Ensure only MFA enabled identities can access privileged Virtual Machine
Proč na tom záleží
Pokud identity bez vícefaktorového ověřování mají přístup k privilegovaným virtuálním počítačům, útočník, který získá platné přihlašovací údaje, se může přihlásit, pohybovat se laterálně a zneužít spravovanou identitu VM k přístupu k cloudovým prostředkům nebo k provádění neoprávněných administrativních akcí. Požadavek na MFA pro tato privilegovaná přihlášení výrazně snižuje riziko, že krádež přihlašovacích údajů povede k laterálnímu pohybu a kompromitaci prostředků.
Co Aether365 kontroluje
Tato kontrola ověřuje, že pouze identity s povoleným MFA mají přístup k privilegovaným virtuálním počítačům. Zobrazuje se na řídicím panelu Aether365 v kategorii kontrol Azure Virtual Machines.
Jak to opravit
- Zajistěte, aby váš tenant měl licenci Entra ID P2 pro použití Privileged Identity Management (PIM) pro řízení přístupu.
- Vytvořte nebo identifikujte skupinu RBAC nebo ABAC, které bude přiřazena příslušná role (např. Virtual Machine Contributor) pro virtuální počítač.
- Nakonfigurujte přiřazení role v Azure PIM a v nastavení role vyžadujte vícefaktorové ověřování.
- Přiřaďte roli skupině pomocí PIM, aby členové museli před získáním privilegovaného přístupu k VM roli aktivovat pomocí MFA.
- Alternativně použijte řešení pro správu privilegovaného přístupu (PAM) od třetí strany k vynucení MFA pro přihlášení k VM.
- Zkontrolujte všechny stávající identity s přímým nebo skupinovým přístupem k VM a odstraňte ty, které nevyžadují MFA.
Shoda s předpisy
- CIS Microsoft Azure Foundations 3.0.0 Sekce 8.10 (Úroveň 2)
- EIDSCA – Zajištění MFA pro privilegovaný přístup k virtuálním počítačům
- CISA – Vícefaktorové ověřování pro přístup k cloudovým prostředkům
Související zdroje
- Co je Privileged Identity Management?
- Vyžadování MFA pro aktivaci role Azure AD v PIM
- Spravované identity pro prostředky Azure