Ensure only MFA enabled identities can access privileged Virtual Machine

Hvorfor dette er vigtigt

Hvis identiteter uden multi-factor authentication kan få adgang til privilegerede virtuelle maskiner, kan en angriber, der kompromitterer gyldige legitimationsoplysninger, logge ind, bevæge sig lateralt og misbruge VM'ens managed identity til at få adgang til cloud-ressourcer eller udføre uautoriserede administrationshandlinger. At kræve MFA for disse privilegerede logins reducerer betydeligt risikoen for, at tyveri af legitimationsoplysninger fører til lateral bevægelse og kompromittering af ressourcer.

Hvad Aether365 kontrollerer

Denne kontrol verificerer, at kun MFA-aktiverede identiteter har adgang til privilegerede virtuelle maskiner. Den vises i Aether365-dashboardet under kontrolkategorien Azure Virtual Machines.

Sådan rettes det

1. Sørg for, at din tenant har en Entra ID P2-licens til at bruge Privileged Identity Management (PIM) til adgangskontrol.
2. Opret eller identificer en RBAC- eller ABAC-gruppe, der tildeles den relevante rolle (f.eks. Virtual Machine Contributor) for den virtuelle maskine.
3. Konfigurer rolle-tildelingen i Azure PIM, og kræv multi-factor authentication i rolleindstillingerne.
4. Tildel rollen til gruppen ved hjælp af PIM, så medlemmer skal aktivere rollen med MFA, før de får privilegeret VM-adgang.
5. Alternativt kan du bruge en tredjeparts privileged access management (PAM)-løsning til at håndhæve MFA for VM-logins.
6. Gennemgå alle eksisterende identiteter med direkte eller gruppebaseret adgang til VM'en, og fjern dem, der ikke kræver MFA.

Overholdelse

• CIS Microsoft Azure Foundations 3.0.0 Afsnit 8.10 (Niveau 2)
• EIDSCA – Sikre MFA for privilegeret VM-adgang
• CISA – Multi-factor authentication for cloudressourceadgang

Relaterede ressourcer

• What is Privileged Identity Management?
• Require MFA for Azure AD role activation in PIM
• Managed identities for Azure resources