Ensure only MFA enabled identities can access privileged Virtual Machine
Miks see oluline on
Kui multi-faktorautentimiseta identiteedid pääsevad ligi privilegeeritud virtuaalmasinatele, siis ründaja, kes kompromiteerib kehtivad mandaadid, saab sisse logida, liikuda külgsuunas ja kuritarvitada VM-i hallatavat identiteeti pilveressurssidele ligipääsemiseks või volitamata haldustoimingute tegemiseks. MFA nõudmine nende privilegeeritud sisselogimiste jaoks vähendab oluliselt mandaativarguse ohtu, mis võib viia külgsuunalise liikumise ja ressursside ohustamiseni.
Mida Aether365 kontrollib
See kontroll veendub, et ainult MFA-ga varustatud identiteetidel on õigus pääseda ligi privilegeeritud virtuaalmasinatele. See kuvatakse Aether365 armatuurlaual jaotises Azure Virtual Machines kontrollikategooria all.
Kuidas parandada
- Veenduge, et teie rentnikul oleks Entra ID P2 litsents, et kasutada Privileged Identity Management (PIM) juurdepääsukontrolliks.
- Looge või tuvastage RBAC või ABAC grupp, millele määratakse virtuaalmasina jaoks vastav roll (nt Virtual Machine Contributor).
- Seadistage rollimäärang Azure PIM-is ja nõudke rolliseadetes multi-faktorautentimist.
- Määrake grupp rollile PIM-i kaudu, nii et liikmed peavad enne privilegeeritud VM-i juurdepääsu saamist rolli MFA-ga aktiveerima.
- Alternatiivina kasutage kolmanda osapoole Privileged Access Management (PAM) lahendust, et jõustada MFA VM-i sisselogimistel.
- Vaadake üle kõik olemasolevad identiteedid, kellel on otsene või grupipõhine juurdepääs VM-ile, ja eemaldage need, kes ei nõua MFA-d.
Vastavus
- CIS Microsoft Azure Foundations 3.0.0 Punkt 8.10 (Tase 2)
- EIDSCA – MFA nõudmine privilegeeritud virtuaalmasinate juurdepääsuks
- CISA – Multi-faktorautentimine pilveressursside juurdepääsuks
Seotud ressursid
- Mis on Privileged Identity Management?
- Nõua MFA Azure AD rolli aktiveerimiseks PIM-is
- Hallatud identiteedid Azure'i ressursside jaoks