Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление удостоверениями охватывает меры контроля для установления защищенного удостоверения и контроля доступа с помощью Azure Active Directory, включая использование единого входа, многофакторных аутентификаций, управляемых удостоверений (и сервисных сущностей) для приложений, условного доступа и мониторинга аномалий учетных записей.
IM-1. Использование централизованной системы идентификации и проверки подлинности
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6,7, 12,5 | АС-2, АС-3, ИА-2, ИА-8 | 7.2, 8.3 |
Принцип безопасности. Используйте централизованную систему идентификации и проверки подлинности для управления удостоверениями и аутентификацией организации для облачных и необлачных ресурсов.
Руководство по Azure. Azure Active Directory (Azure AD) — это служба управления удостоверениями и проверкой подлинности Azure. Для стандартизации управления удостоверениями и проверкой подлинности вашей организации следует использовать Azure AD.
- Облачные ресурсы Майкрософт, такие как служба хранилища Azure, виртуальные машины Azure (Linux и Windows), Azure Key Vault, PaaS и приложения SaaS.
- Ресурсы вашей организации, такие как приложения в Azure, сторонние приложения, работающие в корпоративных сетевых ресурсах, и сторонние приложения SaaS.
- Ваши корпоративные удостоверения в Active Directory через синхронизацию с Azure AD обеспечивают согласованную и централизованно управляемую стратегию управления идентичностями.
Примечание. Как только это технически возможно, необходимо перенести локальные приложения На основе Active Directory в Azure AD. Это может быть Azure AD Enterprise Directory, конфигурация для B2B или конфигурация для B2C.
Реализация и дополнительный контекст:
- Арендочность в Azure AD
- Создание и настройка экземпляра Azure AD
- Определение клиентов Azure AD
- Использование внешних поставщиков идентификаций для приложения
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Безопасность приложений и DevSecOps
- Управление осанкой
IM-2: защита систем идентификации и проверки подлинности
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 5.4, 6.5 | АС-2, АС-3, ИА-2, ИА-8, СИ-4 | 8.2, 8.3 |
Принцип безопасности. Защита системы идентификации и проверки подлинности в качестве высокого приоритета в практике облачной безопасности вашей организации. К общим элементам управления безопасностью относятся:
- Ограничение привилегированных ролей и учетных записей
- Требовать строгой проверки подлинности для всех привилегированных прав доступа
- Мониторинг и аудит деятельности с высоким риском
Руководство по Azure. Используйте базовые показатели безопасности Azure AD и оценку безопасности идентификации Azure AD для оценки состояния безопасности удостоверений Azure AD и устранения пробелов в безопасности и конфигурации. Оценка безопасности идентификаций Azure AD оценивает Azure AD для следующих конфигураций: -Use ограниченные права администратора
- Включить политику риска пользователей
- Назначение нескольких глобальных администраторов
- Включить политику для блокировки устаревшей аутентификации
- Убедитесь, что все пользователи могут выполнять многофакторную проверку подлинности для безопасного доступа
- Требовать MFA для административных ролей
- Включите самостоятельный сброс пароля
- Срок действия паролей не истекает
- Включите политику управления рисками входа
- Не разрешать пользователям предоставлять согласие для неуправляемых приложений
Примечание. Следуйте опубликованным общепринятым лучшим методам для всех других компонентов идентификации, включая локальный Active Directory и любые сторонние возможности, и инфраструктуры, такие как операционные системы, сети, базы данных, в которых они размещены.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Архитектура безопасности
- Безопасность приложений и DevSecOps
- Управление осанкой
IM-3. Безопасное и автоматическое управление идентичностями приложений
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | АС-2, АС-3, ИА-4, ИА-5, ИА-9 | Не применимо |
Принцип безопасности. Используйте удостоверения управляемых приложений вместо создания учетных записей человека для приложений для доступа к ресурсам и выполнения кода. Удостоверения управляемых приложений предоставляют такие преимущества, как снижение риска утечки учетных данных. Автоматизируйте смену учетных данных, чтобы обеспечить безопасность удостоверений.
Руководство по Azure. Использование управляемых удостоверений Azure, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD. Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Для служб, не поддерживающих управляемые удостоверения, используйте Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Рекомендуется настроить учетные записи служб с учетными данными сертификата и использовать клиентские секреты для проверки подлинности.
Реализация и дополнительный контекст:
- Управляемые удостоверения Azure
- Службы, поддерживающие управляемые идентификаторы для ресурсов Azure
- Учетная запись службы Azure
- Создание учетной записи службы с сертификатами
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-4: проверка подлинности сервера и служб
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | ИА-9 | Не применимо |
Принцип безопасности. Проверка подлинности удаленных серверов и служб на стороне клиента, чтобы обеспечить подключение к доверенным серверам и службам. Наиболее распространенным протоколом проверки подлинности сервера является tls, где клиентская сторона (часто браузер или клиентское устройство) проверяет сервер, проверяя сертификат сервера, выданный доверенным центром сертификации.
Примечание. Взаимная проверка подлинности может использоваться при проверке подлинности сервера и клиента.
Руководство по Azure. Многие службы Azure поддерживают проверку подлинности TLS по умолчанию. Для служб, поддерживающих переключатель TLS включение/отключение, убедитесь, что он всегда включен для поддержки аутентификации сервера/сервиса. Клиентское приложение также должно быть разработано для проверки подлинности сервера или службы (путем проверки сертификата сервера, выданного доверенным центром сертификации) на этапе установления соединения.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-5. Использование единого входа для доступа к приложениям
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 12.5 | ИА-4, ИА-2, ИА-8 | Не применимо |
Принцип безопасности. Используйте единый вход (SSO), чтобы упростить проверку подлинности пользователей в ресурсах, включая приложения и данные в облачных службах и локальных средах.
Руководство по Azure: Используйте Azure AD для доступа к приложениям рабочей нагрузки через единый вход Azure AD (SSO), исключая необходимость в нескольких учетных записях. Azure AD предоставляет управление удостоверениями и доступом к ресурсам Azure (плоскости управления, включая CLI, PowerShell, портал), облачные приложения и локальные приложения.
Azure AD поддерживает единый вход для корпоративных удостоверений, таких как корпоративные удостоверения пользователей, а также внешние удостоверения пользователей от доверенных сторонних и общедоступных пользователей.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-6. Использование строгих элементов управления проверкой подлинности
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6.3, 6.4 | АС-2, АС-3, ИА-2, ИА-5, ИА-8 | 7.2, 8.2, 8.3, 8.4 |
Принцип безопасности. Применение строгих элементов управления проверкой подлинности (надежная проверка подлинности без пароля или многофакторная проверка подлинности) с помощью централизованной системы управления удостоверениями и проверкой подлинности для всех доступа к ресурсам. Проверка подлинности на основе учетных данных паролей только считается устаревшей, так как она небезопасна и не отвечает популярным методам атаки.
При развертывании строгой проверки подлинности сначала настройте администраторов и привилегированных пользователей, чтобы обеспечить самый высокий уровень метода строгой проверки подлинности, а затем быстро выполните соответствующую политику строгой проверки подлинности для всех пользователей.
Примечание. Если для устаревших приложений и сценариев требуется устаревшая проверка подлинности на основе паролей, соблюдаются рекомендации по обеспечению безопасности паролей, такие как требования к сложности.
Руководство по Azure. Azure AD поддерживает надежные элементы управления проверкой подлинности с помощью методов без пароля и многофакторной проверки подлинности (MFA).
- Проверка подлинности без пароля. Используйте проверку подлинности без пароля в качестве метода проверки подлинности по умолчанию. Существует три варианта проверки подлинности без пароля: Windows Hello для бизнеса, вход в приложение Microsoft Authenticator и fiDO 2Keys. Кроме того, клиенты могут использовать локальные методы проверки подлинности, такие как смарт-карты.
- Многофакторная проверка подлинности: Azure MFA может применяться ко всем пользователям, выбирать пользователей или на уровне каждого пользователя на основе условий входа и факторов риска. Включите Azure MFA и следуйте рекомендациям по управлению идентификацией и доступом от Azure Defender для Cloud при настройке MFA.
Если для проверки подлинности Azure AD по-прежнему используется устаревшая проверка подлинности на основе паролей, обратите внимание, что у облачных учетных записей (учетных записей пользователей, созданных непосредственно в Azure), используется политика базового пароля по умолчанию. И гибридные учетные записи (учетные записи пользователей, поступающие из локальной службы Active Directory) следуют локальным политикам паролей.
Для сторонних приложений и служб, которые могут иметь идентификаторы и пароли по умолчанию, следует отключить или изменить их во время начальной настройки службы.
Реализация и дополнительный контекст:
- Включение MFA в Azure
- Общие сведения о вариантах проверки подлинности без пароля для Azure Active Directory
- Политика паролей Azure AD по умолчанию
- Устранение неправильных паролей с помощью защиты паролей Azure AD
- Блокировать устаревшую аутентификацию
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-7. Ограничение доступа к ресурсам в зависимости от условий
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | АС-2, АС-3, АС-6 | 7.2 |
Принцип безопасности. Явно проверяйте доверенные сигналы, чтобы разрешить или запретить пользователю доступ к ресурсам в рамках модели доступа с нулевой доверием. Сигналы для проверки должны включать надежную проверку подлинности учетной записи пользователя, поведенческой аналитики учетной записи пользователя, надежности устройств, членства пользователей или групп, расположений и т. д.
Руководство по Azure. Использование условного доступа Azure AD для более детализированных элементов управления доступом на основе определенных пользователей условий, таких как требование входа пользователей из определенных диапазонов IP-адресов (или устройств) для использования MFA. Условный доступ Azure AD позволяет применять элементы управления доступом к приложениям вашей организации на основе определенных условий.
Определите применимые условия и критерии условного доступа Azure AD в рабочей нагрузке. Рассмотрим следующие распространенные варианты использования:
- Требование многофакторной проверки подлинности для пользователей с административными ролями
- Требование многофакторной проверки подлинности для задач управления Azure
- Блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
- Требование надежных расположений для регистрации Многофакторной идентификации Azure AD
- Блокировка или предоставление доступа из определенных расположений
- Блокировка рискованных действий при входе
- Требование управляемых организацией устройств для конкретных приложений
Примечание. Кроме того, можно использовать детализированное управление сеансами проверки подлинности с помощью политики условного доступа Azure AD для таких элементов управления, как частота входа и постоянный сеанс браузера.
Реализация и дополнительный контекст:
- Общие сведения об условном доступе Azure
- Общие политики условного доступа
- Аналитика условного доступа и отчеты
- Настройка управления сеансами проверки подлинности с помощью условного доступа
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Управление удостоверениями и ключами
- Безопасность приложений и DevSecOps
- Управление осанкой
- Аналитика угроз
IM-8. Ограничение раскрытия учетных данных и секретов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Принцип безопасности. Убедитесь, что разработчики приложений безопасно обрабатывают учетные данные и секреты:
- Избегайте внедрения учетных данных и секретов в файлы кода и конфигурации.
- Использование хранилища ключей или службы безопасного хранилища ключей для хранения учетных данных и секретов
- Проверка учетных данных в исходном коде.
Примечание. Это часто регулируется и применяется с помощью безопасного жизненного цикла разработки программного обеспечения (SDLC) и процесса безопасности DevOps.
Руководство по Azure. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не внедряются в файлы кода и конфигурации.
- Реализуйте сканер учетных данных Azure DevOps для идентификации учетных данных в коде.
- Для GitHub используйте функцию встроенного сканирования секретов для идентификации учетных данных или других форм секретов в коде.
Клиенты, такие как Функции Azure, службы приложений Azure и виртуальные машины, могут использовать управляемые удостоверения для безопасного доступа к Azure Key Vault. См. контроли защиты данных, связанные с использованием Azure Key Vault для управления секретами.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IM-9. Защита доступа пользователей к существующим приложениям
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 6,7, 12,5 | АС-2, АС-3, СК-11 | Не применимо |
Принцип безопасности: В гибридной среде, где у вас есть локальные приложения или сторонние облачные приложения с использованием устаревшей проверки подлинности, рассмотрите такие решения, как брокер безопасности доступа к облаку (CASB), прокси приложения, единый вход (SSO), чтобы управлять доступом к этим приложениям и получить следующие преимущества:
- Принудительное применение централизованной строгой проверки подлинности
- Мониторинг и контроль рискованных действий конечных пользователей
- Контроль и управление рискованными действиями устаревших приложений
- Обнаружение и предотвращение передачи конфиденциальных данных
Руководство по Azure: Защита локальных и не собственных облачных приложений с использованием устаревшей проверки подлинности путем их подключения к Azure.
- Прокси приложения Azure AD в сочетании с аутентификацией на основе заголовков для публикации устаревших локальных приложений для удаленных пользователей с единым входом (SSO) при явной проверке надежности как удаленных пользователей, так и устройств с помощью условного доступа Azure AD. При необходимости используйте стороннее решение Software-Defined периметра (SDP), которое может предложить аналогичные функциональные возможности.
- Существующие сторонние контроллеры доставки приложений и сети
- Microsoft Defender для облачных приложений, используя его в качестве службы CASB (брокер безопасности доступа к облаку) для контроля сеансов использования приложений пользователем и для блокировки действий (как для наследных локальных приложений, так и для облачных SaaS-приложений).
Примечание. Виртуальные сети обычно используются для доступа к устаревшим приложениям, они часто имеют только базовый контроль доступа и ограниченный мониторинг сеансов.
Реализация и дополнительный контекст:
- Прокси приложения Azure AD
- Рекомендации по работе с Defender for Cloud Apps
- Безопасный гибридный доступ к Azure AD
Заинтересованные лица по безопасности клиентов (дополнительные сведения):