注释
此处提供了最 up-to日期的 Azure 安全基准。
标识和访问管理建议侧重于解决与基于标识的访问控制相关的问题、锁定管理访问权限、警报标识相关事件、异常帐户行为和基于角色的访问控制。
3.1:维护管理账户清单
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.1 | 4.1 | 客户 |
Azure AD 具有必须显式分配且可查询的内置角色。 使用 Azure AD PowerShell 模块执行即席查询,以发现属于管理组成员的帐户。
3.2:在适用的情况下更改默认密码
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.2 | 4.2 | 客户 |
Azure AD 没有默认密码的概念。 其他需要密码的 Azure 资源强制创建密码,其复杂性要求和最短密码长度因服务而异。 你负责可能使用默认密码的第三方应用程序和市场平台服务。
3.3:使用专用管理帐户
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.3 | 4.3 | 客户 |
针对使用专用管理帐户创建标准操作程序。 使用 Azure 安全中心的“管理访问权限和权限”安全控制中的建议来监视管理帐户的数量。
还可以通过使用 Azure AD 特权身份管理的 Microsoft 服务特权角色和 Azure 资源管理器来启用 Just-In-Time/Just-Enough-Access。
3.4:将单一登录(SSO)与 Azure Active Directory 配合使用
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.4 | 4.4 | 客户 |
尽可能使用 Azure Active Directory SSO,而不是为每个服务配置单独的独立凭据。 使用 Azure 安全中心的“管理访问权限和权限”安全控制中的建议。
3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | 客户 |
启用 Azure AD MFA 并遵循 Azure 安全中心标识和访问管理建议。
3.6:对所有管理任务使用专用计算机(特权访问工作站)
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | 客户 |
使用配置了多重身份验证 (MFA) 的特权访问工作站 (PAW) 来登录和配置 Azure 资源。
3.7:记录管理账户中的可疑活动并发出警报
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.7 | 4.8, 4.9 | 客户 |
在环境中发生可疑或不安全活动时,使用 Azure Active Directory 安全报告生成日志和警报。 使用 Azure 安全中心监视标识和访问活动。
3.8:仅从已批准的位置管理 Azure 资源
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.8 | 11.7 | 客户 |
使用条件访问命名位置仅允许从 IP 地址范围或国家/地区的特定逻辑分组进行访问。
3.9:使用 Azure Active Directory
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | 客户 |
使用 Azure Active Directory 作为中央身份验证和授权系统。 Azure AD 通过对静态数据和传输中的数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行盐处理、哈希处理,并安全地存储用户凭据。
3.10:定期查看和协调用户访问
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.10 | 16.9, 16.10 | 客户 |
Azure AD 提供日志来帮助发现过时的帐户。 此外,使用 Azure 标识访问评审可以有效地管理组成员身份、对企业应用程序和角色分配的访问权限。 可以定期查看用户访问,以确保只有正确的用户才能够继续访问。
3.11:监视访问已停用凭据的尝试
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.11 | 16.12 | 客户 |
有权访问 Azure AD 登录活动、审核和风险事件日志源,以便与任何 SIEM/Monitoring 工具集成。
可以通过为 Azure Active Directory 用户帐户创建诊断设置并将审核日志和登录日志发送到 Log Analytics 工作区来简化此过程。 可以在 Log Analytics 工作区中配置所需的警报。
3.12:帐户登录行为偏差警报
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.12 | 16.13 | 客户 |
使用 Azure AD Risk 和 Identity Protection 功能配置自动响应,以检测出与用户标识相关的可疑作。 还可以将数据引入 Azure Sentinel 进行进一步调查。
3.13:在支持方案中向Microsoft提供对相关客户数据的访问权限
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 3.13 | 16 | 客户 |
在Microsoft需要访问客户数据的支持方案中,客户密码箱提供一个界面供你查看和批准或拒绝客户数据访问请求。
后续步骤
- 请参阅下一个安全控制: 数据保护