Контроль безопасности версии 3. Привилегированный доступ

Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам Azure, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска.

PA-1. Разделение и ограничение высоко привилегированных или административных пользователей

Принцип безопасности: Убедитесь, что вы определяете все учетные записи с высоким уровнем влияния на бизнес. Ограничьте количество привилегированных или административных учетных записей в плоскости управления, плоскости администрирования и плоскости данных или рабочих нагрузок вашего облака.

Руководство по Azure: Azure Active Directory (Azure AD) — это служба управления удостоверениями и доступом Azure по умолчанию. Наиболее важными встроенными ролями в Azure AD являются глобальный администратор и администратор привилегированных ролей, так как пользователи, назначенные этим двум ролям, могут делегировать роли администратора. С этими привилегиями пользователи могут напрямую или косвенно считывать и изменять каждый ресурс в вашей среде Azure:

• Глобальный администратор или администратор компании. Пользователи с этой ролью имеют доступ ко всем административным функциям в Azure AD, а также службам, используюющим удостоверения Azure AD.
• Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначениями ролей в Azure AD, а также в Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами PIM и административных единиц.

За пределами Azure AD в Azure есть встроенные роли, которые могут быть критически важными для привилегированного доступа на уровне ресурса.

• Владелец: предоставляет полный доступ ко всем ресурсам, включая возможность назначения ролей в Azure RBAC.
• Участник: Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC, управлять назначениями в Azure Blueprints или делиться коллекциями изображений.
• Администратор доступа пользователей: позволяет управлять доступом пользователей к ресурсам Azure. Примечание. При использовании пользовательских ролей на уровне Azure AD или на уровне ресурсов с определенными привилегированными разрешениями может потребоваться управлять другими критически важными ролями.

Убедитесь, что вы также ограничиваете привилегированные учетные записи в других системах управления, удостоверений и безопасности, имеющих административный доступ к критически важным ресурсам, таким как контроллеры домена Active Directory (DCs), средства безопасности и средства управления системой с агентами, установленными в критически важных для бизнеса системах. Злоумышленники, которые компрометуют эти системы управления и безопасности, могут немедленно использовать их для компрометации критически важных для бизнеса активов.

Реализация и дополнительный контекст:

• Разрешения роли администратора в Azure AD
• Использование оповещений системы безопасности управления привилегированными пользователями Azure
• Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Архитектура безопасности
• Управление соответствием требованиям безопасности
• Операции безопасности

PA-2. Избегайте постоянного доступа для учетных записей пользователей и разрешений

Принцип безопасности: Вместо создания постоянных привилегий используйте механизм JIT для назначения привилегированного доступа к разным уровням ресурсов.

Руководство по Azure: Включите JIT-доступ к ресурсам Azure и Azure AD с помощью azure AD Privileged Identity Management (PIM). JIT — это модель, в которой пользователи получают временные разрешения на выполнение привилегированных задач, что предотвращает получение доступа злоумышленниками или несанкционированными пользователями после истечения срока действия разрешений. Доступ предоставляется только тогда, когда это нужно пользователям. PIM также может создавать оповещения системы безопасности, если в организации Azure AD есть подозрительные или небезопасные действия.

Ограничьте входящий трафик к портам управления конфиденциальными виртуальными машинами с помощью функции just-in-time (JIT) доступа к виртуальным машинам в Microsoft Defender для облака. Это гарантирует, что привилегированный доступ к виртуальной машине предоставляется только тогда, когда это необходимо пользователям.

Реализация и дополнительный контекст:

• Развертывание JIT-доступа к Azure PIM

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Архитектура безопасности
• Управление соответствием требованиям безопасности
• Операции безопасности

PA-3. Управление жизненным циклом идентификаторов и прав доступа

Принцип безопасности: Используйте автоматизированный процесс или технический контроль для управления жизненным циклом идентификации и доступа, включая запрос, проверку, утверждение, подготовку и отмену подготовки.

Руководство по Azure: Используйте функции управления правами Azure AD для автоматизации рабочих процессов запросов (для групп ресурсов Azure). Это позволяет рабочим процессам групп ресурсов Azure управлять назначениями доступа, проверками, истечением срока действия и двойным или многоэтапным утверждением.

Реализация и дополнительный контекст:

• Что такое проверки доступа Azure AD
• Что такое управление правами Azure AD

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps
• Управление соответствием требованиям безопасности

PA-4. Регулярно просматривайте и согласовывайте доступ пользователей

Принцип безопасности: Регулярно проверяйте права привилегированных учетных записей. Убедитесь, что доступ, предоставленный учетным записям, действителен для администрирования плоскости управления, плоскости управления и рабочих нагрузок.

Руководство по Azure: Просмотрите все привилегированные учетные записи и права доступа в Azure, включая такие как клиент Azure, службы Azure, виртуальные машины и IaaS, процессы CI/CD, а также средства управления и обеспечения безопасности предприятия.

Используйте проверки доступа Azure AD для проверки ролей Azure AD и ролей доступа к ресурсам Azure, членства в группах, доступа к корпоративным приложениям. Отчеты Azure AD также могут предоставлять журналы для обнаружения устаревших учетных записей, учетных записей, которые не используются в течение определенного времени.

Кроме того, управление привилегированными пользователями Azure AD можно настроить для оповещения при создании чрезмерного количества учетных записей администратора для определенной роли и выявления учетных записей администраторов, которые являются устаревшими или неправильно настроенными.

Реализация и дополнительный контекст:

• Создать проверку доступа к ролям ресурсов Azure в системе "Управление привилегированными идентификациями" (PIM)
• Как использовать проверки удостоверений и доступа в Azure AD

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Управление удостоверениями и ключами
• Безопасность приложений и DevSecOps
• Управление соответствием требованиям безопасности

PA-5: настройка аварийного доступа

Принцип безопасности: Настройте аварийный доступ, чтобы убедиться, что вы не случайно заблокированы из критической облачной инфраструктуры (например, системы управления удостоверениями и доступом) в чрезвычайных ситуациях.

Учетные записи аварийного доступа должны использоваться редко и могут быть сильно разрушительными для организации, если они скомпрометированы, но их доступность в организации также крайне важна для нескольких сценариев, когда они необходимы.

Руководство по Azure: Чтобы предотвратить случайное блокировку организации Azure AD, настройте учетную запись аварийного доступа (например, учетную запись с ролью глобального администратора) для доступа, если обычные административные учетные записи не могут использоваться. Учетные записи аварийного доступа обычно имеют высокий уровень привилегий, и они не должны назначаться определенным лицам. Учетные записи экстренного доступа предназначены для использования в чрезвычайных ситуациях, когда обычные административные учетные записи не могут быть задействованы.

Необходимо убедиться, что учетные данные (например, пароль, сертификат или смарт-карта) для учетных записей аварийного доступа защищены и известны только лицам, которым разрешено использовать их только в чрезвычайных ситуациях. Вы также можете использовать дополнительные механизмы управления, такие как двойные механизмы (например, разделение учетных данных на две части и передача их разным людям) для повышения безопасности этого процесса. Кроме того, необходимо отслеживать журналы входа и аудита, чтобы учетные записи аварийного доступа могли использоваться только при авторизации.

Реализация и дополнительный контекст:

• Управление учетными записями аварийного доступа в Azure AD
• Управление удостоверениями и ключами

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность приложений и DevSecOps
• Управление соответствием требованиям безопасности
• Операции безопасности (SecOps)

PA-6: использование рабочих станций с привилегированным доступом

Принцип безопасности: Защищенные изолированные рабочие станции критически важны для безопасности конфиденциальных ролей, таких как администратор, разработчик и критически важный оператор службы.

Руководство по Azure: Используйте Azure Active Directory, Microsoft Defender и (или) Microsoft Intune для развертывания привилегированных рабочих станций доступа (PAW) в локальной среде или в Azure для привилегированных задач. PaW должен быть централизованно управляем для обеспечения защищенной конфигурации, включая надежную проверку подлинности, программные и аппаратные базовые показатели, а также ограниченный логический и сетевой доступ.

Вы также можете использовать Azure Bastion, которая является полностью управляемым платформой сервисом PaaS, который может быть развернут внутри вашей виртуальной сети. Бастион Azure обеспечивает подключение RDP/SSH к виртуальным машинам непосредственно с портала Azure с помощью браузера.

Реализация и дополнительный контекст:

• Защита привилегированного доступа
• Привилегированный доступ: стратегия
• Привилегированный доступ: администрирование

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность приложений и DevSecOps
• Операции безопасности (SecOps)
• Управление удостоверениями и ключами

PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)

Принцип безопасности: Следуйте принципу минимально необходимого администрирования (наименьшего количества привилегий) для управления разрешениями на детализированном уровне. Используйте такие функции, как управление доступом на основе ролей (RBAC) для управления доступом к ресурсам с помощью назначений ролей.

Руководство по Azure: Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью назначений ролей. С помощью RBAC можно назначать роли пользователям, служебным принципалам групп и управляемым удостоверениям. Существуют предварительно определенные встроенные роли для определенных ресурсов, и эти роли можно инвентаризировать или запрашивать с помощью таких инструментов, как Azure CLI, Azure PowerShell и Azure портал.

Привилегии, назначенные ресурсам через Azure RBAC, всегда должны быть ограничены тем, что требуется ролями. Ограниченные привилегии дополнят JIT-подход Azure AD Privileged Identity Management (PIM), и эти привилегии следует периодически проверять. При необходимости можно также использовать PIM для определения условия длительности времени (привязанного к времени назначения) в назначении ролей, где пользователь может активировать или использовать роль только в пределах дат начала и окончания.

Примечание. Используйте встроенные роли Azure для выделения разрешений и создания только пользовательских ролей при необходимости.

Реализация и дополнительный контекст:

• Что такое управление доступом на основе ролей Azure (Azure RBAC)
• Настройка RBAC в Azure
• Как использовать проверки удостоверений и доступа в Azure AD
• Управление привилегированными идентификаторами Azure AD — временно ограниченное назначение

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность приложений и DevSecOps
• Управление соответствием требованиям безопасности
• Управление осанкой
• Управление удостоверениями и ключами

PA-8 Определение процесса доступа для поддержки поставщиков облачных служб

Принцип безопасности: Создайте процесс утверждения и путь доступа для запроса и утверждения запроса на поддержку поставщиков и временный доступ к данным через безопасный канал.

Руководство по Azure: В сценариях поддержки, когда корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки и утверждения или отклонения каждого запроса на доступ к данным Майкрософт.

Реализация и дополнительный контекст:

• Понимание функции Customer Lockbox

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность приложений и DevSecOps
• Управление соответствием требованиям безопасности
• Управление удостоверениями и ключами