Ensure only MFA enabled identities can access privileged Virtual Machine
Miksi Tämä on Tärkeää
Jos identiteetit ilman monivaiheista todennusta voivat käyttää etuoikeutettuja virtuaalikoneita, hyökkääjä, joka saa haltuunsa kelvolliset tunnistetiedot, voi kirjautua sisään, liikkua sivusuunnassa ja käyttää VM:n hallittua identiteettiä pilviresurssien käyttöön tai luvattomiin hallintatoimiin. MFA:n vaatiminen näille etuoikeutetuille kirjautumisille vähentää merkittävästi riskiä, että tunnistetietojen varastaminen johtaa sivuttaisliikkeeseen ja resurssien vaarantumiseen.
Mitä Aether365 Tarkistaa
Tämä tarkistus varmistaa, että vain MFA:lla varustetut identiteetit saavat pääsyn etuoikeutettuihin virtuaalikoneisiin. Se näkyy Aether365-valvontanäkymässä Azure Virtual Machines -tarkistusten kategoriassa.
Korjaaminen
- Varmista, että vuokraajassasi on Entra ID P2 -lisenssi, jotta voit käyttää Privileged Identity Management (PIM) -toimintoa pääsyn hallintaan.
- Luo tai tunnista RBAC- tai ABAC-ryhmä, jolle määritetään asianmukainen rooli (esim. Virtual Machine Contributor) virtuaalikoneelle.
- Määritä roolimääritys Azure PIM:ssä ja vaadi monivaiheista todennusta rooliasetuksissa.
- Määritä rooli ryhmälle PIM:n avulla, jotta jäsenten on aktivoitava rooli MFA:lla ennen etuoikeutetun VM-pääsyn saamista.
- Vaihtoehtoisesti käytä kolmannen osapuolen PAM-ratkaisua (Privileged Access Management) MFA:n pakottamiseksi VM-kirjautumisille.
- Tarkista kaikki olemassa olevat identiteetit, joilla on suora tai ryhmäpohjainen pääsy VM:ään, ja poista ne, jotka eivät vaadi MFA:ta.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations 3.0.0 Kohta 8.10 (Taso 2)
- EIDSCA – Varmista MFA etuoikeutetulle virtuaalikoneen käytölle
- CISA – Monivaiheinen todennus pilviresurssien käyttöön
Aiheeseen Liittyvät Resurssit
- Mikä on Privileged Identity Management?
- Vaadi MFA Azure AD -roolin aktivoinnille PIM:ssä
- Hallitut identiteetit Azure-resursseille