Ensure only MFA enabled identities can access privileged Virtual Machine
Bunun Önemi
Çok faktörlü kimlik doğrulama olmadan ayrıcalıklı sanal makinelere erişebilen kimlikler varsa, geçerli kimlik bilgilerini ele geçiren bir saldırgan oturum açabilir, yanal hareket edebilir ve bulut kaynaklarına erişmek veya yetkisiz yönetim işlemleri gerçekleştirmek için VM'nin yönetilen kimliğini kötüye kullanabilir. Bu ayrıcalıklı oturum açma işlemleri için MFA gerektirmek, kimlik bilgisi hırsızlığının yanal harekete ve kaynakların ele geçirilmesine yol açma riskini önemli ölçüde azaltır.
Aether365'in Kontrol Ettiği
Bu kontrol, yalnızca MFA etkin kimliklerin ayrıcalıklı sanal makinelere erişim iznine sahip olduğunu doğrular. Aether365 panosunda Azure Sanal Makineler kontroller kategorisi altında görünür.
Nasıl Düzeltilir
- Erişim denetimi için Privileged Identity Management (PIM) kullanmak üzere kiracınızda bir Entra ID P2 lisansı bulunduğundan emin olun.
- Sanal makine için ilgili rolün (örneğin, Sanal Makine Katılımcısı) atanacağı bir RBAC veya ABAC grubu oluşturun veya belirleyin.
- Rol atamasını Azure PIM içinde yapılandırın ve rol ayarlarında çok faktörlü kimlik doğrulamayı zorunlu kılın.
- Rolü PIM kullanarak gruba atayın, böylece üyeler ayrıcalıklı VM erişimi elde etmeden önce MFA ile rolü etkinleştirmek zorunda kalır.
- Alternatif olarak, VM oturum açma işlemleri için MFA'yı zorlamak üzere üçüncü taraf bir ayrıcalıklı erişim yönetimi (PAM) çözümü kullanın.
- VM'ye doğrudan veya grup tabanlı erişimi olan mevcut tüm kimlikleri gözden geçirin ve MFA gerektirmeyenleri kaldırın.
Uyumluluk
- CIS Microsoft Azure Foundations 3.0.0 Bölüm 8.10 (Seviye 2)
- EIDSCA – Ayrıcalıklı sanal makine erişimi için MFA'yı zorunlu kılın
- CISA – Bulut kaynağı erişimi için çok faktörlü kimlik doğrulama
İlgili Kaynaklar
- Ayrıcalıklı Kimlik Yönetimi nedir?
- PIM'de Azure AD rol etkinleştirme için MFA gerektirme
- Azure kaynakları için yönetilen kimlikler