que você gerencie o acesso a recursos do Azure por meio de atribuições de função. Você pode atribuir essas funções a usuários, entidades de serviço de grupo e identidades gerenciadas. Há funções internas predefinidas para determinados recursos e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure. Os privilégios que você atribui aos recursos por meio do RBAC do Azure devem ser sempre limitados ao que é exigido pelas funções. Privilégios limitados complementam a abordagem JIT (just-in-time) do PIM (Privileged Identity Management) do Azure AD, e esses privilégios devem ser revisados periodicamente.
Use funções internas para alocar permissões e criar apenas funções personalizadas quando necessário.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):
PA-8: escolher o processo de aprovação para o suporte da Microsoft
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Customer Lockbox fornece uma funcionalidade para que você examine e aprove ou rejeite explicitamente cada solicitação de acesso a dados do cliente.
Responsabilidade: Cliente
Envolvidos na Segurança do Consumidor (Saiba mais):