Ensure only MFA enabled identities can access privileged Virtual Machine
Varför detta är viktigt
Om identiteter utan multifaktorautentisering kan få åtkomst till privilegierade virtuella maskiner kan en angripare som komprometterar giltiga autentiseringsuppgifter logga in, röra sig lateralt och missbruka den virtuella maskinens hanterade identitet för att komma åt molnresurser eller utföra obehöriga hanteringsåtgärder. Genom att kräva MFA för dessa privilegierade inloggningar minskar risken avsevärt för att stulna autentiseringsuppgifter leder till lateral rörelse och kompromettering av resurser.
Vad Aether365 kontrollerar
Denna kontroll verifierar att endast MFA-aktiverade identiteter beviljas åtkomst till privilegierade virtuella maskiner. Den visas på Aether365-instrumentpanelen under kontrollkategorin Azure Virtual Machines.
Åtgärd
- Se till att din klientorganisation har en Entra ID P2-licens för att använda Privileged Identity Management (PIM) för åtkomstkontroll.
- Skapa eller identifiera en RBAC- eller ABAC-grupp som ska tilldelas relevant roll (t.ex. Virtual Machine Contributor) för den virtuella maskinen.
- Konfigurera rolltilldelningen i Azure PIM och kräv multifaktorautentisering i rollinställningarna.
- Tilldela rollen till gruppen med PIM, så att medlemmar måste aktivera rollen med MFA innan de får privilegierad VM-åtkomst.
- Alternativt kan du använda en tredjepartslösning för privilegierad åtkomsthantering (PAM) för att framtvinga MFA för VM-inloggningar.
- Granska alla befintliga identiteter med direkt eller gruppbaserad åtkomst till den virtuella maskinen och ta bort alla som inte kräver MFA.
Regelefterlevnad
- CIS Microsoft Azure Foundations 3.0.0 Avsnitt 8.10 (Nivå 2)
- EIDSCA – Säkerställ MFA för privilegierad VM-åtkomst
- CISA – Multifaktorautentisering för åtkomst till molnresurser
Relaterade resurser
- What is Privileged Identity Management?
- Require MFA for Azure AD role activation in PIM
- Managed identities for Azure resources