Ensure only MFA enabled identities can access privileged Virtual Machine
Hvorfor dette er viktig
Hvis identiteter uten multifaktorautentisering har tilgang til privilegerte virtuelle maskiner, kan en angriper som kompromitterer gyldige legitimasjonsopplysninger logge seg på, bevege seg sidelengs og misbruke VM-administrert identitet for å få tilgang til skytjenester eller utføre uautoriserte administrasjonshandlinger. Å kreve MFA for disse privilegerte påloggingene reduserer betydelig risikoen for at tyveri av legitimasjonsopplysninger fører til sidelengs bevegelse og kompromittering av ressurser.
Hva Aether365 kontrollerer
Denne kontrollen verifiserer at kun MFA-aktiverte identiteter gis tilgang til privilegerte virtuelle maskiner. Den vises i Aether365-dashbordet under kategorien Azure Virtual Machines-kontroller.
Slik fikser du
- Sørg for at leietakeren din har en Entra ID P2-lisens for å bruke Privileged Identity Management (PIM) til tilgangskontroll.
- Opprett eller identifiser en RBAC- eller ABAC-gruppe som skal tildeles den aktuelle rollen (f.eks. Virtual Machine Contributor) for den virtuelle maskinen.
- Konfigurer rolletildelingen i Azure PIM og krev multifaktorautentisering i rolleinnstillingene.
- Tildel rollen til gruppen ved hjelp av PIM, slik at medlemmer må aktivere rollen med MFA før de får privilegert VM-tilgang.
- Alternativt kan du bruke en tredjeparts løsning for privilegert tilgangsstyring (PAM) for å håndheve MFA for VM-pålogginger.
- Gå gjennom alle eksisterende identiteter med direkte eller gruppebasert tilgang til VM-en, og fjern alle som ikke krever MFA.
Samsvar
- CIS Microsoft Azure Foundations 3.0.0 Seksjon 8.10 (Nivå 2)
- EIDSCA – Sørg for MFA for privilegert virtuell maskintilgang
- CISA – Multifaktorautentisering for tilgang til skytjenester
Relaterte ressurser
- Hva er Privileged Identity Management?
- Krev MFA for aktivering av Azure AD-roller i PIM
- Administrerte identiteter for Azure-ressurser