Ensure only MFA enabled identities can access privileged Virtual Machine
Γιατί έχει σημασία
Εάν ταυτότητες χωρίς πολυπαραγοντική αυθεντικοποίηση μπορούν να έχουν πρόσβαση σε προνομιούχες εικονικές μηχανές, ένας αντίπαλος που παραβιάζει έγκυρα διαπιστευτήρια μπορεί να συνδεθεί, να κινηθεί πλευρικά και να κάνει κατάχρηση της διαχειριζόμενης ταυτότητας της VM για να έχει πρόσβαση σε πόρους cloud ή να εκτελέσει μη εξουσιοδοτημένες ενέργειες διαχείρισης. Η απαίτηση MFA για αυτές τις προνομιούχες συνδέσεις μειώνει σημαντικά τον κίνδυνο κλοπής διαπιστευτηρίων που οδηγεί σε πλευρική κίνηση και παραβίαση πόρων.
Τι ελέγχει το Aether365
Αυτός ο έλεγχος επαληθεύει ότι μόνο ταυτότητες με δυνατότητα MFA έχουν πρόσβαση σε προνομιούχες εικονικές μηχανές. Εμφανίζεται στον πίνακα ελέγχου του Aether365 στην κατηγορία ελέγχων Azure Virtual Machines.
Τρόπος επίλυσης
- Βεβαιωθείτε ότι ο tenant σας διαθέτει άδεια Entra ID P2 για να χρησιμοποιήσετε το Privileged Identity Management (PIM) για τον έλεγχο πρόσβασης.
- Δημιουργήστε ή εντοπίστε μια ομάδα RBAC ή ABAC στην οποία θα εκχωρηθεί ο σχετικός ρόλος (π.χ. Virtual Machine Contributor) για την εικονική μηχανή.
- Διαμορφώστε την ανάθεση ρόλου στο Azure PIM και απαιτήστε πολυπαραγοντική αυθεντικοποίηση στις ρυθμίσεις του ρόλου.
- Αναθέστε τον ρόλο στην ομάδα χρησιμοποιώντας το PIM, ώστε τα μέλη να πρέπει να ενεργοποιήσουν τον ρόλο με MFA πριν αποκτήσουν προνομιούχα πρόσβαση στη VM.
- Εναλλακτικά, χρησιμοποιήστε μια λύση τρίτου κατασκευαστή για διαχείριση προνομιακής πρόσβασης (PAM) για να επιβάλλετε MFA για συνδέσεις VM.
- Εξετάστε όλες τις υπάρχουσες ταυτότητες με άμεση ή ομαδική πρόσβαση στη VM και αφαιρέστε όσες δεν απαιτούν MFA.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0 Ενότητα 8.10 (Επίπεδο 2)
- EIDSCA – Διασφάλιση MFA για προνομιακή πρόσβαση σε εικονικές μηχανές
- CISA – Πολυπαραγοντική αυθεντικοποίηση για πρόσβαση σε πόρους cloud
Σχετικοί πόροι
- What is Privileged Identity Management?
- Require MFA for Azure AD role activation in PIM
- Managed identities for Azure resources