Zabezpečení identity pomocí nulová důvěra (Zero Trust)

Pozadí

Cloudové aplikace a mobilní pracovníci znovu nadefinovali bezpečnostní perimetr. Zaměstnanci přinášejí vlastní zařízení a pracují vzdáleně. Data jsou přístupná mimo podnikovou síť a sdílí se s externími spolupracovníky, jako jsou partneři a dodavatelé. Podnikové aplikace a data se přesouvají z místního prostředí do hybridního a cloudového prostředí. Organizace už nemůžou pro zabezpečení spoléhat na tradiční síťové ovládací prvky. Ovládací prvky se musí přesunout na místo, kde jsou data: na zařízeních, v aplikacích a u partnerů.

Identity, které představují lidi, služby nebo zařízení IoT, jsou běžným dominátorem v mnoha dnešních sítích,koncovýchch V modelu zabezpečení nulová důvěra (Zero Trust) fungují jako výkonný, flexibilní a podrobný způsob řízení přístupu k datům.

Než se identita pokusí o přístup k prostředku, musí organizace:

• Ověřte identitu pomocí silného ověřování.

• Zajistěte, aby byl přístup pro danou identitu kompatibilní a typický.

• Řídí se principy přístupu s nejnižšími oprávněními.

Po ověření identity můžeme řídit přístup této identity k prostředkům na základě zásad organizace, probíhající analýzy rizik a dalších nástrojů.

Cíle nasazení nulová důvěra (Zero Trust) identit

Než většina organizací zahájí cestu k nulová důvěra (Zero Trust), je jejich přístup k identitě problematický v tom, že se používá místní zprostředkovatel identity, mezi cloudovými a místními aplikacemi neexistuje jednotné přihlašování a viditelnost rizik identit je velmi omezená.

Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro identitu doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:
	Identita I.Cloud se federuje s místními systémy identit. II.Zásady podmíněného přístupu hradí přístup a poskytují nápravné aktivity. III.Analýza zlepšuje viditelnost.
Po dokončení se zaměřte na tyto další cíle nasazení:
	IV.Identity a přístupová oprávnění se spravují pomocí zásad správného řízení identit. V.User, zařízení, umístění a chování se analyzuje v reálném čase, aby bylo možné určit riziko a zajistit průběžnou ochranu. VI.Integrujte signály hrozeb z jiných řešení zabezpečení, abyste zlepšili detekci, ochranu a reakci.

Průvodce nasazením nulová důvěra (Zero Trust) identit

Tato příručka vás provede postupem potřebným ke správě identit podle principů architektury zabezpečení nulová důvěra (Zero Trust).

Počáteční cíle nasazení

I. Federuje cloudové identity s místními systémy identit.

Microsoft Entra ID umožňuje silné ověřování, bod integrace pro zabezpečení koncových bodů a jádro zásad orientovaných na uživatele, které zaručuje nejméně privilegovaný přístup. Možnosti podmíněného přístupu Microsoft Entra jsou bodem rozhodování o zásadách pro přístup k prostředkům na základě identity uživatele, prostředí, stavu zařízení a rizika – ověřené explicitně v okamžiku přístupu. Ukážeme si, jak můžete implementovat strategii nulová důvěra (Zero Trust) identit pomocí Microsoft Entra ID.

Připojení všechny uživatele k Microsoft Entra ID a federaci pomocí místních systémů identit

Udržování dobrého kanálu identit vašich zaměstnanců a potřebných artefaktů zabezpečení (skupin pro autorizaci a koncové body pro dodatečné řízení zásad přístupu) vám dává nejlepší místo pro používání konzistentních identit a ovládacích prvků v cloudu.

Postupujte následovně:

1. Zvolte možnost ověřování. Microsoft Entra ID poskytuje nejlepší ochranu proti útoku hrubou silou, útoky DDoS a ochrany heslem, ale proveďte rozhodnutí, které je správné pro vaši organizaci a vaše potřeby dodržování předpisů.

2. Jen přineste identity, které naprosto potřebujete. Můžete například použít přechod do cloudu jako příležitost opustit účty služeb, které mají smysl jenom místně. Nechte místní privilegované role za sebou.

3. Pokud má vaše organizace více než 100 000 uživatelů, skupin a zařízení zkombinované sestavení vysoce výkonného synchronizačního pole , které bude udržovat váš životní cyklus v aktualizovaném stavu.

Vytvoření základu identit pomocí Microsoft Entra ID

Strategie nulová důvěra (Zero Trust) vyžaduje explicitní ověření, použití principů přístupu s nejnižšími oprávněními a za předpokladu porušení zabezpečení. ID Microsoft Entra může fungovat jako bod rozhodování o zásadách a vynucovat zásady přístupu na základě přehledů o uživateli, koncovém bodu, cílovém prostředku a prostředí.

Proveďte tento krok:

• Vložte ID Microsoft Entra do cesty ke každé žádosti o přístup. Tím se připojí každý uživatel a každá aplikace nebo prostředek prostřednictvím jedné roviny řízení identit a poskytne Microsoft Entra ID signálem, aby se co nejlépe rozhodovalo o riziku ověřování a autorizace. Kromě toho jednotné přihlašování a konzistentní ochranné mantinely zásad poskytují lepší uživatelské prostředí a přispívají ke zvýšení produktivity.

Integrace všech aplikací s Microsoft Entra ID

Jednotné přihlašování brání uživatelům v ponechání kopií přihlašovacích údajů v různých aplikacích a pomáhá uživatelům zabránit tomu, aby se kvůli nadměrné výzvě použili k předání přihlašovacích údajů.

Ujistěte se také, že ve vašem prostředí nemáte více modulů IAM. To nejen snižuje množství signálu, že Microsoft Entra ID vidí, což umožňuje špatným hercům žít v švech mezi dvěma moduly IAM, může také vést k špatnému uživatelskému prostředí a vašim obchodním partnerům se stává prvními pochybnosti o vaší nulová důvěra (Zero Trust) strategii.

Postupujte následovně:

1. Integrujte moderní podnikové aplikace , které mluví OAuth2.0 nebo SAML.

2. Pro aplikace ověřování založené na protokolu Kerberos a formulářů je integrujte pomocí proxy aplikací Microsoft Entra.

3. Pokud publikujete starší verze aplikací pomocí sítí pro doručování aplikací nebo kontrolerů, použijte Microsoft Entra ID k integraci s většinou hlavních aplikací (například Citrix, Akamai a F5).

4. Pokud chcete pomoct zjišťovat a migrovat aplikace z ADFS a stávajících nebo starších modulů IAM, projděte si prostředky a nástroje.

5. Power push identity do různých cloudových aplikací. Díky tomu získáte užší integraci životního cyklu identit v rámci těchto aplikací.

Tip

Přečtěte si o implementaci komplexní strategie nulová důvěra (Zero Trust) pro aplikace.

Ověření explicitně pomocí silného ověřování

Postupujte následovně:

1. Zavedení vícefaktorového ověřování Microsoft Entra (P1) Jedná se o základní část snížení rizika uživatelských relací. Jak se uživatelé zobrazují na nových zařízeních a z nových umístění, schopnost reagovat na výzvu vícefaktorového ověřování je jedním z nejpřímějších způsobů, jak nás uživatelé můžou naučit, že se jedná o známá zařízení a umístění po celém světě (aniž by správci museli analyzovat jednotlivé signály).

2. Blokování starší verze ověřování Jedním z nejběžnějších vektorů útoku pro škodlivé aktéry je použití odcizených/přehrání přihlašovacích údajů proti starším protokolům, jako je SMTP, které nemůžou provádět moderní výzvy zabezpečení.

II. Zásady podmíněného přístupu vrátný přístup a poskytují nápravné aktivity

Microsoft Entra Conditional Access (CA) analyzuje signály, jako je uživatel, zařízení a umístění, a automatizuje rozhodnutí a vynucuje zásady přístupu organizace pro prostředek. Zásady podmíněného přístupu můžete použít k použití řízení přístupu, jako je vícefaktorové ověřování (MFA). Zásady podmíněného přístupu umožňují vyzvat uživatele k vícefaktorové ověřování v případě potřeby zabezpečení a zůstat mimo cestu uživatelů, pokud není potřeba.

Microsoft poskytuje standardní podmíněné zásady označované jako výchozí nastavení zabezpečení, které zajišťují základní úroveň zabezpečení. Vaše organizace ale může potřebovat větší flexibilitu než nabídka výchozích hodnot zabezpečení. Podmíněný přístup můžete použít k přizpůsobení výchozích hodnot zabezpečení s větší členitostí a konfiguraci nových zásad, které splňují vaše požadavky.

Plánování zásad podmíněného přístupu předem a nastavení sady aktivních a záložních zásad je základním pilířem vynucení zásad přístupu v nasazení nulová důvěra (Zero Trust). Chvíli si nastavte důvěryhodná umístění IP adres ve vašem prostředí. I když je nepoužíváte v zásadách podmíněného přístupu, konfigurace těchto IP adres informuje o riziku služby Identity Protection uvedené výše.

Proveďte tento krok:

• Projděte si naše pokyny k nasazení a osvědčené postupy pro odolné zásady podmíněného přístupu.

Registrace zařízení pomocí Microsoft Entra ID pro omezení přístupu z ohrožených a ohrožených zařízení

Postupujte následovně:

1. Povolte hybridní připojení Microsoft Entra nebo Microsoft Entra Join. Pokud spravujete přenosný počítač nebo počítač uživatele, přineste tyto informace do Microsoft Entra ID a použijte ho k lepšímu rozhodování. Pokud například víte, že uživatel pochází z počítače, který řídí a spravuje vaše organizace, můžete povolit bohatý klientský přístup k datům (klienti s offline kopiemi na počítači). Pokud to nepřinesete, pravděpodobně se rozhodnete zablokovat přístup od bohatých klientů, což může vést k tomu, že vaši uživatelé pracují s vaším zabezpečením nebo používají stínové IT.

2. Povolte službu Intune v Microsoft Endpoint Manageru (EMS) pro správu mobilních zařízení uživatelů a registraci zařízení. Totéž se dá říci o mobilních zařízeních uživatelů jako o přenosných počítačích: Čím víc o nich víte (úroveň opravy, jailbreak, rooted atd.), čím více jim můžete důvěřovat nebo nedůvěřovat, a poskytnout odůvodnění, proč blokujete nebo povolujete přístup.

Tip

Informace o implementaci komplexní strategie nulová důvěra (Zero Trust) pro koncové body

III. Vylepšení viditelnosti analýz

Při vytváření majetku v Microsoft Entra ID s ověřováním, autorizací a zřizováním je důležité mít silné provozní přehledy o tom, co se děje v adresáři.

Konfigurace protokolování a generování sestav za účelem zlepšení viditelnosti

Proveďte tento krok:

• Naplánujte nasazení generování sestav a monitorování Microsoft Entra tak, aby bylo možné uchovávat a analyzovat protokoly z ID Microsoft Entra, a to buď v Azure, nebo pomocí zvoleného systému SIEM.

Další cíle nasazení

IV. Identity a přístupová oprávnění se spravují pomocí zásad správného řízení identit.

Jakmile dosáhnete svých počátečních tří cílů, můžete se zaměřit na další cíle, jako jsou robustnější zásady správného řízení identit.

Zabezpečení privilegovaného přístupu pomocí Privileged Identity Management

Řídí koncové body, podmínky a přihlašovací údaje, které uživatelé používají pro přístup k privilegovaným operacím nebo rolím.

Postupujte následovně:

1. Převzetí kontroly nad privilegovanými identitami Mějte na paměti, že v digitálně transformované organizaci je privilegovaný přístup nejen přístup pro správu, ale také vlastník aplikace nebo vývojářský přístup, který může změnit způsob spouštění a zpracování dat důležitými aplikacemi.

2. K zabezpečení privilegovaných identit použijte Privileged Identity Management.

Omezení souhlasu uživatele s aplikacemi

Souhlas uživatelů s aplikacemi je velmi běžný způsob, jak moderní aplikace získat přístup k prostředkům organizace, ale je potřeba mít na paměti některé osvědčené postupy.

Postupujte následovně:

1. Omezte souhlas uživatele a spravujte žádosti o souhlas, abyste zajistili, že nedojde k zbytečnému vystavení dat vaší organizace aplikacím.

2. Zkontrolujte předchozí nebo stávající souhlas ve vaší organizaci , kde najdete jakýkoli nadměrný nebo škodlivý souhlas.

Další informace o nástrojích pro ochranu před taktikami pro přístup k citlivým informacím najdete v části "Posílení ochrany před kybernetickými hrozbami a podvodným aplikacím" v naší příručce k implementaci strategie nulová důvěra (Zero Trust) identit.

Správa nároku

Díky centrálnímu ověřování a řízení aplikací z Microsoft Entra ID teď můžete zjednodušit proces žádosti o přístup, schválení a opětovné certifikace, abyste měli jistotu, že správní lidé mají správný přístup a že máte přehled o tom, proč mají uživatelé ve vaší organizaci přístup.

Postupujte následovně:

1. Pomocí správy nároků můžete vytvářet přístupové balíčky, které si uživatelé můžou vyžádat při připojování k různým týmům nebo projektům a které jim přiřazují přístup k přidruženým prostředkům (jako jsou aplikace, weby SharePointu, členství ve skupinách).

2. Pokud v tuto chvíli není nasazení správy nároků pro vaši organizaci možné, povolte alespoň samoobslužná paradigmata ve vaší organizaci nasazením samoobslužné správy skupin a samoobslužného přístupu k aplikacím.

Použití ověřování bez hesel ke snížení rizika útoků phishing a hesel

S Microsoft Entra ID podporující FIDO 2.0 a bez hesla přihlášení k telefonu můžete přesunout jehlu na přihlašovací údaje, které vaši uživatelé (zejména citliví/privilegovaní uživatelé) používají každodenní použití. Tyto přihlašovací údaje jsou silné ověřovací faktory, které mohou také zmírnit riziko.

Proveďte tento krok:

• Začněte zavádět přihlašovací údaje bez hesla ve vaší organizaci.

V. Uživatel, zařízení, umístění a chování se analyzuje v reálném čase, aby bylo možné určit riziko a zajistit průběžnou ochranu.

Analýza v reálném čase je důležitá pro určení rizika a ochrany.

Nasazení ochrany heslem Microsoft Entra

I když povolíte jiné metody pro ověření uživatelů explicitně, nepřekočujte slabá hesla, útok password spray a útoky na přehrání porušení zabezpečení. A klasické složité zásady hesel nezabrání nejběžnějším útokům na hesla.

Proveďte tento krok:

• Povolte ochranu heslem Microsoft Entra pro uživatele v cloudu a místně.

Povolení Identity Protection

Získejte podrobnější signál o riziku relace nebo uživatele pomocí služby Identity Protection. Budete moci prozkoumat riziko a potvrdit ohrožení nebo zavřít signál, což pomůže modulu lépe pochopit, jaké riziko ve vašem prostředí vypadá.

Proveďte tento krok:

• Povolte službu Identity Protection.

Povolení integrace Microsoft Defenderu pro Cloud Apps se službou Identity Protection

Microsoft Defender for Cloud Apps monitoruje chování uživatelů v saaS a moderních aplikacích. To informuje Microsoft Entra ID o tom, co se stalo s uživatelem po ověření a přijetí tokenu. Pokud uživatelský vzor začne vypadat podezřele (např. uživatel začne stahovat gigabajty dat z OneDrivu nebo začne posílat spamové e-maily v Exchangi Online), může být signál předán do Microsoft Entra ID s oznámením, že se zdá, že je uživatel ohrožený nebo vysoce rizikový. Při další žádosti o přístup od tohoto uživatele může ID Microsoft Entra správně provést akci k ověření nebo blokování uživatele.

Proveďte tento krok:

• Povolení monitorování služby Defender for Cloud Apps za účelem obohacení signálu Identity Protection

Povolení integrace podmíněného přístupu s Microsoft Defenderem for Cloud Apps

Pomocí signálů vygenerovaných po ověření a v programu Defender for Cloud Apps budete moct monitorovat relace v aplikacích SaaS a vynucovat omezení.

Postupujte následovně:

1. Povolte integraci podmíněného přístupu.

2. Rozšíření podmíněného přístupu k místním aplikacím

Povolení omezené relace pro použití při rozhodování o přístupu

Pokud je riziko uživatele nízké, ale přihlašuje se z neznámého koncového bodu, můžete jim povolit přístup k důležitým prostředkům, ale nepovolit jim dělat věci, které opustí vaši organizaci v nevyhovujícím stavu. Teď můžete nakonfigurovat Exchange Online a SharePoint Online tak, aby uživatelům nabídly omezenou relaci, která jim umožňuje číst e-maily nebo zobrazovat soubory, ale nestahovat je a ukládat je na nedůvěryhodném zařízení.

Proveďte tento krok:

• Povolení omezeného přístupu k SharePointu Online a Exchangi Online

VI. Integrace signálů hrozeb z jiných řešení zabezpečení za účelem zlepšení detekce, ochrany a reakce

A konečně, další řešení zabezpečení lze integrovat pro větší efektivitu.

Integrace Microsoft Defenderu for Identity s Microsoft Defenderem for Cloud Apps

Integrace s Programem Microsoft Defender for Identity umožňuje službě Microsoft Entra ID vědět, že uživatel při přístupu k místním, nemoderným prostředkům (například sdíleným složkám) důvěřuje rizikovému chování. To se pak dá zohlednit v celkovém riziku uživatelů, aby se zablokoval další přístup v cloudu.

Postupujte následovně:

1. Povolte Microsoft Defender for Identity s Microsoft Defenderem for Cloud Apps, aby místní signály mohly do rizikového signálu, který o uživateli víme.

2. Zkontrolujte kombinované skóre priority šetření pro každého uživatele, kteří riskují, a podívejte se, na které z nich by se váš SOC měl zaměřit.

Povolení Microsoft Defenderu pro koncový bod

Microsoft Defender for Endpoint umožňuje ověřit stav počítačů s Windows a určit, jestli u nich dochází k ohrožení zabezpečení. Pak můžete informace dáte do zmírnění rizika za běhu. Zatímco připojení k doméně vám dává smysl pro kontrolu, Defender for Endpoint umožňuje reagovat na útok na malware téměř v reálném čase detekcí vzorů, kdy více uživatelských zařízení zasahuje na nedůvěryhodné weby, a reagovat zvýšením rizika zařízení/uživatele za běhu.

Proveďte tento krok:

• Nakonfigurujte podmíněný přístup v programu Microsoft Defender for Endpoint.

Zabezpečení identity v souladu s výkonným příkazem 14028 o kybernetické bezpečnosti a oMB memoria 22-09

Výkonný řád 14028 o zlepšení kybernetické bezpečnosti a OMB Memo 22-09 organizace Nations zahrnuje konkrétní akce týkající se nulová důvěra (Zero Trust). Akce identit zahrnují použití centralizovaných systémů správy identit, použití silného vícefaktorového ověřování odolného proti útokům phishing a začlenění alespoň jednoho signálu na úrovni zařízení do autorizačních rozhodnutí. Podrobné pokyny k implemenování těchto akcí pomocí Microsoft Entra ID naleznete v tématu Splnění požadavků na identitu memoria 22-09 s Microsoft Entra ID.

Produkty popsané v této příručce

Microsoft Azure

Microsoft Entra ID

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (zahrnuje Microsoft Intune)

Microsoft Defender for Endpoint

SharePoint Online

Exchange Online

Závěr

Identita je základem úspěšné strategie nulová důvěra (Zero Trust). Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým úspěchu zákazníka nebo pokračujte ve čtení dalších kapitol této příručky, které zahrnují všechny pilíře nulová důvěra (Zero Trust).

Série průvodce nasazením nulová důvěra (Zero Trust)