通过

安全控制 v3:特权访问

特权访问涵盖保护对 Azure 租户和资源的特权访问的控制,包括一系列控制措施,以保护管理模型、管理帐户和特权访问工作站免受故意和无意的风险。

PA-1:隔离并限制高特权/管理员用户

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.4, 6.8 AC-2、AC-6 7.1, 7.2, 8.1

安全原则: 确保确定所有高业务影响帐户。 限制云控制平面、管理平面和数据/工作负荷平面中的特权/管理帐户数。

Azure 指南: Azure Active Directory(Azure AD)是 Azure 的默认标识和访问管理服务。 Azure AD 中最重要的内置角色是全局管理员和特权角色管理员,因为分配给这两个角色的用户可以委派管理员角色。 使用这些权限,用户可以直接或间接读取和修改 Azure 环境中的每个资源:

  • 全局管理员/公司管理员:具有此角色的用户有权访问 Azure AD 中的所有管理功能,以及使用 Azure AD 标识的服务。
  • 特权角色管理员:具有此角色的用户可以在 Azure AD 以及 Azure AD Privileged Identity Management(PIM)中管理角色分配。 此外,此角色允许管理 PIM 和管理单元的各个方面。

在 Azure AD 之外,Azure 具有内置角色,对于资源级别的特权访问至关重要。

  • 所有者:授予管理所有资源的完全访问权限,包括分配 Azure RBAC 中的角色的能力。
  • 参与者:授予管理所有资源的完全访问权限,但不允许在 Azure RBAC 中分配角色、管理 Azure 蓝图中的分配或共享映像库。
  • 用户访问管理员:允许管理用户对 Azure 资源的访问权限。 注意:如果在 Azure AD 级别或资源级别使用具有特定特权权限的自定义角色,则可能需要管理其他关键角色。

请确保同时限制其他管理、身份验证和安全系统中的特权帐户,这些系统对您的业务关键资产具有管理访问权限,例如 Active Directory 域控制器(DC)、安装在业务关键系统上的代理的安全工具和系统管理工具。 入侵这些管理和安全系统的攻击者可以立即将其武器化,以入侵业务关键资产。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-2:避免对用户帐户和权限进行长期访问

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
AC-2

安全原则: 使用按需(JIT)机制来分配对不同资源层的特权访问,而不是创建常设权限。

Azure 指南: 使用 Azure AD Privileged Identity Management(PIM)启用对 Azure 资源和 Azure AD 的实时(JIT)特权访问。 JIT 是一种模型,用户可以接收临时权限来执行特权任务,从而防止恶意用户或未经授权的用户在权限过期后获取访问权限。 只有在用户需要的情况下,才会授予访问权限。 当 Azure AD 组织中存在可疑或不安全的活动时,PIM 还可以生成安全警报。

使用 Microsoft Defender for Cloud 的实时 (JIT) 访问功能限制敏感虚拟机(VM)管理端口的入站流量。 这确保特权访问 VM 仅在用户需要时才被授予。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-3:管理身份和权限生命周期

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1, 6.2 AC-5、AC-6 7.1, 7.2, 8.1

安全原则: 使用自动化过程或技术控制来管理标识和访问生命周期,包括请求、评审、审批、预配和取消预配。

Azure 指南: 使用 Azure AD 权利管理功能自动访问(对于 Azure 资源组)请求工作流。 这使 Azure 资源组的工作流能够管理访问分配、评审、过期和双重或多阶段审批。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-4:定期查看和协调用户访问

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.1, 5.3, 5.5 AC-2、AC-6 7.1、7.2、8.1、A3.4

安全原则: 定期审查特权帐户权利。 确保授予帐户的访问权限对于控制平面、管理平面和工作负载的管理是有效的。

Azure 指南: 查看 Azure 中的所有特权帐户和访问权利,包括 Azure 租户、Azure 服务、VM/IaaS、CI/CD 进程以及企业管理和安全工具。

使用 Azure AD 访问评审查看 Azure AD 角色和 Azure 资源访问角色、组成员身份、对企业应用程序的访问权限。 Azure AD 报告还可以提供日志,帮助发现长时间未使用的过时帐户。

此外,可以将 Azure AD Privileged Identity Management 配置为在特定角色创建过多的管理员帐户时发出警报,并确定过期或配置不当的管理员帐户。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-5:设置紧急访问

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
AC-2

安全原则: 设置紧急访问,以确保在紧急情况下不会因意外而被锁定在关键云基础设施之外(例如标识和访问管理系统)。

应很少使用紧急访问帐户,如果遭到入侵,则可能会对组织造成严重损害,但对于少数需要访问帐户的情况而言,其可用性也至关重要。

Azure 指南: 若要防止意外锁定 Azure AD 组织,请在无法使用普通管理帐户时设置紧急访问帐户(例如具有全局管理员角色的帐户)进行访问。 紧急访问帐户通常拥有较高的权限,因此请不要将其分配给特定的个人。 紧急访问帐户只能用于紧急情况或“破窗式”情况,即不能使用正常管理帐户时。

应确保妥善保管紧急访问帐户的凭据(例如密码、证书或智能卡),仅将其告诉只能在紧急情况下有权使用它们的个人。 还可以使用其他控件(例如将凭据拆分为两个部分,并将其分配给单独的人员),以提高此过程的安全性。 还应监视登录和审核日志,以确保紧急访问帐户只能在授权下使用。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-6:使用特权访问工作站

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.8, 13.5 AC-2、SC-2、SC-7

安全原则: 安全隔离工作站对于敏感角色(如管理员、开发人员和关键服务作员)的安全性至关重要。

Azure 指南: 使用 Azure Active Directory、Microsoft Defender 和/或 Microsoft Intune 在本地或 Azure 中为特权任务部署特权访问工作站(PAW)。 PAW 应集中管理以强制实施安全配置,包括强身份验证、软件和硬件基线,以及受限的逻辑和网络访问。

还可以使用 Azure Bastion,它是可在虚拟网络中预配的完全平台管理的 PaaS 服务。 Azure Bastion 允许使用浏览器直接从 Azure 门户与虚拟机建立 RDP/SSH 连接。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-7:遵循足够的管理(最低特权)原则

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.3, 6.8 AC-2、AC-3、AC-6 7.1, 7.2

安全原则: 遵循精简管理(最低权限)原则,在精细化管理权限。 使用基于角色的访问控制(RBAC)等功能通过角色分配管理资源访问。

Azure 指南: 使用 Azure 基于角色的访问控制(Azure RBAC)通过角色分配管理 Azure 资源访问。 通过 RBAC,可以将角色分配给用户、组服务主体和托管标识。 某些资源有预定义的内置角色,可以通过 Azure CLI、Azure PowerShell 和 Azure 门户等工具来列出或查询这些角色。

通过 Azure RBAC 分配给资源的权限应始终限于角色所需的权限。 有限特权将补充 Azure AD Privileged Identity Management(PIM)的实时(JIT)方法,应定期审查这些特权。 如果需要,还可以使用 PIM 在角色分配中定义时间长度(时间限制分配)条件,用户只能在开始日期和结束日期内激活或使用该角色。

注意:使用 Azure 内置角色分配权限,并仅在需要时创建自定义角色。

实现和其他上下文:

客户安全利益干系人(了解详细信息

PA-8 确定云服务提供商支持的访问流程

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1, 6.2 AC-4、AC-2、AC-3

安全原则: 通过安全通道建立审批流程和访问路径,以请求和批准供应商支持请求和临时访问数据。

Azure 指南: 在微软需要访问您数据的支持场景中,使用客户锁箱查看并批准或拒绝每个微软的数据访问请求。

实现和其他上下文:

客户安全利益干系人(了解详细信息