Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till klientorganisationen och resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktlig och oavsiktlig risk.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Säkerhetsprincip: Se till att du identifierar alla konton med hög påverkan på verksamheten. Begränsa antalet privilegierade/administrativa konton i molnets kontrollplan, hanteringsplan och data/arbetsbelastningsplan.
Azure-vägledning: Du måste skydda alla roller med direkt eller indirekt administrativ åtkomst till Azure-värdbaserade resurser.
Azure Active Directory (Azure AD) är Azures standardtjänst för identitets- och åtkomsthantering. De mest kritiska inbyggda rollerna i Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som tilldelats dessa två roller kan delegera administratörsroller. Med dessa behörigheter kan användarna direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö:
- Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD samt tjänster som använder Azure AD-identiteter.
- Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD samt i Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.
Utanför Azure AD har Azure inbyggda roller som kan vara viktiga för privilegierad åtkomst på resursnivå.
- Ägare: Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC.
- Deltagare: Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure RBAC, hanterar tilldelningar i Azure Blueprints eller delar bildgallerier.
- Administratör för användaråtkomst: Låter dig hantera användaråtkomst till Azure-resurser.
Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller på Azure AD-nivå eller resursnivå med vissa privilegierade behörigheter tilldelade.
Dessutom bör användare med följande tre roller i Azure Enterprise-avtalsportalen (EA) begränsas eftersom de kan användas för att direkt eller indirekt hantera Azure-prenumerationer.
- Kontoägare: Användare med den här rollen kan hantera prenumerationer, inklusive skapande och borttagning av prenumerationer.
- Företagsadministratör: Användare som har tilldelats den här rollen kan hantera (EA)-portalanvändare.
- Avdelningsadministratör: Användare som tilldelats den här rollen kan ändra kontoägare inom avdelningen.
Se till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Active Directory Domain Controllers (DCs), säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
Azure-implementering och ytterligare kontext:
- Administratörsrollbehörigheter i Azure AD
- Använda säkerhetsaviseringar för Azure Privileged Identity Management
- Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD
AWS-vägledning: Du måste skydda alla roller med direkt eller indirekt administrativ åtkomst till AWS-värdbaserade resurser.
Privilegierade/administrativa användare måste skyddas:
- Rootanvändare: Rootanvändaren är det högsta privilegierade kontot i ditt AWS-konto. Rotkonton bör vara mycket begränsade och endast användas i nödsituationer. Se kontroller för nödåtkomst i PA-5 (Konfigurera åtkomst till nödsituationer).
- IAM-identiteter (användare, grupper, roller) med principen för privilegierad behörighet: IAM-identiteter som tilldelats en behörighetsprincip som AdministratorAccess kan ha fullständig åtkomst till AWS-tjänster och -resurser.
Om du använder Azure Active Directory (Azure AD) som identitetsprovider för AWS läser du Azure-vägledningen för att hantera privilegierade roller i Azure AD.
Se till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel AWS Cognito, säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Du måste säkra alla roller med direkt eller indirekt administrativ åtkomst till de resurser som är värdbaserade inom GCP.
Den mest kritiska inbyggda rollen i Google Cloud är superadministratören. Superadministratören kan utföra alla uppgifter i administratörskonsolen och har oåterkalleliga administrativa behörigheter. Det rekommenderas att du inte använder superadministratörskontot för den dagliga administrationen.
Grundläggande roller är mycket tillåtande äldre roller, och det rekommenderas att grundläggande roller inte används i produktionsmiljöer eftersom de ger bred åtkomst över alla Google Cloud-resurser. Grundläggande roller omfattar rollerna Viewer, Editor och Owner. Vi rekommenderar i stället att du använder fördefinierade eller anpassade roller. De anmärkningsvärda privilegierade fördefinierade rollerna är:
- Organisationsadministratör: Användare med den här rollen kan hantera IAM-principer och visa organisationsprinciper för organisationer, mappar och projekt.
- Administratör för organisationsprincip: Användare med den här rollen kan definiera vilka begränsningar en organisation vill använda för konfigurationen av molnresurser genom att ange organisationsprinciper.
- Organisationsrolladministratör: Användare med den här rollen kan administrera alla anpassade roller i organisationen och projekt under den.
- Säkerhetsadministratör: Användare med den här rollen kan hämta och ange valfri IAM-princip.
- Neka Admin: Användare med den här rollen har behörighet att läsa och ändra IAM-neka-policyer.
Dessutom innehåller vissa fördefinierade roller privilegierade IAM-behörigheter på organisations-, mapp- och projektnivå. Dessa IAM-behörigheter omfattar:
- organisationsadministratör
- folderIAMAdmin
- projektIAMAdmin
Implementera dessutom uppdelning av uppgifter genom att tilldela roller till konton för olika projekt, eller genom att utnyttja binär auktorisering med Google Kubernetes Engine.
Se till att du även begränsar privilegierade konton i andra hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska tillgångar, till exempel Cloud DNS, säkerhetsverktyg och systemhanteringsverktyg med agenter installerade på affärskritiska system. Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.
GCP-implementering och ytterligare kontext:
- bästa praxis för superadministratörskonto
- Referens för grundläggande och fördefinierade roller i IAM
- Ansvarsfördelning och identitets- och åtkomsthanteringsroller
Intressenter för kundsäkerhet (Läs mer):
- identitets- och nyckelhantering
- Säkerhetsarkitektur
- Hantering av säkerhetsefterlevnad
- Säkerhetsåtgärder
PA-2: Undvik stående åtkomst för användarkonton och behörigheter
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | AC-2 | Inte tillgänglig |
Säkerhetsprincip: I stället för att skapa stående privilegier använder du jit-mekanismen (just-in-time) för att tilldela privilegierad åtkomst till de olika resursnivåerna.
Azure-vägledning: Aktivera Just-in-time (JIT) privilegierad åtkomst till Azure-resurser och Azure AD genom Azure AD Privileged Identity Management (PIM). JIT är en modell där användare får tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket hindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.
Begränsa inkommande trafik till dina hanteringsportar för känsliga virtuella datorer (VM) med Microsoft Defender för molnets just-in-time-funktion (JIT) för åtkomst till virtuella datorer. Detta säkerställer att privilegierad åtkomst till den virtuella datorn endast beviljas när användarna behöver den.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS Security Token Service (AWS STS) för att skapa tillfälliga säkerhetsautentiseringsuppgifter för att komma åt resurserna via AWS-API:et. Tillfälliga säkerhetsautentiseringsuppgifter fungerar nästan identiskt med de autentiseringsuppgifter för långsiktig åtkomstnyckel som dina IAM-användare kan använda, med följande skillnader:
- Tillfälliga säkerhetsautentiseringsuppgifter har en kortsiktig livslängd, från minuter till timmar.
- Tillfälliga säkerhetsautentiseringsuppgifter lagras inte med användaren utan genereras dynamiskt och tillhandahålls till användaren när det begärs.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd villkorsstyrd IAM-åtkomst för att skapa tillfällig åtkomst till resurser med hjälp av bindningar för villkorsstyrda roller i tillåtna principer, som beviljas molnidentitetsanvändare. Konfigurera datum-/tidsattribut för att framtvinga tidsbaserade kontroller för åtkomst till en viss resurs. Tillfällig åtkomst kan ha en kortsiktig livslängd, från minuter till timmar, eller kan beviljas baserat på dagar eller timmar i veckan.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
- identitets- och nyckelhantering
- Säkerhetsarkitektur
- Hantering av säkerhetsefterlevnad
- Säkerhetsåtgärder
PA-3: Hantera livscykeln för identiteter och rättigheter
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Säkerhetsprincip: Använd en automatiserad process eller teknisk kontroll för att hantera identitets- och åtkomstlivscykeln, inklusive begäran, granskning, godkännande, etablering och avetablering.
Azure-vägledning: Använd azure AD-funktioner för berättigandehantering för att automatisera arbetsflöden för åtkomstbegäran (för Azure-resursgrupper). Detta gör det möjligt för arbetsflöden för Azure-resursgrupper att hantera åtkomsttilldelningar, granskningar, förfallodatum och dubbla eller flerstegsgodkännande.
Använd Behörighetshantering för att identifiera, automatiskt anpassa och kontinuerligt övervaka oanvända och onödigt stora behörigheter som tilldelats identiteter för användare och arbetsbelastningar över flera molninfrastrukturer.
Azure-implementering och ytterligare kontext:
- Vad är Azure AD-åtkomstgranskningar
- Vad är Azure AD-berättigandehantering
- Översikt över behörighetshantering
AWS-vägledning: Använd AWS Access Advisor för att hämta åtkomstloggarna för användarkonton och rättigheter för resurser. Skapa ett manuellt eller automatiserat arbetsflöde för att integrera med AWS IAM för att hantera åtkomsttilldelningar, granskningar och borttagningar.
Obs! Det finns lösningar från tredje part som är tillgängliga på AWS Marketplace för att hantera livscykeln för identiteter och rättigheter.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Googles molngranskningsloggar för att hämta administratörsaktiviteten och dataåtkomstgranskningsloggarna för användarkonton och rättigheter för resurser. Skapa ett manuellt eller automatiserat arbetsflöde för att integrera med GCP IAM för att hantera åtkomsttilldelningar, granskningar och borttagningar.
Använd Google Cloud Identity Premium för att tillhandahålla grundläggande identitets- och enhetshanteringstjänster. Dessa tjänster omfattar funktioner som automatisk användaretablering, vitlistning av appar och automatiserad hantering av mobila enheter.
Obs! Det finns lösningar från tredje part som är tillgängliga på Google Cloud Marketplace för att hantera livscykeln för identiteter och rättigheter.
GCP-implementering och ytterligare kontext:
- IAM Access Advisor
- Molnidentitet och atlassiansk åtkomst: Användarlivscykelhantering i hela organisationen
- Bevilja och återkalla åtkomst till API:et
- Återkalla åtkomst till ett Google Cloud-projekt
Intressenter för kundsäkerhet (Läs mer):
PA-4: Granska och stämma av användaråtkomst regelbundet
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Säkerhetsprincip: Genomför regelbunden granskning av privilegierade kontorättigheter. Se till att åtkomsten som beviljas till kontona är giltig för administration av kontrollplan, hanteringsplan och arbetsbelastningar.
Azure-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i Azure, inklusive Azure-klienter, Azure-tjänster, VM/IaaS, CI/CD-processer och hanterings- och säkerhetsverktyg för företag.
Använd Azure AD-åtkomstgranskningar för att granska Azure AD-roller, Åtkomstroller för Azure-resurser, gruppmedlemskap och åtkomst till företagsprogram. Azure AD-rapportering kan också tillhandahålla loggar som hjälper dig att identifiera inaktuella konton eller konton som inte har använts under en viss tid.
Dessutom kan Azure AD Privileged Identity Management konfigureras för avisering när ett stort antal administratörskonton skapas för en viss roll och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.
Azure-implementering och ytterligare kontext:
- Skapa en åtkomstgranskning av Azure-resursroller i Privileged Identity Management (PIM)
- Så här använder du Azure AD-identitets- och åtkomstgranskningar
AWS-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i AWS, inklusive AWS-konton, tjänster, VM/IaaS, CI/CD-processer och företagshanterings- och säkerhetsverktyg.
Använd IAM Access Advisor, Access Analyzer och Credential Reports för att granska resursåtkomstroller, gruppmedlemskap och åtkomst till företagsprogram. IAM Access Analyzer- och Credential Reports-rapportering kan också tillhandahålla loggar som hjälper dig att identifiera inaktuella konton eller konton som inte har använts under en viss tid.
Om du använder Azure Active Directory (Azure AD) som identitetsprovider för AWS använder du Azure AD-åtkomstgranskning för att regelbundet granska privilegierade konton och åtkomsträttigheter.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Granska alla privilegierade konton och åtkomsträttigheterna i Google Cloud, inklusive molnidentitetskonton, tjänster, virtuell dator/IaaS, CI/CD-processer och företagshanterings- och säkerhetsverktyg.
Använd Cloud Audit Logs och Policy Analyzer för att granska resursåtkomstroller och gruppmedlemskap. Skapa analysfrågor i Policy Analyzer för att förstå och avgöra vilka huvudprinciper som kan komma åt specifika resurser.
Om du använder Azure Active Directory (Azure AD) som identitetsprovider för Google Cloud använder du Azure AD-åtkomstgranskning för att granska privilegierade konton och åtkomsträttigheter med jämna mellanrum.
Dessutom kan Azure AD Privileged Identity Management konfigureras för avisering när ett stort antal administratörskonton skapas för en viss roll och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
PA-5: Konfigurera nödåtkomst
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | AC-2 | Inte tillgänglig |
Säkerhetsprincip: Konfigurera nödåtkomst för att säkerställa att du inte av misstag är utelåst från din kritiska molninfrastruktur (till exempel ditt identitets- och åtkomsthanteringssystem) i en nödsituation.
Konton för nödåtkomst bör sällan användas och kan vara mycket skadliga för organisationen om de komprometteras, men deras tillgänglighet till organisationen är också mycket viktig för de få scenarier när de behövs.
Azure-vägledning: Konfigurera ett konto för nödåtkomst (t.ex. ett konto med rollen Global administratör) för åtkomst när normala administrativa konton inte kan användas för att förhindra att du av misstag blir utelåst från din Azure AD-organisation. Konton för nödåtkomst är vanligtvis mycket privilegierade och bör inte tilldelas till specifika personer. Konton för akutåtkomst är begränsade till nödsituationer eller akutlägen där normala administrativa konton inte kan användas.
Du bör se till att autentiseringsuppgifterna (till exempel lösenord, certifikat eller smartkort) för konton för nödåtkomst hålls säkra och kända endast för personer som har behörighet att endast använda dem i en nödsituation. Du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge den till separata personer) för att förbättra säkerheten i den här processen. Du bör också övervaka inloggnings- och granskningsloggarna för att säkerställa att konton för nödåtkomst endast används när de är auktoriserade.
Azure-implementering och ytterligare kontext:
AWS-vägledning: AWS-rotkonton ska inte användas för regelbundna administrativa uppgifter. Eftersom "rotkontot" är mycket privilegierat bör det inte tilldelas till specifika individer. Användningen bör begränsas till endast nödsituationer eller mycket kritiska scenarier där normala administrativa konton inte kan användas. För dagliga administrativa uppgifter ska separata privilegierade användarkonton användas och tilldelas lämpliga behörigheter via IAM-roller.
Du bör också se till att autentiseringsuppgifterna (till exempel lösenord, MFA-token och åtkomstnycklar) för rotkonton hålls säkra och kända endast för personer som har behörighet att endast använda dem i en nödsituation. MFA bör aktiveras för rotkontot och du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge det till separata personer) för att förbättra säkerheten för den här processen.
Du bör också övervaka inloggnings- och granskningsloggarna i CloudTrail eller EventBridge för att säkerställa att rotåtkomstkonton endast används när de är auktoriserade.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Superadministratörskonton för Google Cloud Identity ska inte användas för regelbundna administrativa uppgifter. Eftersom superadministratörskontot är mycket privilegierat bör det inte tilldelas till specifika individer. Användningen bör begränsas till endast nödsituationer eller "akutläge", när vanliga administrativa konton inte kan användas. För dagliga administrativa uppgifter ska separata privilegierade användarkonton användas och tilldelas lämpliga behörigheter via IAM-roller.
Du bör också se till att autentiseringsuppgifterna (till exempel lösenord, MFA-token och åtkomstnycklar) för superadministratörskonton hålls säkra och kända endast för personer som har behörighet att endast använda dem i en nödsituation. MFA bör aktiveras för superadministratörskontot, och du kan också använda ytterligare kontroller, till exempel dubbla kontroller (t.ex. dela upp autentiseringsuppgifterna i två delar och ge det till separata personer) för att förbättra säkerheten för den här processen.
Du bör också övervaka inloggnings- och granskningsloggarna i Molngranskningsloggar eller fråga principanalysen för att säkerställa att superadministratörskonton endast används när de är auktoriserade.
GCP-implementering och ytterligare kontext:
- bästa praxis för superadministratörskonto
Intressenter för kundsäkerhet (Läs mer):
PA-6: Använda privilegierade arbetsstationer för åtkomst
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Inte tillgänglig |
Säkerhetsprincip: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör.
Azure-vägledning: Använd Azure Active Directory, Microsoft Defender och/eller Microsoft Intune för att distribuera privilegierade arbetsstationer (PAW) lokalt eller i Azure för privilegierade uppgifter. PAW ska hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer och begränsad logisk åtkomst och nätverksåtkomst.
Du kan också använda Azure Bastion som är en helt plattformshanterad PaaS-tjänst som kan etableras i ditt virtuella nätverk. Azure Bastion tillåter RDP/SSH-anslutning till dina virtuella datorer direkt från Azure-portalen med hjälp av en webbläsare.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd Sessionshanteraren i AWS Systems Manager för att skapa en åtkomstsökväg (en anslutningssession) till EC2-instansen eller en webbläsarsession till AWS-resurserna för privilegierade uppgifter. Sessionshanteraren tillåter RDP-, SSH- och HTTPS-anslutning till målvärdarna via portvidarebefordring.
Du kan också välja att distribuera en PAW(Privileged Access Workstation) som hanteras centralt via Azure Active Directory, Microsoft Defender och/eller Microsoft Intune. Den centrala hanteringen bör framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer och begränsad logisk åtkomst och nätverksåtkomst.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd IAP Desktop (Identity-Aware Proxy) för att skapa en åtkomstsökväg (en anslutningssession) till beräkningsinstansen för privilegierade uppgifter. IAP Desktop tillåter RDP- och SSH-anslutning till målvärdarna via portvidarebefordring. Dessutom kan Linux-beräkningsinstanser som är externa anslutas till via en SSH-in-browser via Google Cloud-konsolen.
Du kan också välja att distribuera en PAW (Privileged Access Workstations) som hanteras centralt via Google Workspace Endpoint Management eller Microsoft-lösningar (Azure Active Directory, Microsoft Defender och/eller Microsoft Intune). Den centrala hanteringen bör framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer och begränsad logisk åtkomst och nätverksåtkomst.
Du kan också skapa skyddsvärdar för säker åtkomst till betrodda miljöer med definierade parametrar.
GCP-implementering och ytterligare kontext:
- Ansluta säkert till VM-instanser
- Ansluta till virtuella Linux-datorer med hjälp av Identity-Aware Proxy
- Anslut till virtuella datorer via en bastionvärd
Intressenter för kundsäkerhet (Läs mer):
PA-7: Följ principen om tillräckligt med administration (principen om minst privilegier)
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Säkerhetsprincip: Följ principen för rättvis administration (minst behörighet) för att hantera behörigheter på detaljerad nivå. Använd funktioner som rollbaserad åtkomstkontroll (RBAC) för att hantera resursåtkomst via rolltilldelningar.
Azure-vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via rolltilldelningar. Via RBAC kan du tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell och Azure-portalen.
De behörigheter som du tilldelar resurser via Azure RBAC bör alltid begränsas till vad som krävs av rollerna. Begränsade privilegier kompletterar jit-metoden (just-in-time) i Azure AD Privileged Identity Management (PIM), och dessa privilegier bör granskas regelbundet. Om det behövs kan du också använda PIM för att definiera en tidsbunden tilldelning, vilket är ett villkor i en rolltilldelning där en användare bara kan aktivera rollen inom de angivna start- och slutdatumen.
Obs! Använd inbyggda Azure-roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.
Azure-implementering och ytterligare kontext:
- Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)
- Så här konfigurerar du RBAC i Azure
- Så här använder du Azure AD-identitets- och åtkomstgranskningar
- Azure AD Privileged Identity Management – tidsbunden tilldelning
AWS-vägledning: Använd AWS-princip för att hantera åtkomst till AWS-resurser. Det finns sex typer av principer: identitetsbaserade principer, resursbaserade principer, behörighetsgränser, AWS-organisationers tjänstkontrollprincip (SCP), åtkomstkontrollista och sessionsprinciper. Du kan använda AWS-hanterade principer för vanliga behörighetsanvändningsfall. Du bör dock vara medveten om att hanterade principer kan ha för höga behörigheter som inte ska tilldelas till användarna.
Du kan också använda AWS ABAC (attributbaserad åtkomstkontroll) för att tilldela behörigheter baserat på attribut (taggar) som är kopplade till IAM-resurser, inklusive IAM-entiteter (användare eller roller) och AWS-resurser.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud IAM Policy för att hantera GCP-resursåtkomst via rolltilldelningar. Du kan använda Google Clouds fördefinierade roller för vanliga behörighetsanvändningsfall. Du bör dock vara medveten om att fördefinierade roller kan ha för höga behörigheter som inte ska tilldelas användarna.
Använd dessutom Principinformation med IAM-rekommenderaren för att identifiera och ta bort för höga behörigheter från konton.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
- Programsäkerhet och DevSecOps
- Hantering av säkerhetsefterlevnad
- Posturhantering
- identitets- och nyckelhantering
PA-8 Fastställa åtkomstprocess för molnleverantörssupport
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Inte tillgänglig |
Säkerhetsprincip: Upprätta en godkännandeprocess och åtkomstsökväg för att begära och godkänna leverantörssupportförfrågningar och tillfällig åtkomst till dina data via en säker kanal.
Azure-vägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och antingen godkänna eller avvisa varje begäran om dataåtkomst som görs av Microsoft.
Azure-implementering och ytterligare kontext:
AWS-vägledning: I supportscenarier där AWS-supportteam behöver komma åt dina data skapar du ett konto i AWS-supportportalen för att begära support. Granska de tillgängliga alternativen, till exempel att tillhandahålla skrivskyddad dataåtkomst eller skärmdelningsalternativet för AWS-stöd för åtkomst till dina data.
AWS-implementering och ytterligare kontext:
GCP-vägledning: I supportscenarier där Google Cloud Customer Care behöver komma åt dina data använder du Åtkomstgodkännande för att granska och antingen godkänna eller avvisa varje begäran om dataåtkomst som görs av Cloud Customer Care.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):