توضح هذه البنية كيف يمكن لفرق مركز عمليات الأمان (SOC) دمج هوية Microsoft Entra وقدرات الوصول في استراتيجية أمان متكاملة ومعدومة الطبقات.
سيطر أمن الشبكات على عمليات SOC عندما تم احتواء جميع الخدمات والأجهزة على الشبكات المدارة في المؤسسات. ومع ذلك، تتوقع Gartner أنه خلال عام 2022، سينمو حجم السوق للخدمات السحابية بمعدل يقارب ثلاثة أضعاف خدمات تقنية المعلومات الإجمالية. مع احتضان المزيد من الشركات للحوسبة في السحاب، هناك تحول نحو التعامل مع هوية المستخدم على أنها حدود الأمان الأساسية.
يعد تأمين الهويات في السحابة أولوية قصوى.
ذكر تقرير تحقيقات خرق البيانات لعام 2020 من Verizon أن 37% انطوت على استخدام بيانات اعتماد مسروقة، وأن 22% من خروقات البيانات تضمنت تصيّداً احتيالياً.
ذكرت دراسة أجرتها شركة IBM عام 2019 عن حوادث خرق البيانات أن متوسط التكلفة العالمية لخرق البيانات بلغ 3.9 ملايين دولار، بمتوسط تكلفة في الولايات المتحدة يقترب من 8.2 ملايين دولار.
أفاد تقرير Microsoft 2019 Security Intelligence أن هجمات التصيد الاحتيالي زادت بهامش 250% بين كانون الثاني (يناير) وكانون الأول (ديسمبر) 2018.
يتعامل نموذج الأمان الصفري مع جميع المضيفين كما لو كانوا يتعاملون مع الإنترنت، ويعتبر الشبكة بأكملها معرضة للخطر ومعادية. يركز هذا النهج على بناء مصادقة قوية، والترخيص، والتشفير، مع توفير وصول مجزأ وسرعة تشغيلية أفضل.
تروّج شركة Gartner لبنية الأمان التكيفية التي تحل محل الإستراتيجية المستندة إلى الاستجابة للحوادث بنموذج منع-اكتشاف-استجابة-توقع. يجمع الأمان التكيفي بين التحكم في الوصول والمراقبة السلوكية وإدارة الاستخدام والاكتشاف مع المراقبة والتحليل المستمر.
تصف البنية المرجعية للأمان عبر الإنترنت من Microsoft (MCRA) قدرات الأمان عبر الإنترنت من Microsoft وكيفية تكاملها مع بنيات الأمان الحالية، بما في ذلك البيئات السحابية والمختلطة، التي تستخدم معرف Microsoft Entra للهوية كخدمة (I الجهاز كخدمة).
تقدم هذه المقالة نهج الأمان التكيفي المعدومة إلى I الجهاز كخدمة، مع التأكيد على المكونات المتوفرة على النظام الأساسي ل Microsoft Entra.
حالات الاستخدام المحتملة
- تصميم حلول أمنية جديدة
- التحسين أو التكامل مع عمليات التنفيذ الحالية
- تثقيف فرق SOC
البنية
قم بتنزيل ملف Visio لهذه البنية.
سير العمل
- إدارة معلومات تسجيل الدخول تتحكم في المصادقة.
- التوفير وإدارة الاستحقاق تحدد حزمة الوصول، وتعيين المستخدمين إلى الموارد، ودفع البيانات من أجل المصادقة.
- يقوم محرك التفويض بتقييم نهج الوصول لتحديد الوصول. يقيِّم المحرك أيضاً اكتشافات المخاطر، بما في ذلك بيانات تحليلات سلوك المستخدم / الكيان (UEBA)، ويفحص امتثال الجهاز لـ إدارة نقطة النهاية.
- في حال الحصول على إذن، يحصل المستخدم أو الجهاز على حق الوصول لكل نُهج وعناصر تحكم الوصول المشروط.
- في حال فشل التفويض، يمكن للمستخدمين إجراء تصحيح في الوقت الحقيقي لإلغاء حظر أنفسهم.
- يتم تسجيل جميع بيانات الجلسة من أجل التحليل وإعداد التقارير.
- يتلقى نظام إدارة المعلومات والأحداث (SIEM) التابع لفريق SOC جميع بيانات السجل واكتشاف المخاطر وبيانات UEBA من السحابة والهويات المحلية.
المكونات
تساهم عمليات الأمان والمكونات التالية في بنية Microsoft Entra I الجهاز كخدمة هذه.
إدارة بيانات الاعتماد
إدارة معلومات تسجيل الدخول تتضمن الخدمات والنُهج والممارسات التي تصدر وتتبع وتحديث الوصول إلى الموارد أو الخدمات. تتضمن إدارة بيانات اعتماد Microsoft Entra الإمكانات التالية:
إعادة تعيين كلمة المرور للخدمة الذاتية (SSPR) تتيح للمستخدمين الخدمة الذاتية وإعادة تعيين كلمات المرور المفقودة أو المنسية أو المخترقة. لا يقلل SSPR من مكالمات مكتب المساعدة فحسب، بل يوفر مزيداً من المرونة والأمان للمستخدم.
إعادة كتابة كلمة المرور تعمل هذه الميزة على مزامنة كلمات المرور التي تم تغييرها في السحابة مع الدلائل المحلية في الوقت الحقيقي.
تحلل كلمات المرور المحظورة بيانات تتبع الاستخدام التي تعرض كلمات المرور الضعيفة أو المخترقة شائعة الاستخدام، وتحظر استخدامها عالميا في جميع أنحاء Microsoft Entra ID. يمكنك تخصيص هذه الوظيفة لبيئتك، وتضمين قائمة بكلمات المرور المخصصة لحظرها داخل مؤسستك.
Smart lockout تقارن محاولات المصادقة المشروعة بمحاولات القوة الغاشمة للحصول على وصول غير مصرح به. بموجب نهج القفل الذكي الافتراضية، يتم قفل الحساب لمدة دقيقة واحدة بعد 10 محاولات تسجيل دخول فاشلة. مع استمرار فشل محاولات تسجيل الدخول، يزداد وقت تأمين الحساب. يمكنك استخدام النُهج لضبط الإعدادات للمزيج المناسب من الأمان وسهولة الاستخدام لمؤسستك.
(مصادقة متعددة العوامل (MFA)) تتطلب أشكالاً متعددة من المصادقة عندما يحاول المستخدمون الوصول إلى الموارد المحمية. معظم المستخدمين معتادون على استخدام شيء يعرفونه، مثل كلمة المرور، عند الوصول إلى الموارد. يطلب مصادقة متعددة العوامل (MFA) من المستخدمين إظهار شيء ما لديهم، مثل الوصول إلى جهاز موثوق به، أو شيء ما، مثل معرف المقاييس الحيوية. يمكن لـ مصادقة متعددة العوامل (MFA) استخدام أنواع مختلفة من طرق المصادقة مثل المكالمات الهاتفية أو الرسائل النصية أو التنبيهات من خلال تطبيق المصادقة.
المصادقة دون كلمة مرور تستبدل كلمة المرور في سير عمل المصادقة بهاتف ذكي أو رمز مميز للأجهزة أو معرف المقاييس الحيوية أو رقم التعريف الشخصي. يمكن أن تعمل المصادقة بدون كلمة مرور من Microsoft مع موارد Azure مثل Windows Hello للأعمال، والتطبيق Microsoft Authenticator على الأجهزة المحمولة. يمكنك أيضا تمكين المصادقة بدون كلمة مرور باستخدام مفاتيح الأمان المتوافقة مع FIDO2، والتي تستخدم WebAuthn وبروتوكول العميل إلى المصادقة (CTAP) الخاص ب FIDO Alliance.
توفير التطبيق والاستحقاق
إدارة الاستحقاق هي ميزة إدارة هوية Microsoft Entra تمكن المؤسسات من إدارة الهوية والوصول إلى دورة الحياة على نطاق واسع. تعمل إدارة الاستحقاق على أتمتة مهام سير عمل طلبات الوصول، والوصول إلى التعيينات، والمراجعات، وانتهاء الصلاحية.
يتيح لك توفير Microsoft Entra إنشاء هويات المستخدم وأدواره تلقائيا في التطبيقات التي يحتاج المستخدمون إلى الوصول إليها. يمكنك تكوين توفير Microsoft Entra لتطبيقات البرامج كخدمة (SaaS) التابعة لجهات خارجية مثل SuccessFactors و Workday وغيرها الكثير.
الدخول الأحادي السلس (SSO) يقوم تلقائياً بمصادقة المستخدمين للتطبيقات المستندة إلى مجموعة النظراء بمجرد تسجيل الدخول إلى أجهزة الشركة. يمكنك استخدام تسجيل الدخول الأحادي السلس من Microsoft Entra إما مع مزامنة تجزئة كلمة المرور أو المصادقة التمريرية.
تساعد المصادقة مع مراجعات صلاحية الوصول إلى Microsoft Entra على تلبية متطلبات المراقبة والتدقيق. تتيح لك مراجعات الوصول القيام بأشياء مثل التحديد السريع لعدد المستخدمين المسؤولين، والتأكد من أن الموظفين الجدد يمكنهم الوصول إلى الموارد المطلوبة، أو مراجعة نشاط المستخدمين لتحديد ما إذا كانوا لا يزالون بحاجة إلى الوصول.
نُهج وضوابط الوصول المشروط
تعد نهج الوصول المشروط بياناً شرطياً للتعيينات وضوابط الوصول. أنت تحدد الاستجابة ("افعل هذا") لسبب تشغيل سياستك ("إذا كان هذا")، ما يمكّن محرك التفويض من اتخاذ القرارات التي تفرض نُهج المؤسسة. باستخدام الوصول المشروط ل Microsoft Entra، يمكنك التحكم في كيفية وصول المستخدمين المعتمدين إلى تطبيقاتك. يمكن أن تساعدك أداة Microsoft Entra ID What If في فهم سبب تطبيق نهج الوصول المشروط أو عدم تطبيقه، أو ما إذا كان سيتم تطبيق نهج على مستخدم في ظروف معينة.
عناصر التحكم في الوصول المشروط تعمل جنباً إلى جنب مع نُهج الوصول المشروط للمساعدة في فرض نهج المؤسسة. تتيح لك عناصر التحكم في الوصول المشروط في Microsoft Entra تنفيذ الأمان استنادا إلى العوامل التي تم اكتشافها في وقت طلب الوصول، بدلا من احتواء الحجم الواحد لكل النهج. من خلال اقتران عناصر التحكم في الوصول المشروط بشروط الوصول، فإنك تقلل من الحاجة إلى إنشاء عناصر تحكم أمنية إضافية. كمثال نموذجي، يمكنك السماح للمستخدمين على جهاز متصل بالمجال للوصول إلى الموارد باستخدام SSO، لكنك تطلب مصادقة متعددة العوامل (MFA) للمستخدمين خارج الشبكة أو باستخدام أجهزتهم الخاصة.
يمكن لمعرف Microsoft Entra استخدام عناصر التحكم في الوصول المشروط التالية مع نهج الوصول المشروط:
التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) تتيح لك تكوين الأدوار المناسبة وتعيينها للمستخدمين الذين يحتاجون إلى القيام بمهام إدارية أو متخصصة باستخدام موارد Azure. يمكنك استخدام Azure RBAC لإنشاء حسابات منفصلة مخصصة للمسؤول فقط أو الاحتفاظ بها، أو نطاق الوصول إلى الأدوار التي تقوم بإعدادها، أو الوصول إلى الحد الزمني، أو منح الوصول من خلال مهام سير عمل الموافقة.
إدارة الهوية المميزة (PIM) تساعد في تقليل متجه الهجوم لمؤسستك من خلال السماح لك بإضافة مزيد من المراقبة والحماية إلى الحسابات الإدارية. باستخدام Microsoft Entra PIM، يمكنك إدارة الوصول إلى الموارد والتحكم فيها داخل Azure ومعرف Microsoft Entra وخدمات Microsoft 365 الأخرى مع الوصول في الوقت المناسب (JIT) والإدارة الكافية (JEA). يوفر PIM محفوظات للأنشطة الإدارية وسجل التغيير، وينبهك عند إضافة مستخدمين أو إزالتهم من الأدوار التي تحددها.
يمكنك استخدام PIM من أجل طلب الموافقة أو تبرير تنشيط الأدوار الإدارية. يمكن للمستخدمين الحفاظ على الامتيازات العادية في معظم الأوقات، وطلب الوصول إلى الأدوار التي يحتاجون إليها لإكمال المهام الإدارية أو المتخصصة والحصول عليها. عندما يكملون عملهم ويخرجون، أو تنتهي المدة المحددة لوصولهم، يمكنهم إعادة المصادقة باستخدام أذونات المستخدم القياسية الخاصة بهم.
Microsoft Defender for Cloud Apps هو وسيط أمان الوصول إلى السحابة (CASB) الذي يحلل سجلات نسبة استخدام الشبكة لاكتشاف ومراقبة التطبيقات والخدمات المستخدمة في مؤسستك. باستخدام Defender for Cloud Apps، يمكنك:
- إنشاء نُهج لإدارة التفاعل مع التطبيقات والخدمات
- تحديد التطبيقات على أنها خاضعة للعقوبات أو غير خاضعة للعقوبات
- التحكم في الوصول إلى البيانات وتقييده
- تطبيق حماية المعلومات للحماية من فقدان المعلومات
يمكن أن يعمل Defender for Cloud Apps أيضاً مع نُهج الوصول ونُهج الجلسة للتحكم في وصول المستخدم إلى تطبيقات SaaS. على سبيل المثال، يمكنك:
- تقييد نطاقات IP التي يمكنها الوصول إلى التطبيقات
- يتطلب مصادقة متعددة العوامل (MFA) للوصول إلى التطبيق
- السماح بالأنشطة من داخل التطبيقات المعتمدة فقط
توفر صفحة التحكم في الوصول في مركز إدارة SharePoint عدة طرق للتحكم في الوصول إلى محتوى SharePoint وOneDrive. يمكنك اختيار block access، والسماح بالدخول المحدود عبر الويب فقط من الأجهزة غير المُدارة، أو التحكم في الوصول بناءً على موقع الشبكة.
يمكنك تحديد نطاق أذونات التطبيق لعلب بريد Exchange Online معينة باستخدام ApplicationAccessPolicy من Microsoft Graph API.
شروط الاستخدام (TOU) توفر طريقة لتقديم المعلومات التي يجب على المستخدمين النهائيين الموافقة عليها قبل الوصول إلى الموارد المحمية. تقوم بتحميل مستنداتك إلى Azure كملفات PDF، والتي تتوفر بعد ذلك كعناصر تحكم في نُهج الوصول المشروط. من خلال إنشاء نهج وصول مشروط تتطلب من المستخدمين الموافقة عليك عند تسجيل الدخول، يمكنك بسهولة تدقيق المستخدمين الذين قبلوا لعبة TOY.
إدارة نقطة النهاية تتحكم في كيفية وصول المستخدمين المصرح لهم إلى تطبيقاتك السحابية من مجموعة كبيرة من الأجهزة، بما في ذلك الأجهزة المحمولة والشخصية. يمكنك استخدام نُهج الوصول المشروط لتقييد الوصول فقط للأجهزة التي تفي بمعايير أمان وتوافق معينة. تتطلب هذه الأجهزة المُدارةهوية جهاز.
الكشف عن المخاطر
حماية الهوية في Azure تتضمن العديد من النُهج التي يمكن أن تساعد مؤسستك في إدارة الاستجابات لإجراءات المستخدم المريبة. مخاطر المستخدم هي احتمال تعرض هوية المستخدم للاختراق. مخاطر تسجيل الدخول هي احتمال ألا يأتي طلب تسجيل الدخول من المستخدم. يحسب معرف Microsoft Entra درجات مخاطر تسجيل الدخول استنادا إلى احتمال طلب تسجيل الدخول الذي ينشأ من المستخدم الفعلي، استنادا إلى التحليلات السلوكية.
تستخدم عمليات الكشف عن مخاطر Microsoft Entra خوارزميات التعلم الآلي التكيفية والاستدلالات للكشف عن الإجراءات المشبوهة المتعلقة بحسابات المستخدمين. يتم تخزين كل إجراء مشبوه تم اكتشافه في سجل يسمى الكشف عن المخاطر. يحسب معرف Microsoft Entra احتمال مخاطر تسجيل الدخول والمستخدم باستخدام هذه البيانات، مع تحسينه باستخدام مصادر وإشارات التحليل الذكي للمخاطر الداخلية والخارجية من Microsoft.
يمكنك استخدام حماية الهوية واجهات برمجة التطبيقات لاكتشاف المخاطر في Microsoft Graph للكشف عن معلومات بشأن المستخدمين الخطرين وعمليات تسجيل الدخول.
المعالجة في الوقت الحقيقي تسمح للمستخدمين بإلغاء حظر أنفسهم باستخدام SSPR ومصادقة متعددة العوامل (MFA) للمعالجة الذاتية لبعض عمليات اكتشاف المخاطر.
الاعتبارات
ضع هذه النقاط في الاعتبار عند استخدام هذا الحل.
تسجيل الدخول
توفر تقارير تدقيق Microsoft Entra إمكانية التتبع لأنشطة Azure مع سجلات التدقيق وسجلات تسجيل الدخول وتقارير المستخدم الخطرة وتسجيل الدخول المحفوفا بالمخاطر. يمكنك تصفية بيانات السجل والبحث فيها بناءً على العديد من المعلمات، بما في ذلك الخدمة والفئة والنشاط والحالة.
يمكنك توجيه بيانات سجل معرف Microsoft Entra إلى نقاط النهاية مثل:
- حسابات تخزين Azure
- سجلات Azure Monitor
- مراكز أحداث Azure
- حلول SIEM مثل Microsoft Azure Sentinelأو ArcSightأو Splunkأو SumoLogicأو أدوات SIEM خارجية أخرى أو خاصة بك المحلول.
يمكنك أيضا استخدام واجهة برمجة تطبيقات إعداد التقارير في Microsoft Graph لاسترداد بيانات سجل معرف Microsoft Entra واستهلاكها داخل البرامج النصية الخاصة بك.
اعتبارات محلية ومختلطة
تعتبر طرق المصادقة أساسية لتأمين هويات مؤسستك في سيناريو مختلط. توفر Microsoft إرشادات محددة حول اختيار أسلوب مصادقة مختلط باستخدام معرف Microsoft Entra.
يمكن ل Microsoft Defender for Identity استخدام إشارات Active Directory محلي لتحديد التهديدات المتقدمة والهويات المخترقة والإجراءات الداخلية الضارة واكتشافها والتحقيق فيها. يستخدم Defender for Identity UEBA لتحديد التهديدات الداخلية ووضع علامة على المخاطر. حتى إذا تعرضت الهوية للخطر، يمكن أن يساعد Defender for Identity في تحديد الاختراق بناء على سلوك المستخدم غير العادي.
تم دمج Defender for Identity مع Defender for Cloud Apps لتوسيع نطاق الحماية إلى تطبيقات السحابة. يمكنك استخدام Defender for Cloud Apps لإنشاء نُهج الجلسة التي تحمي ملفاتك عند التنزيل. على سبيل المثال، يمكنك تعيين أذونات العرض فقط تلقائيا على أي ملف تم تنزيله بواسطة أنواع معينة من المستخدمين.
يمكنك تكوين تطبيق محلي في معرف Microsoft Entra لاستخدام Defender for Cloud Apps للمراقبة في الوقت الفعلي. يستخدم Defender for Cloud Apps وحدة التحكم بتطبيق الوصول المشروط لمراقبة الجلسات والتحكم فيها في الوقت الفعلي بناءً على سياسات الوصول الشرطي. يمكنك تطبيق هذه النهج على التطبيقات المحلية التي تستخدم وكيل التطبيق في معرف Microsoft Entra.
يتيح وكيل تطبيق Microsoft Entra للمستخدمين الوصول إلى تطبيقات الويب المحلية من العملاء البعيدين. باستخدام Application Proxy، يمكنك مراقبة جميع أنشطة تسجيل الدخول لتطبيقاتك في مكان واحد.
يمكنك استخدام Defender for Identity مع Microsoft Entra ID Protection للمساعدة في حماية هويات المستخدمين التي تتم مزامنتها مع Azure باستخدام Microsoft Entra الاتصال.
إذا كانت بعض تطبيقاتك تستخدم بالفعل وحدة تحكم تسليم موجودة أو وحدة تحكم في الشبكة لتوفير الوصول خارج الشبكة، يمكنك دمجها مع معرف Microsoft Entra. يقدم العديد من الشركاء بما في ذلك Akamai و Citrix و F5 Networks و Zscaler حلولا وإرشادات للتكامل مع Microsoft Entra ID.
تحسين التكلفة
تتراوح أسعار Microsoft Entra من مجانية، لميزات مثل SSO وMFA، وPremium P2، لميزات مثل PIM وإدارة الاستحقاق. للحصول على تفاصيل التسعير، راجع تسعير Microsoft Entra.
الخطوات التالية
- أمان الثقة المعدومة
- دليل نشر ثقة معدومة لمعرف Microsoft Entra
- نظرة عامة على ركيزة الأمان
- مستأجر العرض التوضيحي ل Microsoft Entra (يتطلب حساب شبكة شركاء Microsoft)، أو Enterprise Mobility + الإصدار التجريبي المجاني للأمان
- خطط نشر Microsoft Entra