Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
O Benchmark de Segurança do Azure mais up-toestá disponível aqui.
O Acesso Privilegiado abrange controlos para proteger o acesso privilegiado ao seu inquilino e recursos do Azure. Isso inclui uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos.
Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Acesso privilegiado
PA-1: Proteja e limite usuários altamente privilegiados
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-1 | 4.3, 4.8 | CA-2 |
Limite o número de contas de usuário altamente privilegiadas e proteja essas contas em um nível elevado. As funções internas mais críticas no Azure AD são Administrador Global e Administrador de Função Privilegiada, porque os usuários atribuídos a essas duas funções podem delegar funções de administrador. Com esses privilégios, os usuários podem ler e modificar direta ou indiretamente todos os recursos em seu ambiente do Azure:
Administrador Global: os usuários com essa função têm acesso a todos os recursos administrativos no Azure AD, bem como aos serviços que usam identidades do Azure AD.
Administrador de Função Privilegiada: os usuários com essa função podem gerenciar atribuições de função no Azure AD, bem como no Azure AD Privileged Identity Management (PIM). Além disso, essa função permite a gestão de todos os aspetos do PIM e das unidades administrativas.
Observação: você pode ter outras funções críticas que precisam ser controladas se usar funções personalizadas com determinadas permissões privilegiadas atribuídas. E você também pode querer aplicar controles semelhantes à conta de administrador de ativos críticos de negócios.
Você pode habilitar o acesso privilegiado just-in-time (JIT) aos recursos do Azure e ao Azure AD usando o Azure AD Privileged Identity Management (PIM). O JIT concede permissões temporárias para executar tarefas privilegiadas somente quando os usuários precisam. O PIM também pode gerar alertas de segurança quando há atividades suspeitas ou inseguras em sua organização do Azure AD.
Usar alertas de segurança do Azure Privileged Identity Management
Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Azure AD
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-2: Restringir o acesso administrativo a sistemas críticos para os negócios
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Isole o acesso a sistemas críticos para os negócios restringindo quais contas recebem acesso privilegiado às assinaturas e grupos de gerenciamento em que estão. Certifique-se de também restringir o acesso aos sistemas de gerenciamento, identidade e segurança que têm acesso administrativo aos seus ativos críticos para os negócios, como controladores de domínio (DCs) do Ative Directory, ferramentas de segurança e ferramentas de gerenciamento de sistema com agentes instalados em sistemas críticos para os negócios. Os atacantes que comprometem esses sistemas de gerenciamento e segurança podem imediatamente armá-los para comprometer ativos críticos para os negócios.
Todos os tipos de controles de acesso devem estar alinhados à estratégia de segmentação da sua empresa para garantir um controle de acesso consistente.
Certifique-se de atribuir contas privilegiadas separadas que sejam distintas das contas de usuário padrão usadas para tarefas de email, navegação e produtividade.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-3: Revise e reconcilie o acesso do usuário regularmente
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | CA-2 |
Revise as contas de usuário e a atribuição de acesso regularmente para garantir que as contas e seu nível de acesso sejam válidos. Você pode usar as revisões de acesso do Azure AD para revisar associações de grupo, acesso a aplicativos corporativos e atribuições de função. Os relatórios do Azure AD podem fornecer logs para ajudar a descobrir contas obsoletas. Você também pode usar o Azure AD Privileged Identity Management para criar um fluxo de trabalho de relatório de revisão de acesso que facilita o processo de revisão. Além disso, o Azure Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador é criado e para identificar contas de administrador obsoletas ou configuradas incorretamente.
Observação: alguns serviços do Azure oferecem suporte a usuários e funções locais que não são gerenciados por meio do Azure AD. Você deve gerenciar esses usuários separadamente.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-4: Configurar o acesso de emergência no Azure AD
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Para evitar ser acidentalmente bloqueado fora da sua organização do Azure AD, configure uma conta de acesso de emergência para acesso quando as contas administrativas normais não puderem ser usadas. As contas de acesso de emergência são geralmente altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas administrativas normais não podem ser usadas. Você deve garantir que as credenciais (como senha, certificado ou cartão inteligente) para contas de acesso de emergência sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em caso de emergência.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-5: Automatize o gerenciamento de direitos
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Use os recursos de gerenciamento de direitos do Azure AD para automatizar fluxos de trabalho de solicitação de acesso, incluindo atribuições de acesso, revisões e expiração. A aprovação de dois ou vários estágios também é suportada.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-6: Usar estações de trabalho de acesso privilegiado
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Estações de trabalho seguras e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviços críticos. Use estações de trabalho de usuário altamente seguras e/ou o Azure Bastion para tarefas administrativas. Use o Azure Ative Directory, o Microsoft Defender for Identity e/ou o Microsoft Intune para implantar uma estação de trabalho de usuário segura e gerenciada para tarefas administrativas. As estações de trabalho seguras podem ser gerenciadas centralmente para impor uma configuração segura, incluindo autenticação forte, linhas de base de software e hardware e acesso lógico e de rede restrito.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-7: Siga apenas a administração suficiente (princípio do menor privilégio)
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
O controle de acesso baseado em função do Azure (Azure RBAC) permite gerenciar o acesso a recursos do Azure por meio de atribuições de função. Você pode atribuir essas funções a usuários, entidades de serviço de grupo e identidades gerenciadas. Há funções internas predefinidas para determinados recursos, e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure. Os privilégios atribuídos aos recursos por meio do RBAC do Azure devem sempre ser limitados ao que é exigido pelas funções. Privilégios limitados complementam a abordagem just in time (JIT) do Azure AD Privileged Identity Management (PIM), e esses privilégios devem ser revisados periodicamente.
Use funções internas para alocar permissões e criar funções personalizadas somente quando necessário.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
PA-8: Escolha o processo de aprovação para suporte da Microsoft
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Customer Lockbox fornece um recurso para que você analise e aprove ou rejeite explicitamente cada solicitação de acesso a dados do cliente.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):