Tato architektura ukazuje, jak můžou týmy centra zabezpečení (SOC) začlenit do celkové integrované a vrstvené strategie zabezpečení microsoft Entra identity a přístupu.
Zabezpečení sítě dominovalo operacím SOC, když byly všechny služby a zařízení obsaženy ve spravovaných sítích v organizacích. SpolečnostDiktuje však, že až do roku 2022 se velikost cloudových služeb zvýší rychlostí téměř třikrát vyšší než celkové IT služby. Vzhledem k tomu, že více společností přijímá cloud computing, existuje posun směrem k zacházení s identitou uživatele jako s primární hranicí zabezpečení.
Zabezpečení identit v cloudu je vysoká priorita.
Zpráva o vyšetřování porušeních zabezpečení dat verizonu 2020 uvedla, že 37 % zahrnovalo použití odcizených přihlašovacích údajů a 22 % porušení zabezpečení dat zahrnovalo útok phishing.
Studie IBM 2019 o incidentech porušení zabezpečení dat hlásila, že průměrné globální náklady na porušení zabezpečení dat byly 3,9 milionů USD, přičemž průměrné náklady v USA jsou blíže 8,2M USD.
Zpráva Microsoftu 2019 Security Intelligence Report oznámila, že útoky phishing se mezi lednem a prosincem 2018 zvýšily o 250 %.
Model zabezpečení nulové důvěryhodnosti považuje všechny hostitele za hostitele, jako by byly přístupné z internetu, a považuje celou síť za potenciálně ohroženou a nepřátelskou. Tento přístup se zaměřuje na vytváření silného ověřování (AuthN), autorizace a šifrování a zároveň poskytuje rozdělený přístup a lepší provozní flexibilitu.
Společnost Entity podporuje adaptivní architekturu zabezpečení, která nahrazuje strategii založenou na reakci na incidenty modelem prevent-detect-respond-predict. Adaptivní zabezpečení kombinuje řízení přístupu, sledování chování, správu využití a zjišťování s průběžným monitorováním a analýzou.
Referenční architektura Microsoftu pro kybernetickou bezpečnost (MCRA) popisuje možnosti kybernetické bezpečnosti Microsoftu a jejich integraci se stávajícími architekturami zabezpečení, včetně cloudových a hybridních prostředí, která používají Microsoft Entra ID pro identity jako službu (IDaaS).
Tento článek popisuje přístup k IDaaS s nulovou důvěryhodností a adaptivním zabezpečením a zdůrazňuje komponenty dostupné na platformě Microsoft Entra.
Potenciální případy použití
- Návrh nových řešení zabezpečení
- Vylepšení nebo integrace s existujícími implementacemi
- Vzdělávání týmů SOC
Architektura
Stáhněte si soubor Visia této architektury.
Workflow
- Ověřování ovládacích prvků správy přihlašovacích údajů
- Zřizování a správa nároků definují přístupový balíček, přiřazují uživatele k prostředkům a nabízená data pro ověření identity.
- Autorizační modul vyhodnocuje zásady přístupu, aby určil přístup. Modul také vyhodnocuje detekce rizik, včetně dat analýzy chování uživatelů a entit (UEBA) a kontroluje dodržování předpisů zařízením pro správu koncových bodů.
- Pokud je uživatel nebo zařízení autorizované, získá přístup na zásady a ovládací prvky podmíněného přístupu.
- Pokud autorizace selže, můžou uživatelé provést nápravu v reálném čase, aby se odblokovali.
- Všechna data relace se protokolují pro analýzu a vytváření sestav.
- Systém SIEM (Security Information and Event Management) týmu SOC (Security Information and Event Management) přijímá všechny protokoly, detekci rizik a data UEBA z cloudových a místních identit.
Komponenty
Následující procesy zabezpečení a komponenty přispívají k této architektuře Microsoft Entra IDaaS.
Správa přihlašovacích údajů
Správa přihlašovacích údajů zahrnuje služby, zásady a postupy, které vydávají, sledují a aktualizují přístup k prostředkům nebo službám. Správa přihlašovacích údajů Microsoft Entra zahrnuje následující funkce:
Samoobslužné resetování hesla (SSPR) umožňuje uživatelům samoobslužné resetování a resetování vlastních ztracených, zapomenutých nebo ohrožených hesel. Samoobslužné resetování hesla snižuje nejen volání helpdesku, ale poskytuje větší flexibilitu a zabezpečení uživatelů.
Zpětný zápis hesla synchronizuje hesla změněná v cloudu s místními adresáři v reálném čase.
Zakázaná hesla analyzují telemetrická data, která zveřejňují běžně používaná slabá nebo ohrožená hesla, a zakazují jejich používání globálně v rámci Microsoft Entra ID. Tuto funkci můžete přizpůsobit pro své prostředí a zahrnout seznam vlastních hesel , která se mají zakázat ve vaší vlastní organizaci.
Inteligentní uzamčení porovnává legitimní pokusy o ověření s pokusy hrubou silou o získání neoprávněného přístupu. Pod výchozí zásadou inteligentního uzamčení se účet po 10 neúspěšných pokusech o přihlášení zamkne po dobu jedné minuty. Vzhledem k tomu, že pokusy o přihlášení stále selžou, doba uzamčení účtu se zvyšuje. Zásady můžete použít k úpravě nastavení vhodné kombinace zabezpečení a použitelnosti pro vaši organizaci.
Vícefaktorové ověřování (MFA) vyžaduje více forem ověřování, když se uživatelé pokusí o přístup k chráněným prostředkům. Většina uživatelů při přístupu k prostředkům zná něco, co znají, třeba heslo. MFA žádá uživatele, aby také ukázali něco, co mají, například přístup k důvěryhodnému zařízení, nebo něco, co jsou, jako je biometrický identifikátor. Vícefaktorové ověřování může používat různé druhy metod ověřování, jako jsou telefonní hovory, textové zprávy nebo oznámení prostřednictvím ověřovací aplikace.
Ověřování bez hesla nahrazuje heslo v pracovním postupu ověřování smartphonem nebo hardwarovým tokenem, biometrickým identifikátorem nebo PIN kódem. Ověřování bez hesla Microsoftu může pracovat s prostředky Azure, jako jsou Windows Hello pro firmy, a s aplikací Microsoft Authenticator na mobilních zařízeních. Můžete také povolit ověřování bez hesla pomocí klíčů zabezpečení kompatibilních s FIDO2, které používají protokol WebAuthn a FIDO Alliance Client-to-Authenticator (CTAP).
Zřizování a nárok aplikace
Správa nároků je funkce zásad správného řízení identit Microsoft Entra, která organizacím umožňuje spravovat životní cyklus identit a přístupu ve velkém měřítku. Správa nároků automatizuje pracovní postupy žádostí o přístup, přiřazení přístupu, kontroly a vypršení platnosti.
Zřizování Microsoft Entra umožňuje automaticky vytvářet identity a role uživatelů v aplikacích, ke kterým uživatelé potřebují přístup. Zřizování Microsoft Entra pro aplikace saaS (software jako služba) třetích stran, jako jsou SuccessFactors, Workday a mnoho dalších, můžete nakonfigurovat zřizování Microsoft Entra.
Bezproblémové jednotné přihlašování (SSO) automaticky ověřuje uživatele v cloudových aplikacích, jakmile se přihlásí ke svým podnikovým zařízením. Bezproblémové jednotné přihlašování Microsoft Entra můžete použít buď se synchronizací hodnot hash hesel, nebo předávacím ověřováním.
Ověření identity pomocí kontrol přístupu Microsoft Entra pomáhá splňovat požadavky na monitorování a auditování. Kontroly přístupu umožňují rychle identifikovat počet uživatelů správců, zajistit, aby noví zaměstnanci měli přístup k potřebným prostředkům, nebo si projděte aktivity uživatelů a zjistěte, jestli stále potřebují přístup.
Zásady a řízení podmíněného přístupu
Zásada podmíněného přístupu je příkaz if-then přiřazení a řízení přístupu. Odpověď definujete na důvod aktivace zásad (pokud ano), což autorizačnímu modulu umožní rozhodovat se vynucováním zásad organizace. Pomocí podmíněného přístupu Microsoft Entra můžete řídit, jak autorizovaní uživatelé přistupuje k vašim aplikacím. Nástroj Microsoft Entra ID What If vám může pomoct pochopit, proč byly nebo nebyly použity zásady podmíněného přístupu, nebo pokud by zásady platily pro uživatele v určitých okolnostech.
Řízení podmíněného přístupu funguje ve spojení se zásadami podmíněného přístupu, které pomáhají vynucovat zásady organizace. Ovládací prvky podmíněného přístupu Microsoft Entra umožňují implementovat zabezpečení na základě faktorů zjištěných v době žádosti o přístup, a ne na základě jednoho přístupu. Pomocí párování řízení podmíněného přístupu s podmínkami přístupu snížíte nutnost vytvořit další bezpečnostní prvky. Jako typický příklad můžete uživatelům na zařízení připojeném k doméně povolit přístup k prostředkům pomocí jednotného přihlašování, ale vyžadovat vícefaktorové ověřování pro uživatele mimo síť nebo používání vlastních zařízení.
Microsoft Entra ID může používat následující řízení podmíněného přístupu se zásadami podmíněného přístupu:
Řízení přístupu na základě role v Azure (RBAC) umožňuje konfigurovat a přiřazovat příslušné role uživatelům, kteří potřebují provádět administrativní nebo specializované úlohy s prostředky Azure. Azure RBAC můžete použít k vytvoření nebo údržbě samostatných vyhrazených účtů jen pro správu, obor přístupu k rolím, které nastavíte, časového limitu přístupu nebo udělení přístupu prostřednictvím pracovních postupů schválení.
Privileged Identity Management (PIM) pomáhá snížit vektor útoku pro vaši organizaci tím, že umožňuje přidat další monitorování a ochranu účtů pro správu. Pomocí Nástroje Microsoft Entra PIM můžete spravovat a řídit přístup k prostředkům v rámci Azure, Microsoft Entra ID a dalších služeb Microsoftu 365 s přístupem za běhu (JIT) a dostatečným přístupem pro správu (JEA). PIM poskytuje historii aktivit správy a protokolu změn a upozorní vás, když se uživatelé přidají nebo odeberou z rolí, které definujete.
PIM můžete použít k vyžadování schválení nebo odůvodnění aktivace rolí pro správu. Uživatelé můžou většinu času udržovat normální oprávnění a požadovat a přijímat přístup k rolím, které potřebují k dokončení administrativních nebo specializovaných úloh. Po dokončení práce a odhlášení nebo vypršení časového limitu jejich přístupu může znovu provést ověření pomocí standardních uživatelských oprávnění.
Microsoft Defender for Cloud Apps je zprostředkovatel zabezpečení přístupu ke cloudu (CASB), který analyzuje protokoly provozu za účelem zjišťování a monitorování aplikací a služeb používaných ve vaší organizaci. Pomocí Defenderu for Cloud Apps můžete:
- Vytváření zásad pro správu interakce s aplikacemi a službami
- Identifikace žádostí jako schválených nebo neschválené
- Řízení a omezení přístupu k datům
- Ochrana informací pro ochranu před ztrátou informací
Defender for Cloud Apps může také pracovat se zásadami přístupu a zásadami relací a řídit přístup uživatelů k aplikacím SaaS. Je například možné:
- Omezení rozsahů IP adres , které mají přístup k aplikacím
- Vyžadovat vícefaktorové ověřování pro přístup k aplikacím
- Povolit aktivity pouze ze schválených aplikací
Stránka řízení přístupu v Centru pro správu SharePointu nabízí několik způsobů řízení přístupu k obsahu SharePointu a OneDrivu. Můžete se rozhodnout blokovat přístup, povolit omezený, webový přístup jenom z nespravovaných zařízení nebo řídit přístup na základě síťového umístění.
Oprávnění aplikace můžete nastavit na konkrétní poštovní schránky Exchange Online pomocí ApplicationAccessPolicy z rozhraní Microsoft Graph API.
Podmínky použití (TOU) poskytují způsob, jak prezentovat informace, se kterými musí koncoví uživatelé souhlasit, než získají přístup k chráněným prostředkům. Dokumenty TOU nahrajete do Azure jako soubory PDF, které jsou pak k dispozici jako ovládací prvky v zásadách podmíněného přístupu. Vytvořením zásady podmíněného přístupu, které vyžadují, aby uživatelé souhlasili s tou při přihlášení, můžete snadno auditovat uživatele, kteří tou přijali.
Správa koncových bodů řídí, jak autorizovaní uživatelé můžou přistupovat k vašim cloudovým aplikacím z široké škály zařízení, včetně mobilních a osobních zařízení. Pomocí zásad podmíněného přístupu můžete omezit přístup jenom na zařízení, která splňují určité standardy zabezpečení a dodržování předpisů. Tato spravovaná zařízení vyžadují identitu zařízení.
Detekce rizik
Azure Identity Protection obsahuje několik zásad, které můžou vaší organizaci pomoct spravovat odpovědi na podezřelé akce uživatelů. Riziko uživatele je pravděpodobnost ohrožení identity uživatele. Riziko přihlášení je pravděpodobnost, že žádost o přihlášení nepochází od uživatele. Microsoft Entra ID vypočítá skóre rizika přihlášení na základě pravděpodobnosti žádosti o přihlášení pocházející od skutečného uživatele na základě analýzy chování.
Detekce rizik Microsoft Entra používají k detekci podezřelých akcí souvisejících s uživatelskými účty algoritmy a heuristiky adaptivního strojového učení. Každá zjištěná podezřelá akce se ukládá do záznamu označovaného jako detekce rizik. Microsoft Entra ID vypočítá pravděpodobnost rizika uživatele a přihlašování pomocí těchto dat, což je rozšířené o interní a externí zdroje a signály microsoftu pro analýzu hrozeb.
Pomocí rozhraní API pro detekci rizik identity Protection v Microsoft Graphu můžete vystavit informace o rizikových uživatelích a přihlášeních.
Náprava v reálném čase umožňuje uživatelům odblokovat se pomocí SSPR a MFA k samoobslužné nápravě některých detekcí rizik.
Důležité informace
Při použití tohoto řešení mějte na paměti tyto body.
Protokolování
Sestavy auditu Microsoft Entra poskytují sledovatelnost aktivit Azure pomocí protokolů auditu, protokolů přihlašování a rizikových přihlášení a rizikových sestav uživatelů. Data protokolu můžete filtrovat a prohledávat na základě několika parametrů, včetně služby, kategorie, aktivity a stavu.
Data protokolu Microsoft Entra ID můžete směrovat do koncových bodů, jako jsou:
- Účty úložiště Azure
- Protokoly Azure Monitoru
- Azure Event Hubs
- Řešení SIEM, jako jsou Microsoft Sentinel, ArcSight, Splunk, SumoLogic, další externí nástroje SIEM nebo vaše vlastní řešení.
Rozhraní Microsoft Graph Reporting API můžete také použít k načtení a využívání dat protokolu Microsoft Entra ID v rámci vlastních skriptů.
Aspekty místního prostředí a hybridního prostředí
Metody ověřování jsou klíčem k zabezpečení identit vaší organizace v hybridním scénáři. Společnost Microsoft poskytuje konkrétní pokyny k volbě metody hybridního ověřování s ID Microsoft Entra.
Microsoft Defender for Identity může používat vaše místní Active Directory signály k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých vnitřních akcí. Defender for Identity používá UEBA k identifikaci vnitřních hrozeb a označení rizika. I když dojde k ohrožení identity, může Defender for Identity pomoct identifikovat ohrožení na základě neobvyklého chování uživatele.
Defender for Identity je integrovaný s Defenderem for Cloud Apps , aby se rozšířila ochrana do cloudových aplikací. Defender for Cloud Apps můžete použít k vytvoření zásad relací, které chrání vaše soubory při stahování. Můžete například automaticky nastavit oprávnění jen pro zobrazení u libovolného souboru staženého určitými typy uživatelů.
Místní aplikaci v Microsoft Entra ID můžete nakonfigurovat tak, aby používala Defender for Cloud Apps k monitorování v reálném čase. Defender for Cloud Apps používá řízení podmíněného přístupu k aplikacím k monitorování a řízení relací v reálném čase na základě zásad podmíněného přístupu. Tyto zásady můžete použít pro místní aplikace, které používají proxy aplikací v Microsoft Entra ID.
Microsoft Entra proxy aplikací umožňuje uživatelům přistupovat k místním webovým aplikacím ze vzdálených klientů. Pomocí proxy aplikací můžete monitorovat všechny aktivity přihlašování pro vaše aplikace na jednom místě.
Pomocí programu Defender for Identity s Microsoft Entra ID Protection můžete chránit identity uživatelů synchronizované s Azure pomocí služby Microsoft Entra Connect.
Pokud některé z vašich aplikací už k poskytování přístupu k síti používají existující řadič doručování nebo síťový adaptér , můžete je integrovat s Microsoft Entra ID. Několik partnerů, mezi které patří Akamai, Citrix, F5 Networks a Zscaler , nabízejí řešení a pokyny pro integraci s Microsoft Entra ID.
Optimalizace nákladů
Cenové rozsahy Microsoft Entra jsou bezplatné, pro funkce, jako je jednotné přihlašování a MFA, až Premium P2, pro funkce, jako je PIM a Správa nároků. Podrobnosti o cenách najdete na stránce s cenami Microsoft Entra.
Další kroky
- zabezpečení nulová důvěra (Zero Trust)
- Průvodce nasazením nulová důvěra (Zero Trust) pro Microsoft Entra ID
- Přehled pilíře zabezpečení
- Tenant Microsoft Entra demo (vyžaduje účet Microsoft Partner Network) nebo bezplatnou zkušební verzi Enterprise Mobility + Security
- Plány nasazení Microsoft Entra