Ensure only MFA enabled identities can access privileged Virtual Machine
Prečo je to dôležité
Ak identity bez viacfaktorovej autentifikácie majú prístup k privilegovaným virtuálnym strojom, útočník, ktorý získa platné poverenia, sa môže prihlásiť, pohybovať sa laterálne a zneužiť spravovanú identitu VM na prístup k cloudovým zdrojom alebo vykonávanie neoprávnených administratívnych akcií. Vyžadovanie MFA pre tieto privilegované prihlásenia výrazne znižuje riziko krádeže poverení vedúcej k laterálnemu pohybu a ohrozeniu zdrojov.
Čo kontroluje Aether365
Táto kontrola overuje, že k privilegovaným virtuálnym strojom majú prístup len identity s povolenou MFA. Zobrazuje sa v riadiacom paneli Aether365 v kategórii kontrol Azure Virtual Machines.
Ako opraviť
- Zabezpečte, aby váš tenant mal licenciu Entra ID P2 na používanie Privileged Identity Management (PIM) na riadenie prístupu.
- Vytvorte alebo identifikujte skupinu RBAC alebo ABAC, ktorej bude priradená príslušná rola (napr. Virtual Machine Contributor) pre virtuálny stroj.
- Nakonfigurujte priradenie roly v Azure PIM a v nastaveniach roly vyžadujte viacfaktorovú autentifikáciu.
- Priraďte rolu skupine pomocou PIM, aby členovia museli aktivovať rolu s MFA pred získaním privilegovaného prístupu k VM.
- Alternatívne použite riešenie riadenia privilegovaného prístupu (PAM) tretej strany na vynútenie MFA pre prihlásenia do VM.
- Skontrolujte všetky existujúce identity s priamym alebo skupinovým prístupom k VM a odstráňte všetky, ktoré nevyžadujú MFA.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 Sekcia 8.10 (Úroveň 2)
- EIDSCA – Zabezpečenie MFA pre privilegovaný prístup k virtuálnym strojom
- CISA – Viacfaktorová autentifikácia pre prístup ku cloudovým zdrojom
Súvisiace zdroje
- Čo je Privileged Identity Management?
- Vyžadovať MFA na aktiváciu rolí Azure AD v PIM
- Spravované identity pre zdroje Azure