Az Azure identitáskezelésének biztonsági áttekintése

Az identitáskezelés a biztonsági tagok hitelesítésének és engedélyezésének folyamata. A rendszerbiztonsági tagokkal (identitásokkal) kapcsolatos információk szabályozását is magában foglalja. A biztonsági tagok (identitások) tartalmazhatnak szolgáltatásokat, alkalmazásokat, felhasználókat, csoportokat stb. A Microsoft identitás- és hozzáférés-kezelési megoldásai segítenek az informatikai csapatnak megvédeni az alkalmazásokhoz és erőforrásokhoz való hozzáférést a vállalati adatközpontban és a felhőben. Az ilyen védelem további ellenőrzési szinteket tesz lehetővé, például a többtényezős hitelesítést és a feltételes hozzáférési szabályzatokat. A gyanús tevékenységek speciális biztonsági jelentésekkel, naplózással és riasztásokkal történő monitorozása segít a lehetséges biztonsági problémák elhárításában. prémium szintű Azure Active Directory egyszeri bejelentkezést (SSO) biztosít több ezer felhőszoftvernek szolgáltatásként (SaaS-) és hozzáférést a helyszínen futó webalkalmazásokhoz.

Az Azure Active Directory (Azure AD) biztonsági előnyeinek kihasználásával a következő lehetőségek közül választhat:

  • A hibrid vállalat minden felhasználójához létrehozhat és kezelhet egy-egy identitást, így a felhasználók, csoportok és eszközök folyamatosan szinkronizálva lesznek.
  • SSO-hozzáférést biztosít az alkalmazásokhoz, beleértve több ezer előre integrált SaaS-alkalmazást is.
  • Szabályalapú többtényezős hitelesítés kikényszerítésével fokozhatja az alkalmazás-hozzáférés biztonságát a helyszíni és a felhőalkalmazásokban.
  • Biztonságos távoli hozzáférés kiépítése a helyszíni webalkalmazásokhoz Azure AD alkalmazásproxy keresztül.

A cikk célja, hogy áttekintést nyújtson az identitáskezelést segítő alapvető Azure-biztonsági funkciókról. Emellett olyan cikkekre mutató hivatkozásokat is biztosítunk, amelyek részletesen ismertetik az egyes funkciókat, hogy többet tudjon meg.

A cikk az Alábbi alapvető Azure Identity Management-képességekre összpontosít:

  • Egyszeri bejelentkezés
  • Fordított proxy
  • Többtényezős hitelesítés
  • Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)
  • Biztonsági monitorozás, riasztások és gépi tanuláson alapuló jelentések
  • Fogyasztói identitás és hozzáférés-kezelés
  • Eszközregisztráció
  • Privileged Identity Management
  • Identity protection
  • Hibrid identitáskezelés/Azure AD csatlakozás
  • Azure AD hozzáférési felülvizsgálatok

Egyszeri bejelentkezés

Az SSO azt jelenti, hogy egyetlen felhasználói fiók használatával csak egyszer lehet bejelentkezni az összes üzleti tevékenységhez szükséges alkalmazáshoz és erőforráshoz. A bejelentkezést követően anélkül érheti el az összes szükséges alkalmazást, hogy másodszor is hitelesítenie kellene (például be kell írnia egy jelszót).

Számos szervezet olyan SaaS-alkalmazásokat használ, mint a Microsoft 365, a Box és a Salesforce a felhasználói hatékonyság érdekében. Korábban az informatikai személyzetnek egyénileg kellett létrehoznia és frissítenie a felhasználói fiókokat az egyes SaaS-alkalmazásokban, és a felhasználóknak minden SaaS-alkalmazáshoz emlékeznie kellett egy jelszóra.

Azure AD kiterjeszti helyi Active Directory környezeteket a felhőbe, így a felhasználók az elsődleges szervezeti fiókjukkal nem csak a tartományhoz csatlakoztatott eszközökre és vállalati erőforrásokra jelentkezhetnek be, hanem a munkájukhoz szükséges összes webes és SaaS-alkalmazásra is.

A felhasználóknak nem csak több felhasználónevet és jelszót kell kezelniük, hanem automatikusan kiépítheti vagy megszüntetheti az alkalmazáshoz való hozzáférést a szervezeti csoportjaik és az alkalmazotti állapotuk alapján. Azure AD olyan biztonsági és hozzáférés-szabályozási vezérlőket vezet be, amelyekkel központilag kezelheti a felhasználók hozzáférését az SaaS-alkalmazásokban.

További információ:

Fordított proxy

Azure AD alkalmazásproxy lehetővé teszi helyszíni alkalmazások, például SharePoint-webhelyek, Outlook Web App és IIS-alapú alkalmazások közzétételét a magánhálózaton belül, és biztonságos hozzáférést biztosít a hálózaton kívüli felhasználók számára. alkalmazásproxy számos helyszíni webalkalmazáshoz biztosít távelérést és egyszeri bejelentkezést az Azure AD által támogatott Több ezer SaaS-alkalmazással. Az alkalmazottak otthonról jelentkezhetnek be az alkalmazásaiba a saját eszközeiken, és ezzel a felhőalapú proxyval hitelesíthetik magukat.

További információ:

Többtényezős hitelesítés

Azure AD Multi-Factor Authentication egy hitelesítési módszer, amely több ellenőrzési módszer használatát igényli, és kritikus második biztonsági réteget ad hozzá a felhasználói bejelentkezésekhez és tranzakciókhoz. A Multi-Factor Authentication segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben kielégíti a felhasználói igényeket egy egyszerű bejelentkezési folyamathoz. Számos ellenőrzési lehetőséggel biztosít erős hitelesítést: telefonhívások, szöveges üzenetek, mobilalkalmazás-értesítések vagy ellenőrző kódok és külső OAuth-jogkivonatok.

További információ: A multi-factor authentication Azure AD működése

Azure RBAC-vel

Az Azure RBAC egy Azure-Resource Manager alapuló engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Erőforrásokhoz az Azure-ban. Az Azure RBAC lehetővé teszi a felhasználók hozzáférésének részletes szabályozását. Korlátozhatja például, hogy egy felhasználó csak a virtuális hálózatokat kezelje, egy másik felhasználó pedig az erőforráscsoport összes erőforrását. Az Azure számos beépített szerepkört biztosít, amelyeket használhat. Az alábbiakban négy alapvető beépített szerepkört sorolunk fel. Az első három minden erőforrástípusra alkalmazható.

  • Tulajdonos – teljes hozzáféréssel rendelkezik az összes erőforráshoz, beleértve a hozzáférés mások számára való delegálásának jogát is.
  • Közreműködő – Bármilyen típusú Azure-erőforrást létrehozhat és felügyelhet, hozzáférést azonban nem adhat mások számára.
  • Olvasó – Megtekintheti a meglévő Azure-erőforrásokat.
  • Felhasználói hozzáférés rendszergazdája – kezelheti a felhasználók Azure-erőforrásokhoz való hozzáférését.

További információ:

Biztonsági monitorozás, riasztások és gépi tanuláson alapuló jelentések

Az inkonzisztens hozzáférési mintákat azonosító biztonsági monitorozás, riasztások és gépi tanuláson alapuló jelentések segíthetnek a vállalat védelmében. A Azure AD hozzáférési és használati jelentésekkel betekintést nyerhet a szervezet címtárának integritásába és biztonságába. Ezekkel az információkkal a címtáradminisztrátor jobban meg tudja határozni, hogy hol lehetnek lehetséges biztonsági kockázatok, hogy megfelelően megtervezhessék a kockázatok mérséklését.

A Azure Portal a jelentések a következő kategóriákba sorolhatók:

  • Anomáliajelentések: Olyan bejelentkezési eseményeket tartalmaznak, amelyeket rendellenesnek találtunk. Célunk, hogy értesüljön az ilyen tevékenységről, és lehetővé tegyük, hogy megállapítsa, gyanús-e egy esemény.
  • Integrált alkalmazásjelentések: Betekintést nyújt abba, hogyan használják a felhőalkalmazásokat a szervezetben. Azure AD több ezer felhőalkalmazással kínál integrációt.
  • Hibajelentések: Olyan hibákat jelez, amelyek akkor fordulhatnak elő, ha fiókokat épít ki külső alkalmazásoknak.
  • Felhasználóspecifikus jelentések: Az eszköz bejelentkezési tevékenységének adatainak megjelenítése egy adott felhasználóhoz.
  • Tevékenységnaplók: Rekordot tartalmaz az elmúlt 24 órában, az elmúlt 7 napban vagy az elmúlt 30 napban naplózott összes naplózott eseményről, valamint a csoporttevékenység változásairól, valamint a jelszó-visszaállítási és regisztrációs tevékenységről.

További információ: Azure Active Directory jelentéskészítési útmutató

Fogyasztói identitás és hozzáférés-kezelés

Azure AD B2C egy magas rendelkezésre állású, globális identitáskezelési szolgáltatás, amely több száz millió identitásra skálázható fogyasztói alkalmazásokhoz. Mobil- és webes platformokba is integrálható. A felhasználók a meglévő közösségi fiókjukkal vagy új hitelesítő adatok létrehozásával bejelentkezhetnek az összes alkalmazásba testre szabható felületen.

Korábban azok az alkalmazásfejlesztők, akik ügyfeleket akartak regisztrálni és bejelentkezni az alkalmazásaikba, saját kódot írtak volna. Ennek keretében általában helyszíni adatbázisokat vagy rendszereket használtak a felhasználónevek és jelszavak tárolására. Azure AD B2C jobb módot kínál a szervezet számára a fogyasztói identitáskezelés alkalmazásokba való integrálásához egy biztonságos, szabványalapú platform és számos bővíthető szabályzat segítségével.

Ha Azure AD B2C-t használ, a felhasználók regisztrálhatnak alkalmazásaira meglévő közösségi fiókjaik (Facebook, Google, Amazon, LinkedIn) vagy új hitelesítő adatok (e-mail-cím és jelszó, felhasználónév és jelszó) létrehozásával.

További információ:

Eszközregisztráció

Azure AD eszközregisztráció az eszközalapú feltételes hozzáférési forgatókönyvek alapja. Ha egy eszköz regisztrálva van, Azure AD eszközregisztráció olyan identitást biztosít az eszköznek, amelyet az eszköz hitelesítéséhez használ, amikor egy felhasználó bejelentkezik. A hitelesített eszköz és az eszköz attribútumai ezután a feltételes hozzáférési szabályzatok kikényszeríthetők a felhőben és a helyszínen üzemeltetett alkalmazásokhoz.

Ha mobileszköz-kezelési megoldással( például Intune) kombinálja, a Azure AD eszközattribútumai az eszközre vonatkozó további információkkal frissülnek. Ezután létrehozhat olyan feltételes hozzáférési szabályokat, amelyek a biztonsági és megfelelőségi szabványoknak való megfelelés érdekében kényszerítik az eszközökről való hozzáférést.

További információ:

Privileged Identity Management

A Azure AD Privileged Identity Management segítségével kezelheti, vezérelheti és figyelheti emelt szintű identitásait, valamint az erőforrásokhoz való hozzáférést Azure AD, valamint más Microsoft-online szolgáltatások, például a Microsoft 365-öt és Microsoft Intune.

A felhasználóknak néha kiemelt műveleteket kell végrehajtaniuk az Azure-ban vagy a Microsoft 365-erőforrásokban vagy más SaaS-alkalmazásokban. Ez gyakran azt jelenti, hogy a szervezeteknek állandó jogosultsági szintű hozzáférést kell biztosítaniuk a felhasználóknak Azure AD. Az ilyen hozzáférés egyre nagyobb biztonsági kockázatot jelent a felhőben üzemeltetett erőforrások számára, mivel a szervezetek nem tudják megfelelően monitorozni, hogy a felhasználók mit csinálnak rendszergazdai jogosultságokkal. Emellett, ha egy kiemelt hozzáféréssel rendelkező felhasználói fiók biztonsága sérül, az egy incidens hatással lehet a szervezet teljes felhőbiztonságára. Azure AD Privileged Identity Management segít a kockázat csökkentésében.

A Azure AD Privileged Identity Management a következőket teheti:

  • Megtekintheti, hogy mely felhasználók Azure AD rendszergazdák.
  • Igény szerinti, igény szerinti (JIT) rendszergazdai hozzáférés engedélyezése a Microsoft-szolgáltatásokhoz, például a Microsoft 365-höz és Intune.
  • Jelentéseket kaphat a rendszergazdai hozzáférési előzményekről és a rendszergazdai hozzárendelések változásairól.
  • Riasztások kérése a kiemelt szerepkörökhöz való hozzáférésről.

További információ:

Identity protection

Azure AD Identity Protection egy biztonsági szolgáltatás, amely összesített áttekintést nyújt a szervezet identitásait érintő kockázatészlelésekről és potenciális biztonsági résekről. Az Identity Protection kihasználja a meglévő Azure AD anomáliadetektálási képességeket, amelyek Azure AD rendellenes tevékenységjelentéseken keresztül érhetők el. Az Identity Protection új kockázatészlelési típusokat is bevezet, amelyek valós időben képesek észlelni az anomáliákat.

További információ: Azure AD Identity Protection

Hibrid identitáskezelés/Azure AD csatlakozás

A Microsoft identitáskezelési megoldásai a helyszíni és felhőalapú képességekre terjednek ki, és egyetlen felhasználói identitást hoznak létre a hitelesítéshez és az engedélyezéshez minden erőforráshoz, helytől függetlenül. Ezt hibrid identitásnak nevezzük. A Microsoft Azure AD Connect eszköze segítségével teljesítheti a hibrid identitáskezelési célokat. Így közös identitást biztosíthat a felhasználóinak az Azure AD-vel integrált Microsoft 365-, Azure- és SaaS-alkalmazásokhoz. Ez a tevékenység a következő jellemzőkkel bír:

  • Szinkronizálás
  • AD FS és összevonási integráció
  • Hitelesítés átadása
  • Állapotfigyelés

További információ:

Azure AD hozzáférési felülvizsgálatok

Az Azure Active Directory (Azure AD) hozzáférési felülvizsgálatokkal a cégek hatékonyan kezelhetik a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a kiemelt szerepkörök hozzárendeléseit.

További információ: hozzáférési felülvizsgálatok Microsoft Entra