Ensure only MFA enabled identities can access privileged Virtual Machine
Kodėl tai svarbu
Jei tapatybės be kelių veiksnių autentifikavimo gali pasiekti privilegijuotas virtualiąsias mašinas, priešininkas, įsigijęs galiojančius prisijungimo duomenis, gali prisijungti, judėti šonine kryptimi ir piktnaudžiauti VM valdomąja tapatybe, kad pasiektų debesies išteklius arba atliktų neteisėtus valdymo veiksmus. Reikalaujant MFA šiems privilegijuotiems prisijungimams, žymiai sumažinama rizika, kad pavogti prisijungimo duomenys lems šoninį judėjimą ir išteklių pažeidimą.
Ką tikrina Aether365
Šis patikrinimas patvirtina, kad tik MFA įgalintos tapatybės turi prieigą prie privilegijuotų virtualiųjų mašinų. Jis rodomas Aether365 valdymo skydelyje po kategorija Azure Virtual Machines (Azure virtualiosios mašinos).
Kaip ištaisyti
- Įsitikinkite, kad jūsų nuomininkas turi Entra ID P2 licenciją, kad galėtumėte naudoti Privileged Identity Management (PIM) prieigos kontrolei.
- Sukurkite arba identifikuokite RBAC arba ABAC grupę, kuriai bus priskirtas atitinkamas vaidmuo (pvz., Virtual Machine Contributor) virtualiajai mašinai.
- Konfigūruokite vaidmens priskyrimą Azure PIM ir reikalaukite kelių veiksnių autentifikavimo vaidmens nustatymuose.
- Priskirkite vaidmenį grupei naudodami PIM, kad nariai prieš įgydami privilegijuotą VM prieigą turėtų suaktyvinti vaidmenį su MFA.
- Arba naudokite trečiosios šalies privilegijuotos prieigos valdymo (PAM) sprendimą, kad įvykdytumėte MFA reikalavimą VM prisijungimams.
- Peržiūrėkite visas esamas tapatybes, turinčias tiesioginę arba grupinę prieigą prie VM, ir pašalinkite tas, kurioms nereikia MFA.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 8.10 skyrius (2 lygis)
- EIDSCA – Užtikrinti MFA privilegijuotai virtualiosios mašinos prieigai
- CISA – Kelių veiksnių autentifikavimas debesies išteklių prieigai
Susiję ištekliai
- Kas yra Privileged Identity Management?
- Reikalauti MFA „Azure AD“ vaidmens aktyvavimui PIM
- Valdomos tapatybės „Azure“ ištekliams