أفضل الممارسات الأمان في Azure Identity Management والتحكم بالوصول
في هذه المقالة، نناقش مجموعة من أفضل ممارسات أمان إدارة هوية Azure والتحكم بالوصول. تستمد أفضل الممارسات هذه من تجربتنا مع معرف Microsoft Entra وتجارب العملاء مثلك.
لكل ممارسة من أفضل الممارسات، نوضح:
- ما هي أفضل الممارسات
- لماذا تريد تمكين أفضل الممارسات
- ماذا قد تكون النتيجة إذا فشلت في تمكين أفضل الممارسات
- البدائل محتملة لأفضل الممارسات
- كيف يمكنك تعلم تمكين أفضل الممارسات
تستند مقالة أفضل ممارسات الأمان لإدارة هوية Azure والتحكم بالوصول إلى رأي توافق الآراء وإمكانيات النظام الأساسي Azure ومجموعات الميزات، كما كانت موجودة في وقت كتابة هذه المقالة.
الهدف من كتابة هذه المقالة هو توفير خارطة طريق عامة لوضع أمني أكثر قوة بعد النشر مسترشدًا بقائمة التحقق «5 خطوات لتأمين البنية الأساسية للهوية»، والتي ترشدك عبر بعض ميزاتنا وخدماتنا الأساسية.
تتغير الآراء والتقنيات مع مرور الوقت وسيتم تحديث هذه المقالة بشكل منتظم لتعكس تلك التغييرات.
في هذه المقالة، نناقش مجموعة من أفضل ممارسات أمان إدارة هوية Azure والتحكم بالوصول وهي كالتالي:
- التعامل مع الهوية كمحيط الأمان الأساسي
- مركزية إدارة الهوية
- إدارة المستأجرين المتصلين
- تمكين تسجيل الدخول الأحادي
- تشغيل Conditional Access
- التخطيط لتحسينات الأمان الروتينية
- تمكين إدارة كلمة المرور
- فرض التحقق متعدد العوامل للمستخدمين
- استخدام التحكم في الوصول المستند إلى الدور
- انخفاض التعرض لحسابات الامتياز
- مواقع التحكم حيث توجد الموارد
- استخدام معرف Microsoft Entra لمصادقة التخزين
التعامل مع الهوية كمحيط الأمان الأساسي
يعتبر الكثير أن الهوية هي المحيط الأساسي للأمان. يعتبر هذا تحولاً عن التركيز التقليدي على أمان الشبكة. تبقى محيطات الشبكة أكثر سهولة للاختراق، ولا يمكن أن يظل الدفاع المحيطي فعالاً كما كان قبل انفجار أجهزة BYOD والتطبيقات السحابية.
معرف Microsoft Entra هو حل Azure لإدارة الهوية والوصول. معرف Microsoft Entra هو دليل متعدد المستأجرين وقائم على السحابة وخدمة إدارة الهوية من Microsoft. فهو يجمع بين خدمات الدليل الأساسية وإدارة الوصول إلى التطبيقات وحماية الهوية في حل واحد.
تسرد الأقسام التالية أفضل الممارسات لأمان الهوية والوصول باستخدام معرف Microsoft Entra.
أفضل الممارسات: توسيط عناصر التحكم في الأمان والكشف حول هويات المستخدم والخدمة. التفاصيل: استخدم معرف Microsoft Entra لدمج عناصر التحكم والهويات.
مركزية إدارة الهوية
في سيناريو الهوية المختلطة، نوصيك بدمج الدلائل الداخلية والسحابية. يتيح التكامل لفريق تكنولوجيا المعلومات الخاص بكم إدارة الحسابات من موقع واحد، بصرف النظر عن مكان إنشاء حساب. يساعد التكامل أيضاً المستخدمين على أن يكونوا أكثر إنتاجية من خلال توفير هوية مشتركة للوصول إلى كل من الموارد السحابية والداخلية.
أفضل الممارسات: إنشاء مثيل Microsoft Entra واحد. التناسق ومصدر موثوق واحد سيزيد من الوضوح ويقلل من مخاطر الأمان الناجمة عن الأخطاء البشرية والتكوين المُعقّد.
التفاصيل: تعيين دليل Microsoft Entra واحد كمصدر موثوق لحسابات الشركات والمؤسسة.
أفضل الممارسات: دمج الدلائل المحلية مع معرف Microsoft Entra.
التفاصيل: استخدم Microsoft Entra الاتصال لمزامنة الدليل المحلي مع دليل السحابة الخاص بك.
إشعار
هناك عوامل تؤثر على أداء Microsoft Entra الاتصال. تأكد من أن Microsoft Entra الاتصال لديه سعة كافية لمنع الأنظمة ذات الأداء الناقص من إعاقة الأمان والإنتاجية. يجب على المؤسسات الكبيرة أو المعقدة (المؤسسات التي توفر أكثر من 100,000 عنصر) اتباع التوصيات لتحسين تطبيق Microsoft Entra الاتصال.
أفضل الممارسات: لا تقم بمزامنة الحسابات مع معرف Microsoft Entra التي لها امتيازات عالية في مثيل Active Directory الحالي.
التفاصيل: لا تغير التكوين الافتراضي الاتصال Microsoft Entra الذي يقوم بتصفية هذه الحسابات. يخفف هذا التكوين من خطر تمحور الخصوم من الأصول السحابية إلى الأصول المحلية (ما قد يخلق حادثاً كبيراً).
أفضل الممارسات: قم بتشغيل مزامنة تجزئة كلمة المرور.
التفاصيل: مزامنة تجزئة كلمة المرور هي ميزة تستخدم لمزامنة تجزئة كلمة مرور المستخدم من مثيل Active Directory محلي إلى مثيل Microsoft Entra المستند إلى السحابة. تساعد هذه المزامنة على الحماية من بيانات الاعتماد المسربة التي يتم ردها من الهجمات السابقة.
حتى إذا قررت استخدام الاتحاد مع خدمات الأمان المشترك لـActive Directory Federation Services (AD FS) أو موفري الهوية الآخرين، يمكنك اختياريًا إعداد مزامنة تجزئة كلمة المرور كنسخة احتياطية في حالة فشل الخوادم الداخلية أو عدم توفرها مؤقتًا. تمكن هذه المزامنة المستخدمين من تسجيل الدخول إلى الخدمة باستخدام نفس كلمة المرور التي يستخدموها لتسجيل الدخول إلى مثيل Active Directory الداخلي. كما يسمح ل Identity Protection بالكشف عن بيانات الاعتماد المخترقة من خلال مقارنة تجزئات كلمة المرور المتزامنة مع كلمات المرور المعروفة باختراقها، إذا استخدم المستخدم نفس عنوان البريد الإلكتروني وكلمة المرور على الخدمات الأخرى غير المتصلة بمعرف Microsoft Entra.
لمزيد من المعلومات، راجع تنفيذ مزامنة تجزئة كلمة المرور باستخدام Microsoft Entra الاتصال Sync.
أفضل الممارسات: لتطوير التطبيقات الجديدة، استخدم معرف Microsoft Entra للمصادقة.
التفاصيل: استخدم الإمكانات الصحيحة لدعم المصادقة:
- معرف Microsoft Entra للموظفين
- Microsoft Entra B2B للمستخدمين الضيوف والشركاء الخارجيين
- Azure AD B2Cللتحكم في كيفية تسجيل العملاء وتسجيل الدخول وإدارة ملفاتهم أثناء ما يستخدمون تطبيقاتك
يمكن للمؤسسات التي لا تدمج هويتها الداخلية مع هويتها السحابية أن يكون لديها المزيد من النفقات العامة في إدارة الحسابات. ويزيد هذا الحِمل من احتمال وقوع أخطاء وثغرات أمنية.
إشعار
تحتاج إلى اختيار الدلائل التي ستوجد فيها الحسابات المهمة وما إذا كانت محطة عمل المسؤول المستخدمة تدار بواسطة خدمات سحابية جديدة أو عمليات موجودة. يمكن أن يؤدي استخدام عمليات الإدارة وتوفير الهوية الحالية إلى تقليل بعض المخاطر ولكن يمكن أن يؤدي أيضًا إلى إنشاء خطر تعرض المهاجم للخطر في حساب داخلي والتمحور في السحابة. يمكن أن ترغب في استخدام استراتيجية مختلفة لأدوار مختلفة (على سبيل المثال، مسؤولو تكنولوجيا المعلومات مقابل مسؤولي وحدة الأعمال). لديك اختياران. الخيار الأول هو إنشاء حسابات Microsoft Entra غير متزامنة مع مثيل Active Directory محلي. انضم إلى محطة عمل المسؤول إلى معرف Microsoft Entra، والذي يمكنك إدارته وتصحيحه باستخدام Microsoft Intune. الخيار الثاني هو استخدام حسابات المسؤول الموجودة عن طريق المزامنة إلى مثيل Active Directory الداخلي. استخدم محطات العمل الموجودة في مجال Active Directory للإدارة والأمان.
إدارة المستأجرين المتصلين
تحتاج مؤسستك الأمنية إلى رؤية لتقييم المخاطر وتحديد ما إن كان يتم اتباع سياسات مؤسستك وأي متطلبات تنظيمية. يجب عليك التأكد من أن مؤسسة الأمان الخاصة بك لديها رؤية في جميع الاشتراكات المتصلة ببيئة الإنتاج والشبكة (عبر Azure ExpressRoute أو VPN من موقع إلى موقع. يمكن لمدير مسؤول العمومي في Microsoft Entra ID رفع مستوى وصوله إلى دور المستخدم Access مسؤول istrator ورؤية جميع الاشتراكات والمجموعات المدارة المتصلة بالبيئة الخاصة بك.
راجع رفع مستوى الوصول لإدارة جميع اشتراكات Azure ومجموعات الإدارة للتأكد من أنه يمكنك أنت ومجموعة الأمان عرض جميع الاشتراكات أو مجموعات الإدارة المتصلة ببيئتك. يجب عليك إزالة هذا الوصول المرتفع بعد تقييم المخاطر.
تمكين تسجيل الدخول الأحادي
في عالم الأجهزة المحمولة أولاً والسحابة أولاً، تريد تمكين تسجيل الدخول الأحادي (SSO) إلى الأجهزة والتطبيقات والخدمات من أي مكان حتى يتمكن المستخدمون من الإنتاجية في أي وقت وأي مكان. عندما يكون لديك حلول هوية متعددة لإدارتها، تصبح هذه مشكلة إدارية ليس فقط لمسؤولي تكنولوجيا المعلومات ولكن أيضًا للمستخدمين الذين يجب أن يتذكروا كلمات مرور متعددة.
باستخدام نفس حل الهوية لجميع تطبيقاتك ومواردك، يمكنك تحقيق تسجيل دخول الأحادي. ويمكن لمستخدميك استخدام نفس مجموعة بيانات الاعتماد لتسجيل الدخول والوصول إلى الموارد التي يحتاجونها، سواء كانت الموارد موجودة داخليًا أو في السحابة.
أفضل الممارسات: قم بتمكين تسجيل الدخول الأحادي.
التفاصيل: يمتد معرف Microsoft Entra Active Directory محلي إلى السحابة. يمكن للمستخدمين استخدام حساب العمل أو المؤسسة التعليمية الأساسية الخاص بهم للأجهزة المرتبطة بالمجال وموارد الشركة وجميع تطبيقات الويب و خدمة تأجير البرامج التي يحتاجونها لإنجاز مهامهم. لا يتعين على المستخدمين تذكر مجموعات متعددة من أسماء المستخدمين وكلمات المرور، ويمكن توفير الوصول إلى التطبيق الخاص بهم تلقائيًا (أو عدم توفيره) استنادًا إلى عضويات مجموعة المؤسسة الخاصة بهم وحالتهم كموظف. ويمكنك التحكم في هذا الوصول لتطبيقات المعرض أو للتطبيقات المحلية الخاصة بك التي قمت بتطويرها ونشرها من خلال وكيل تطبيق Microsoft Entra.
استخدم تسجيل الدخول الأحادي لتمكين المستخدمين من الوصول إلى تطبيقات SaaS الخاصة بهم استنادا إلى حساب العمل أو المؤسسة التعليمية في Microsoft Entra ID. ينطبق هذا ليس فقط على تطبيقات Microsoft SaaS، وإنما أيضًا على التطبيقات الأخرى، مثل Google Apps وSalesforce. يمكنك تكوين التطبيق الخاص بك لاستخدام معرف Microsoft Entra كموفر هوية مستند إلى SAML. كعنصر تحكم أمان، لا يصدر معرف Microsoft Entra رمزا مميزا يسمح للمستخدمين بتسجيل الدخول إلى التطبيق ما لم يتم منحهم حق الوصول من خلال معرف Microsoft Entra. يمكنك أن تمنح حق الوصول مباشرة، أو من خلال مجموعة يكون المستخدمون أعضاء فيها.
المؤسسات التي لا تنشئ هوية مشتركة لإنشاء تسجيل الدخول الأحادي لمستخدميها وتطبيقاتها هي أكثر عرضة للسيناريوهات التي يكون فيها للمستخدمين كلمات مرور متعددة. تزيد هذه السيناريوهات من احتمالية قيام المستخدمين بإعادة استخدام كلمات المرور أو استخدام كلمات مرور ضعيفة.
تشغيل Conditional Access
يمكن للمستخدمين الوصول إلى موارد المؤسسة الخاصة بك باستخدام مجموعة متنوعة من الأجهزة والتطبيقات من أي مكان. بصفتك مسؤول تكنولوجيا المعلومات، عليك التأكد من أن هذه الأجهزة تفي بمعايير الأمان والتوافق. إن التركيز فقط على من يمكنه الوصول إلى مورد لم يعد كافيًا.
لتحقيق التوازن بين الأمان والإنتاجية، ستحتاج إلى التفكير في كيفية الوصول إلى المورد قبل أن تتمكن من اتخاذ قرار بشأن التحكم في الوصول. باستخدام Microsoft Entra Conditional Access، يمكنك تلبية هذا المطلب. عن طريق استخدام Conditional Access، تستطيع تنفيذ قرارات التحكم في الوصول المؤتمتة لمن يمكنه الوصول إلى تطبيقاتك السحابية، بناء على الشروط.
أفضل الممارسات: قم بإدارة الوصول إلى موارد الشركة والتحكم فيها.
التفاصيل: تكوين نهج الوصول المشروط الشائعة من Microsoft Entra استنادا إلى مجموعة وموقع وحساسية التطبيق لتطبيقات SaaS والتطبيقات المتصلة بمعرف Microsoft Entra.
أفضل الممارسات: قم بحظر بروتوكولات المصادقة القديمة.
التفاصيل: يستغل المهاجمون نقاط الضعف في البروتوكولات القديمة كل يوم، خاصة بالنسبة لهجمات بنشر كلمة المرور. تكوين الوصول المشروط لحظر البروتوكولات القديمة.
التخطيط لتحسينات الأمان الروتينية
يتطور الأمان دائمًا، ومن المهم أن تبني في إطار إدارة السحابة والهوية طريقة لإظهار النمو بانتظام واكتشاف طرق جديدة لتأمين البيئة الخاصة بك.
Identity Secure Score هي مجموعة من عناصر التحكم في الأمان الموصى بها التي تنشرها Microsoft والتي تعمل على توفير درجة رقمية لقياس وضع الأمان بشكل موضوعي والمساعدة في التخطيط لتحسينات الأمان المستقبلية. كما يمكنك عرض درجاتك بالمقارنة مع تلك الموجودة في المجالات الأخرى بالإضافة إلى اتجاهاتك الخاصة بمرور الوقت.
أفضل الممارسات: قم بالتخطيط لمراجعات الأمان الروتينية وتحسيناتها استنادًا إلى أفضل الممارسات في مجال عملك.
التفاصيل: استخدم ميزة Identity Secure Score لترتيب تحسيناتك بمرور الوقت.
تمكين إدارة كلمة المرور
إذا كان لديك عدة مستأجرين أو كنت تريد تمكين المستخدمين من إعادة تعيين كلمات المرور الخاصة بهم، فمن الضروري استخدام سياسات الأمان المناسبة لمنع إساءة الاستخدام.
أفضل الممارسات: قم بإعداد إعادة تعيين كلمة مرور الخدمة الذاتية (SSPR) للمستخدمين.
التفاصيل: استخدم ميزة إعادة تعيين كلمة مرور الخدمة الذاتية لمعرف Microsoft Entra.
أفضل الممارسات: قم بمراقبة كيفية استخدام SSPR أو إذا كان يُستخدم بالفعل.
التفاصيل: مراقبة المستخدمين الذين يقومون بالتسجيل باستخدام تقرير نشاط تسجيل إعادة تعيين كلمة مرور معرف Microsoft Entra. تساعدك ميزة إعداد التقارير التي يوفرها معرف Microsoft Entra على الإجابة عن الأسئلة باستخدام تقارير تم إنشاؤها مسبقا. إذا كنت تمتلك ترخيص بشكل مناسب، يمكنك أيضًا إنشاء استعلامات مخصصة.
أفضل الممارسات: قم بتوسيع نهج كلمة المرور المستندة إلى السحابة لتشمل البنية الأساسية الداخلية.
التفاصيل: قم بتحسين نهج كلمة المرور في مؤسستك عن طريق إجراء نفس عمليات التحقق من تغييرات كلمة المرور الداخلية كما تفعل لتغييرات كلمة المرور المستندة إلى السحابة. قم بتثبيت الحماية بكلمة المرور من Microsoft Entra لوكلاء Windows Server Active Directory المحليين لتوسيع قوائم كلمات المرور المحظورة إلى البنية الأساسية الحالية. يطلب من المستخدمين والمسؤولين الذين يقومون بتغيير كلمات المرور أو تعيينها أو إعادة تعيينها داخليًا بالالتزام بنفس نهج كلمة المرور مثل المستخدمين السحابيين فقط.
فرض التحقق متعدد العوامل للمستخدمين
نوصي بأن تحتاجون إلى التحقق على خطوتين لجميع المستخدمين. ويشمل ذلك المسؤولين وغيرهم في مؤسستك الذين لهم تأثير كبير إذا تعرض حسابهم للخطر (على سبيل المثال، المسؤولون الماليون).
توجد خيارات متعددة تتطلب التحقق على خطوتين. يعتمد الخيار الأفضل بالنسبة لك على أهدافك، وإصدار Microsoft Entra الذي تقوم بتشغيله، وبرنامج الترخيص الخاص بك. انظر كيفية طلب التحقق على خطوتين لمستخدم لتحديد الخيار الأفضل لك. راجع صفحات تسعير المصادقة متعددة العوامل لمعرف Microsoft Entra وMicrosoft Entra للحصول على مزيد من المعلومات حول التراخيص والتسعير.
فيما يلي خيارات ومزايا تمكين التحقق على خطوتين:
الخيار 1: تمكين المصادقة متعددة العوامل (MFA) لجميع المستخدمين وأساليب تسجيل الدخول باستخدام إعدادات الأمان الافتراضية ل Microsoft Entra
الميزة: يمكنك هذا الخيار من فرض المصادقة متعددة العوامل بسهولة وسرعة لجميع المستخدمين في بيئتك بسياسة صارمة من أجل:
- تحدي الحسابات الإدارية وآليات تسجيل الدخول الإدارية
- طلب تحدي مصادقة متعددة العوامل (MFA) عبر Microsoft Authenticator لجميع المستخدمين
- قم بتقييد بروتوكولات المصادقة القديمة.
تتوفر هذه الطريقة لجميع طبقات الترخيص ولكنها غير قادرة على أن تكون مختلطة مع نهج Conditional Access الموجودة. يمكنك العثور على مزيد من المعلومات في الإعدادات الافتراضية لأمان Microsoft Entra
الخيار 2: تمكين المصادقة متعددة العوامل عن طريق تغيير حالة المستخدم.
الميزة: تلك هي الطريقة التقليدية التي تتطلب التحقق على خطوتين. يعمل مع كل من مصادقة Microsoft Entra متعددة العوامل في السحابة وخادم Azure Multi-Factor Authentication. يتطلب استخدام هذا الأسلوب من المستخدمين إجراء التحقق على خطوتين في كل مرة يقومون فيها بتسجيل الدخول وتجاوز نهج Conditional Access.
لتحديد مكان تمكين المصادقة متعددة العوامل، راجع ما هو إصدار مصادقة Microsoft Entra متعددة العوامل المناسب لمؤسستي؟.
الخيار 3: تمكين المصادقة متعددة العوامل باستخدام نهج الوصول المشروط.
الميزة: يسمح لك هذا الخيار بمطالبة التحقق على خطوتين في ظل شروط محددة باستخدام Conditional Access. يمكن أن تكون الشروط المحددة هي تسجيل دخول المستخدم من مختلف المواقع أو أجهزة غير موثوق بها أو تطبيقات تعتبرها محفوفة بالمخاطر. يتيح لك تحديد شروط محددة حيث تحتاج إلى التحقق على خطوتين تجنب المطالبة المستمرة للمستخدمين، والتي يمكن أن تكون تجربة مستخدم غير مرضية.
هذه هي الطريقة الأكثر مرونة لتمكين إجراء التحقق على خطوتين للمستخدمين. يعمل تمكين نهج الوصول المشروط فقط مع مصادقة Microsoft Entra متعددة العوامل في السحابة وهو ميزة مميزة لمعرف Microsoft Entra. يمكنك العثور على مزيد من المعلومات حول هذا الأسلوب في نشر مصادقة Microsoft Entra متعددة العوامل المستندة إلى السحابة.
الخيار 4: تمكين المصادقة متعددة العوامل باستخدام نهج الوصول المشروط من خلال تقييم نهج الوصول المشروط المستندة إلى المخاطر.
الميزة: يمكنّك هذا الخيار من:
- الكشف عن الثغرات الأمنية المحتملة التي قد تؤثر على هويات مؤسستك.
- تكوين الاستجابات التلقائية للإجراءات المريبة التي تم اكتشافها والمرتبطة بهويات المؤسسة الخاصة بك.
- التحقيق في الحوادث المشبوهة واتخاذ الإجراءات المناسبة لحل تلك الحوادث.
يستخدم هذا الأسلوب تقييم مخاطر Microsoft Entra ID Protection لتحديد ما إذا كان التحقق على خطوتين مطلوبا بناء على مخاطر المستخدم وتسجيل الدخول لجميع التطبيقات السحابية. يتطلب هذا الأسلوب ترخيص Microsoft Entra ID P2. يمكنك العثور على مزيد من المعلومات حول هذا الأسلوب في Microsoft Entra ID Protection.
إشعار
الخيار 2، تمكين المصادقة متعددة العوامل عن طريق تغيير حالة المستخدم، يتجاوز نهج الوصول المشروط. نظرًا لأن الخيارين 3 و4 يستخدمان نهج Conditional Access، فلا يمكنك استخدام الخيار 2 معهم.
المؤسسات التي لا تضيف طبقات إضافية من حماية الهوية، مثل التحقق على خطوتين، هي أكثر عرضة لهجوم سرقة بيانات الاعتماد. يمكن أن يؤدي هجوم سرقة بيانات الاعتماد إلى اختراق البيانات.
استخدام التحكم في الوصول المستند إلى الدور
تعتبر إدارة الوصول إلى موارد السحابة أمرًا هامًا لأي مؤسسة تستخدم السحابة. يساعدك عنصر التحكم في الوصول استنادًا إلى الدور في Azure (Azure RBAC) على إدارة من يمكنه الوصول إلى موارد Azure، وماذا يمكنهم فعله بتلك الموارد، وما المساحات التي يمكنهم الوصول إليها.
يساعد تعيين المجموعات أو الأدوار الفردية المسؤولة عن وظائف معينة في Azure على تجنب الخلط الذي يمكن أن يؤدي إلى أخطاء بشرية وأتمتة تخلق مخاطر أمنية. تقييد الوصول استنادًا إلى الحاجة إلى المعرفة ومبادئ الأمان الخاصة بالمزايا وأقلها أهمية أمر ضروري للمؤسسات التي تريد فرض نهج الأمان للوصول إلى البيانات.
يحتاج فريق الأمان لرؤية لموارد Azure الخاصة بك من أجل تقييم المخاطر ومعالجتها. إذا كان لدى فريق الأمان مسؤوليات تشغيلية، فإنهم بحاجة إلى أذونات إضافية للقيام بمهامهم.
يمكنك استخدام Azure RBAC لتعيين الأذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين. يمكن أن يكون نطاق تعيين الدور اشتراك أو مجموعة موارد أو مورد واحد.
أفضل الممارسات: قم بفصل الواجبات داخل فريقك ومنح مقدار الوصول فقط للمستخدمين الذين بحاجة لأداء مهامهم. وبدلاً من منح أذونات غير مُقيدة لأي شخص في اشتراكات أو موارد Azure الخاصة بك، اسمح فقط بإجراءات معينة في نطاق معين.
التفاصيل: استخدم أدوار Azure المتضمنة في Azure لتعيين الامتياز للمستخدمين.
إشعار
تخلق الأذونات المحددة تعقيدًا وارتباكًا غير ضروريين، وتتراكم في تكوين «قديم» يصعب إصلاحه دون خوف من تعطل شيء ما. تجنب أذونات خاصة بالموارد. بدلاً من ذلك، استخدم مجموعات الإدارة للأذونات على مستوى المؤسسة ومجموعات الموارد للأذونات داخل الاشتراكات. تجنب الأذونات الخاصة بالمستخدم. بدلا من ذلك، قم بتعيين الوصول إلى المجموعات في معرف Microsoft Entra.
أفضل الممارسات: امنح فرق الأمان التي تتحمل مسؤوليات Azure حق الوصول لرؤية موارد Azure حتى يمكنهم تقييم المخاطر ومعالجتها.
التفاصيل: امنح فرق الأمان دور Azure RBAC Security Reader. يمكنك استخدام مجموعة إدارة الجذر أو مجموعة إدارة القطاع، بناءً على نطاق المسؤوليات:
- مجموعة إدارة الجذر للفرق المسؤولة عن كافة موارد المؤسسة
- مجموعة إدارة القطاع للفرق ذات النطاق المحدود (عادة بسبب الحدود التنظيمية أو غيرها من الحدود التنظيمية)
أفضل الممارسات: منح الأذونات المناسبة لفرق الأمان التي لديها مسؤوليات تشغيلية مباشرة.
التفاصيل: مراجعة الأدوار المضمنة في Azure لتعيين الدور المناسب. إذا لم تلب الأدوار المضمنة الاحتياجات المحددة لمؤسستك، يمكنك إنشاء أدوار Azure المخصصة. تمامًا مثل الأدوار المضمنة، يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات ومديري الخدمات في مجموعة الإدارة والاشتراك ونطاقات مجموعة الموارد.
أفضل الممارسات: امنح Microsoft Defender for Cloud حق الوصول إلى أدوار الأمان التي تحتاج إليها. يسمح Defender for Cloud لفرق الأمان بتحديد المخاطر ومعالجتها بشكل سريع.
التفاصيل: أضف فرق الأمان التي تحتاج إلى دور Azure RBAC Security Admin ليتمكنوا من مراجعة نهج الأمان وعرض حالات الأمان وتحرير نهج الأمان وعرض التنبيهات والتوصيات وتجاهل التنبيهات والتوصيات. يمكنك القيام بذلك باستخدام مجموعة إدارة الجذر أو مجموعة إدارة القطاع، بناءً على نطاق المسؤوليات.
إن المؤسسات التي لا تفرض التحكم في الوصول إلى البيانات باستخدام قدرات مثل Azure RBAC قد تمنح امتيازات أكثر من اللازم لمستخدميها. يمكن أن يؤدي هذا إلى اختراق البيانات عن الطريق السماح للمستخدمين بالوصول إلى أنواع البيانات (على سبيل المثال، تأثير الأعمال العالي) التي لا ينبغي أن يكون لديهم.
انخفاض التعرض لحسابات الامتياز
يعد تأمين الوصول المتميز خطوة أولى حاسمة حول حماية أصول الأعمال. سيساعد تقليل عدد الأشخاص الذين يمكنهم الوصول إلى المعلومات أو الموارد الآمنة إلى الحد الأدنى في تقليل فرصة حصول فاعل ضار على وصول غير مصرح به، أو قيام مستخدم معتمد بالتأثير عن غير قصد على مورد حساس.
الحسابات المميزة هي حسابات تشرف على أنظمة تكنولوجيا المعلومات وتديرها. يستهدف المهاجمون الإلكترونيون تلك الحسابات للوصول إلى بيانات المؤسسة وأنظمتها. لتأمين الوصول المتميز، عليك عزل الحسابات والأنظمة عن خطر التعرض لمستخدم ضار.
تنصحك Microsoft بتطوير واتباع خارطة طريق لتأمين الوصول المتميز في مواجهة المهاجمين الإلكترونيين. للحصول على معلومات حول إنشاء خارطة طريق مفصلة لتأمين الهويات والوصول التي تتم إدارتها أو الإبلاغ عنها في Microsoft Entra ID وMicrosoft Azure وMicrosoft 365 والخدمات السحابية الأخرى، راجع تأمين الوصول المتميز للنشر المختلط والسحابات في Microsoft Entra ID.
يلخص ما يلي أفضل الممارسات الموجودة في تأمين الوصول المتميز للنشر المختلط والسحابة في Microsoft Entra ID:
أفضل الممارسات: قم بإدارة الوصول إلى الحسابات المتميزة والتحكم فيها ومراقبتها.
التفاصيل: قم بتشغيل Microsoft Entra إدارة الهويات المتميزة. بعد تشغيلك لـ Privileged Identity Management، ستتلقى رسائل بريد إلكتروني للإخطار بتغييرات دور الوصول المتميز. توفر تلك الإخطارات تنبيهًا مبكرًا عند إضافة مستخدمين جدد إلى الأدوار ذات امتيازات عالية.
أفضل الممارسات: تأكد من إدارة جميع حسابات المسؤولين الهامة حسابات Microsoft Entra. التفاصيل: قم بإزالة أي حسابات مستهلكين من أدوار المسؤول المهمة (على سبيل المثال، حسابات Microsoft مثل hotmail.com وlive.com وoutlook.com).
أفضل الممارسات: تأكد من أن جميع أدوار المسؤول المهمة لها حساب منفصل للمهام الإدارية من أجل تجنب التصيد الاحتيالي والهجمات الأخرى لتهديد الامتيازات الإدارية.
التفاصيل: قم بإنشاء حساب مسؤول منفصل تم تعيين الامتيازات اللازمة لتنفيذ المهام الإدارية. حظر استخدام هذه الحسابات الإدارية لأدوات الإنتاجية اليومية مثل عنوان البريد الإلكتروني Microsoft 365 أو استعراض الويب العشوائي.
أفضل الممارسات: قم بتحديد وتصنيف الحسابات التي تتمتع بأدوار متميزة للغاية
التفاصيل: بعد تشغيل Microsoft Entra إدارة الهويات المتميزة، اعرض المستخدمين الموجودين في المسؤول العام ومسؤول الدور المتميز والأدوار الأخرى ذات الامتيازات العالية. قم بإزالة أي حسابات لم تعد مطلوبة في تلك الأدوار، وقم بتصنيف الحسابات المتبقية التي تم تعيينها لأدوار المسؤول:
- مخصص للمستخدمين الإداريين، ولكن يتم استخدامه أيضًا لأغراض غير إدارية (على سبيل المثال، عنوان البريد الإلكتروني الشخصي)
- تم تخصيصه للمستخدمين الإداريين واستخدامه لأغراض إدارية فقط
- تم مشاركته عبر عدة مستخدمين
- لسيناريوهات الوصول إلى حالات الطوارئ
- بالنسبة للبرامج النصية التلقائية
- للمستخدمين الخارجيين
أفضل الممارسات: قم بتنفيذ الوصول «في الوقت المناسب» (JIT) لتقليل وقت التعرض للامتيازات وزيادة وضوحك في استخدام الحسابات المميزة.
التفاصيل: يتيح لك Microsoft Entra إدارة الهويات المتميزة ما يلي:
- قصر المستخدمين على أخذ امتيازاتهم فقط في JIT.
- تعيين أدوار لمدة مختصرة مع الثقة في أن الامتيازات يتم إبطالها تلقائيًا.
أفضل الممارسات: قم بتحديد حسابين على الأقل للوصول في حالات الطوارئ.
التفاصيل: تساعد حسابات الوصول في حالات الطوارئ المؤسسات على تقييد الوصول المتميز في بيئة Microsoft Entra موجودة. تتمتع حسابات الوصول تلك بامتياز عالٍ، ولا يتم تعيينها لأفراد محددين. تقتصر حسابات الوصول في حالات الطوارئ على سيناريوهات حيث لا يمكن استخدام الحسابات الإدارية العادية. يجب على المؤسسات الحد من استخدام حساب الطوارئ إلى مقدار الوقت اللازم فقط.
قم بتقييم الحسابات التي تم تعيينها أو تلك مؤهلة لدور المسؤول العام. إذا لم تشاهد أي حسابات سحابية فقط باستخدام المجال *.onmicrosoft.com (المخصص للوصول في حالات الطوارئ)، فقم بإنشائها. لمزيد من المعلومات، راجع إدارة الحسابات الإدارية للوصول في حالات الطوارئ في معرف Microsoft Entra.
أفضل الممارسات: لديك عملية «كسر الزجاج» في مكانها في حالة الطوارئ.
التفاصيل: اتبع الخطوات الواردة في تأمين الوصول المتميز للنشر المختلط والسحابات في Microsoft Entra ID.
أفضل الممارسات: طلب أن تكون جميع حسابات المسؤول الهامة بدون كلمة مرور (مفضلة)، أو تتطلب مصادقة متعددة العوامل.
التفاصيل: استخدم تطبيق Microsoft Authenticator لتسجيل الدخول إلى أي حساب Microsoft Entra دون استخدام كلمة مرور. مثل Windows Hello for Business، يستخدم Microsoft Authenticator المصادقة المستندة إلى المفتاح لتمكين بيانات اعتماد المستخدم المرتبطة بجهاز وتستخدم المصادقة البيومترية أو رمز PIN.
طلب مصادقة Microsoft Entra متعددة العوامل عند تسجيل الدخول لجميع المستخدمين الفرديين الذين تم تعيينهم بشكل دائم إلى واحد أو أكثر من أدوار مسؤول Microsoft Entra: global مسؤول istrator و Privileged Role مسؤول istrator وExchange Online مسؤول istrator وSharePoint Online مسؤول istrator. قم بتمكين المصادقة متعددة العوامل لحسابات المسؤول وتأكد من تسجيل مستخدمي حساب المسؤول.
أفضل الممارسات: بالنسبة لحسابات المسؤول المهمة، لديك محطة عمل المسؤول حيث لا يسمح بمهام الإنتاج (على سبيل المثال، الاستعراض وعنوان البريد الإلكتروني). سيؤدي ذلك إلى حماية حسابات المسؤولين من خط متجه الهجوم التي تستخدم الاستعراض وعنوان البريد الإلكتروني وتقليل خطر وقوع حادث كبير بشكل ملحوظ.
التفاصيل: استخدم محطة عمل المسؤول. اختر مستوى تأمين محطة العمل:
- توفر أجهزة الإنتاجية عالية الأمان أمانا متقدما للاستعراض وغير ذلك من المهام الإنتاجية الأخرى.
- توفر Privileged Access Workstations (PAWs) نظام تشغيل مخصص للمهام الحساسة المحمية من هجمات الإنترنت وخط متجه التهديدات.
أفضل الممارسات: قم بإلغاء توفير حسابات المسؤولين عند مغادرة الموظفين للمؤسسة الخاصة بك.
التفاصيل: لديك عملية في مكان تعطيل حسابات المسؤولين أو حذفها عند مغادرة الموظفين لمؤسستك.
أفضل الممارسات: قم باختبار حسابات المسؤولين بانتظام باستخدام تقنيات الهجوم الحالية.
التفاصيل: استخدم Microsoft 365 Attack Simulator أو عرض جهة خارجية لتشغيل سيناريوهات هجوم واقعية في المؤسسة الخاصة بك. يمكن أن يساعدك ذلك في العثور على المستخدمين المعرضين للخطر قبل حدوث هجوم حقيقي.
أفضل الممارسات: قم باتخاذ خطوات لتخفيف التقنيات الهجومية الأكثر استخدامًا.
التفاصيل: قم بتحديد حسابات Microsoft في الأدوار الإدارية التي تحتاج إلى تبديل إلى حسابات العمل أو المؤسسة التعليمية
تأكد من أن حسابات المستخدمين منفصلة وإعادة توجيه البريد لحسابات المسؤولين العمومية
تأكد من تغيير كلمات مرور الحسابات الإدارية حديثًا
قم بتشغيل مزامنة تجزئة كلمة المرور
طلب مصادقة متعددة العوامل للمستخدمين في جميع الأدوار المتميزة بالإضافة إلى المستخدمين المكشوفين
الحصول على درجة أمان Microsoft 365 (إذا كنت تستخدم Microsoft 365)
قم بمراجعة إرشادات أمان Microsoft 365 (في حالة استخدام Microsoft 365)
تكوين مراقبة نشاط Microsoft 365 (إذا كنت تستخدم Microsoft 365)
إنشاء مالكي خطة الاستجابة للحوادث/الطوارئ
تأمين الحسابات الإدارية الداخلية المتميزة
إن لم تؤمن الوصول المتميز، فقد تجد أن لديك عددًا كبيرًا جدًا من المستخدمين في أدوار ذات امتيازات عالية وأكثر عرضة للهجمات. غالبًا ما يستهدف المستخدمون الضارون، بما في ذلك المهاجمون الإلكترونيون، حسابات المسؤولين وغير ذلك من العناصر الأخرى للوصول المتميز للوصول إلى البيانات والأنظمة الحساسة باستخدام سرقة بيانات الاعتماد.
مواقع التحكم حيث أنشئت الموارد
يعد تمكين مشغلي السحابة لتنفيذ المهام مع منعهم من قطع الاصطلاحات المطلوبة لإدارة موارد مؤسستك أمرا بالغ الأهمية. يجب على المؤسسات التي تريد التحكم في المواقع التي تنشئ الموارد فيها أن تقوم ببرمجة هذه المواقع.
يمكنك استخدام Azure Resource Manager لإنشاء نهج أمان التي تصف تعريفاتها الإجراءات أو الموارد التي تم رفضها على وجه التحديد. يمكنك تعيين تعريفات النهج تلك في النطاق المطلوب، مثل الاشتراك أو مجموعة الموارد أو مورد فردي.
إشعار
نهج الأمان ليست هي نفسها Azure RBAC. إنها تستخدم بالفعل Azure RBAC لتخويل المستخدمين لإنشاء تلك الموارد.
المؤسسات التي لا تتحكم في كيفية إنشاء الموارد هي أكثر عرضة للمستخدمين الذين قد يسيئون استخدام الخدمة عن طريق إنشاء موارد أكثر مما يحتاجون إليه. يعد تقوية عملية إنشاء الموارد خطوة ضرورية لتأمين سيناريو متعدد المستأجرين.
بنشاط قم بمراقبة الأنشطة المشبوهة
يمكن لنظام مراقبة الهوية النشط الكشف السريع عن السلوك المشبوه وتشغيل تنبيه لمزيد من التحقيق. يسرد الجدول التالي قدرات Microsoft Entra التي يمكن أن تساعد المؤسسات على مراقبة هوياتها:
أفضل الممارسات: لديك طريقة لتحديد:
- محاولات تسجيل الدخول دون تتبعها.
- هجمات القوة الغاشمة على حساب محدد.
- محاولات تسجيل الدخول من عدة مواقع.
- تسجيلات الدخول من أجهزة مصابة.
- عناوين IP المشبوهة.
التفاصيل: استخدم تقارير شذوذ Microsoft Entra ID P1 أو P2. لديك عمليات وإجراءات لمسؤولي تكنولوجيا المعلومات لتشغيل تلك التقارير على أساس يومي أو عند الطلب (عادة في سيناريو الاستجابة للحوادث).
أفضل الممارسات: لديك نظام مراقبة نشط يعلمك بالمخاطر ويمكنه ضبط مستوى المخاطر (مرتفع أو متوسط أو منخفض) وفقا لمتطلبات العمل الخاص بك.
التفاصيل: استخدم Microsoft Entra ID Protection، الذي يشير إلى المخاطر الحالية على لوحة المعلومات الخاصة به ويرسل إشعارات موجزة يومية عبر البريد الإلكتروني. للمساعدة في حماية هويات مؤسستك، يمكنك تكوين النهج المستندة إلى المخاطر التي تستجيب تلقائيًا للمشكلات المكتشفة عند الوصول إلى مستوى معين من المخاطر.
المؤسسات التي لا تراقب أنظمة الهوية الخاصة بها بشكل نشط هي معرضة لخطر اختراق بيانات اعتماد المستخدم. دون معرفة أن الأنشطة المشبوهة تحدث من خلال بيانات الاعتماد هذه، لا يمكن للمؤسسات التخفيف من ذلك النوع من التهديدات.
استخدام معرف Microsoft Entra لمصادقة التخزين
يدعم Azure Storage المصادقة والتخويل باستخدام معرف Microsoft Entra لتخزين Blob وتخزين قائمة الانتظار. باستخدام مصادقة Microsoft Entra، يمكنك استخدام التحكم في الوصول المستند إلى دور Azure لمنح أذونات محددة للمستخدمين والمجموعات والتطبيقات وصولا إلى نطاق حاوية كائن ثنائي كبير الحجم فردي أو قائمة انتظار.
نوصي باستخدام معرف Microsoft Entra لمصادقة الوصول إلى التخزين.
الخطوة التالية
راجع أفضل ممارسات وأنماط أمان Azure لمزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم الحلول السحابية وتوزيعها وإدارتها باستخدام Azure.