Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 5.4, 6.8 | АС-2, АС-6 | 7.1, 7.2, 8.1 |
Принцип безопасности. Убедитесь, что вы определите все учетные записи с высоким уровнем влияния на бизнес. Ограничьте количество привилегированных или административных учетных записей в плоскости управления, плоскости администрирования и плоскости данных или рабочих нагрузок вашего облака.
Руководство по Azure. Необходимо защитить все роли с прямым или косвенным административным доступом к размещенным ресурсам Azure.
Azure Active Directory (Azure AD) — это служба управления удостоверениями и доступом Azure по умолчанию. Наиболее важными встроенными ролями в Azure AD являются глобальный администратор и администратор привилегированных ролей, так как пользователи, назначенные этим двум ролям, могут делегировать роли администратора. С этими привилегиями пользователи могут напрямую или косвенно считывать и изменять каждый ресурс в вашей среде Azure:
- Глобальный администратор или администратор компании. Пользователи с этой ролью имеют доступ ко всем административным функциям в Azure AD, а также службам, используюющим удостоверения Azure AD.
- Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначениями ролей в Azure AD, а также в Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами PIM и административных единиц.
За пределами Azure AD в Azure есть встроенные роли, которые могут быть критически важными для привилегированного доступа на уровне ресурса.
- Владелец: предоставляет полный доступ ко всем ресурсам, включая возможность назначения ролей в Azure RBAC.
- Участник: Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC, управлять назначениями в Azure Blueprints или делиться коллекциями изображений.
- Администратор доступа пользователей: позволяет управлять доступом пользователей к ресурсам Azure.
Примечание. При использовании пользовательских ролей на уровне Azure AD или на уровне ресурсов с определенными привилегированными разрешениями может потребоваться управлять другими критически важными ролями.
Кроме того, пользователи со следующими тремя ролями на портале Соглашения Azure Enterprise (EA) также должны быть ограничены, так как их можно использовать для прямого или косвенного управления подписками Azure.
- Владелец учетной записи: пользователи с этой ролью могут управлять подписками, включая создание и удаление подписок.
- Администратор предприятия: пользователи, назначенные этой ролью, могут управлять пользователями портала EA.
- Администратор отдела: пользователи, назначенные этой ролью, могут изменять владельцев учетных записей в отделе.
Наконец, убедитесь, что вы также ограничиваете привилегированные учетные записи в других системах управления, удостоверений и безопасности, имеющих административный доступ к критически важным ресурсам, таким как контроллеры домена Active Directory (DCs), средства безопасности и средства управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, которые компрометуют эти системы управления и безопасности, могут немедленно использовать их для компрометации критически важных для бизнеса активов.
Реализация Azure и дополнительный контекст:
- Разрешения роли администратора в Azure AD
- Использование оповещений системы безопасности управления привилегированными пользователями Azure
- Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD
Руководство по AWS. Необходимо защитить все роли с прямым или косвенным административным доступом к размещенным ресурсам AWS.
Привилегированные или административные пользователи должны быть защищены:
- Корневой пользователь: Корневой пользователь — это учетная запись с наивысшим уровнем привилегий в вашей учетной записи AWS. Корневые учетные записи должны быть строго ограничены и используются только в чрезвычайных ситуациях. Обратитесь к элементам управления аварийным доступом в PA-5 (настройка аварийного доступа).
- Удостоверения IAM (пользователи, группы, роли) с политикой привилегированных разрешений: удостоверения IAM, назначенные политикой разрешений, например AdministratorAccess, могут иметь полный доступ к службам и ресурсам AWS.
Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений для AWS, обратитесь к руководству Azure по управлению привилегированными ролями в Azure AD.
Убедитесь, что вы также ограничиваете привилегированные учетные записи в других системах управления, удостоверений и безопасности, имеющих административный доступ к критически важным ресурсам, таким как AWS Cognito, средства безопасности и средства управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, которые компрометуют эти системы управления и безопасности, могут немедленно использовать их для компрометации критически важных для бизнеса активов.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Необходимо защитить все роли с прямым или косвенным административным доступом к размещенным ресурсам GCP.
Самая важная встроенная роль в Google Cloud — суперадминистратор. Суперадминистратор может выполнять все задачи в консоли администрирования и иметь необратимые административные разрешения. Рекомендуется не использовать учетную запись суперадминистратора для ежедневного администрирования.
Базовые роли являются высокоразрешительными устаревшими ролями, и рекомендуется, чтобы основные роли не использовались в рабочих средах, так как они предоставляют широкий доступ ко всем ресурсам Google Cloud. Основные роли включают наблюдателя, редактора и владельца. Вместо этого рекомендуется использовать предопределенные или пользовательские роли. Известные привилегированные предопределенные роли включают:
- Администратор организации: пользователи с этой ролью могут управлять политиками IAM и просматривать политики организации для организаций, папок и проектов.
- Администратор политики организации. Пользователи с этой ролью могут определить, какие ограничения организация хочет разместить в конфигурации облачных ресурсов, задав политики организации.
- Администратор роли организации: пользователи с этой ролью могут администрировать все пользовательские роли в организации и проектах под ним.
- Администратор безопасности. Пользователи с этой ролью могут получить и задать любую политику IAM.
- Запрет администратора. Пользователи с этой ролью имеют разрешения на чтение и изменение политик запрета IAM.
Кроме того, определенные предопределенные роли содержат привилегированные разрешения IAM на уровне организации, папки и проекта. К этим разрешениям IAM относятся следующие:
- администратор организации
- ПапкаIAMАдминистратор
- projectIAMAДмин
Кроме того, реализуйте разделение обязанностей, назначив роли учетным записям для различных проектов или используя двоичную авторизацию с помощью Google Kubernetes Engine.
Наконец, убедитесь, что вы также ограничиваете привилегированные учетные записи в других системах управления, удостоверений и безопасности, имеющих административный доступ к критически важным для бизнеса ресурсам, таким как Облачные DNS, средства безопасности и средства управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, которые компрометуют эти системы управления и безопасности, могут немедленно использовать их для компрометации критически важных для бизнеса активов.
Реализация GCP и дополнительный контекст:
- Рекомендации по работе с учетной записью суперадминистратора
- Справочник по базовым и предопределенным ролям IAM
- Разделение обязанностей и ролей управления удостоверениями и доступом
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Управление соответствием безопасности
- Операции безопасности
PA-2. Избегайте постоянного доступа для учетных записей пользователей и разрешений
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | АС-2 | Не применимо |
Принцип безопасности. Вместо создания постоянных привилегий используйте механизм JIT для назначения привилегированного доступа к разным уровням ресурсов.
Руководство по Azure. Включите JIT-привилегированный доступ к ресурсам Azure и Azure AD посредством Управления привилегированными идентичностями Azure AD (PIM). JIT — это модель, в которой пользователи получают временные разрешения на выполнение привилегированных задач, что предотвращает получение доступа злоумышленниками или несанкционированными пользователями после истечения срока действия разрешений. Доступ предоставляется только тогда, когда это нужно пользователям. PIM также может создавать оповещения системы безопасности, если в организации Azure AD есть подозрительные или небезопасные действия.
Ограничьте входящий трафик к портам управления конфиденциальными виртуальными машинами с помощью функции just-in-time (JIT) доступа к виртуальным машинам в Microsoft Defender для облака. Это обеспечивает привилегированный доступ к виртуальной машине только когда это необходимо пользователям.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Используйте службу токенов безопасности AWS (AWS STS) для создания временных учетных данных безопасности для доступа к ресурсам через API AWS. Временные учетные данные безопасности работают почти идентично учетным данным ключа долгосрочного доступа, которые могут использовать пользователи IAM, с следующими различиями:
- Временные учетные данные безопасности имеют краткосрочную жизнь от минут до часов.
- Временные учетные данные безопасности не хранятся вместе с пользователем, но создаются динамически и предоставляются пользователю при запросе.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Использование условного доступа IAM для создания временного доступа к ресурсам с помощью привязок условной роли в политиках разрешений, которые предоставляются пользователям Cloud Identity. Настройте атрибуты даты и времени для применения элементов управления на основе времени для доступа к конкретному ресурсу. Временный доступ может иметь краткосрочную жизнь, от минут до часов или может быть предоставлен на основе дней или часов недели.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Управление соответствием безопасности
- Операции безопасности
PA-3. Управление жизненным циклом идентификаторов и прав доступа
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6.1, 6.2 | АС-5, АС-6 | 7.1, 7.2, 8.1 |
Принцип безопасности. Используйте автоматизированный процесс или технический контроль для управления жизненным циклом идентификации и доступа, включая запрос, проверку, утверждение, подготовку и отмену подготовки.
Руководство по Azure. Использование функций управления правами Azure AD для автоматизации рабочих процессов запросов доступа (для групп ресурсов Azure). Это позволяет рабочим процессам групп ресурсов Azure управлять назначениями доступа, проверками, истечением срока действия и двойным или многоэтапным утверждением.
Используйте управление разрешениями для обнаружения, автоматической оптимизации и постоянного мониторинга неиспользуемых и чрезмерных разрешений, назначенных идентификациям пользователей и рабочих процессов в мультиоблачных инфраструктурах.
Реализация Azure и дополнительный контекст:
- Что такое проверки доступа Azure AD
- Что такое управление правами Azure AD
- Обзор управления разрешениями
Руководство по AWS. Используйте помощник по AWS Access для извлечения журналов доступа для учетных записей пользователей и прав для ресурсов. Создайте ручной или автоматизированный рабочий процесс для интеграции с AWS IAM для управления назначениями доступа, проверками и удалениями.
Примечание. В AWS Marketplace доступны сторонние решения для управления жизненным циклом удостоверений и прав.
Реализация AWS и дополнительный контекст:
Рекомендации по GCP: используйте журналы аудита облака Google для получения журналов аудита активности администратора и доступа к данным для учетных записей пользователей и разрешений на ресурсы. Создайте ручной или автоматизированный рабочий процесс для интеграции с GCP IAM для управления назначениями доступа, проверками и удалениями.
Используйте Google Cloud Identity Premium для предоставления основных служб управления удостоверениями и устройствами. К этим службам относятся такие функции, как автоматическая подготовка пользователей, список разрешений приложений и автоматическое управление мобильными устройствами.
Примечание. Существуют сторонние решения, доступные в Google Cloud Marketplace для управления жизненным циклом удостоверений и прав.
Реализация GCP и дополнительный контекст:
- Помощник по доступу к IAM
- Cloud Identity and Atlassian Access: управление жизненным циклом пользователей в организации
- Предоставление и отзыв доступа к API
- Отзыв доступа к проекту Google Cloud
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Безопасность приложений и DevSecOps
- Управление соответствием безопасности
PA-4. Регулярно просматривайте и согласовывайте доступ пользователей
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | АС-2, АС-6 | 7.1, 7.2, 8.1, А3.4 |
Принцип безопасности. Регулярное проверка прав привилегированных учетных записей. Убедитесь, что доступ, предоставленный учетным записям, соответствует требованиям для администрирования плоскости контроля, плоскости управления и рабочих нагрузок.
Руководство по Azure. Просмотрите все привилегированные учетные записи и права доступа в Azure, включая клиентов Azure, службы Azure, виртуальные машины и IaaS, процессы CI/CD, а также средства управления и безопасности предприятия.
Используйте проверки доступа Azure AD для проверки ролей Azure AD, ролей доступа к ресурсам Azure, членства в группах и доступа к корпоративным приложениям. Отчеты Azure AD также могут предоставлять журналы для обнаружения устаревших учетных записей или учетных записей, которые не использовались в течение определенного времени.
Кроме того, управление привилегированными пользователями Azure AD можно настроить для оповещения при создании чрезмерного количества учетных записей администратора для определенной роли и выявления учетных записей администраторов, которые являются устаревшими или неправильно настроенными.
Реализация Azure и дополнительный контекст:
- Создать проверку доступа к ролям ресурсов Azure в системе "Управление привилегированными идентификациями" (PIM)
- Как использовать проверки удостоверений и доступа в Azure AD
Руководство по AWS. Просмотрите все привилегированные учетные записи и права доступа в AWS, включая учетные записи AWS, службы, vm/IaaS, процессы CI/CD, а также средства управления и безопасности предприятия.
Используйте помощник по доступу IAM, анализатор доступа и отчеты учетных данных для просмотра ролей доступа к ресурсам, членства в группах и доступа к корпоративным приложениям. Отчеты анализатора доступа iAM и учетных данных также могут предоставлять журналы для обнаружения устаревших учетных записей или учетных записей, которые не использовались в течение определенного времени.
Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений для AWS, используйте проверку доступа Azure AD для периодического просмотра привилегированных учетных записей и прав доступа.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Просмотрите все привилегированные учетные записи и права доступа в Google Cloud, включая учетные записи Cloud Identity, службы, виртуальные машины/ IaaS, процессы CI/CD, а также средства управления и безопасности предприятия.
Используйте журналы аудита облака и анализатор политик для проверки ролей доступа к ресурсам и членства в группах. Создайте запросы анализа в анализаторе политик, чтобы определить, какие субъекты могут получить доступ к определенным ресурсам.
Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений для Google Cloud, используйте проверку доступа Azure AD для периодического просмотра привилегированных учетных записей и прав доступа.
Кроме того, управление привилегированными пользователями Azure AD можно настроить для оповещения при создании чрезмерного количества учетных записей администратора для определенной роли и выявления учетных записей администраторов, которые являются устаревшими или неправильно настроенными.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Безопасность приложений и DevSecOps
- Управление соответствием безопасности
PA-5: настройка аварийного доступа
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | АС-2 | Не применимо |
Принцип безопасности. Настройте аварийный доступ, чтобы убедиться, что вы не случайно заблокированы из критической облачной инфраструктуры (например, вашей системы управления удостоверениями и доступом) в чрезвычайных ситуациях.
Учетные записи аварийного доступа должны использоваться редко и могут быть сильно разрушительными для организации, если они скомпрометированы, но их доступность в организации также крайне важна для нескольких сценариев, когда они необходимы.
Руководство по Azure. Чтобы предотвратить случайное блокировку организации Azure AD, настройте учетную запись аварийного доступа (например, учетную запись с ролью глобального администратора) для доступа при невозможности использования обычных административных учетных записей. Учетные записи аварийного доступа обычно имеют высокий уровень привилегий, и они не должны назначаться определенным лицам. Учетные записи экстренного доступа предназначены для использования в чрезвычайных ситуациях, когда обычные административные учетные записи не могут быть задействованы.
Необходимо убедиться, что учетные данные (например, пароль, сертификат или смарт-карта) для учетных записей аварийного доступа защищены и известны только лицам, которым разрешено использовать их только в чрезвычайных ситуациях. Вы также можете использовать дополнительные контроли, такие как двойные контроли (например, разделив учетные данные на две части и передав их отдельным лицам) для повышения безопасности этого процесса. Кроме того, следует отслеживать журналы входа и аудита, чтобы гарантировать, что учетные записи аварийного доступа используются только при авторизации.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Учетные записи AWS "root" не должны использоваться для обычных административных задач. Так как учетная запись root имеет высокий уровень привилегий, она не должна быть назначена определенным лицам. Его использование должно быть ограничено только сценариями чрезвычайных ситуаций или экстренного доступа, если обычные административные учетные записи не могут быть использованы. Для ежедневных административных задач следует использовать отдельные привилегированные учетные записи пользователей и назначать соответствующие разрешения с помощью ролей IAM.
Кроме того, следует убедиться, что учетные данные (например, пароль, маркеры MFA и ключи доступа) для корневых учетных записей защищены и известны только лицам, которым разрешено использовать их только в чрезвычайных ситуациях. MFA должна быть включена для корневой учетной записи, и вы также можете использовать дополнительные меры, такие как двойной контроль (например, разделение учетных данных на две части и распределение между двумя лицами) для повышения безопасности этого процесса.
Также следует отслеживать журналы входа и аудита в CloudTrail или EventBridge, чтобы гарантировать, что учетные записи корневого доступа используются только при авторизации.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Учетные записи суперадминистратора Google Cloud Identity не должны использоваться для обычных административных задач. Так как учетная запись суперадминистратор имеет высокий уровень привилегий, она не должна быть назначена определенным лицам. Его использование должно быть ограничено только сценариями чрезвычайных ситуаций или экстренного доступа, если обычные административные учетные записи не могут быть использованы. Для ежедневных административных задач следует использовать отдельные привилегированные учетные записи пользователей и назначать соответствующие разрешения с помощью ролей IAM.
Кроме того, следует убедиться, что учетные данные (например, пароль, маркеры MFA и ключи доступа) для учетных записей суперадминистраторов защищены и известны только лицам, которым разрешено использовать их только в чрезвычайных ситуациях. Многофакторная аутентификация должна быть включена для учетной записи суперадминистратора, и вы также можете использовать дополнительные средства управления, такие как двойное управление (например, разделение учетных данных на две части и передача их отдельным лицам) для повышения безопасности этого процесса.
Вы также должны отслеживать журналы входа и аудита в журналах аудита облака или запрашивать анализатор политик, чтобы гарантировать, что учетные записи суперадминистраторов используются только при авторизации.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevSecOps
- Управление соответствием безопасности
- Операции безопасности (SecOps)
PA-6: использование рабочих станций с привилегированным доступом
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 12.8, 13.5 | АС-2, ПК-2, ПК-7 | Не применимо |
Принцип безопасности: защищенные, изолированные рабочие станции критически важны для безопасности конфиденциальных ролей, таких как администратор, разработчик и критически важный оператор службы.
Руководство по Azure. Использование Azure Active Directory, Microsoft Defender и (или) Microsoft Intune для развертывания привилегированных рабочих станций (PAW) в локальной среде или в Azure для привилегированных задач. PaW должен быть централизованно управляем для обеспечения защищенной конфигурации, включая надежную проверку подлинности, программные и аппаратные базовые показатели, а также ограниченный логический и сетевой доступ.
Вы также можете использовать Azure Bastion, которая является полностью управляемым платформой сервисом PaaS, который может быть развернут внутри вашей виртуальной сети. Бастион Azure обеспечивает подключение RDP/SSH к виртуальным машинам непосредственно с портала Azure с помощью веб-браузера.
Реализация Azure и дополнительный контекст:
- Общие сведения о рабочих станциях привилегированного доступа
- Развертывание рабочих станций с привилегированным доступом
Руководство по AWS. Использование диспетчера сеансов в AWS Systems Manager для создания пути доступа (сеанса подключения) к экземпляру EC2 или сеансу браузера к ресурсам AWS для привилегированных задач. Диспетчер сеансов разрешает подключение RDP, SSH и HTTPS к конечным узлам через перенаправление портов.
Вы также можете развернуть привилегированные рабочие станции доступа (PAW), управляемые централизованно с помощью Azure Active Directory, Microsoft Defender и (или) Microsoft Intune. Централизованное управление должно применять безопасную конфигурацию, включая надежную проверку подлинности, базовые показатели программного обеспечения и оборудования, а также ограниченный логический и сетевой доступ.
Реализация AWS и дополнительный контекст:
Руководство по GCP: Используйте десктопную версию прокси-сервера Identity-Aware (IAP) для создания пути доступа (сеанса подключения) к вычислительному узлу для привилегированных задач. IAP Desktop обеспечивает подключение RDP и SSH к конечным узлам через переадресацию портов. Кроме того, вычислительные экземпляры Linux, имеющие внешний доступ, могут быть подключены в консоли Google Cloud через браузер с использованием SSH.
Вы также можете развернуть привилегированные рабочие станции доступа (PAW), управляемые централизованно с помощью Google Workspace Endpoint Management или решений Майкрософт (Azure Active Directory, Microsoft Defender и (или) Microsoft Intune. Централизованное управление должно применять безопасную конфигурацию, включая надежную проверку подлинности, базовые показатели программного обеспечения и оборудования, а также ограниченный логический и сетевой доступ.
Вы также можете создать бастионные хосты для безопасного доступа к защищённым средам с определёнными параметрами.
Реализация GCP и дополнительный контекст:
- Безопасное подключение к экземплярам виртуальной машины
- Подключение к виртуальным машинам Linux с помощью прокси-сервера Identity-Aware
- Подключение к виртуальным машинам с помощью узла бастиона
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevSecOps
- Операции безопасности (SecOps)
- Управление удостоверениями и ключами
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.3, 6.8 | АС-2, АС-3, АС-6 | 7.1, 7.2 |
Принцип безопасности: Следуйте принципу наименьших привилегий для управления разрешениями на детализированном уровне. Используйте такие функции, как управление доступом на основе ролей (RBAC) для управления доступом к ресурсам с помощью назначений ролей.
Руководство по Azure. Управление доступом на основе ролей Azure (Azure RBAC) позволяет управлять доступом к ресурсам Azure с помощью назначений ролей. С помощью RBAC можно назначать роли пользователям, группам, служебным субъектам и управляемым удостоверениям. Существуют предварительно определенные встроенные роли для определенных ресурсов, и эти роли можно инвентаризировать или запрашивать с помощью таких инструментов, как Azure CLI, Azure PowerShell и Azure портал.
Привилегии, назначенные ресурсам через Azure RBAC, всегда должны быть ограничены тем, что требуется ролями. Ограниченные привилегии дополнят JIT-подход Azure AD Privileged Identity Management (PIM), и эти привилегии следует периодически проверять. При необходимости можно также использовать PIM для определения назначения с привязкой к времени, которое является условием назначения роли, где пользователь может активировать роль только в указанных датах начала и окончания.
Примечание. Используйте встроенные роли Azure для выделения разрешений и создания только пользовательских ролей при необходимости.
Реализация Azure и дополнительный контекст:
- Что такое управление доступом на основе ролей Azure (Azure RBAC)
- Настройка RBAC в Azure
- Как использовать проверки удостоверений и доступа в Azure AD
- Управление привилегированными идентификаторами Azure AD — временно ограниченное назначение
Руководство по AWS. Использование политики AWS для управления доступом к ресурсам AWS. Существует шесть типов политик: политики на основе удостоверений, политики на основе ресурсов, границы разрешений, политика управления службами AWS Organizations (SCP), список управления доступом и политики сеансов. Вы можете использовать управляемые политики AWS для распространенных вариантов использования разрешений. Однако следует помнить, что управляемые политики могут иметь чрезмерные разрешения, которые не должны назначаться пользователям.
Вы также можете использовать AWS ABAC (управление доступом на основе атрибутов) для назначения разрешений на основе атрибутов (тегов), подключенных к ресурсам IAM, включая сущности IAM (пользователи или роли) и ресурсы AWS.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Использование политики IAM Google Cloud для управления доступом к ресурсам GCP с помощью назначений ролей. Вы можете использовать предопределенные роли Google Cloud для распространенных вариантов использования разрешений. Однако следует помнить, что предопределенные роли могут содержать чрезмерные разрешения, которые не должны назначаться пользователям.
Кроме того, используйте аналитику политик с помощью средства рекомендаций IAM для выявления и удаления избыточных разрешений из учетных записей.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevSecOps
- Управление соответствием безопасности
- Управление осанкой
- Управление удостоверениями и ключами
PA-8 Определение процесса доступа для поддержки поставщиков облачных служб
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6.1, 6.2 | АС-4, АС-2, АС-3 | Не применимо |
Принцип безопасности. Создание процесса утверждения и пути доступа для запроса и утверждения запросов на поддержку поставщиков и временного доступа к данным через безопасный канал.
Руководство по Azure. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки и утверждения или отклонения каждого запроса на доступ к данным, сделанного корпорацией Майкрософт.
Реализация Azure и дополнительный контекст:
Руководство по AWS. В сценариях поддержки, в которых группам поддержки AWS необходимо получить доступ к данным, создайте учетную запись на портале поддержки AWS, чтобы запросить поддержку. Просмотрите доступные параметры, такие как предоставление доступа к данным только для чтения или возможность совместного доступа к экранам для поддержки AWS для доступа к данным.
Реализация AWS и дополнительный контекст:
Руководство по GCP. В сценариях поддержки, в которых Google Cloud Customer Care требуется получить доступ к данным, используйте утверждение доступа для проверки и утверждения или отклонения каждого запроса доступа к данным, сделанных Cloud Customer Care.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):