Agencja rządowa USA – CISA | Cybersecurity and Infrastructure Security Agency – opublikowała rekomendacje dla konfiguracji zabezpieczeń w usługach Microsoft Azure Active Directory i Microsoft 365.
W dokumencie datowanym na październik 2022 i opatrzonym dopiskiem Draft (szkic):
Microsoft Azure Active Directory M365 Minimum Viable Secure Configuration Baseline.
Draft Version 0.1.
znajdziemy zalecane ustawienia dla usługi Microsoft 365, które CISA uznaje jako minimalnie wymagane.
Większość z nich wywodzi się z metodyki Zero Trust (Metodyka Braku Zaufania – nigdy nie ufaj, zawsze kontroluj) i technologicznie wymaga zasad dostępu warunkowego. W ofercie Microsoft dostęp warunkowy to element subskrypcji Microsoft 365 Business Premium i wyższych.
W ofercie RedFlag usługa CloudAdmin zawiera technologię i usługi dla Zero Trust. Pozwala to w 100% dostosować się do rekomendacji CISA.
Każda organizacja może zweryfikować stan aktywnie stosowanych zabezpieczeń używając 18 punktów kontrolnych.
1. Podstawowe protokoły uwierzytelnienia POWINNY ZOSTAĆ zablokowane
2. Użytkownicy wysokiego ryzyka POWINNI ZOSTAĆ zablokowani przy logowaniu
3. Logowanie wysokiego ryzyka POWINO ZOSTAĆ zablokowane
4. Odporne na phishing uwierzytelnianie wieloskładnikowe JEST wymagane dla wszystkich użytkowników
5. Dzienniki usługi Azure AD POWINNY BYĆ archiwizowane
6. Tylko administratorzy MOGĄ rejestrować aplikacje stron trzecich
7. Użytkownicy niebędący administratorami NIE MOGĄ udzielać zgody na aplikacje stron trzecich
8. Hasła NIE WYGASAJĄ
9. Długość sesji przeglądarki JEST ograniczona
10. Sesje przeglądarki NIE MOGĄ być trwałe
11. Liczba użytkowników z najwyższymi uprawnieniami POWINNA BYĆ ograniczona
12. Wysoce uprzywilejowane konta użytkowników BĘDĄ dostępne wyłącznie w chmurze
13. Uwierzytelnianie wieloskładnikowe JEST wymagane dla wysoce uprzywilejowanych ról
14. Użytkownicy przypisani do wysoce uprzywilejowanych ról NIE MAJĄ trwałych uprawnień
15. Aktywacja wysoce uprzywilejowanych ról POWINNA wymagać zatwierdzenia
16. Wysoce uprzywilejowane przydzielanie i aktywowanie ról POWINNO BYĆ monitorowane
17. Zarządzane urządzenia POWINNY BYĆ wymagane do uwierzytelniania
18. Dostęp gościa POWINIEN BYĆ ograniczony
Oryginalny tytuł publikacji: Microsoft Azure Active Directory M365 Minimum Viable Secure Configuration Baseline, Draft Version 0.1
Oryginalny link do publikacji
https://www.cisa.gov/sites/default/files/publications/Microsoft%20Azure%20Active%20Directory%20M365%20Minimum%20Viable%20SCB%20Draft%20v0.1.pdf#:~:text=CISA%20recommends%20placing%20highly%20privileged%20users%20into%20an,of%20the%20following%20phishing-resistant%20MFA%20methods%20to%20configure%3A