特權存取包括保護您 Azure 租用戶和資源的特權存取控制措施。 這包括一系列控制措施,以保護系統管理模型、系統管理帳戶和特殊許可權存取工作站,避免故意和無意的風險。
若要查看適用的內建 Azure 原則,請參閱 Azure 安全性效能評定法規合規性內建方案的詳細數據:特殊許可權存取
PA-1:保護及限制高度特殊許可權的使用者
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-1 系列 | 4.3, 4.8 | AC-2 |
限制高許可權用戶帳戶的數目,並在提高層級保護這些帳戶。 Azure AD 中最重要的內建角色是全域管理員和特殊許可權角色管理員,因為指派給這兩個角色的使用者可以委派系統管理員角色。 透過這些許可權,使用者可以直接或間接讀取和修改 Azure 環境中的每個資源:
全域管理員:具有此角色的使用者可以存取 Azure AD 中的所有系統管理功能,以及使用 Azure AD 身分識別的服務。
特殊許可權角色管理員:具有此角色的用戶可以在 Azure AD 中,以及 Azure AD Privileged Identity Management (PIM) 中管理角色指派。 此外,此角色允許管理 PIM 和系統管理單位的所有層面。
注意:如果您使用具有特定特殊許可權指派的自定義角色,您可能還有其他需要控管的重要角色。 您也可以將類似的控制項套用至重要商務資產的系統管理員帳戶。
您可以使用 Azure AD Privileged Identity Management (PIM) 啟用對 Azure 資源和 Azure AD 的 Just-In-Time (JIT) 特殊許可權存取。 JIT 只會在使用者需要時授與暫時許可權來執行特殊許可權工作。 當 Azure AD 組織中有可疑或不安全的活動時,PIM 也可以產生安全性警示。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-2:限制對業務關鍵系統的系統管理存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-2 系列 | 13.2, 2.10 | AC-2、SC-3、SC-7 |
藉由限制哪些帳戶獲授與其訂用帳戶和管理群組的特殊許可權存取權,來隔離對業務關鍵系統的存取。 請確保您也限制存取那些具有管理權限的系統,這些系統包括管理、身份識別和安全性系統,並且具有存取您的業務關鍵資產的功能,例如 Active Directory 域控制器(DC)、安全工具,以及在業務關鍵系統上安裝代理程式的系統管理工具。 入侵這些管理和安全性系統的攻擊者可以立即將其武器化,以入侵業務關鍵資產。
所有類型的訪問控制都應該符合您的企業分割策略,以確保一致的訪問控制。
請務必指派與用於電子郵件、流覽和生產力工作之標準用戶帳戶不同的個別特殊許可權帳戶。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-3:定期檢閱和協調使用者存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-3 系列 | 4.1, 16.9, 16.10 | AC-2 |
定期檢閱用戶帳戶和存取指派,以確保帳戶及其存取層級有效。 您可以使用 Azure AD 存取權檢閱來檢閱群組成員資格、企業應用程式的存取權,以及角色指派。 Azure AD 報告可以提供記錄來協助探索過時的帳戶。 您也可以使用 Azure AD Privileged Identity Management 來建立存取權檢閱報告流程,以便利檢閱過程。 此外,Azure Privileged Identity Management 可以設定為在建立過多的系統管理員帳戶時發出警示,並識別過時或設定不當的系統管理員帳戶。
注意:某些 Azure 服務支援未透過 Azure AD 管理的本機使用者和角色。 您必須個別管理這些使用者。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-4:在 Azure AD 中設定緊急存取
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-4 系列 | 16 | AC-2、CP-2 |
若要防止意外鎖定您的 Azure AD 組織,請在無法使用一般系統管理帳戶時,設定緊急存取帳戶以供存取。 緊急存取帳戶通常具有高度特殊許可權,因此不應指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「打破玻璃」案例。 您應該確保緊急存取帳戶的認證(例如密碼、憑證或智慧卡)保持安全,且只有獲得授權只在緊急情況下使用這些帳戶的個人才知道。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-5:自動化權利管理
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-5 系列 | 16 | AC-2、AC-5、PM-10 |
使用 Azure AD 權利管理功能將存取要求工作流程自動化,包括存取指派、檢閱和到期。 也支援雙重或多階段核准。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-6:使用特殊許可權存取工作站
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-6 系列 | 4.6, 11.6, 12.12 | AC-2、SC-3、SC-7 |
安全、隔離的工作站對於系統管理員、開發人員和重要服務作員等敏感性角色的安全性而言非常重要。 使用高度安全的使用者工作站或 Azure Bastion 進行系統管理工作。 使用適用於身分識別的 Azure Active Directory、Microsoft Defender 和/或 Microsoft Intune 來部署安全受控的使用者工作站,以進行系統管理工作。 安全工作站可以集中管理,以強制執行安全的設定,包括強身份驗證、軟體和硬體基準,以及限制的邏輯和網路存取。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-7:遵循足夠的管理(最低許可權原則)
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-7 系列 | 14.6 | AC-2、AC-3、SC-3 |
Azure 角色型訪問控制 (Azure RBAC) 可讓您透過角色指派來管理 Azure 資源存取。 您可以將這些角色指派給使用者、群組服務主體和受控識別。 某些資源有預先定義的內建角色,這些角色可以透過 Azure CLI、Azure PowerShell 和 Azure 入口網站等工具來清查或查詢。 您透過 Azure RBAC 指派給資源的許可權應一律受限於角色所需的許可權。 有限許可權可補充 Azure AD Privileged Identity Management (PIM) 的 Just-In-Time (JIT) 方法,而且應該定期檢閱這些許可權。
使用內建角色來配置許可權,並只在必要時建立自定義角色。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
PA-8:選擇適用於 Microsoft 支援的核准流程
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| PA-8 系列 | 16 | AC-2、AC-3、AC-4 |
在Microsoft需要存取客戶數據的支援案例中,客戶加密箱提供您明確檢閱和核准或拒絕每個客戶數據存取要求的功能。
責任:客戶
客戶安全性項目關係人 (深入瞭解):