标识和访问安全建议
本文列出了 Microsoft Defender for Cloud 中可能会显示的所有标识和访问安全建议。
环境中显示的建议基于要保护的资源和自定义配置。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
提示
如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议。
例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅用于基本建议可简化策略管理。
Azure 标识和访问建议
最多只能为订阅指定 3 个所有者
说明:为了减少被入侵的所有者帐户泄露的可能性,我们建议将所有者帐户数限制为最多 3 个(相关策略:最多应为订阅指定 3 个所有者)。
严重性:高
对 Azure 资源拥有所有者权限的帐户应启用 MFA
说明:如果只使用密码来对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常对多个服务使用弱密码。 通过启用多重身份验证 (MFA),可以为帐户提供更高的安全性,同时仍然允许用户通过单一登录 (SSO) 在几乎所有应用程序进行身份验证。 多重身份验证是一种在登录期间提示用户提供另一种形式的标识的过程。 例如,可能会将代码发送到其手机,或者可能要求他们进行指纹扫描。 建议为对 Azure 资源具有所有者权限的所有帐户启用 MFA,以防止违规和攻击。 此处提供了更多详细信息和常见问题解答:管理订阅上的多重身份验证 (MFA) 实施(无相关策略)。
严重性:高
对 Azure 资源拥有读取权限的帐户应启用 MFA
说明:如果只使用密码来对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常对多个服务使用弱密码。 通过启用多重身份验证 (MFA),可以为帐户提供更高的安全性,同时仍然允许用户通过单一登录 (SSO) 在几乎所有应用程序进行身份验证。 多重身份验证是一个在登录期间提示用户提供另一种形式的标识的过程。 例如,可能会将代码发送到其手机,或者可能要求他们进行指纹扫描。 建议为对 Azure 资源具有读取权限的所有帐户启用 MFA,以防止违规和攻击。 此处提供了更多详细信息和常见问题。 (无相关策略)
严重性:高
对 Azure 资源拥有写入权限的帐户应启用 MFA
说明:如果只使用密码来对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常对多个服务使用弱密码。 通过启用多重身份验证 (MFA),可以为帐户提供更高的安全性,同时仍然允许用户通过单一登录 (SSO) 在几乎所有应用程序进行身份验证。 多重身份验证是一个在登录期间提示用户提供另一种形式的标识的过程。 例如,可能会将代码发送到其手机,或者可能要求他们进行指纹扫描。 建议为对 Azure 资源具有写入权限的所有帐户启用 MFA,以防止违规和攻击。 此处提供了更多详细信息和常见问题解答:管理订阅上的多重身份验证 (MFA) 实施(无相关策略)。
严重性:高
Azure Cosmos DB 帐户应使用 Azure Active Directory 作为唯一的身份验证方法
说明:向 Azure 服务进行身份验证的最佳方式是使用基于角色的访问控制 (RBAC)。 通过 RBAC,可以保持最低权限原则,并支持在遭到入侵时能够将撤销权限作为有效响应方法。 可以将 Azure Cosmos DB 帐户配置为强制实施 RBAC 作为唯一的身份验证方法。 配置强制实施时,会拒绝所有其他访问方法(主/辅助密钥和访问令牌)。 (无相关策略)
严重性:中等
应删除对 Azure 资源拥有所有者权限的已封锁帐户
说明:应从 Azure 资源中删除被阻止登录到 Active Directory 的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)
严重性:高
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户
说明:应从 Azure 资源中删除被阻止登录到 Active Directory 的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)
严重性:高
应从订阅中删除已弃用的帐户
说明:应从订阅中删除已被阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除已弃用的帐户)。
严重性:高
应从订阅中删除拥有所有者权限的已弃用帐户
说明:应从订阅中删除已被阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有所有者权限的已弃用帐户)。
严重性:高
应启用 Key Vault 的诊断日志
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用密钥保管库中的诊断日志)。
严重性:低
应从订阅中删除拥有所有者权限的外部帐户
说明:应从订阅中删除拥有所有者权限的具有不同域名的帐户(外部帐户)。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有所有者权限的外部帐户)。
严重性:高
应从订阅中删除拥有读取权限的外部帐户
说明:应从订阅中删除拥有读取权限的具有不同域名的帐户(外部账户)。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有读取权限的外部帐户)。
严重性:高
应从订阅中删除拥有写入权限的外部帐户
说明:应从订阅中删除拥有写入权限的具有不同域名的帐户(外部账户)。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有写入权限的外部帐户)。
严重性:高
应在 Key Vault 上启用防火墙
说明:密钥保管库防火墙可防止未经授权的流量到达密钥保管库,并为机密提供额外的保护。 启用防火墙可确保只有来自允许的网络的流量可以访问密钥保管库。 (相关策略:应在密钥保管库上启用防火墙)。
严重性:中等
应删除对 Azure 资源拥有所有者权限的来宾帐户
说明:应从 Azure 资源中删除已在 Azure Active Directory 租户(不同域名)外部预配的、具有所有者权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)
严重性:高
应删除对 Azure 资源拥有读取权限的来宾帐户
说明:应从 Azure 资源中删除已在 Azure Active Directory 租户(不同域名)外部预配的、具有读取权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)
严重性:高
应删除对 Azure 资源拥有写入权限的来宾帐户
说明:应从 Azure 资源中删除已在 Azure Active Directory 租户(不同域名)外部预配的、具有写入权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)
严重性:高
Key Vault 密钥应具有到期日期
说明:应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 (相关策略:密钥保管库密钥应具有过期日期)。
严重性:高
Key Vault 机密应具有到期日期
说明:应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 (相关策略:密钥保管库机密应具有到期日期)。
严重性:高
密钥保管库应启用清除保护
说明:恶意删除密钥保管库可能会导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 (相关策略:密钥保管库应启用清除保护)。
严重性:中等
密钥保管库应启用软删除
说明:在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 (相关策略:密钥保管库应启用软删除)。
严重性:高
应在对订阅拥有所有者权限的帐户上启用 MFA
说明:为了防止帐户或资源泄露,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 (相关策略:应在对订阅具有所有者权限的帐户上启用 MFA)。
严重性:高
应在对订阅拥有读取权限的帐户上启用 MFA
说明:为了防止帐户或资源泄露,应为所有拥有读取权限的订阅帐户启用多重身份验证 (MFA)。 (相关策略:应在对订阅具有读取权限的帐户上启用 MFA)。
严重性:高
应在对订阅拥有写入权限的帐户上启用 MFA
说明:为了防止帐户或资源泄露,应为所有拥有写入权限的订阅帐户启用多重身份验证 (MFA)。 (相关策略:应在对订阅具有写入权限的帐户上启用 MFA)。
严重性:高
应启用适用于 Key Vault 的 Microsoft Defender
说明:Microsoft Defender for Cloud 包含 Microsoft Defender for Key Vault,提供额外的安全智能层。 Microsoft Defender for Key Vault 会检测访问或恶意利用 Key Vault 帐户的异常和可能有害的企图。
此计划的保护按 Defender 计划页上所示收费。 如果在此订阅中没有任何密钥保管库,则无需付费。 如果以后在此订阅上创建密钥保管库,则这些帐户将自动受到保护,并开始计费。 详细了解各区域的定价详细信息。 (相关策略:应启用 Azure Defender for Key Vault)。
严重性:高
应禁止存储帐户公共访问
说明:对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 (相关策略:应禁止存储帐户公共访问)。
严重性:中等
应向订阅分配多个所有者
说明:指定多个订阅所有者,以实现管理员访问权限冗余。 (相关策略:应为订阅分配多个所有者)。
严重性:高
存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月
说明:请确保证书的有效期不超过 12 个月。 (相关策略:证书应具有指定的最大有效期)。
严重性:中等