Ensure only MFA enabled identities can access privileged Virtual Machine
Por Que Isso é Importante
Se identidades sem autenticação multifator podem acessar máquinas virtuais privilegiadas, um invasor que comprometer credenciais válidas pode fazer login, mover-se lateralmente e abusar da identidade gerenciada da VM para acessar recursos na nuvem ou realizar ações de gerenciamento não autorizadas. Exigir MFA para esses logins privilegiados reduz significativamente o risco de roubo de credenciais levar a movimentação lateral e comprometimento de recursos.
O Que o Aether365 Verifica
Esta verificação confirma que apenas identidades com MFA habilitado têm acesso a máquinas virtuais privilegiadas. Ela aparece no painel do Aether365 na categoria de verificações Azure Virtual Machines.
Como Corrigir
- Garanta que seu locatário tenha uma licença Entra ID P2 para usar o Privileged Identity Management (PIM) no controle de acesso.
- Crie ou identifique um grupo RBAC ou ABAC que receberá a função relevante (por exemplo, Virtual Machine Contributor) para a máquina virtual.
- Configure a atribuição de função no Azure PIM e exija autenticação multifator nas configurações da função.
- Atribua a função ao grupo usando o PIM, para que os membros precisem ativar a função com MFA antes de obter acesso privilegiado à VM.
- Como alternativa, use uma solução de gerenciamento de acesso privilegiado (PAM) de terceiros para reforçar a MFA nos logins da VM.
- Revise todas as identidades existentes com acesso direto ou baseado em grupo à VM e remova aquelas que não exigem MFA.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 Seção 8.10 (Nível 2)
- EIDSCA – Garantir MFA para acesso privilegiado a máquinas virtuais
- CISA – Autenticação multifator para acesso a recursos na nuvem
Recursos Relacionados
- What is Privileged Identity Management?
- Require MFA for Azure AD role activation in PIM
- Managed identities for Azure resources