Ensure only MFA enabled identities can access privileged Virtual Machine
De ce este important
Dacă identitățile fără autentificare multi-factor pot accesa mașini virtuale privilegiate, un atacator care compromite acreditări valide se poate autentifica, se poate deplasa lateral și poate abuza de identitatea gestionată a mașinii virtuale pentru a accesa resurse cloud sau pentru a efectua acțiuni de gestionare neautorizate. Solicitarea MFA pentru aceste autentificări privilegiate reduce semnificativ riscul ca furtul de acreditări să ducă la deplasare laterală și compromiterea resurselor.
Ce verifică Aether365
Această verificare confirmă că doar identitățile cu MFA activat au acces la mașini virtuale privilegiate. Aceasta apare în panoul de control Aether365, în categoria de verificări Azure Virtual Machines.
Cum se remediază
- Asigurați-vă că entitatea dvs. are o licență Entra ID P2 pentru a utiliza Privileged Identity Management (PIM) în controlul accesului.
- Creați sau identificați un grup RBAC sau ABAC căruia i se va atribui rolul relevant (de exemplu, Virtual Machine Contributor) pentru mașina virtuală.
- Configurați atribuirea rolului în Azure PIM și solicitați autentificarea multi-factor în setările rolului.
- Atribuiți rolul grupului utilizând PIM, astfel încât membrii să trebuiască să activeze rolul cu MFA înainte de a obține acces privilegiat la mașina virtuală.
- Ca alternativă, utilizați o soluție terță de gestionare a accesului privilegiat (PAM) pentru a impune MFA la autentificările pe mașina virtuală.
- Revizuiți toate identitățile existente cu acces direct sau pe bază de grup la mașina virtuală și eliminați-le pe cele care nu necesită MFA.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 Secțiunea 8.10 (Nivelul 2)
- EIDSCA – Asigurați MFA pentru accesul privilegiat la mașinile virtuale
- CISA – Autentificare multi-factor pentru accesul la resurse cloud
Resurse conexe
- What is Privileged Identity Management?
- Require MFA for Azure AD role activation in PIM
- Managed identities for Azure resources