Controlo de Segurança V2: Acesso privilegiado
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
O Acesso Privilegiado cobre controlos para proteger o acesso privilegiado ao seu inquilino e recursos Azure. Isto inclui uma gama de controlos para proteger o seu modelo administrativo, contas administrativas e estações de trabalho privilegiadas de acesso contra riscos deliberados e inadvertidos.
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Privileged Access
PA-1: Proteger e limitar utilizadores com muitos privilégios
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Limite o número de contas de utilizador altamente privilegiadas e proteja estas contas a um nível elevado. As funções mais críticas integradas em Azure AD são o Administrador Global e o Administrador de Função Privilegiado, porque os utilizadores atribuídos a estas duas funções podem delegar funções de administrador. Com estes privilégios, os utilizadores podem ler e modificar direta ou indiretamente todos os recursos do seu ambiente Azure:
Administrador Global: Os utilizadores com esta função têm acesso a todas as funcionalidades administrativas em Azure AD, bem como serviços que utilizam Azure AD identidades.
Administrador privilegiado: Os utilizadores com esta função podem gerir atribuições de funções em Azure AD, bem como dentro de Azure AD Privileged Identity Management (PIM). Além disso, esta função permite a gestão de todos os aspetos da PIM e das unidades administrativas.
Nota: Pode ter outras funções críticas que precisam de ser regidas se utilizar funções personalizadas com determinadas permissões privilegiadas atribuídas. E também pode querer aplicar controlos semelhantes à conta de administrador de ativos empresariais críticos.
Pode ativar o acesso privilegiado just-in-time (JIT) nos recursos do Azure e no Azure AD com o Azure AD Privileged Identity Management (PIM). O JIT concede permissões temporárias para realizar tarefas privilegiadas apenas quando os utilizadores precisam. O PIM também pode gerar alertas de segurança em caso de atividades suspeitas ou inseguras na sua organização do Azure AD.
Utilizar os alertas de segurança do Azure Privileged Identity Management
Proteção de acesso privilegiado para implementações híbridas e na cloud no Azure AD
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-2: Restringir o acesso administrativo a sistemas críticos da empresa
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Isolar o acesso a sistemas críticos de negócio, limitando quais as contas que têm acesso privilegiado às subscrições e grupos de gestão em que se encontram. Certifique-se de que também restringe o acesso aos sistemas de gestão, identidade e segurança que tenham acesso administrativo aos ativos críticos do seu negócio, tais como controladores de Domínio do Ative Directory (DCs), ferramentas de segurança e ferramentas de gestão de sistemas com agentes instalados em sistemas críticos de negócio. Os atacantes que comprometem estes sistemas de gestão e segurança podem imediatamente armar-los para comprometer ativos críticos do negócio.
Todos os tipos de controlos de acesso devem ser alinhados com a sua estratégia de segmentação da empresa para garantir um controlo de acesso consistente.
Certifique-se de atribuir contas privilegiadas separadas que são distintas das contas padrão de utilizador utilizadas para tarefas de e-mail, navegação e produtividade.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-3: Rever e reconciliar o acesso dos utilizadores regularmente
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Reveja regularmente as contas dos utilizadores e a atribuição de acesso para garantir que as contas e o seu nível de acesso são válidos. Você pode usar Azure AD comentários de acesso para rever membros do grupo, acesso a aplicações empresariais e atribuições de funções. Azure AD relatórios podem fornecer registos para ajudar a descobrir contas velhas. Também pode usar Azure AD Privileged Identity Management para criar um fluxo de trabalho de relatório de revisão de acesso que facilita o processo de revisão. Além disso, o Azure Privileged Identity Management pode ser configurado para alertar quando um número excessivo de contas de administrador é criado, e para identificar contas de administrador que estão incómodas ou configuradas indevidamente.
Nota: Alguns serviços da Azure suportam utilizadores locais e funções que não são geridas através de Azure AD. Tem de gerir estes utilizadores separadamente.
Criar uma revisão de acesso das funções de recursos da Azure em Privileged Identity Management(PIM)
Como utilizar as revisões de identidades e acessos do Azure AD
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-4: Configurar o acesso de emergência no AAD
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Para evitar que seja acidentalmente bloqueado fora da sua organização Azure AD, crie uma conta de acesso de emergência para acesso quando não é possível utilizar contas administrativas normais. As contas de acesso de emergência são, normalmente, altamente privilegiadas e não devem ser atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou de “interrupção de emergência”, em que as contas administrativas normais não podem ser utilizadas. Deve garantir que as credenciais (por exemplo, palavra-passe, certificado ou smart card) das contas de acesso de emergência são mantidas em segurança e só são conhecidas por indivíduos que estão autorizados a utilizá-las apenas para uma emergência.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-5: Gestão de direitos de automatização
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Utilize funcionalidades de gestão de direitos Azure AD para automatizar fluxos de trabalho de pedidos de acesso, incluindo atribuições de acesso, revisões e expiração. A aprovação dual ou multi-fase também é apoiada.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-6: Utilizar estações de trabalho privilegiadas
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Estações de trabalho seguras e isoladas são extremamente importantes para a segurança de funções sensíveis como administrador, desenvolvedor e operador de serviços críticos. Utilize estações de trabalho de utilizador altamente seguras e/ou Azure Bastion para tarefas administrativas. Utilize o Azure Ative Directory, Microsoft Defender para Identidade e/ou Microsoft Intune para implantar uma estação de trabalho segura e gerida para tarefas administrativas. As estações de trabalho seguras podem ser geridas centralmente para impor a configuração segura, incluindo a autenticação forte, linhas de base de software e hardware, e acesso lógico e de rede restrito.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-7: Seguir a abordagem de Administração Suficiente (princípio do privilégio mínimo)
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
O controlo de acesso baseado em funções (Azure RBAC) permite-lhe gerir o acesso a recursos Azure através de atribuições de funções. Pode atribuir estas funções aos utilizadores, diretores de serviço de grupo e identidades geridas. Existem papéis incorporados pré-definidos para determinados recursos, e estes papéis podem ser inventariados ou consultados através de ferramentas como Azure CLI, Azure PowerShell e o portal do Azure. Os privilégios que atribui aos recursos através do Azure RBAC devem estar sempre limitados ao que é exigido pelas funções. Privilégios limitados complementam a abordagem just in time (JIT) de Azure AD Privileged Identity Management (PIM), e esses privilégios devem ser revistos periodicamente.
Utilize funções incorporadas para alocar permissões e apenas crie funções personalizadas quando necessário.
O que é o controlo de acesso baseado em funções Azure (Azure RBAC)
Como utilizar as revisões de identidades e acessos do Azure AD
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
PA-8: Escolha o processo de aprovação para suporte à Microsoft
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Em cenários de suporte onde a Microsoft precisa de aceder aos dados dos clientes, o Customer Lockbox fornece uma capacidade para que você reveja e aprove ou rejeite explicitamente cada pedido de acesso aos dados do cliente.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):