GTI广州科宸(点击观看原文)
大家早上好。
6月份全国疫情防控取得重大战略成果,大家仍然时刻绷紧疫情防控这根弦,扎实推进复工复产复学,为快速恢复经济社会发展活力贡献着自己的光和热。我在这里给大家加油和点赞!
在这次疫情防控中,“宅经济”“线上经营”“智能制造”等数字经济业态快速发展,各类互联网平台在防疫物资生产、调配、销售方面发挥了重要作用。我发现身边很多企业正在积极布局落实国家所制定的“两新一重”的建设战略。将新型基础设施建设与新型城镇化建设有机结合,推动重大工程建设数字化转型和智能化升级,努力实现新基建和新产业双轮驱动。
众所周知云计算是数字化转型必经之路,而网络安全更是云计算的核心组件。安全责任共担是目前所有云计算网络运营者共同策略,也遵循了行业标准及国家法律法规的要求,所以很多用户高度重视并已经积极采取了行动。本次我将分享我们工程师团队在微软Azure China安全方面的最佳实践。
在我与众多企业的信息化高管项目互动的过程中,受到了很多感悟启示。做信息安全就如疫情防控,首先要重视和绷紧弦、然后认真地梳理评估重要业务的暴露面和风险、与此同时积极缓解/修补所梳理出的高风险漏洞、接下来逐步搭建自身所能适应的安全运维管理平台。人人争当“专业背锅侠”,放弃“懒政不作为”的思想,信息安全的建设就能如疫情防控一样定能取得重大战略成果。
Azure China是外企、民企、制造业、零售等行业首选公有云网络运营者。Azure China所定义的共担安全责任模型如下图,我们可以在安全上下文中重新构建这个模型。根据您所选的服务类型,服务中将内置一些安全保护措施,而其他保护措施则由客户负责。必须仔细评估所选择的服务和技术,以确保为体系结构提供适当的安全控制。
如上图所示,无论用户选择的是IaaS、或PaaS、或SaaS服务,其中标识和目录基础结构、帐户和访问管理都是用户所需承担安全责任的范畴。
标识和目录基础结构:
帐户和访问管理:
MFA和条件访问策略
希望本文的最佳实践内容对正在或即将使用Azure China的新、老朋友有所帮助,同时也对老朋友表达感激之情。有困难我们一起抗,坚决地与大家携手应对,共克时艰。
如下实践内容全部来自我亲爱的同事Tony Ding,他一边做项目实施交付、一边进行整理并记录,12个场景 - 5个高风险、7个中风险。供大家参考和交流。
高风险:
-
活动目录 - 只有管理员组才可以创建安全组
-
活动目录 - 只有管理员组才可以管理 Office 365 组
-
活动目录 - 只有管理员组才可以管理安全组
-
活动目录 - 禁用自助服务组管理
-
活动目录 - 禁用记住多重身份验证
中风险:
-
访问控制 - 删除自定义的所有者角色
-
活动目录 - 删除 Active Directory中不需要的 Guest 来宾用户
-
活动目录 - 启用 All Users 用户组
-
活动目录 - 启用密码重置的双重标识
-
活动目录 - 为非特权用户启用多因素身份验证
-
活动目录 - 为特权用户启用多因素身份验证
-
活动目录 - 启用身份验证重新确认
目标
确保在 Azure Active Directory 组设置 - “用户可以在 Azure 门户中创建安全组” 选项设置为 否 ,从而确保非特权用户不能通过 Azure 门户创建安全组。
安全组用于管理一组用户对于Azure共享资源中的成员和计算机进行访问。当 “用户可以在 Azure 门户中创建安全组” 选项设置为 是,你的 Active Directory 账户中的所有用户可以创建新的安全组,并可以向这些安全组添加成员。除非您的业务需要权限委派,否则安全组的创建应仅限于AD管理员。
注意:目前还不支持通过 Microsoft Graph API or Azure CLI 获取 “用户可以在 Azure 门户中创建安全组” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。
风险等级
高(不可接受的风险)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_2_ActiveDirectory_CreateSecurityGroup/index.html#more
目标
确认只有 Active Directory(AD) 管理员组的账户再能够管理 Office 365 组。确认 Azure Active Directory 设置中的 “用户可以在 Azure 门户中创建 Office 365 组” 策略设置为 否,确保非特权管理用户不能够通过 Azure Portal 管理 Office 365 用户组。默认情况下,所有组的所有者都可以在Azure活动目录中将其他成员分配为组的所有者。
根据您的业务需求,您可以使用 Azure Active Direcroty 设置,来实现对用户自助服务组管理的更细粒度访问控制。仅允许 Activ Directory 的管理员可以管理 Office 365 组,禁止用户对此类型的组进行任何更改。这可确保 Office 365 组的管理权限不会委派给未经授权的用户。
注意:目前还不支持 通过 Microsoft Graph API or Azure CLI 获取 “用户可以在 Azure 门户中创建 Office 365 组” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。
风险等级
高(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_3_ActiveDirectory_CreateO365Group/index.html#more
目标
确认只有 Active Directory(AD)管理员 才可以管理安全组。需确认 Azure Active Directory 设置中的 “可以将成员分配为 Azure 门户中组所有者的所有者” 策略设置为 无,确保非特权管理用户不能够通过 Azure Portal 管理安全组。默认情况下,所有组所有者都可以在Azure活动目录中将其他成员分配为组的所有者。
仅将安全组管理的权限限制为 Active Directory 的管理员,禁止普通用户更改安全组。这可确保安全组仅由Azure Active Directory 活动目录帐户中指定的授权用户来进行管理。
注意:目前还不支持 通过 Microsoft Graph API or Azure CLI 获取 “可以将成员分配为 Azure 门户中组所有者的所有者” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。
风险等级
高(不可接受的风险)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_4_ActiveDirectory_ManageSecurityGroup/index.html#more
目标
确认对于非管理用户禁用了 Active Directory(AD)自助服务组管理。确保非管理员用户无法在你的 Azure Active Directory 中创建和管理 安全组 和 Office 365 组。一旦对非管理员用户禁用了自助服务组管理,这些用户就无法再更改自身的组配置,也无法通过批准其他用户加入其现有组的请求来管理其成员身份。
自助服务组管理允许用户在 Azure Active Directory(AD)中创建和管理安全组或 Office 365 组。自助服务组管理还可以将所有者分组,以便将所有权分配给其他用户。由于这些组可以授予对敏感和私有的信息或 Azure AD 关键配置的访问权限,因此应为所有非管理员用户禁用自助服务组管理功能。
风险等级
高(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_7_ActiveDirectory_DisableSelfServiceGroupManage/index.html#more
目标
确认允许用户记住他们信任的设备上的多因素身份验证。确保在你的 Microsoft Azure 帐户中 禁用 “允许用户在其信任的设备上记住多重身份验证 ”功能,以确保你的用户不被允许绕过 MFA的验证。多因素身份验证是一种有效的方法,在通常使用的访问凭据外,额外要求虚拟设备或硬件设备生成的身份验证码来验证你的Azure用户身份。
记住设备和浏览器的多因素身份验证(MFA)允许 Microsoft Azure 用户在使用MFA密码执行成功登录后的特定天数内可以选择绕过MFA。记住MFA可以通过减少用户需要在同一设备上执行两步验证的次数来增强可用性,但是,如果帐户或设备受到入侵,记住受信任设备和浏览器的多因素身份验证可能导致安全漏洞。当“允许用户在其信任的设备上记住多重身份验证 ”功能被禁用时,对于每次登录尝试,都将要求用户执行多因素身份验证。
风险等级
高(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_6_ActiveDirectory_DisableRemeberMFA/index.html#more
前言
最近一直在花时间研究 Azure 云上的安全措施。根据官方发布的(例如 Microsoft Doc 以及 CIS Microsoft Azure Foundations Benchmark v1.0.0)最佳实践作为指导,考虑自己写一些 Audit 的脚本,对于用户的大规模场景可以快速统计那些不合规的配置,并生成最终的分析报表。
采用的语言平台及工具为:
-
PowerShell 7.0.1
-
Azure CLI 2.6.0
目标
确保你的 Azure 帐户中没有自定义 Subscription 订阅所有者的角色存在,以便遵守云安全的最佳实践,并实现最小权限原则 - 这是为每个用户提供执行其任务所需的最小访问权限的最佳做法。
典型的 Azure Subscription 订阅管理员角色提供基本的访问管理。如果分配给自定义订阅所有者角色,让其具有完全的管理权限,并且分配范围是所有的订阅,那它可以执行任何操作 (例如 “*“)。作为安全的最佳实践,强烈建议在刚开始时,给予最少的必要权限。以后可根据需要,Account 帐户持有人可以再添加权限。这将确保 Azure Account 帐户持有者无法执行非预期的操作。
风险等级
中(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_1_AccessControl/index.html#more
目标
确认在 Azure Active Directory 中不存在没有必要的 Guest 来宾用户。
对于 Microsoft Azure 企业对企业(B2B)协作,每个活动目录(AD)的 Guest 来宾用户都需要与企业所有者或业务流程相关联。当不需要 B2B 协作时,请确保 Microsoft Azure 帐户中没有可用的 AD Guest 来宾用户。
Active Directory Business-To-Business(B2B)协作用于与来自其他组织的来宾用户和外部合作伙伴安全地共享应用程序和服务,同时保持对自己数据的完全控制。Azure AD 被配置为处理 B2B 的协作,允许您邀请组织外部的人成为 Azure 云帐户中的 Guest 来宾用户。除非您有真正的业务需求,需要向外部用户提供 Guest 来宾访问,否则请避免创建此类来宾用户。Active Directory 来宾用户通常在公司管理的员工入职/离职流程的情况之外添加,这最终可能导致潜在的安全漏洞。
风险等级
中(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_5_ActiveDirectory_ManageGuestAccount/index.html#more
目标
确保已启用 “All Users” 组,以便在您的 Active Directory 帐户中进行集中访问管理。确保在 Azure Active Directory(AD)的组中通过包含所有用户的规则生成器生成动态组,以便启用 “All Users” 组进行集中访问管理。此组表示 Active Directory 用户(包括来宾和外部用户)的整个集合,您可以使用这些用户在目录中使访问权限更易于管理。
“All Users”组可用于向 Azure Active Directory 帐户中的所有用户分配相同的权限。例如,目录中的所有用户都可以通过分配一组特定的权限来访问 SaaS 应用程序,这些权限允许应用程序访问 “All Users” 专用组。这确保为所有现有和未来用户创建了一个通用策略,并且不需要实现单独的访问权限。
风险等级
中(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_8_ActiveDirectory_EnableAllUsersGroup/index.html#more
目标
启用密码重置的双重标识,确保用户密码重置所需的方法数设置为 2个。
确保在允许重置 Azure Active Directory(AD)的密码之前提供了两种备用的用户标识形式。当至少提供了在 Azure Active Directory 设置中配置的密码重置所需的方法数,则可以成功重置用户密码。
在允许在你的 Azure Active Directory 帐户中重置密码之前启用双重身份验证,通过确保用户身份由两种不同的身份验证形式(如电子邮件和短信)进行确认,增强了访问安全性。攻击者必须攻陷重置用户密码所需的 2个 方法后,他才能完成恶意重置 Azure Active Directory 用户密码。
风险等级
中(应该实施)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_10_ActiveDirectory_EnableDualIDForPasswordReset/index.html#more
目标
确保为非特权用户(如开发人员、服务读者或运营商)启用多因素身份验证(MFA),以帮助保护对 Microsoft Azure 云数据和应用程序的访问。MFA 通过在现有用户凭据的基础上提供额外的安全保护,使用第二种身份验证形式来保护员工、客户和合作伙伴的访问,降低了组织风险并帮助实现法规遵从性。默认情况下,对所有 Microsoft Azure用户禁用了多因素身份验证。MFA 代表了一种简单有效的验证 Azure 云用户身份的方法,它要求由虚拟或硬件设备生成的身份验证码,以及常规的访问凭据(即用户名和密码)。如果在启用了 Azure 多因素身份验证的情况下,攻击者即使设知道了用户的账号及密码,如果没法通过其他身份的验证方法,则泄露的身份验证信息也将毫无用处。
风险等级
中(不可接受的风险)
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_11_ActiveDirectory_EnableMFAForNonPrivilegedAzureUser/index.html#more
确认为所有特权用户启用了多因素身份验证功能。确保Microsoft Azure 帐户中的云资源具有写访问权限的所有用户凭据已经启用多因素身份验证。多因素身份验证(MFA)是一种简单而有效的方法,除了你通用的访问凭据(如用户名和密码)外,还使用虚拟或硬件设备生成的身份验证码(也称为 PassCode)来验证你的Azure用户身份。拥有受MFA保护的Azure帐户,是保护云资源免受恶意用户和攻击者攻击的有效方法,因为多因素身份验证通过要求特权用户(参与者,订阅所有者和服务共同管理员)在授予其访问权限之前提供至少两种独立的授权形式。在了启用多因素身份验证(MFA)的情况下,攻击者需要至少攻破两种不同的身份验证机制,从而增加了攻破访问凭据的难度,从而显著降低了攻击风险。
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_12_ActiveDirectory_EnableMFAForPrivilegedAzureUser/index.html#more
启用身份验证重新确认,请确保已在活动目录密码重置策略中启用用户身份验证信息重新确认。“要求用户重新确认其身份验证信息之前的天数” 表示在指定的一段时间(最多 730天)后,AD 注册用户需要重新确认其现有身份验证信息,以确保这些信息仍然有效。如果禁用了身份重新验证(即设置为 0 天),则不会提示 Active Directory 用户需要重新验证身份的信息。
阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_9_ActiveDirectory_EnableAuthenticationReconfirmation/index.html#more
- 如有类似需求,欢迎与我们联系。-
- 谢谢您的阅读。-
Azure Security 云安全管理服务:
-
Azure安全基准配置评估和加固
-
安全架构咨询、设计、交付
-
实施多层纵深防御、零信任网络模型
-
主动合规等保三级2.0
-
管理服务/年度(远程 or 现场)
ACR 云消费优化管理服务:
-
自动化审计报表,集成Power BI可视化展示
-
业务部门自助门户 - 创建/回收资源
-
服务工单门户 - 创建/跟踪/变更
-
管理服务/年度(远程 or 现场)
-
我们的特色在于可以帮助用户交付本地、私有云与公有云安全一致性的解决方案,为企业数字化转型保驾护航、行稳致远。
GTI技术团队致力与您一起工作,帮助您解决企业组织在数字化转型旅程中所遇到的难题。
我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。
疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)
我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。
疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)