次の方法で共有

セキュリティ制御 v3: 特権アクセス

Privileged Access には、Azure テナントとリソースへの特権アクセスを保護するための制御が含まれます。これには、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的で不注意なリスクから保護するためのさまざまな制御が含まれます。

PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.4, 6.8 AC-2、AC-6 7.1, 7.2, 8.1

セキュリティ原則: ビジネスへの影響が大きいすべてのアカウントを特定していることを確認します。 クラウドのコントロール プレーン、管理プレーン、およびデータ/ワークロード プレーン内の特権/管理アカウントの数を制限します。

Azure ガイダンス: Azure Active Directory (Azure AD) は、Azure の既定の ID およびアクセス管理サービスです。 Azure AD で最も重要な組み込みロールは、グローバル管理者と特権ロール管理者です。これら 2 つのロールに割り当てられたユーザーは管理者ロールを委任できるためです。 これらの特権を使用すると、ユーザーは Azure 環境内のすべてのリソースを直接または間接的に読み取り、変更できます。

  • グローバル管理者/会社管理者: このロールを持つユーザーは、Azure AD のすべての管理機能と、Azure AD ID を使用するサービスにアクセスできます。
  • 特権ロール管理者: このロールを持つユーザーは、Azure AD および Azure AD Privileged Identity Management (PIM) 内でロールの割り当てを管理できます。 さらに、このロールにより、PIM と管理単位のすべての側面を管理できます。

Azure AD の外部には、リソース レベルでの特権アクセスに不可欠なロールが組み込まれています。

  • 所有者: Azure RBAC でロールを割り当てる機能を含め、すべてのリソースを管理するためのフル アクセスを許可します。
  • 共同作成者: すべてのリソースを管理するためのフル アクセス権を付与しますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。
  • ユーザー アクセス管理者: Azure リソースへのユーザー アクセスを管理できます。 注: 特定の特権アクセス許可が割り当てられた Azure AD レベルまたはリソース レベルでカスタム ロールを使用する場合は、その他の重要なロールを管理する必要がある場合があります。

また、Active Directory ドメイン コントローラー (DC)、セキュリティ ツール、ビジネス クリティカル なシステムにエージェントをインストールしたシステム管理ツールなど、ビジネス クリティカルな資産への管理アクセス権を持つ他の管理、ID、およびセキュリティ システムの特権アカウントも制限します。 これらの管理システムとセキュリティ システムを侵害する攻撃者は、ビジネス上重要な資産を侵害するためにすぐにそれらを武器化できます。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-2: ユーザー アカウントとアクセス許可の永続的なアクセスを回避する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし AC-2 なし

セキュリティ原則: 永続的な特権を作成する代わりに、Just-In-Time (JIT) メカニズムを使用して、さまざまなリソース層に特権アクセスを割り当てます。

Azure ガイダンス: Azure AD Privileged Identity Management (PIM) を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) 特権アクセスを有効にします。 JIT は、ユーザーが特権タスクを実行するための一時的なアクセス許可を受け取るモデルです。これにより、アクセス許可の有効期限が切れた後に、悪意のあるユーザーまたは承認されていないユーザーがアクセスを取得できなくなります。 ユーザーが必要な場合にのみ、アクセスが許可されます。 PIM は、Azure AD 組織で疑わしいアクティビティや安全でないアクティビティがある場合にも、セキュリティ アラートを生成できます。

Microsoft Defender for Cloud の Just-In-Time (JIT) で VM アクセス機能を使用して、機密性の高い仮想マシン (VM) 管理ポートへの受信トラフィックを制限します。 これにより、VM への特権アクセスは、ユーザーが必要な場合にのみ付与されます。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-3: ID とエンタイトルメントのライフサイクルを管理する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1, 6.2 AC-5、AC-6 7.1, 7.2, 8.1

セキュリティ原則: 自動化されたプロセスまたは技術コントロールを使用して、要求、レビュー、承認、プロビジョニング、プロビジョニング解除など、ID とアクセスのライフサイクルを管理します。

Azure ガイダンス: Azure AD エンタイトルメント管理機能を使用して、(Azure リソース グループの) 要求ワークフローへのアクセスを自動化します。 これにより、Azure リソース グループのワークフローで、アクセスの割り当て、レビュー、有効期限、デュアルまたはマルチステージの承認を管理できます。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-4: ユーザー アクセスを定期的に確認して調整する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.1, 5.3, 5.5 AC-2、AC-6 7.1、7.2、8.1、A3.4

セキュリティ原則: 特権アカウントの権利の定期的なレビューを実施します。 アカウントに付与されたアクセス権が、コントロール プレーン、管理プレーン、およびワークロードの管理に対して有効であることを確認します。

Azure ガイダンス: Azure テナント、Azure サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、Azure のすべての特権アカウントとアクセス権を確認します。

Azure AD アクセス レビューを使用して、Azure AD ロールと Azure リソース アクセス ロール、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセスを確認します。 Azure AD レポートでは、古いアカウント、一定の時間使用されていないアカウントを検出するのに役立つログを提供することもできます。

さらに、Azure AD Privileged Identity Management は、特定のロールに対して過剰な数の管理者アカウントが作成されたときにアラートを生成し、古いまたは不適切に構成された管理者アカウントを識別するように構成できます。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-5: 緊急アクセスを設定する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし AC-2 なし

セキュリティ原則: 緊急時に重要なクラウド インフラストラクチャ (ID やアクセス管理システムなど) から誤ってロックアウトされないように緊急アクセスを設定します。

緊急アクセス アカウントはほとんど使用しないでください。また、侵害された場合に組織に大きく損害を与える可能性がありますが、組織に対する可用性は、必要な場合のいくつかのシナリオでも非常に重要です。

Azure ガイダンス: Azure AD 組織から誤ってロックアウトされないようにするには、通常の管理者アカウントを使用できない場合に、緊急アクセス アカウント (グローバル管理者ロールを持つアカウントなど) をアクセス用に設定します。 緊急アクセスアカウントは通常、高い特権を持ち、特定の個人に割り当ててはなりません。 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない、緊急時や "ブレーク グラス" シナリオのために制限されています。

緊急アクセス アカウントの資格情報 (パスワード、証明書、スマート カードなど) は、緊急時にのみ使用する権限を持つ個人に対してのみ、セキュリティで保護され、認識されるようにする必要があります。 また、このプロセスのセキュリティを強化するために、追加のコントロール (資格情報を 2 つの部分に分割して別のユーザーに付与するなど) などの追加のコントロールを使用することもできます。 また、サインインログと監査ログを監視して、緊急アクセスアカウントが承認下でのみ使用できることを確認する必要があります。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-6: 特権アクセス ワークステーションを使用する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.8, 13.5 AC-2、SC-2、SC-7 なし

セキュリティ原則: セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービス オペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。

Azure ガイダンス: Azure Active Directory、Microsoft Defender、または Microsoft Intune を使用して、特権アクセス ワークステーション (PAW) をオンプレミスまたは Azure に特権タスク用に展開します。 PAW は、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなど、セキュリティで保護された構成を適用するために一元的に管理する必要があります。

また、仮想ネットワーク内でプロビジョニングできる完全にプラットフォームで管理される PaaS サービスである Azure Bastion を使用することもできます。 Azure Bastion では、ブラウザーを使用して Azure portal から直接仮想マシンに RDP/SSH 接続できます。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-7: 必要十分な管理 (最小限の特権) の原則に従う

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.3, 6.8 AC-2、AC-3、AC-6 7.1, 7.2

セキュリティ原則: 十分な管理 (最小限の特権) の原則に従って、きめ細かいレベルでアクセス許可を管理します。 ロールベースのアクセス制御 (RBAC) などの機能を使用して、ロールの割り当てを使用してリソース アクセスを管理します。

Azure ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ロールの割り当てを使用して Azure リソース アクセスを管理します。 RBAC を使用して、ユーザー、グループ サービス プリンシパル、マネージド ID にロールを割り当てることができます。 特定のリソースには定義済みの組み込みロールがあり、これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたはクエリを実行できます。

Azure RBAC を使用してリソースに割り当てる特権は、常にロールに必要なものに制限する必要があります。 制限付き特権は、Azure AD Privileged Identity Management (PIM) の Just-In-Time (JIT) アプローチを補完します。これらの特権は定期的に確認する必要があります。 必要に応じて、PIM を使用してロールの割り当てで時間の長さ (期限付き割り当て) 条件を定義することもできます。ここで、ユーザーは開始日と終了日内でのみロールをアクティブ化または使用できます。

注: Azure 組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

PA-8 クラウド プロバイダーサポートのアクセス プロセスを決定する

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1, 6.2 AC-4、AC-2、AC-3 なし

セキュリティ原則: セキュリティで保護されたチャネルを介して、ベンダー サポート要求とデータへの一時的なアクセスを要求および承認するための承認プロセスとアクセス パスを確立します。

Azure ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して、各 Microsoft のデータ アクセス要求を確認および承認または拒否します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):