Condividi tramite

Controllo della sicurezza: accesso con privilegi

L'accesso con privilegi riguarda i controlli per proteggere l'accesso con privilegi al tenant e alle risorse, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e accidentali.

PA-1: separare e limitare utenti con privilegi elevati/amministratori

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
5,4, 6,8 AC-2, AC-6 7.1, 7.2, 8.1

Principio di sicurezza: assicurarsi di identificare tutti gli account a impatto aziendale elevato. Limitare il numero di account con privilegi/amministrativi nel piano di controllo del cloud, nel piano di gestione e nel piano dati/carico di lavoro.

Linee guida di Azure: è necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto alle risorse ospitate in Azure.

Azure Active Directory (Azure AD) è il servizio di gestione delle identità e degli accessi predefinito di Azure. I ruoli predefiniti più critici in Azure AD sono Amministratore globale e Amministratore ruolo con privilegi, perché gli utenti assegnati a questi due ruoli possono delegare i ruoli di amministratore. Con questi privilegi, gli utenti possono leggere e modificare direttamente o indirettamente ogni risorsa nell'ambiente Azure:

  • Amministratore globale/Amministratore aziendale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure AD e ai servizi che usano le identità di Azure AD.
  • Amministratore ruolo con privilegi: gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure AD, nonché in Azure AD Privileged Identity Management (PIM). Inoltre, questo ruolo consente la gestione di tutti gli aspetti di PIM e unità amministrative.

All'esterno di Azure AD, Azure ha ruoli predefiniti che possono essere fondamentali per l'accesso con privilegi a livello di risorsa.

  • Proprietario: concede l'accesso completo per gestire tutte le risorse, inclusa la possibilità di assegnare ruoli nel Azure controllo degli accessi basato sui ruoli.
  • Collaboratore: concede accesso completo per gestire tutte le risorse, ma non consente di assegnare ruoli in Azure RBAC, gestire le assegnazioni in Azure Blueprints o condividere gallerie di immagini.
  • Amministratore accesso utenti: consente di gestire l'accesso utente alle risorse di Azure.

Nota: potrebbe essere necessario avere altri ruoli critici che devono essere regolati se si usano ruoli personalizzati a livello di azure AD o a livello di risorsa con determinate autorizzazioni con privilegi assegnati.

Inoltre, gli utenti con i tre ruoli seguenti nel portale di Azure Enterprise Agreement (EA) devono essere limitati perché possono essere usati per gestire direttamente o indirettamente le sottoscrizioni di Azure.

  • Proprietario account: gli utenti con questo ruolo possono gestire le sottoscrizioni, inclusa la creazione e l'eliminazione delle sottoscrizioni.
  • Amministratore dell'organizzazione: gli utenti assegnati a questo ruolo possono gestire gli utenti del portale (EA).
  • Amministratore del reparto: gli utenti assegnati a questo ruolo possono modificare i proprietari dell'account all'interno del reparto.

Infine, assicurarsi di limitare anche gli account con privilegi in altri sistemi di gestione, identità e sicurezza che hanno accesso amministrativo agli asset critici dell'azienda, ad esempio controller di dominio Active Directory, strumenti di sicurezza e strumenti di gestione del sistema con agenti installati nei sistemi business critical. Gli utenti malintenzionati che comprometteno questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset aziendali critici.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: è necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto alle risorse ospitate in AWS.

Gli utenti con privilegi/amministratori che devono essere protetti includono:

  • Utente radice: l'utente radice è gli account con privilegi di livello più alto nell'account AWS. Gli account radice devono essere altamente limitati e usati solo in situazioni di emergenza. Fare riferimento ai controlli di accesso di emergenza in PA-5 (Configurare l'accesso di emergenza).
  • Identità IAM (utenti, gruppi, ruoli) con i criteri di autorizzazione con privilegi: le identità IAM assegnate con criteri di autorizzazione come AdministratorAccess possono avere accesso completo a servizi e risorse AWS.

Se si usa Azure Active Directory (Azure AD) come provider di identità per AWS, vedere le linee guida di Azure per la gestione dei ruoli con privilegi in Azure AD.

Assicurarsi anche di limitare gli account con privilegi in altri sistemi di gestione, identità e sicurezza che hanno accesso amministrativo agli asset critici dell'azienda, ad esempio AWS Cognito, strumenti di sicurezza e strumenti di gestione del sistema con agenti installati nei sistemi business critical. Gli utenti malintenzionati che comprometteno questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset aziendali critici.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: è necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto alle risorse ospitate da GCP.

Il ruolo predefinito più critico in Google Cloud è l'amministratore con privilegi avanzati. L'amministratore con privilegi avanzati può eseguire tutte le attività nella console di amministrazione e dispone di autorizzazioni amministrative irrevocabili. È sconsigliato utilizzare l'account amministratore super per l'amministrazione quotidiana.

I ruoli di base sono ruoli legacy altamente permissivi ed è consigliabile che i ruoli di base non vengano usati negli ambienti di produzione perché concedono un accesso ampio a tutte le risorse di Google Cloud. I ruoli di base includono i ruoli Visualizzatore, Editor e Proprietario. È invece consigliabile usare ruoli predefiniti o personalizzati. I ruoli predefiniti con privilegi rilevanti includono:

  • Amministratore organizzazione: gli utenti con questo ruolo possono gestire i criteri IAM e visualizzare i criteri dell'organizzazione per organizzazioni, cartelle e progetti.
  • Amministratore criteri organizzazione: gli utenti con questo ruolo possono definire le restrizioni che un'organizzazione vuole inserire nella configurazione delle risorse cloud impostando Criteri organizzazione.
  • Amministratore ruolo organizzazione: gli utenti con questo ruolo possono amministrare tutti i ruoli personalizzati nell'organizzazione e nei progetti sottostanti.
  • Amministratore della sicurezza: gli utenti con questo ruolo possono ottenere e impostare qualsiasi criterio IAM.
  • Nega Amministratore: Gli utenti con questo ruolo di amministratore hanno il permesso di leggere e modificare i criteri di negazione IAM.

Inoltre, alcuni ruoli predefiniti contengono autorizzazioni IAM con privilegi a livello di organizzazione, cartella e progetto. Queste autorizzazioni IAM includono:

  • amministratore organizzazione
  • cartellaIAMAdmin
  • progettoIAMAdmin

Implementare inoltre la separazione dei compiti assegnando ruoli agli account per progetti diversi o sfruttando l'autorizzazione binaria con Google Kubernetes Engine.

Infine, assicurarsi di limitare anche gli account con privilegi in altri sistemi di gestione, identità e sicurezza che hanno accesso amministrativo agli asset critici dell'azienda, ad esempio DNS cloud, strumenti di sicurezza e strumenti di gestione del sistema con agenti installati nei sistemi business critical. Gli utenti malintenzionati che comprometteno questi sistemi di gestione e sicurezza possono immediatamente armarli per compromettere gli asset aziendali critici.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-2: evitare l'accesso permanente per gli account utente e le autorizzazioni

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
Non disponibile AC-2 Non disponibile

Principio di sicurezza: invece di creare privilegi permanenti, usare il meccanismo JIT (Just-In-Time) per assegnare l'accesso con privilegi ai diversi livelli di risorse.

Linee guida di Azure: abilitare l'accesso con privilegi JIT (Just-In-Time) alle risorse di Azure e Azure AD usando Azure AD Privileged Identity Management (PIM). JIT è un modello in cui gli utenti ricevono autorizzazioni temporanee per eseguire attività con privilegi, che impediscono a utenti malintenzionati o non autorizzati di ottenere l'accesso dopo la scadenza delle autorizzazioni. L'accesso viene concesso solo quando l'utente ne ha necessità. PIM può anche generare avvisi di sicurezza in caso di attività sospette o non sicure nell'organizzazione di Azure AD.

Limitare il traffico in ingresso alle porte di gestione delle macchine virtuali sensibili con la funzionalità JIT (Just-In-Time) di Microsoft Defender for Cloud per l'accesso alle macchine virtuali. In questo modo, l'accesso con privilegi alla macchina virtuale viene concesso solo quando gli utenti ne hanno bisogno.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare AWS Security Token Service (AWS STS) per creare credenziali di sicurezza temporanee per accedere alle risorse tramite l'API AWS. Le credenziali di sicurezza temporanee funzionano quasi in modo identico alle credenziali della chiave di accesso a lungo termine che gli utenti IAM possono usare, con le differenze seguenti:

  • Le credenziali di sicurezza temporanee hanno una durata di breve durata, da minuti a ore.
  • Le credenziali di sicurezza temporanee non vengono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: usare l'accesso condizionale IAM per creare accesso temporaneo alle risorse usando le associazioni di ruoli condizionali nelle politiche di autorizzazione, concesso agli utenti di Cloud Identity. Configurare gli attributi di data/ora per applicare controlli basati sul tempo per l'accesso a una determinata risorsa. L'accesso temporaneo può avere una durata a breve termine, da minuti a ore o può essere concesso in base a giorni o ore della settimana.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-3: Gestire il ciclo di vita delle identità e dei diritti

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Principio di sicurezza: usare un processo automatizzato o un controllo tecnico per gestire il ciclo di vita delle identità e degli accessi, tra cui la richiesta, la revisione, l'approvazione, il provisioning e il deprovisioning.

Linee guida di Azure: usare le funzionalità di gestione entitlement di Azure AD per automatizzare i flussi di lavoro delle richieste di accesso (per i gruppi di risorse di Azure). Ciò consente ai flussi di lavoro per i gruppi di risorse di Azure di gestire le assegnazioni di accesso, le verifiche, la scadenza e l'approvazione a due o più fasi.

Usare Gestione autorizzazioni per rilevare, ridimensionare automaticamente le dimensioni corrette e monitorare continuamente le autorizzazioni inutilizzate ed eccessive assegnate alle identità utente e del carico di lavoro in infrastrutture multi-cloud.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: Usare AWS Access Advisor per estrarre i log di accesso per gli account utente e le autorizzazioni delle risorse. Creare un flusso di lavoro manuale o automatizzato per l'integrazione con AWS IAM per gestire assegnazioni di accesso, revisioni ed eliminazioni.

Nota: in AWS Marketplace sono disponibili soluzioni di terze parti per la gestione del ciclo di vita delle identità e dei diritti.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: usare i log di audit del cloud di Google per recuperare le attività amministrative e i log di audit dell'accesso ai dati per gli account utente e le autorizzazioni delle risorse. Creare un flusso di lavoro manuale o automatizzato per l'integrazione con GCP IAM per gestire assegnazioni di accesso, revisioni ed eliminazioni.

Usare Google Cloud Identity Premium per fornire servizi di gestione delle identità e dei dispositivi di base. Questi servizi includono funzionalità come il provisioning automatizzato degli utenti, la creazione di una lista bianca per le app e la gestione automatica dei dispositivi mobili.

Nota: in Google Cloud Marketplace sono disponibili soluzioni di terze parti per la gestione del ciclo di vita delle identità e dei diritti.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-4: Esaminare e riconciliare regolarmente l'accesso degli utenti

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Principio di sicurezza: eseguire una revisione regolare dei diritti degli account con privilegi. Assicurarsi che l'accesso concesso agli account sia valido per l'amministrazione del piano di controllo, del piano di gestione e dei carichi di lavoro.

Indicazioni su Azure: esaminare tutti gli account con privilegi e i diritti di accesso in Azure, inclusi tenant di Azure, servizi di Azure, vm/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.

Usare le verifiche di accesso di Azure AD per esaminare i ruoli di Azure AD, i ruoli di accesso alle risorse di Azure, le appartenenze ai gruppi e l'accesso alle applicazioni aziendali. La creazione di report di Azure AD può anche fornire log per individuare account non aggiornati o account che non sono stati usati per un determinato periodo di tempo.

Inoltre, Azure AD Privileged Identity Management può essere configurato per avvisare quando viene creato un numero eccessivo di account amministratore per un ruolo specifico e per identificare gli account amministratore non aggiornati o configurati in modo non corretto.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: esaminare tutti gli account con privilegi e i diritti di accesso in AWS, inclusi account AWS, servizi, VM/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.

Utilizzare IAM Access Advisor, Access Analyzer e Rapporti sulle credenziali per esaminare i ruoli di accesso alle risorse, le appartenenze ai gruppi e l'accesso alle applicazioni aziendali. Gli analizzatori di accesso IAM e i report delle credenziali possono anche fornire log per individuare gli account non aggiornati o gli account che non sono stati usati per un determinato periodo di tempo.

Se si usa Azure Active Directory (Azure AD) come provider di identità per AWS, usare la verifica di accesso di Azure AD per esaminare periodicamente gli account con privilegi e i diritti di accesso.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: esaminare tutti gli account con privilegi e i diritti di accesso in Google Cloud, inclusi account di identità cloud, servizi, vm/IaaS, processi CI/CD e strumenti di gestione e sicurezza aziendali.

Usare i log di controllo cloud e l'analizzatore dei criteri per esaminare i ruoli di accesso alle risorse e le appartenenze ai gruppi. Creare query di analisi in Policy Analyzer per comprendere e determinare quali entità possono accedere a risorse specifiche.

Se si usa Azure Active Directory (Azure AD) come provider di identità per Google Cloud, usare la verifica di accesso di Azure AD per esaminare periodicamente gli account con privilegi e i diritti di accesso.

Inoltre, Azure AD Privileged Identity Management può essere configurato per avvisare quando viene creato un numero eccessivo di account amministratore per un ruolo specifico e per identificare gli account amministratore non aggiornati o configurati in modo non corretto.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-5: Configurare l'accesso di emergenza

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
Non disponibile AC-2 Non disponibile

Principio di sicurezza: configurare l'accesso di emergenza per assicurarsi di non essere accidentalmente bloccati dall'infrastruttura cloud critica ,ad esempio il sistema di gestione delle identità e degli accessi, in caso di emergenza.

Gli account di accesso di emergenza devono essere usati raramente e possono essere altamente dannosi per l'organizzazione, se compromessi, ma la disponibilità per l'organizzazione è importante anche per alcuni scenari quando sono necessari.

Indicazioni su Azure: per evitare che l'organizzazione di Azure AD venga bloccata accidentalmente, configurare un account di accesso di emergenza (ad esempio, un account con ruolo di amministratore globale) per l'accesso quando non è possibile usare gli account amministrativi normali. Gli account di accesso di emergenza sono in genere con privilegi elevati e non devono essere assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari di emergenza o scenari "break glass" in cui non è possibile usare gli account amministrativi normali.

È necessario assicurarsi che le credenziali (ad esempio password, certificato o smart card) per gli account di accesso di emergenza siano mantenute sicure e note solo agli utenti autorizzati a usarle solo in caso di emergenza. È anche possibile utilizzare controlli aggiuntivi, come i controlli doppi (ad esempio suddividendo le credenziali in due parti e assegnandole a persone separate) per migliorare la sicurezza di questo processo. È anche consigliabile monitorare i log di accesso e di controllo per assicurarsi che gli account di accesso di emergenza vengano usati solo quando sono autorizzati.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: gli account AWS "root" non devono essere usati per le normali attività amministrative. Poiché l'account "radice" ha privilegi elevati, non deve essere assegnato a utenti specifici. L'utilizzo dovrebbe essere limitato esclusivamente a scenari di emergenza o situazioni critiche quando non è possibile utilizzare gli account amministrativi normali. Per le attività amministrative quotidiane, è necessario usare account utente con privilegi separati e assegnare le autorizzazioni appropriate tramite i ruoli IAM.

È anche necessario assicurarsi che le credenziali (ad esempio password, token MFA e chiavi di accesso) per gli account radice siano mantenute protette e note solo a persone autorizzate a usarle solo in caso di emergenza. L'autenticazione a più fattori deve essere abilitata per l'account radice ed è anche possibile usare controlli aggiuntivi, ad esempio i doppio controlli (ad esempio, suddividendo le credenziali in due parti e assegnandole a persone separate) per migliorare la sicurezza di questo processo.

È anche necessario monitorare i log di accesso e di controllo in CloudTrail o EventBridge per assicurarsi che gli account di accesso radice vengano usati solo quando sono autorizzati.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: gli account amministratore con privilegi avanzati di Google Cloud Identity non devono essere usati per le normali attività amministrative. Poiché l'account con privilegi avanzati è altamente privilegiato, non deve essere assegnato a utenti specifici. L'utilizzo dovrebbe essere limitato esclusivamente a scenari di emergenza o situazioni critiche quando non è possibile utilizzare gli account amministrativi normali. Per le attività amministrative quotidiane, è necessario usare account utente con privilegi separati e assegnare le autorizzazioni appropriate tramite i ruoli IAM.

È inoltre necessario assicurarsi che le credenziali (ad esempio password, token MFA e chiavi di accesso) per gli account amministratore con privilegi avanzati siano mantenute sicure e note solo a utenti autorizzati a usarle solo in caso di emergenza. L'autenticazione a più fattori deve essere abilitata per l'account amministratore con privilegi avanzati ed è anche possibile usare controlli aggiuntivi, ad esempio doppio controllo (ad esempio, suddividendo le credenziali in due parti e assegnandole a persone separate) per migliorare la sicurezza di questo processo.

È anche consigliabile monitorare i log di accesso e di controllo nei log di controllo cloud o eseguire una query su Policy Analyzer per assicurarsi che gli account amministratore con privilegi avanzati vengano usati solo quando sono autorizzati.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-6: Usare workstation ad accesso privilegiato

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 Non disponibile

Principio di sicurezza: le workstation protette e isolate sono fondamentali per la sicurezza dei ruoli sensibili, ad esempio amministratore, sviluppatore e operatore di servizio critico.

Indicazioni su Azure: usare Azure Active Directory, Microsoft Defender e/o Microsoft Intune per distribuire workstation con accesso con privilegi (PAW) in locale o in Azure per le attività con privilegi. La workstation PAW deve essere gestita centralmente per applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.

È anche possibile usare Azure Bastion, un servizio PaaS completamente gestito dalla piattaforma di cui è possibile eseguire il provisioning all'interno della rete virtuale. Azure Bastion consente la connettività RDP/SSH alle macchine virtuali direttamente dal portale di Azure usando un Web browser.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare Session Manager in AWS Systems Manager per creare un percorso di accesso (una sessione di connessione) all'istanza EC2 o a una sessione del browser alle risorse AWS per le attività con privilegi. Session Manager consente la connettività RDP, SSH e HTTPS agli host di destinazione tramite port forwarding.

È anche possibile scegliere di distribuire una workstation con accesso con privilegi (PAW) gestita centralmente tramite Azure Active Directory, Microsoft Defender e/o Microsoft Intune. La gestione centrale deve applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: usare Identity-Aware Proxy (IAP) Desktop per creare un percorso di accesso (una sessione di connessione) all'istanza di calcolo per le attività con privilegi. IAP Desktop consente la connettività RDP e SSH agli host di destinazione tramite port forwarding. Inoltre, le istanze di calcolo Linux con connessione esterna possono essere connesse tramite un browser SSH tramite la console di Google Cloud.

È anche possibile scegliere di distribuire workstation con accesso con privilegi (PAW) gestite centralmente tramite Google Workspace Endpoint Management o soluzioni Microsoft (Azure Active Directory, Microsoft Defender e/o Microsoft Intune). La gestione centrale deve applicare la configurazione protetta, tra cui l'autenticazione avanzata, le baseline software e hardware e l'accesso logico e di rete limitato.

È anche possibile creare host bastion per l'accesso sicuro agli ambienti attendibili con parametri definiti.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Principio di sicurezza: seguire il principio di amministrazione (privilegi minimi) sufficiente per gestire le autorizzazioni a livello granulare. Usare funzionalità come il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse tramite assegnazioni di ruolo.

Indicazioni su Azure: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite le assegnazioni di ruolo. Tramite RBAC (controllo degli accessi in base al ruolo), è possibile assegnare ruoli a utenti, gruppi, principali del servizio e identità gestite. Esistono ruoli predefiniti per determinate risorse e questi ruoli possono essere sottoposti a inventario o sottoposti a query tramite strumenti come l'interfaccia della riga di comando di Azure, Azure PowerShell e il portale di Azure.

I privilegi che assegni alle risorse tramite Azure RBAC devono essere sempre limitati a quanto richiesto dai ruoli. I privilegi limitati integrano l'approccio JIT (Just-In-Time) di Azure AD Privileged Identity Management (PIM) e questi privilegi devono essere esaminati periodicamente. Se necessario, è anche possibile usare PIM per definire un'assegnazione con associazione a tempo, ovvero una condizione in un'assegnazione di ruolo in cui un utente può attivare solo il ruolo entro le date di inizio e di fine specificate.

Nota: usare i ruoli predefiniti di Azure per allocare le autorizzazioni e creare ruoli personalizzati solo quando necessario.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: usare i criteri AWS per gestire l'accesso alle risorse AWS. Esistono sei tipi di criteri: criteri basati su identità, criteri basati sulle risorse, limiti delle autorizzazioni, criteri di controllo dei servizi delle organizzazioni AWS (SCP), elenco di controllo di accesso e criteri di sessione. È possibile usare i criteri gestiti di AWS per i casi d'uso comuni delle autorizzazioni. Tuttavia, è necessario tenere presente che i criteri gestiti possono contenere autorizzazioni eccessive che non devono essere assegnate agli utenti.

È anche possibile usare AWS ABAC (controllo degli accessi in base agli attributi) per assegnare autorizzazioni in base agli attributi (tag) associati alle risorse IAM, incluse le entità IAM (utenti o ruoli) e le risorse AWS.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: usare i criteri di Google Cloud IAM per gestire l'accesso alle risorse GCP tramite assegnazioni di ruolo. È possibile usare i ruoli predefiniti di Google Cloud per i casi d'uso comuni delle autorizzazioni. Tuttavia, è necessario tenere presente che i ruoli predefiniti possono contenere autorizzazioni eccessive che non devono essere assegnate agli utenti.

Inoltre, utilizzare Policy Intelligence insieme al Recommender IAM per identificare e rimuovere permessi eccessivi dagli account.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):

PA-8 Determinare il processo di accesso per il supporto del provider di servizi cloud

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 Non disponibile

Principio di sicurezza: stabilire un processo di approvazione e un percorso di accesso per richiedere e approvare le richieste di supporto del fornitore e l'accesso temporaneo ai dati tramite un canale sicuro.

Indicazioni su Azure: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare e approvare o rifiutare ogni richiesta di accesso ai dati effettuata da Microsoft.

Implementazione di Azure e contesto aggiuntivo:

Indicazioni su AWS: negli scenari di supporto in cui i team di supporto di AWS devono accedere ai dati, creare un account nel portale di supporto AWS per richiedere supporto. Esamina le opzioni disponibili, come fornire l'accesso ai dati di sola lettura o l'opzione di condivisione dello schermo per il supporto di AWS per l'accesso ai tuoi dati.

Implementazione di AWS e contesto aggiuntivo:

Indicazioni per GCP: negli scenari di supporto in cui Google Cloud Customer Care deve accedere ai dati, usare l'approvazione dell'accesso per esaminare e approvare o rifiutare ogni richiesta di accesso ai dati effettuata da Cloud Customer Care.

Implementazione di GCP e contesto aggiuntivo:

Parti interessate per la sicurezza dei clienti (Ulteriori informazioni):