Ensure only MFA enabled identities can access privileged Virtual Machine
Kāpēc tas ir svarīgi
Ja identitātēm bez daudzfaktoru autentifikācijas (MFA) ir piekļuve privilēģētām virtuālajām mašīnām, uzbrucējs, kas iegūst derīgus akreditācijas datus, var pieslēgties, pārvietoties sānvirzienā un izmantot VM pārvaldīto identitāti, lai piekļūtu mākoņresursiem vai veiktu neatļautas pārvaldības darbības. Pieprasot MFA šiem privilēģētajiem pieteikumiem, ievērojami samazinās risks, ka akreditācijas datu zādzība var novest pie sānvirziena kustības un resursu apdraudējuma.
Ko pārbauda Aether365
Šī pārbaude apstiprina, ka tikai MFA iespējotām identitātēm tiek piešķirta piekļuve privilēģētām virtuālajām mašīnām. Tā tiek rādīta Aether365 informācijas panelī sadaļā Azure Virtual Machines pārbaužu kategorijā.
Kā novērst
- Nodrošiniet, lai jūsu nomniekam būtu Entra ID P2 licence, lai varētu izmantot Privileged Identity Management (PIM) piekļuves kontrolei.
- Izveidojiet vai identificējiet RBAC vai ABAC grupu, kurai tiks piešķirta attiecīgā loma (piemēram, Virtual Machine Contributor) virtuālajai mašīnai.
- Konfigurējiet lomu piešķiršanu Azure PIM un pieprasiet daudzfaktoru autentifikāciju lomas iestatījumos.
- Piešķiriet lomu grupai, izmantojot PIM, lai dalībniekiem pirms privilēģētas VM piekļuves iegūšanas būtu jāaktivizē loma ar MFA.
- Alternatīvi izmantojiet trešās puses privilēģētās piekļuves pārvaldības (PAM) risinājumu, lai ieviestu MFA VM pieteikumiem.
- Pārskatiet visas esošās identitātes ar tiešu vai grupas piekļuvi VM un noņemiet tās, kurām nav nepieciešama MFA.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 8.10. sadaļa (2. līmenis)
- EIDSCA – Nodrošināt MFA privilēģētai virtuālo mašīnu piekļuvei
- CISA – Daudzfaktoru autentifikācija mākoņresursu piekļuvei
Saistītie resursi
- What is Privileged Identity Management?
- Require MFA for Azure AD role activation in PIM
- Managed identities for Azure resources