注释
此处提供了最 up-to日期的 Azure 安全基准。
特权访问涵盖保护对 Azure 租户和资源的特权访问的控制。 这包括一系列控制措施,以保护管理模型、管理帐户和特权访问工作站免受故意和无意的风险。
若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准法规合规性内置计划的详细信息:特权访问
PA-1:保护和限制高特权用户
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-1 系列 | 4.3, 4.8 | AC-2 系列 |
限制高特权用户帐户的数量,并在提升级别保护这些帐户。 Azure AD 中最重要的内置角色是全局管理员和特权角色管理员,因为分配给这两个角色的用户可以委派管理员角色。 使用这些权限,用户可以直接或间接读取和修改 Azure 环境中的每个资源:
全局管理员:具有此角色的用户有权访问 Azure AD 中的所有管理功能,以及使用 Azure AD 标识的服务。
特权角色管理员:具有此角色的用户可以在 Azure AD 以及 Azure AD Privileged Identity Management(PIM)中管理角色分配。 此外,此角色允许管理 PIM 和管理单元的各个方面。
注意:如果使用分配了特定特权权限的自定义角色,则可能需要控制其他关键角色。 你可能还希望将类似的控制应用于关键业务资产的管理员帐户。
可以使用 Azure AD Privileged Identity Management(PIM)启用对 Azure 资源和 Azure AD 的实时(JIT)特权访问。 仅当用户需要时,JIT 才授予执行特权任务的临时权限。 当 Azure AD 组织中存在可疑或不安全的活动时,PIM 还可以生成安全警报。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-2:限制对关键业务型系统的管理访问权限
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-2 系列 | 13.2, 2.10 | AC-2、SC-3、SC-7 |
通过限制向哪些帐户授予对它们所在的订阅和管理组的特权访问权限,隔离对业务关键系统的访问。 确保限制对具有管理访问权限的管理系统、身份系统和安全系统的访问,这些系统能够访问您业务关键资产,例如 Active Directory 域控制器、安全工具和安装了代理的系统管理工具。 入侵这些管理和安全系统的攻击者可以立即将其武器化,以入侵业务关键资产。
所有类型的访问控制都应符合企业分段策略,确保访问控制保持一致。
确保分配不同于用于电子邮件、浏览和生产力任务的标准用户帐户的单独特权帐户。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-3:定期审查和协调用户访问权限
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-3 系列 | 4.1, 16.9, 16.10 | AC-2 系列 |
定期查看用户帐户和访问分配,以确保帐户及其访问权限级别有效。 可以使用 Azure AD 访问评审来评审组成员身份、对企业应用程序和角色分配的访问权限。 Azure AD 报告提供日志来帮助发现过时的帐户。 还可以使用 Azure AD Privileged Identity Management 创建访问评审报告工作流,以便执行评审过程。 此外,可以将 Azure Privileged Identity Management 配置为在创建过多的管理员帐户时发出警报,并识别过时或配置不当的管理员帐户。
注意:某些 Azure 服务支持不通过 Azure AD 管理的本地用户和角色。 必须单独管理这些用户。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-4:在 Azure AD 中设置紧急访问
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-4 系列 | 16 | AC-2、CP-2 |
为了防止意外退出 Azure AD 组织,请设置一个紧急访问帐户,以便在正常管理帐户无法使用时进行访问。 紧急访问帐户通常拥有较高的权限,因此请不要将其分配给特定的个人。 紧急访问帐户仅限于无法使用普通管理帐户的紧急或“破玻璃”方案。 应确保妥善保管紧急访问帐户的凭据(例如密码、证书或智能卡),仅将其告诉只能在紧急情况下有权使用它们的个人。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-5:将权利管理自动化
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-5 系列 | 16 | AC-2、AC-5、PM-10 |
使用 Azure AD 权利管理功能自动执行访问请求工作流,包括访问分配、评审和过期。 还支持双重或多阶段审批。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-6:使用特权访问工作站
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-6 系列 | 4.6, 11.6, 12.12 | AC-2、SC-3、SC-7 |
安全隔离工作站对于敏感角色(如管理员、开发人员和关键服务作员)的安全性至关重要。 使用高度安全的用户工作站和/或 Azure Bastion 执行管理任务。 使用 Azure Active Directory、Microsoft Defender for Identity 和/或 Microsoft Intune 为管理任务部署安全托管的用户工作站。 可以集中管理安全工作站,以强制实施安全配置,包括强身份验证、软件和硬件基线,以及受限的逻辑和网络访问。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-7:遵循 Just Enough Administration(最小特权原则)
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-7 系列 | 14.6 | AC-2、AC-3、SC-3 |
Azure 基于角色的访问控制(Azure RBAC)允许通过角色分配管理 Azure 资源访问。 可以将这些角色分配给用户、组服务主体和托管标识。 某些资源有预定义的内置角色,可以通过 Azure CLI、Azure PowerShell 和 Azure 门户等工具来列出或查询这些角色。 通过 Azure RBAC 分配给资源的权限应始终限于角色所需的权限。 有限特权与 Azure AD 特权身份管理 (PIM) 的按需 (JIT) 方法相辅相成,且这些特权应定期进行审查。
使用内置角色分配权限,并仅在需要时创建自定义角色。
责任:客户
客户安全利益干系人 (了解详细信息):
PA-8:选择用于Microsoft支持的审批流程
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-8 系列 | 16 | AC-2、AC-3、AC-4 |
在Microsoft需要访问客户数据的支持方案中,客户密码箱提供一种功能,让你能够显式评审和批准或拒绝每个客户数据访问请求。
责任:客户
客户安全利益干系人 (了解详细信息):