Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till din Azure-klientorganisation och dina resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktlig och oavsiktlig risk.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Säkerhetsprincip: Se till att du identifierar alla konton med hög affärspåverkan. Begränsa antalet privilegierade/administrativa konton i molnets kontrollplan, hanteringsplan och data/arbetsbelastningsplan.
Azure-vägledning: Azure Active Directory (Azure AD) är Azures standardtjänst för identitets- och åtkomsthantering. De mest kritiska inbyggda rollerna i Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som tilldelats dessa två roller kan delegera administratörsroller. Med dessa behörigheter kan användarna direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö:
- Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD samt tjänster som använder Azure AD-identiteter.
- Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD samt i Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.
Utanför Azure AD har Azure inbyggda roller som kan vara viktiga för privilegierad åtkomst på resursnivå.
- Ägare: Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC.
- Deltagare: Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure RBAC, hanterar tilldelningar i Azure Blueprints eller delar bildgallerier.
- Administratör för användaråtkomst: Låter dig hantera användaråtkomst till Azure-resurser. Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller på Azure AD-nivå eller resursnivå med vissa privilegierade behörigheter tilldelade.
Se till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Active Directory Domain Controllers (DCs), säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
Implementering och ytterligare kontext:
- Administratörsrollbehörigheter i Azure AD
- Använda säkerhetsaviseringar för Azure Privileged Identity Management
- Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD
Intressenter för kundsäkerhet (läs mer):
- identitets- och nyckelhantering
- Säkerhetsarkitektur
- Hantering av säkerhetsefterlevnad
- Säkerhetsåtgärder
PA-2: Undvik stående åtkomst för användarkonton och behörigheter
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | AC-2 | Inte tillgänglig |
Säkerhetsprincip: I stället för att skapa stående privilegier använder du jit-mekanismen (just-in-time) för att tilldela privilegierad åtkomst till de olika resursnivåerna.
Azure-vägledning: Aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD med hjälp av Azure AD Privileged Identity Management (PIM). JIT är en modell där användare får tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket hindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.
Begränsa inkommande trafik till dina hanteringsportar för känsliga virtuella datorer (VM) med Microsoft Defender för molnets just-in-time-funktion (JIT) för åtkomst till virtuella datorer. Detta säkerställer att den privilegierade åtkomsten till den virtuella datorn endast beviljas när användarna behöver den.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
- identitets- och nyckelhantering
- Säkerhetsarkitektur
- Hantering av säkerhetsefterlevnad
- Säkerhetsåtgärder
PA-3: Hantera livscykeln för identiteter och rättigheter
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Säkerhetsprincip: Använd en automatiserad process eller teknisk kontroll för att hantera identitets- och åtkomstlivscykeln, inklusive begäran, granskning, godkännande, etablering och avetablering.
Azure-vägledning: Använd azure AD-funktioner för berättigandehantering för att automatisera arbetsflöden för åtkomstbegäran (för Azure-resursgrupper). Detta gör det möjligt för arbetsflöden för Azure-resursgrupper att hantera åtkomsttilldelningar, granskningar, förfallodatum och dubbla eller flerstegsgodkännande.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
PA-4: Granska och stämma av användaråtkomst regelbundet
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Säkerhetsprincip: Utför regelbunden granskning av privilegierade kontorättigheter. Se till att åtkomsten som beviljas till kontona är giltig för administration av kontrollplan, hanteringsplan och arbetsbelastningar.
Azure-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i Azure, till exempel Azure-klientorganisation, Azure-tjänster, VM/IaaS, CI/CD-processer och hanterings- och säkerhetsverktyg för företag.
Använd Azure AD-åtkomstgranskningar för att granska Azure AD-roller och Åtkomstroller för Azure-resurser, gruppmedlemskap, åtkomst till företagsprogram. Azure AD-rapportering kan också tillhandahålla loggar som hjälper dig att identifiera inaktuella konton, konton som inte används under en viss tid.
Dessutom kan Azure AD Privileged Identity Management konfigureras för avisering när ett stort antal administratörskonton skapas för en viss roll och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.
Implementering och ytterligare kontext:
- Skapa en åtkomstgranskning av Azure-resursroller i Privileged Identity Management (PIM)
- Så här använder du Azure AD-identitets- och åtkomstgranskningar
Intressenter för kundsäkerhet (läs mer):
PA-5: Konfigurera nödåtkomst
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | AC-2 | Inte tillgänglig |
Säkerhetsprincip: Konfigurera nödåtkomst för att säkerställa att du inte av misstag är utelåst från din kritiska molninfrastruktur (till exempel ditt identitets- och åtkomsthanteringssystem) i en nödsituation.
Konton för nödåtkomst bör sällan användas och kan vara mycket skadliga för organisationen om de komprometteras, men deras tillgänglighet till organisationen är också mycket viktig för de få scenarier när de behövs.
Azure-vägledning: Om du vill förhindra att azure AD-organisationen blir utelåst av misstag konfigurerar du ett konto för nödåtkomst (t.ex. ett konto med rollen Global administratör) för åtkomst när normala administrativa konton inte kan användas. Konton för nödåtkomst är vanligtvis mycket privilegierade och bör inte tilldelas till specifika personer. Konton för akutåtkomst är begränsade till nödsituationer eller akutlägen där normala administrativa konton inte kan användas.
Du bör se till att autentiseringsuppgifterna (till exempel lösenord, certifikat eller smartkort) för konton för nödåtkomst hålls säkra och kända endast för personer som har behörighet att endast använda dem i en nödsituation. Du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge den till separata personer) för att förbättra säkerheten i den här processen. Du bör också övervaka inloggnings- och granskningsloggarna för att säkerställa att konton för nödåtkomst endast kan användas under auktorisering.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
PA-6: Använda privilegierade arbetsstationer för åtkomst
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Inte tillgänglig |
Säkerhetsprincip: Skyddade, isolerade arbetsstationer är av avgörande betydelse för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör.
Azure-vägledning: Använd Azure Active Directory, Microsoft Defender och/eller Microsoft Intune för att distribuera privilegierade arbetsstationer (PAW) lokalt eller i Azure för privilegierade uppgifter. PAW ska hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer och begränsad logisk åtkomst och nätverksåtkomst.
Du kan också använda Azure Bastion som är en helt plattformshanterad PaaS-tjänst som kan etableras i ditt virtuella nätverk. Azure Bastion tillåter RDP/SSH-anslutning till dina virtuella datorer direkt från Azure-portalen med hjälp av webbläsaren.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
PA-7: Följ principen om tillräckligt med administration (principen om minst privilegier)
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Säkerhetsprincip: Följ principen för rättvis administration (minst behörighet) för att hantera behörigheter på detaljerad nivå. Använd funktioner som rollbaserad åtkomstkontroll (RBAC) för att hantera resursåtkomst via rolltilldelningar.
Azure-vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via rolltilldelningar. Via RBAC kan du tilldela roller till användare, grupptjänsthuvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell och Azure-portalen.
De behörigheter som du tilldelar resurser via Azure RBAC bör alltid begränsas till vad som krävs av rollerna. Begränsade privilegier kompletterar jit-metoden (just-in-time) i Azure AD Privileged Identity Management (PIM), och dessa privilegier bör granskas regelbundet. Om det behövs kan du också använda PIM för att definiera villkoret tidslängd (tidsbunden tilldelning) i rolltilldelningen där en användare kan aktivera eller använda rollen endast inom start- och slutdatum.
Obs! Använd inbyggda Azure-roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.
Implementering och ytterligare kontext:
- Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)
- Så här konfigurerar du RBAC i Azure
- Så här använder du Azure AD-identitets- och åtkomstgranskningar
- Azure AD Privileged Identity Management – tidsbunden tilldelning
Intressenter för kundsäkerhet (läs mer):
- Programsäkerhet och DevSecOps
- Hantering av säkerhetsefterlevnad
- Posturhantering
- identitets- och nyckelhantering
PA-8 Fastställa åtkomstprocess för molnleverantörssupport
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Inte tillgänglig |
Säkerhetsprincip: Upprätta en godkännandeprocess och åtkomstsökväg för att begära och godkänna leverantörssupportbegäran och tillfällig åtkomst till dina data via en säker kanal.
Azure-vägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och godkänna eller avvisa varje Microsofts dataåtkomstbegäran.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):