Privilegovaný přístup: Rozhraní

Důležitou součástí zabezpečení privilegovaného přístupu je použití zásad nulové důvěryhodnosti, aby zařízení, účty a zprostředkovatelé před poskytnutím přístupu splňovali požadavky na zabezpečení.

Tato zásada zajišťuje, že uživatelé a zařízení iniciující příchozí relaci jsou známí, důvěryhodní a mají povolený přístup k prostředku (přes rozhraní). Vynucení zásad provádí modul zásad podmíněného přístupu Microsoft Entra, který vyhodnocuje zásady přiřazené ke konkrétnímu aplikačnímu rozhraní (například Azure Portal, Salesforce, Office 365, AWS, Workday a další).

Tyto pokyny definují tři úrovně zabezpečení pro zabezpečení rozhraní, které můžete použít pro prostředky s různými úrovněmi citlivosti. Tyto úrovně jsou nakonfigurované v plánu rychlé modernizace zabezpečení privilegovaného přístupu (RAMP) a odpovídají úrovním zabezpečení účtů a zařízení.

Požadavky na zabezpečení příchozích relací na rozhraní se vztahují na účty a zdrojové zařízení, ať už jde o přímé připojení z fyzických zařízení nebo zprostředkujícího serveru Vzdálené plochy nebo jumpu. Zprostředkovatelé můžou přijímat relace z osobních zařízení, aby poskytovali úroveň zabezpečení podniku (v některých scénářích), ale specializovaní nebo privilegovaní zprostředkovatelé by neměli umožňovat připojení z nižších úrovní z důvodu citlivé povahy zabezpečení jejich rolí.

Poznámka:

Tyto technologie poskytují silné koncové řízení přístupu k aplikačnímu rozhraní, ale samotný prostředek musí být také zabezpečený před útoky mimo pásmo na kód nebo funkce aplikace, nepatchované chyby zabezpečení nebo chyby konfigurace v základním operačním systému nebo firmwaru, neaktivních uložených nebo přenášených datech, dodavatelských řetězech nebo jiných prostředcích.

Ujistěte se, že budete vyhodnocovat a zjišťovat rizika pro samotné prostředky pro úplnou ochranu. Microsoft poskytuje nástroje a pokyny, které vám pomůžou s tím, včetně microsoft Defenderu pro cloud, skóre zabezpečení Microsoftu a pokynů k modelování hrozeb.

Příklady rozhraní

Rozhraní mají různé formy, obvykle jako:

• Cloudové služby nebo weby aplikací, jako jsou Azure Portal, AWS, Office 365
• Desktopová konzola pro správu místní aplikace (Konzola MMC (Microsoft Management Console) nebo vlastní aplikace)
• Skriptování nebo rozhraní konzoly, jako je Secure Shell (SSH) nebo PowerShell

I když některé z nich přímo podporují nulová důvěra (Zero Trust) vynucení prostřednictvím modulu zásad podmíněného přístupu Microsoft Entra, některé z nich budou muset být publikovány prostřednictvím zprostředkujícího serveru, jako je proxy aplikace Microsoft Entra nebo Vzdálený desktop / jump server.

Zabezpečení rozhraní

Konečným cílem zabezpečení rozhraní je zajistit, aby každá příchozí relace rozhraní byla známá, důvěryhodná a povolená:

• Známé – uživatel se ověřuje pomocí silného ověřování a zařízení se ověřuje (s výjimkami pro osobní zařízení pomocí řešení Vzdálená plocha nebo VDI pro podnikový přístup)
• Důvěryhodné – Stav zabezpečení se explicitně ověřuje a vynucuje pro účty a zařízení pomocí modulu zásad nulová důvěra (Zero Trust)
• Povoleno – Přístup k prostředkům se řídí principem nejnižších oprávnění pomocí kombinace ovládacích prvků, aby k němu bylo možné získat přístup pouze
  • Správnými uživateli
  • Ve správný čas (přístup za běhu, ne trvalý přístup)
  • Se správným pracovním postupem schválení (podle potřeby)
  • Na přijatelné úrovni rizika nebo důvěryhodnosti

Ovládací prvky zabezpečení rozhraní

Vytvoření záruk zabezpečení rozhraní vyžaduje kombinaci bezpečnostních prvků, mezi které patří:

• nulová důvěra (Zero Trust) vynucení zásad – pomocí podmíněného přístupu zajistíte, aby příchozí relace splňovaly požadavky pro:
  • Vztah důvěryhodnosti zařízení, aby se zajistilo minimálně:
    • Spravuje ho podnik.
    • Má na něm detekce a reakce u koncových bodů
    • Vyhovuje požadavkům na konfiguraci organizací.
    • Není napadený ani napadený během relace
  • Vztah důvěryhodnosti uživatelů je dostatečně vysoký na základě signálů, mezi které patří:
    • Použití vícefaktorového ověřování během počátečního přihlášení (nebo přidání později za účelem zvýšení důvěryhodnosti)
    • Zda tato relace odpovídá historickým vzorům chování
    • Jestli účet nebo aktuální relace aktivují jakékoli výstrahy na základě analýzy hrozeb
    • Riziko microsoft Entra ID Protection
• Model řízení přístupu na základě role (RBAC), který kombinuje podnikové skupiny adresářů/oprávnění a role, skupiny a oprávnění specifické pro aplikaci
• Pracovní postupy přístupu za běhu, které zajišťují specifické požadavky na oprávnění (peer approvals, audit trail, privileged expiration atd.) se vynucují před povolením oprávnění, ke kterým má účet nárok.

Úrovně zabezpečení rozhraní

Tyto pokyny definují tři úrovně zabezpečení. Další informace otěchtoch Pokyny k implementaci najdete v plánu rychlé modernizace.

Podnikové rozhraní

Zabezpečení podnikového rozhraní je vhodné pro všechny podnikové uživatele a scénáře produktivity. Enterprise také slouží jako výchozí bod pro úlohy s vyšší citlivostí, na kterých můžete přírůstkově stavět, abyste dosáhli specializovaných a privilegovaných úrovní přístupu.

• vynucování zásad nulová důvěra (Zero Trust) – u příchozích relací pomocí podmíněného přístupu za účelem zajištění zabezpečení uživatelů a zařízení na podnikové nebo vyšší úrovni
  • Pro podporu se můžou povolit scénáře používání vlastních zařízení (BYOD), osobních zařízení a zařízení spravovaných partnerem, pokud používají podnikového zprostředkujícího zařízení, jako je vyhrazená služba Windows Virtual Desktop (WVD) nebo podobné řešení vzdálené plochy nebo jumpového serveru.
• Řízení přístupu na základě role (RBAC) – Model by měl zajistit, aby aplikace byla spravována pouze rolemi na specializované nebo privilegované úrovni zabezpečení.

Specializované rozhraní

Kontrolní mechanismy zabezpečení pro specializovaná rozhraní by měly zahrnovat

• nulová důvěra (Zero Trust) vynucování zásad – u příchozích relací pomocí podmíněného přístupu za účelem zajištění zabezpečení uživatelů a zařízení na specializované nebo privilegované úrovni
• Řízení přístupu na základě role (RBAC) – Model by měl zajistit, aby aplikace byla spravována pouze rolemi na specializované nebo privilegované úrovni zabezpečení.
• Pracovní postupy přístupu za běhu (volitelné) – které vynucují nejnižší oprávnění tím, že zajišťují, aby oprávnění používali jenom autorizovaní uživatelé v době, kdy jsou potřební.

Privilegované rozhraní

Kontrolní mechanismy zabezpečení pro specializovaná rozhraní by měly zahrnovat

• nulová důvěra (Zero Trust) vynucování zásad – u příchozích relací pomocí podmíněného přístupu za účelem zajištění zabezpečení uživatelů a zařízení na privilegované úrovni
• Řízení přístupu na základě role (RBAC) – Model by měl zajistit, aby aplikace byla spravována pouze rolemi na úrovni privilegovaného zabezpečení.
• Pracovní postupy přístupu za běhu (povinné), které vynucují nejnižší oprávnění tím, že zajišťují, aby oprávnění používali jenom autorizovaní uživatelé v době, kdy jsou potřební.

Další kroky

• Přehled zabezpečení privilegovaného přístupu
• Strategie privilegovaného přístupu
• Měření úspěšnosti
• Úrovně zabezpečení
• Účty s privilegovaným přístupem
• Zprostředkovatelů
• Zařízení s privilegovaným přístupem
• Model podnikového přístupu