Управление безопасностью: управление удостоверениями

Управление идентификацией охватывает контроль безопасности и доступа с помощью систем управления идентификацией и доступом, включая использование единой аутентификации, сильных аутентификаций, управляемых удостоверений (и служебных принципов) для приложений, условного доступа и мониторинга аномальных действий учетных записей.

IM-1. Использование централизованной системы идентификации и проверки подлинности

Принцип безопасности. Используйте централизованную систему идентификации и проверки подлинности для управления удостоверениями и проверкой подлинности организации для облачных и необлачных ресурсов.

Руководство по Azure. Azure Active Directory (Azure AD) — это служба управления удостоверениями и проверкой подлинности Azure. Для стандартизации управления удостоверениями и проверкой подлинности вашей организации следует использовать Azure AD.

• Облачные ресурсы Майкрософт, такие как служба хранилища Azure, виртуальные машины Azure (Linux и Windows), Azure Key Vault, PaaS и приложения SaaS.
• Ресурсы вашей организации, такие как приложения в Azure, сторонние приложения, работающие в корпоративных сетевых ресурсах, и сторонние приложения SaaS.
• Ваши корпоративные удостоверения в Active Directory через синхронизацию с Azure AD обеспечивают согласованную и централизованно управляемую стратегию управления идентичностями.

Для служб Azure, которые применяются, избегайте использования локальных методов проверки подлинности и вместо этого используйте Azure Active Directory для централизации проверки подлинности службы.

Примечание. Как только это технически возможно, необходимо перенести локальные приложения На основе Active Directory в Azure AD. Это может быть Azure AD Enterprise Directory, конфигурация для B2B или конфигурация для B2C.

Реализация Azure и дополнительный контекст:

• Арендочность в Azure AD
• Создание и настройка экземпляра Azure AD
• Определение клиентов Azure AD
• Использование внешних поставщиков идентификаций для приложения

Руководство по AWS: AWS IAM (управление удостоверениями и доступом) — это служба управления удостоверениями и проверкой подлинности AWS по умолчанию. Используйте AWS IAM для управления удостоверениями и доступом AWS. Кроме того, с помощью AWS и Sign-On Единого входа Azure можно также использовать Azure AD для управления удостоверениями и доступом AWS, чтобы избежать управления повторяющимися учетными записями отдельно на двух облачных платформах.

AWS поддерживает единый Sign-On, который позволяет мостить сторонние удостоверения организации (например, Windows Active Directory или другие хранилища удостоверений) с удостоверениями AWS, чтобы избежать создания повторяющихся учетных записей для доступа к ресурсам AWS.

Реализация AWS и дополнительный контекст:

• AWS IAM
• Единый вход AWS

Руководство по GCP. Система управления удостоверениями и доступом Google Cloud (IAM) — это служба управления удостоверениями и проверкой подлинности Google Cloud по умолчанию, используемая для учетных записей Google Cloud Identity. Используйте Google Cloud IAM для управления удостоверениями GCP и управлением доступом. Кроме того, с помощью Google Cloud Identity и Azure Sigle Sign-On (SSO) вы также можете использовать Azure AD для управления удостоверениями и доступом GCP, чтобы избежать управления повторяющимися учетными записями отдельно в мутли-облачной среде.

Google Cloud Identity — это поставщик удостоверений для всех служб Google. Он поддерживает единый Sign-On, который позволяет мостить сторонние удостоверения вашей организации (например, Windows Active Directory или другие хранилища удостоверений) с удостоверениями Google Cloud, чтобы избежать создания повторяющихся учетных записей для доступа к ресурсам GCP.

Примечание. Использование Службы синхронизации каталогов Google Cloud. Google предоставляет средство соединителя, которое интегрируется с большинством корпоративных систем управления LDAP и синхронизирует удостоверения по расписанию. Настроив учетную запись Cloud Identity и используя Google Cloud Directory Sync, вы можете настроить, какие из ваших учетных записей пользователей, включая пользователей, группы и профили пользователей, псевдонимы и многое другое, будут синхронизироваться по расписанию между локальной системой управления удостоверениями и вашей системой GCP.

Реализация GCP и дополнительный контекст:

• Обзор GCP IAM
• Подготовка пользователей Azure AD и единый вход
• Единый вход

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Архитектура безопасности
• Безопасность приложений и DevSecOps
• Управление осанкой

IM-2: защита систем идентификации и проверки подлинности

Принцип безопасности. Защита системы идентификации и проверки подлинности в качестве высокого приоритета в практике облачной безопасности вашей организации. К общим элементам управления безопасностью относятся:

• Ограничение привилегированных ролей и учетных записей
• Требовать строгой проверки подлинности для всех привилегированных прав доступа
• Мониторинг и аудит деятельности с высоким риском
  

Руководство по Azure. Используйте базовые показатели безопасности Azure AD и оценку безопасности идентификации Azure AD для оценки состояния безопасности удостоверений Azure AD и устранения пробелов в безопасности и конфигурации. Оценка безопасности службы удостоверений Azure AD анализирует Azure AD по следующим параметрам конфигурации:

• Использование ограниченных административных ролей
• Включить политику риска пользователей
• Назначение нескольких глобальных администраторов
• Включить политику для блокировки устаревшей аутентификации
• Убедитесь, что все пользователи могут выполнять многофакторную проверку подлинности для безопасного доступа
• Требовать MFA для административных ролей
• Включите самостоятельный сброс пароля
• Срок действия паролей не истекает
• Включите политику управления рисками входа
• Не разрешать пользователям предоставлять согласие для неуправляемых приложений

Используйте сервис Azure AD Identity Protection для обнаружения, изучения и устранения рисков, связанных с идентификацией. Для аналогичной защиты локального домена Active Directory используйте Защитник для Identity.

Примечание: Следуйте опубликованным рекомендациям для всех других компонентов идентификации, включая локальную Active Directory и любые сторонние возможности, а также инфраструктуры (например, операционные системы, сети, базы данных), в которых они размещены.

Реализация Azure и дополнительный контекст:

• Что такое оценка безопасности удостоверений в Azure AD
• Лучшие практики по защите Active Directory
• Что собой представляет защита идентификации?
• Что такое Microsoft Defender для идентичности?

Руководство по AWS. Используйте следующие рекомендации по безопасности для защиты AWS IAM:

• Настройка ключей доступа корневого пользователя учетной записи AWS для аварийного доступа, как описано в разделе PA-5 (настройка аварийного доступа)
• Следуйте принципам наименьших привилегий для назначений доступа
• Используйте группы IAM для применения политик вместо отдельных пользователей.
• Следуйте рекомендациям по строгой проверке подлинности в IM-6 (использование надежных элементов управления проверкой подлинности) для всех пользователей
• Используйте политики управления сервисами AWS (SCP) и границы разрешений.
• Используйте IAM Access Advisor для аудита доступа к службам
• Использование отчета учетных данных IAM для отслеживания учетных записей пользователей и состояния учетных данных

Примечание. Следуйте опубликованным рекомендациям, если у вас есть другие системы идентификации и проверки подлинности, например, следуйте базовым планам безопасности Azure AD, если вы используете Azure AD для управления удостоверениями и доступом AWS.

Реализация AWS и дополнительный контекст:

• Рекомендации по обеспечению безопасности в IAM
• Помощник по доступу к IAM
• Отчет об учетных данных IAM

Руководство по GCP. Используйте следующие рекомендации по обеспечению безопасности для облачных служб IAM Google и облачных удостоверений для ваших организаций:

• Настройте учетную запись суперадминистраторного доступа для аварийного доступа, следуя рекомендациям в PA-5 ("Настройка аварийного доступа").
• Создайте адрес электронной почты суперадминистратора (учетной записи суперадминистратора Google Workspace или Cloud Identity), и эта учетная запись не должна быть привязана к конкретному пользователю на случай необходимости аварийного восстановления.
• Следуйте принципу минимальных привилегий и принципам разделения обязанностей
• Избегайте использования учетной записи суперадминистраторов для ежедневных действий
• Используйте группы Google Cloud Identity для применения политик вместо применения политик к отдельным пользователям.
• Следуйте указаниям по строгой проверке подлинности, как описано в im-6 ("Использование надежных элементов управления проверкой подлинности") для всех пользователей с повышенными привилегиями.
• Использование политик IAM для ограничения доступа к ресурсам
• Использование службы политики организации для управления и настройки ограничений ресурсов
• Использование ведения журнала аудита IAM в журналах аудита облака для проверки привилегированных действий

Примечание. Следуйте опубликованным рекомендациям, если у вас есть другие системы идентификации и проверки подлинности, например, следуйте базовым планам безопасности Azure AD, если вы используете Azure AD для управления удостоверениями и доступом GCP.

Реализация GCP и дополнительный контекст:

• Рекомендации по работе с учетной записью суперадминистратора
• Рекомендации по безопасности для учетных записей администратора
• Безопасное использование IAM
• Управление доступом к другим ресурсам
• Общие сведения о службе политики организации

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Архитектура безопасности
• Безопасность приложений и DevSecOps
• Управление осанкой

IM-3. Безопасное и автоматическое управление идентичностями приложений

Принцип безопасности. Используйте удостоверения управляемых приложений вместо создания учетных записей человека для приложений для доступа к ресурсам и выполнения кода. Удостоверения управляемых приложений предоставляют такие преимущества, как снижение риска утечки учетных данных. Автоматизируйте смену учетных данных, чтобы обеспечить безопасность удостоверений.

Руководство по Azure. Использование управляемых удостоверений Azure, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD. Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.

Для служб, не поддерживающих управляемые удостоверения, используйте Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Рекомендуется настроить учетные записи служб с учетными данными сертификата и использовать клиентские секреты для проверки подлинности.

Реализация Azure и дополнительный контекст:

• Управляемые удостоверения Azure
• Службы, поддерживающие управляемые идентификаторы для ресурсов Azure
• Учетная запись службы Azure
• Создание учетной записи службы с сертификатами

Руководство по AWS. Используйте роли AWS IAM вместо создания учетных записей пользователей для ресурсов, поддерживающих эту функцию. Роли IAM управляются платформой на бэкенде, а учетные данные являются временными и автоматически обновляются. Это позволяет избежать создания ключей долгосрочного доступа или имени пользователя или пароля для приложений и жестко закодированных учетных данных в файлах исходного кода или конфигурации.

Вы можете использовать роли, связанные со службой, с заранее определенными политиками разрешений для доступа между службами AWS, вместо настройки собственных разрешений для ролей IAM.

Примечание. Для служб, которые не поддерживают роли IAM, используйте ключи доступа, но следуйте рекомендациям по безопасности, таким как IM-8: ограничьте доступ к учетным данным и секретам, чтобы обеспечить защиту ваших ключей.

Реализация AWS и дополнительный контекст:

• Роли AWS IAM
• Предоставление доступа к службе AWS

Руководство по GCP. Используйте управляемые Google учетные записи служб вместо создания управляемых пользователем учетных записей для ресурсов, поддерживающих эту функцию. Учетные записи служб, управляемые Google, управляются платформой в фоновом режиме, а ключи учетной записи службы являются временными и обновляются автоматически. Это позволяет избежать создания ключей долгосрочного доступа или имени пользователя или пароля для приложений и жестко закодированных учетных данных жесткого кодирования в файлах исходного кода или конфигурации.

Используйте политическую аналитику, чтобы понять и распознать подозрительные действия для служебных учетных записей.

Реализация GCP и дополнительный контекст:

• Обзор учетных записей служб
• Средства для понимания использования учетной записи службы
• Аналитика политик

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps

IM-4: проверка подлинности сервера и служб

Принцип безопасности. Проверка подлинности удаленных серверов и служб на стороне клиента, чтобы обеспечить подключение к доверенному серверу и службам. Наиболее распространенным протоколом проверки подлинности сервера является tls, где клиентская сторона (часто браузер или клиентское устройство) проверяет сервер, проверяя сертификат сервера, выданный доверенным центром сертификации.

Примечание. Взаимная проверка подлинности может использоваться, когда сервер и клиент проходят проверку подлинности друг друга.

Руководство по Azure. Многие службы Azure поддерживают проверку подлинности TLS по умолчанию. Для служб, которые не поддерживают проверку подлинности TLS по умолчанию или поддерживают отключение TLS, убедитесь, что она всегда включена для поддержки проверки подлинности сервера или клиента. Клиентское приложение также должно быть разработано для проверки подлинности идентификаторов сервера и клиента (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе установления соединения.

Примечание. Такие службы, как управление API и шлюз API, поддерживают взаимную проверку подлинности TLS.

Реализация Azure и дополнительный контекст:

• Обеспечение использования протокола TLS для аккаунта хранилища

Руководство по AWS. Многие службы AWS поддерживают проверку подлинности TLS по умолчанию. Для служб, которые не поддерживают проверку подлинности TLS по умолчанию или поддерживают отключение TLS, убедитесь, что она всегда включена для поддержки проверки подлинности сервера или клиента. Клиентское приложение также должно быть разработано для проверки подлинности идентификаторов сервера и клиента (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе установления соединения.

Примечание. Такие службы, как шлюз API, поддерживают взаимную проверку подлинности TLS.

Реализация AWS и дополнительный контекст:

• Закрепление сертификата AWS Certificate Manager.
• SSL-сертификат для проверки подлинности серверной части

Руководство по GCP. Многие службы GCP поддерживают проверку подлинности TLS по умолчанию. Для служб, которые не поддерживают эту функцию по умолчанию или поддерживают отключение TLS, убедитесь, что она всегда включена для поддержки проверки подлинности сервера или клиента. Клиентское приложение также должно быть разработано для проверки подлинности идентификаторов сервера и клиента (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе установления соединения.

Примечание. Такие службы, как балансировка нагрузки облака, поддерживают взаимную проверку подлинности TLS.

Реализация GCP и дополнительный контекст:

• Шифрование при передаче

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps

IM-5. Использование единого входа для доступа к приложениям

Принцип безопасности. Используйте единый вход (SSO), чтобы упростить проверку подлинности пользователей в ресурсах, включая приложения и данные в облачных службах и локальных средах.

Руководство по Azure. Использование Azure AD для доступа к приложениям рабочей нагрузки (для клиентов) с помощью единого входа Azure AD, что снижает потребность в повторяющихся учетных записях. Azure AD предоставляет управление удостоверениями и доступом к ресурсам Azure (в плоскости управления, включая CLI, PowerShell, портал), облачные приложения и локальные приложения.

Azure AD также поддерживает единый вход для корпоративных удостоверений, например, удостоверений сотрудников, а также удостоверений внешних пользователей от доверенных сторонних компаний и публичных пользователей.

Реализация Azure и дополнительный контекст:

• Понимание единого входа в приложение с Azure AD

Руководство по AWS: Используйте AWS Cognito для управления доступом к нагрузкам приложений, ориентированных на клиентов, с помощью единого входа (SSO), чтобы клиенты могли объединить свои сторонние учётные данные от разных поставщиков удостоверений.

Для единого входа к собственным ресурсам AWS (включая доступ к консоли AWS или управление службами и доступ на уровне плоскости данных) используйте AWS Sigle Sign-On, чтобы уменьшить потребность в повторяющихся учетных записях.

AWS SSO также позволяет интегрировать корпоративные идентификационные данные (например, данные из Azure Active Directory) с идентификационными данными AWS, а также с идентификационными данными внешних пользователей из надежных сторонних источников и общедоступных пользователей.

Реализация AWS и дополнительный контекст:

• Единый вход AWS
• AWS Cognito Single Sign-On Добавление поставщиков удостоверений SAML

Руководство GCP: Используйте Google Cloud Identity для управления доступом к вашим клиентским приложениям через единый вход в систему Google Cloud Identity, что снижает необходимость создания повторяющихся учетных записей. Google Cloud Identity обеспечивает управление удостоверениями и доступом к GCP (в плоскости управления, включая Google Cloud CLI, доступ к консоли), облачные приложения и локальные приложения.

Google Cloud Identity также поддерживает единый вход для корпоративных удостоверений, таких как корпоративные удостоверения пользователей из Azure AD или Active Directory, а также внешние удостоверения пользователей от доверенных сторонних и общедоступных пользователей. Реализация GCP и дополнительный контекст:

• Единый вход Google Cloud Identity
• Подготовка пользователей Azure AD и единый вход

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps

IM-6. Использование строгих элементов управления проверкой подлинности

Принцип безопасности. Применение строгих элементов управления проверкой подлинности (надежная проверка подлинности без пароля или многофакторная проверка подлинности) с помощью централизованной системы управления удостоверениями и проверкой подлинности для всех ресурсов. Проверка подлинности на основе учетных данных паролей только считается устаревшей, так как она небезопасна и не отвечает популярным методам атаки.

При развертывании строгой проверки подлинности сначала настройте администраторов и привилегированных пользователей, чтобы обеспечить самый высокий уровень метода строгой проверки подлинности, а затем быстро выполните соответствующую политику строгой проверки подлинности для всех пользователей.

Примечание. Если для устаревших приложений и сценариев требуется устаревшая проверка подлинности на основе паролей, соблюдаются рекомендации по обеспечению безопасности паролей, такие как требования к сложности.

Руководство по Azure. Azure AD поддерживает надежные элементы управления проверкой подлинности с помощью методов без пароля и многофакторной проверки подлинности (MFA).

• Проверка подлинности без пароля. Используйте проверку подлинности без пароля в качестве метода проверки подлинности по умолчанию. Существует три варианта проверки подлинности без пароля: Windows Hello для бизнеса, вход в приложение Microsoft Authenticator и ключи безопасности FIDO2. Кроме того, клиенты могут использовать локальные методы проверки подлинности, такие как смарт-карты.
• Многофакторная проверка подлинности: Azure MFA может применяться ко всем пользователям, выбирать пользователей или на уровне каждого пользователя на основе условий входа и факторов риска. Включите Azure MFA и следуйте рекомендациям Microsoft Defender for Cloud по управлению удостоверениями и доступом для настройки MFA.

Если для проверки подлинности Azure AD по-прежнему используется устаревшая проверка подлинности на основе паролей, обратите внимание, что у облачных учетных записей (учетных записей пользователей, созданных непосредственно в Azure), используется политика базового пароля по умолчанию. И гибридные учетные записи (учетные записи пользователей, поступающие из локальной службы Active Directory) следуют локальным политикам паролей.

Для сторонних приложений и служб, которые могут иметь идентификаторы и пароли по умолчанию, следует отключить или изменить их во время начальной настройки службы.

Реализация Azure и дополнительный контекст:

• Включение MFA в Azure
• Общие сведения о вариантах проверки подлинности без пароля для Azure Active Directory
• Политика паролей Azure AD по умолчанию
• Устранение неправильных паролей с помощью защиты паролей Azure AD
• Блокировать устаревшую аутентификацию

Руководство по AWS: AWS IAM поддерживает надежные элементы управления проверкой подлинности с помощью многофакторной проверки подлинности (MFA). MFA может применяться ко всем пользователям, к отдельным пользователям или на уровне каждого пользователя в зависимости от определенных условий.

Если вы используете корпоративные учетные записи из стороннего каталога (например, Windows Active Directory) с удостоверениями AWS, следуйте соответствующим рекомендациям по обеспечению строгой проверки подлинности. Если вы используете Azure AD для управления доступом к AWS, ознакомьтесь с руководством по Azure.

Примечание. Для сторонних приложений и служб AWS, которые могут иметь идентификаторы и пароли по умолчанию, следует отключить или изменить их во время начальной настройки службы.

Реализация AWS и дополнительный контекст:

• Использование многофакторной проверки подлинности (MFA) в AWS
• Поддерживаемые форм-факторы MFA IAM

Руководство по GCP: Google Cloud Identity поддерживает надежные элементы управления проверкой подлинности с помощью многофакторной проверки подлинности (MFA). MFA может применяться ко всем пользователям, к отдельным пользователям или на уровне каждого пользователя в зависимости от определенных условий. Чтобы защитить учетные записи суперадминистраторов cloud Identity (и Workspace), рассмотрите возможность использования ключей безопасности и программы Расширенной защиты Google для обеспечения максимальной безопасности.

Если вы используете корпоративные учетные записи из стороннего каталога (например, Windows Active Directory) с удостоверениями Google Cloud, следуйте соответствующим рекомендациям по обеспечению строгой проверки подлинности. Если вы используете Azure AD для управления доступом к Google Cloud, ознакомьтесь с руководством по Azure.

Используйте Identity-Aware Proxy для создания центрального уровня авторизации для приложений, к которым обращается ПРОТОКОЛ HTTPS, поэтому вы можете использовать модель управления доступом на уровне приложения вместо использования брандмауэров на уровне сети.

Примечание. Для сторонних приложений и служб GCP, которые могут иметь идентификаторы и пароли по умолчанию, следует отключить или изменить их во время начальной настройки службы.

Реализация GCP и дополнительный контекст:

• Применение универсальной MFA к ресурсам, принадлежащим компании
• Программа расширенной защиты Google
• Обзор прокси-сервераIdentity-Aware

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps

IM-7. Ограничение доступа к ресурсам в зависимости от условий

Принцип безопасности. Явно проверяйте доверенные сигналы, чтобы разрешить или запретить пользователю доступ к ресурсам в рамках модели доступа с нулевой доверием. Сигналы для проверки должны включать надежную проверку подлинности учетной записи пользователя, поведенческой аналитики учетной записи пользователя, надежности устройств, членства пользователей или групп, расположений и т. д.

Руководство по Azure. Использование условного доступа Azure AD для более детализированных элементов управления доступом на основе определенных пользователем условий, таких как требование входа пользователей из определенных диапазонов IP-адресов (или устройств) для использования MFA. Условный доступ Azure AD позволяет применять элементы управления доступом к приложениям вашей организации на основе определенных условий.

Определите применимые условия и критерии условного доступа Azure AD в рабочей нагрузке. Рассмотрим следующие распространенные варианты использования:

• Требование многофакторной проверки подлинности для пользователей с административными ролями
• Требование многофакторной проверки подлинности для задач управления Azure
• Блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
• Требование надежных расположений для регистрации Многофакторной идентификации Azure AD
• Блокировка или предоставление доступа из определенных расположений
• Блокировка рискованных действий при входе
• Требование управляемых организацией устройств для конкретных приложений

Примечание. Детализированные элементы управления сеансами проверки подлинности также можно реализовать с помощью политики условного доступа Azure AD, например частоту входа и постоянный сеанс браузера.

Реализация Azure и дополнительный контекст:

• Общие сведения об условном доступе Azure
• Общие политики условного доступа
• Аналитика условного доступа и отчеты
• Настройка управления сеансами проверки подлинности с помощью условного доступа

Руководство по AWS. Создание политики IAM и определение условий для более детализированных элементов управления доступом на основе определяемых пользователем условий, таких как требование входа пользователей из определенных диапазонов IP-адресов (или устройств) для использования многофакторной проверки подлинности. Параметры условий могут включать одно или несколько условий, а также логику.

Политики можно определить по шести различным измерениям: политики на основе удостоверений, политики на основе ресурсов, границы разрешений, политики управления сервисами AWS Organizations (SCP), списки управления доступом (ACL) и политики сеансов.

Реализация AWS и дополнительный контекст:

• Политики и разрешения в IAM
• Таблица ключей условий

Руководство по GCP. Создание и определение условий IAM для более детализированных элементов управления доступом на основе атрибутов на основе пользовательских условий, таких как требование входа пользователей из определенных диапазонов IP-адресов (или устройств) для использования многофакторной проверки подлинности. Параметры условий могут включать одно или несколько условий, а также логику.

Условия указываются в привязках ролей политики разрешения доступа ресурса. Атрибуты условий основаны на запрошенном ресурсе ( например, его типе или имени) или сведениях о запросе, например метке времени или IP-адресе назначения.

Реализация GCP и дополнительный контекст:

• Обзор условий IAM

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps
• Управление осанкой
• Аналитика угроз

IM-8. Ограничение доступа к учетным данным и секретам

Принцип безопасности. Убедитесь, что разработчики приложений безопасно обрабатывают учетные данные и секреты:

• Избегайте внедрения учетных данных и секретов в файлы кода и конфигурации.
• Использование хранилища ключей или службы безопасного хранилища ключей для хранения учетных данных и секретов
• Проверка учетных данных в исходном коде.

Примечание. Это часто регулируется и применяется с помощью безопасного жизненного цикла разработки программного обеспечения (SDLC) и процесса безопасности DevOps.

Руководство по Azure: Если использование управляемого удостоверения невозможно, убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как Azure Key Vault, вместо внедрения их в код и файлы конфигурации.

Если вы используете Azure DevOps и GitHub для платформы управления кодом:

• Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
• Для GitHub используйте функцию встроенного сканирования секретов для идентификации учетных данных или других форм секретов в коде.

Клиенты, такие как Функции Azure, службы приложений Azure и виртуальные машины, могут использовать управляемые удостоверения для безопасного доступа к Azure Key Vault. См. контроли защиты данных, связанные с использованием Azure Key Vault для управления секретами.

Примечание. Azure Key Vault обеспечивает автоматическую смену поддерживаемых служб. Для секретов, которые не могут быть автоматически обновлены, убедитесь, что они вручную обновляются периодически и удаляются, когда больше не используются.

Реализация Azure и дополнительный контекст:

• Настройка средства проверки учетных данных
• Сканирование секретов GitHub

Руководство по AWS: Если использование роли IAM для доступа к приложению невозможно, убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как AWS Secrets Manager или Хранилище параметров Systems Manager, вместо их включения в код и файлы конфигурации.

Используйте рецензент CodeGuru для анализа статического кода, который может обнаруживать секреты, жестко закодированные в исходном коде.

Если вы используете Azure DevOps и GitHub для платформы управления кодом:

• Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
• Для GitHub используйте функцию сканирования секретов для идентификации учетных данных или других форм секретов в коде.

Примечание. Secrets Manager предоставляет автоматическую ротацию секретов для поддерживаемых служб. Для секретов, которые не могут быть автоматически обновлены, убедитесь, что они вручную обновляются периодически и удаляются, когда больше не используются.

Реализация AWS и дополнительный контекст:

• Роли AWS IAM в EC2
• Интегрированные службы AWS Secret Manager
• Обнаружение секретов рецензента CodeGuru

Руководство по GCP: Если использование управляемой учетной записи службы Google для доступа к приложению — это не вариант, убедитесь, что конфиденциальные данные и учетные записи хранятся в безопасных местах, таких как Диспетчер секретов Google Cloud, а не внедряются в код и конфигурационные файлы.

Используйте расширение Google Cloud Code в интегрированной среде разработки (интегрированная среда разработки), например Visual Studio Code, для интеграции секретов, управляемых диспетчером секретов в код.

Если вы используете Azure DevOps или GitHub для платформы управления кодом:

• Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
• Для GitHub используйте функцию сканирования секретов для идентификации учетных данных или других форм секретов в коде.

Примечание: Настройка расписаний обновления секретов, хранящихся в менеджере секретов, как лучшая практика, рекомендуется.

Реализация GCP и дополнительный контекст:

• Лучшие практики для менеджера секретов
• Облачный код для функций VS Code

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность приложений и DevSecOps
• Управление осанкой

IM-9. Защита доступа пользователей к существующим приложениям

Принцип безопасности: В гибридной среде, где у вас есть локальные приложения или не собственные облачные приложения с использованием устаревшей проверки подлинности, рассмотрите такие решения, как брокер безопасности доступа к облаку (CASB), прокси для приложений, единый вход (SSO) для управления доступом к этим приложениям ради следующих преимуществ:

• Принудительное применение централизованной строгой проверки подлинности
• Мониторинг и контроль рискованных действий конечных пользователей
• Контроль и управление рискованными действиями устаревших приложений
• Обнаружение и предотвращение передачи конфиденциальных данных
  

Руководство по Azure: Защитите локальные и не собственные облачные приложения, используя устаревшую проверку подлинности, подключая их к:

• Настройте прокси приложений Azure AD и аутентификацию на основе заголовков, чтобы обеспечить единый вход (SSO) для удаленных пользователей, при этом явно проверяя надежность как пользователей, так и устройств с помощью условного доступа Azure AD. При необходимости используйте стороннее решение Software-Defined периметра (SDP), которое может предложить аналогичные функциональные возможности.
• Microsoft Defender для облачных приложений, который служит брокером безопасности доступа к облаку (CASB) для мониторинга и блокировки доступа пользователей к неутвержденным сторонним приложениям SaaS.
• Ваши существующие контроллеры сторонней доставки приложений и сети.

Примечание. Виртуальные сети обычно используются для доступа к устаревшим приложениям и часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.

Реализация Azure и дополнительный контекст:

• Прокси приложения Azure AD
• Рекомендации по Microsoft Cloud App Security
• Безопасный гибридный доступ к Azure AD

Руководство по AWS. Выполните инструкции Azure по защите локальных и не собственных облачных приложений с помощью устаревшей проверки подлинности, подключив их к:

• Azure AD Application Proxy и настройте аутентификацию на основе заголовков, чтобы разрешить доступ по SSO (единого входа) к приложениям для удаленных пользователей, явно проверяя надежность как этих пользователей, так и устройств с помощью условного доступа Azure AD. При необходимости используйте стороннее решение Software-Defined Периметр (SDP), которое может предложить аналогичные функциональные возможности.
• Microsoft Defender для облачных приложений, которая служит службой брокера безопасности доступа к облаку (CASB) для мониторинга и блокировки доступа пользователей к неутвержденным сторонним приложениям SaaS.
• Существующие сторонние контроллеры доставки приложений и сети

Примечание. Виртуальные сети обычно используются для доступа к устаревшим приложениям и часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.

Реализация AWS и дополнительный контекст:

• Решения прокси приложения AWS Marketplace
• Решения AWS Marketplace CASB

Руководство по GCP. Использование Google Cloud Identity-Aware Proxy (IAP) для управления доступом к приложениям на основе HTTP за пределами Google Cloud, включая локальные приложения. IAP работает с подписанными заголовками или API пользователей в стандартной среде обработчика приложений. При необходимости используйте стороннее решение Software-Defined периметра (SDP), которое может предложить аналогичные функциональные возможности.

Кроме того, вы можете использовать Microsoft Defender для облачных приложений, который служит службой брокера безопасности доступа к облаку (CASB), чтобы отслеживать и блокировать доступ пользователей к неодобренным сторонним SaaS-приложениям.

Примечание. Виртуальные сети обычно используются для доступа к устаревшим приложениям и часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.

Реализация GCP и дополнительный контекст:

• Обзор IAP для локальных приложений

• Безопасное подключение к экземплярам виртуальной машины

• Обзор облачных VPN

• Как Defender для облачных приложений помогает защитить среду Рабочей области Google

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevSecOps