Identitás biztonságossá tétele Teljes felügyelet

Háttér

A felhőalkalmazások és a mobil munkaerő újradefiniálta a biztonsági szegélyt. Az alkalmazottak saját eszközöket hoznak létre, és távolról dolgoznak. Az adatok a vállalati hálózaton kívül érhetők el, és megosztják őket külső közreműködőkkel, például partnerekkel és szállítókkal. A vállalati alkalmazások és adatok a helyszíni környezetből hibrid és felhőalapú környezetekbe kerülnek. A szervezetek már nem támaszkodhatnak a hagyományos hálózati vezérlőkre a biztonság érdekében. A vezérlőknek oda kell lépnie, ahol az adatok találhatók: az eszközökön, az alkalmazásokon belül és a partnerekkel.

Az identitások, amelyek személyeket, szolgáltatásokat vagy IoT-eszközöket jelölnek, a mai számos hálózat, végpont és alkalmazás közös uralmát jelentik. A Teljes felügyelet biztonsági modellben hatékony, rugalmas és részletes módon szabályozhatják az adatokhoz való hozzáférést.

Mielőtt egy identitás megpróbál hozzáférni egy erőforráshoz, a szervezeteknek a következőkkel kell rendelkeznie:

  • Ellenőrizze az identitást erős hitelesítéssel.

  • Győződjön meg arról, hogy a hozzáférés megfelelő és az adott identitásra jellemző.

  • A minimális jogosultság-hozzáférési alapelveket követi.

Az identitás ellenőrzése után szabályozhatjuk, hogy az identitás hozzáfér-e az erőforrásokhoz a szervezeti szabályzatok, a folyamatban lévő kockázatelemzés és más eszközök alapján.

Identitás Teljes felügyelet üzembe helyezési célkitűzések

Mielőtt a legtöbb szervezet megkezdené a Teljes felügyelet folyamatot, az identitáshoz való hozzáállásuk problémás, mert a helyszíni identitásszolgáltató használatban van, nincs SSO a felhőbeli és a helyszíni alkalmazások között, és az identitáskockázatok láthatósága nagyon korlátozott.

Az identitáshoz tartozó, végpontok közötti Teljes felügyelet keretrendszer megvalósításakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

List icon with one checkmark.

Az I.Cloud-identitás összevonja a helyszíni identitásrendszereket.

II.A feltételes hozzáférési szabályzatok hozzáférést biztosítanak, és szervizelési tevékenységeket biztosítanak.

III.Az elemzés javítja a láthatóságot.

A befejezés után a következő további üzembehelyezési célokra összpontosítson:

List icon with two checkmarks.

IV.Az identitások és hozzáférési jogosultságok identitásszabályozással kezelhetők.

A rendszer valós időben elemzi a felhasználót, az eszközt, a helyet és a viselkedést, hogy meghatározza a kockázatokat, és folyamatos védelmet nyújtson.

VI.Integrálhatja az egyéb biztonsági megoldások fenyegetésjeleit az észlelés, a védelem és a reagálás javítása érdekében.

Identitáskezelési Teljes felügyelet üzembe helyezési útmutató

Ez az útmutató végigvezeti az identitások kezeléséhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.




Checklist icon with one checkmark.

Kezdeti üzembehelyezési célkitűzések

I. A felhőalapú identitások összevonása a helyszíni identitásrendszerekkel

A Microsoft Entra ID lehetővé teszi az erős hitelesítést, a végpontbiztonság integrálási pontját, valamint a felhasználóközpontú szabályzatok alapvető funkcióit a legkevésbé kiemelt hozzáférés biztosítása érdekében. A Microsoft Entra feltételes hozzáférési képességei a felhasználói identitáson, a környezeten, az eszközállapoton és a kockázaton alapuló erőforrásokhoz való hozzáférés szabályzatdöntési pontját képezik – ezt a hozzáférési ponton kifejezetten ellenőrzik. Bemutatjuk, hogyan implementálhat Teljes felügyelet identitásstratégiát a Microsoft Entra ID-val.

Diagram of the steps within phase 1 of the initial deployment objectives.

Csatlakozás az összes felhasználót a Microsoft Entra-azonosítóba, és egyesítse a helyszíni identitásrendszerekkel

Az alkalmazottak identitásainak és a szükséges biztonsági összetevőknek (az engedélyezési csoportoknak és a végpontoknak a további hozzáférési házirend-vezérlőkhöz) kifogástalan állapotú folyamatának fenntartása a legjobb helyen teszi lehetővé a felhőben konzisztens identitások és vezérlők használatát.

Follow these steps:

  1. Válasszon hitelesítési lehetőséget. A Microsoft Entra ID a lehető legjobb találgatást, DDoS-t és jelszópermet-védelmet nyújtja, de a szervezet és a megfelelőségi igények szempontjából megfelelő döntést hozhat.

  2. Csak azokat az identitásokat hozza magával, amelyekre feltétlenül szüksége van. Használhatja például a felhőbe való ugrás lehetőségét, hogy olyan szolgáltatásfiókokat hagyjon hátra, amelyek csak a helyszínen értelmezhetők. Hagyja hátra a helyszíni kiemelt szerepköröket.

  3. Ha a vállalat több mint 100 000 felhasználóval, csoportokkal és eszközökkel rendelkezik , hozzon létre egy nagy teljesítményű szinkronizálási dobozt , amely naprakészen tartja az életciklust.

Identitásalapítvány létrehozása a Microsoft Entra-azonosítóval

A Teljes felügyelet stratégiához explicit módon kell ellenőrizni, a legkevésbé kiemelt hozzáférési alapelveket kell használni, és fel kell használni a szabálysértést. A Microsoft Entra ID szabályzatdöntési pontként szolgálhat a hozzáférési szabályzatok felhasználóra, végpontra, célerőforrásra és környezetre vonatkozó elemzések alapján történő kikényszerítéséhez.

Végezze el ezt a lépést:

  • Helyezze a Microsoft Entra-azonosítót minden hozzáférési kérelem elérési útjára. Ez minden felhasználót és minden alkalmazást vagy erőforrást egy identitásvezérlő síkon keresztül kapcsol össze, és a Microsoft Entra-azonosítót a lehető legjobban hozza meg a hitelesítési/engedélyezési kockázattal kapcsolatban. Emellett az egyszeri bejelentkezés és a konzisztens szabályzatkorlátok jobb felhasználói élményt biztosítanak, és hozzájárulnak a termelékenység növeléséhez.

Az összes alkalmazás integrálása a Microsoft Entra-azonosítóval

Az egyszeri bejelentkezés megakadályozza, hogy a felhasználók különböző alkalmazásokban hagyják el a hitelesítő adataik másolatát, és így elkerülhető, hogy a felhasználók túlzott kérések miatt megszokják a hitelesítő adataik átadását.

Győződjön meg arról is, hogy nincs több IAM-motor a környezetben. Ez nem csak csökkenti a Microsoft Entra ID által látott jelek mennyiségét, ami lehetővé teszi a rossz szereplők számára, hogy a két IAM-motor közötti varrásban éljenek, ez a gyenge felhasználói élményhez is vezethet, és üzleti partnerei a Teljes felügyelet stratégia első kétkedőivé válhatnak.

Follow these steps:

  1. Integrálhatja az OAuth2.0-t vagy SAML-t beszélő modern nagyvállalati alkalmazásokat .

  2. Kerberos és űrlapalapú hitelesítési alkalmazások esetén integrálja őket a Microsoft Entra alkalmazásproxyval.

  3. Ha az örökölt alkalmazásokat alkalmazáskézbesítési hálózatokkal/vezérlőkkel teszi közzé, a Microsoft Entra ID-val integrálhatja a főbb alkalmazásokat (például Citrix, Akamai és F5).

  4. Ha szeretné felderíteni és migrálni az alkalmazásokat az ADFS-ből és a meglévő/régebbi IAM-motorból, tekintse át az erőforrásokat és az eszközöket.

  5. Leküldéses identitások leküldése a különböző felhőalkalmazásokba. Ez szorosabb identitás-életciklus-integrációt biztosít ezeken az alkalmazásokon belül.

Kifejezetten erős hitelesítéssel való ellenőrzés

Follow these steps:

  1. A Microsoft Entra többtényezős hitelesítésének (P1) bevezetése. Ez a felhasználói munkamenet kockázatának csökkentésének alapvető része. Mivel a felhasználók új eszközökön és új helyekről jelennek meg, az MFA-kihívásokra való reagálás az egyik legközvethetőbb módszer, amellyel a felhasználók megtaníthatják nekünk, hogy ezek ismerős eszközök/helyek a világ minden táján (anélkül, hogy a rendszergazdák elemeznék az egyes jeleket).

  2. Block legacy authentication. A rosszindulatú szereplők egyik leggyakoribb támadási vektora az ellopott/visszajátszott hitelesítő adatok használata az örökölt protokollokkal, például az SMTP-sel, amelyek nem tudnak modern biztonsági kihívásokat elhárítani.

II. A feltételes hozzáférési szabályzatok hozzáférése és szervizelési tevékenységek biztosítása

A Microsoft Entra Feltételes hozzáférés (CA) olyan jeleket elemez, mint a felhasználó, az eszköz és a hely a döntések automatizálásához és az erőforrások szervezeti hozzáférési szabályzatainak kikényszerítéséhez. A hitelesítésszolgáltatói szabályzatokkal olyan hozzáférés-vezérléseket alkalmazhat, mint a többtényezős hitelesítés (MFA). A ca-házirendek lehetővé teszik, hogy szükség esetén kérje a felhasználóktól az MFA kérését a biztonság érdekében, és ha nincs rá szükség, ne használja a felhasználókat.

Diagram of Conditional Access policies in Zero Trust.

A Microsoft szabványos feltételes szabályzatokat, úgynevezett biztonsági alapértelmezéseket biztosít, amelyek biztosítják az alapszintű biztonságot. Előfordulhat azonban, hogy a szervezetnek nagyobb rugalmasságra van szüksége, mint amennyit az alapértelmezett biztonsági beállítások kínálnak. A feltételes hozzáféréssel részletesebben szabhatja testre a biztonsági alapértékeket, és konfigurálhat új szabályzatokat, amelyek megfelelnek a követelményeknek.

A feltételes hozzáférési szabályzatok előzetes megtervezése, valamint az aktív és tartalék szabályzatok készlete a hozzáférési szabályzatok kényszerítésének alapvető pillére egy Teljes felügyelet üzemelő példányban. Szánjon időt a megbízható IP-címek konfigurálására a környezetben. Még ha nem is használja őket feltételes hozzáférési szabályzatban, ezeknek az IP-címeknek a konfigurálása a fent említett Identity Protection kockázatát is jelzi.

Végezze el ezt a lépést:

  • Tekintse meg a rugalmas feltételes hozzáférési szabályzatokkal kapcsolatos üzembe helyezési útmutatót és ajánlott eljárásokat.

Eszközök regisztrálása a Microsoft Entra-azonosítóval a sebezhető és sérült eszközök hozzáférésének korlátozásához

Follow these steps:

  1. Engedélyezze a Microsoft Entra hibrid csatlakozást vagy a Microsoft Entra-csatlakozást. Ha a felhasználó laptopját/számítógépét kezeli, hozza meg ezeket az adatokat a Microsoft Entra-azonosítóban, és használja őket a jobb döntések meghozatalához. Például engedélyezheti a gazdag ügyfél számára az adatokhoz való hozzáférést (a számítógépen offline másolatokkal rendelkező ügyfeleket), ha tudja, hogy a felhasználó egy olyan gépről származik, amelyet a szervezet irányít és kezel. Ha ezt nem teszi meg, valószínűleg úgy dönt, hogy letiltja a hozzáférést a gazdag ügyfelektől, ami azt eredményezheti, hogy a felhasználók a biztonság körül dolgoznak, vagy árnyék informatikát használnak.

  2. Engedélyezze az Intune szolgáltatást a Microsoft Endpoint Managerben (EMS) a felhasználók mobileszközeinek kezeléséhez és az eszközök regisztrálásához. Ugyanez mondható el a felhasználói mobileszközökről, mint a laptopokról: Minél többet tud róluk (patch level, jailbroken, rooted stb.), annál többet tud megbízni bennük, vagy nem megbízható, és ad okot arra, hogy miért letiltja / engedélyezi a hozzáférést.

III. Az elemzés javítja a láthatóságot

Amikor a Microsoft Entra-azonosítóban hitelesítéssel, engedélyezéssel és kiépítéssel építi fel a tulajdonát, fontos, hogy a címtárban zajló eseményekről erős működési ismereteket nyújtsunk.

A naplózás és a jelentéskészítés konfigurálása a láthatóság javítása érdekében

Végezze el ezt a lépést:




Checklist icon with two checkmarks.

További üzembehelyezési célkitűzések

IV. Az identitások és hozzáférési jogosultságok kezelése identitásszabályozással

Miután elvégezte a kezdeti három célkitűzést, további célokra összpontosíthat, például a robusztusabb identitásszabályozásra.

Diagram of the steps within phase 4 of the additional deployment objectives.

Biztonságos emelt szintű hozzáférés a Privileged Identity Management használatával

Szabályozza azokat a végpontokat, feltételeket és hitelesítő adatokat, amelyeket a felhasználók a kiemelt műveletek/szerepkörök eléréséhez használnak.

Follow these steps:

  1. Vegye át az irányítást a kiemelt identitások felett. Ne feledje, hogy a digitálisan átalakított szervezetekben a kiemelt hozzáférés nem csak rendszergazdai hozzáférés, hanem alkalmazástulajdonosi vagy fejlesztői hozzáférés is, amely megváltoztathatja a kritikus fontosságú alkalmazások futtatását és az adatok kezelését.

  2. A Privileged Identity Management használatával biztonságossá teheti a kiemelt identitásokat.

Az alkalmazásokhoz való felhasználói hozzájárulás nagyon gyakori módja annak, hogy a modern alkalmazások hozzáférjenek a szervezeti erőforrásokhoz, de van néhány ajánlott eljárás, amelyet szem előtt kell tartani.

Follow these steps:

  1. A felhasználói hozzájárulás korlátozása és a hozzájárulási kérelmek kezelése annak biztosítása érdekében, hogy a szervezet adatai ne legyenek szükségtelenül kitéve az alkalmazásoknak.

  2. Tekintse át a szervezet korábbi/meglévő hozzájárulását a túlzott vagy rosszindulatú hozzájárulásokért.

A bizalmas információkhoz való hozzáféréshez szükséges taktikák elleni védelemmel kapcsolatos további információkért tekintse meg a "Kiberfenyegetések és rosszindulatú alkalmazások elleni védelem megerősítése" című témakört az identitáskezelési Teljes felügyelet stratégia implementálásáról szóló útmutatónkban.

Jogosultság kezelése

A Microsoft Entra-azonosítóból központilag hitelesítendő és hajtott alkalmazások segítségével mostantól egyszerűsítheti a hozzáférési kérést, a jóváhagyást és az újrahitelesítési folyamatot, hogy meggyőződjön arról, hogy a megfelelő személyek rendelkeznek a megfelelő hozzáféréssel, és hogy a szervezet felhasználói miért rendelkeznek hozzáféréssel.

Follow these steps:

  1. A Jogosultságkezelés használatával olyan hozzáférési csomagokat hozhat létre, amelyeket a felhasználók különböző csapatokhoz/projektekhez való csatlakozásukkor kérhetnek, és amelyek hozzáférést rendelnek hozzájuk a társított erőforrásokhoz (például alkalmazásokhoz, SharePoint-webhelyekhez, csoporttagságokhoz).

  2. Ha a jogosultságkezelés telepítése jelenleg nem lehetséges a szervezet számára, legalább engedélyezze az önkiszolgáló paradigmákat a szervezetben az önkiszolgáló csoportkezelés és az önkiszolgáló alkalmazáshozzáférés üzembe helyezésével.

Jelszó nélküli hitelesítés használata az adathalászat és a jelszótámadások kockázatának csökkentése érdekében

A FIDO 2.0-t támogató Microsoft Entra-azonosító és a jelszó nélküli telefonos bejelentkezés lehetővé teszi a tű mozgatását azon hitelesítő adatokon, amelyeket a felhasználók (különösen a bizalmas/kiemelt felhasználók) használnak napról napra. Ezek a hitelesítő adatok erős hitelesítési tényezők, amelyek a kockázatokat is mérsékelhetik.

Végezze el ezt a lépést:

V. A rendszer valós időben elemzi a felhasználót, az eszközt, a helyet és a viselkedést a kockázatok meghatározása és a folyamatos védelem biztosítása érdekében

A valós idejű elemzés kritikus fontosságú a kockázat és a védelem meghatározásához.

Diagram of the steps within phase 5 of the additional deployment objectives.

A Microsoft Entra Password Protection üzembe helyezése

Miközben más módszereket is engedélyez a felhasználók explicit ellenőrzéséhez, ne hagyja figyelmen kívül a gyenge jelszavakat, a jelszópermetet és a szabálysértési visszajátszási támadásokat. A klasszikus összetett jelszóházirendek pedig nem akadályozzák meg a leggyakrabban előforduló jelszótámadásokat.

Végezze el ezt a lépést:

Enable Identity Protection

Részletesebb munkamenet-/felhasználói kockázati jelzést kaphat az Identity Protection használatával. Megvizsgálhatja a kockázatokat, megerősítheti a kockázatokat, vagy elutasíthatja a jelet, ami segít a motornak jobban megérteni, hogy milyen kockázat jelenik meg a környezetben.

Végezze el ezt a lépést:

Felhőhöz készült Microsoft Defender-alkalmazások integrációjának engedélyezése az Identity Protection szolgáltatással

Felhőhöz készült Microsoft Defender Alkalmazások figyelik a felhasználói viselkedést az SaaS-ben és a modern alkalmazásokban. Ez tájékoztatja a Microsoft Entra-azonosítót arról, hogy mi történt a felhasználóval a hitelesítés és a jogkivonat fogadása után. Ha a felhasználói minta gyanúsnak tűnik (például egy felhasználó elkezd gigabájtnyi adatot letölteni a OneDrive-ról, vagy levélszemét-e-maileket kezd küldeni az Exchange Online-ban), akkor a Microsoft Entra-azonosítóhoz küldhető egy jelzés, amely értesíti arról, hogy a felhasználó sérültnek tűnik, vagy magas a kockázat. A felhasználó következő hozzáférési kérelme esetén a Microsoft Entra-azonosító helyesen hajthat végre műveletet a felhasználó ellenőrzéséhez vagy letiltásához.

Végezze el ezt a lépést:

Feltételes hozzáférés integrációjának engedélyezése Felhőhöz készült Microsoft Defender-alkalmazásokkal

A hitelesítés után kibocsátott jelek használatával és Felhőhöz készült Defender Alkalmazások alkalmazásproxy-kéréseivel figyelheti az SaaS-alkalmazások munkameneteit, és korlátozásokat kényszeríthet ki.

Follow these steps:

  1. Feltételes hozzáférés integrációjának engedélyezése.

  2. Feltételes hozzáférés kiterjesztése helyszíni alkalmazásokra.

Korlátozott munkamenet engedélyezése hozzáférési döntésekben való használatra

Ha egy felhasználó kockázata alacsony, de ismeretlen végpontról jelentkezik be, előfordulhat, hogy engedélyezni szeretné számukra a kritikus erőforrásokhoz való hozzáférést, de nem engedélyezi számukra, hogy olyan műveleteket végezzenek, amelyek nem megfelelő állapotban hagyják a szervezetet. Most már konfigurálhatja az Exchange Online-t és a SharePoint Online-t, hogy korlátozott munkamenetet biztosítson a felhasználónak, amely lehetővé teszi számukra e-mailek olvasását vagy fájlok megtekintését, de nem töltheti le őket, és nem megbízható eszközre mentheti őket.

Végezze el ezt a lépést:

VI. Más biztonsági megoldások fenyegetésjeleinek integrálása az észlelés, a védelem és a válasz javítása érdekében

Végül más biztonsági megoldások is integrálhatók a nagyobb hatékonyság érdekében.

A Microsoft Defender for Identity integrálása Felhőhöz készült Microsoft Defender-alkalmazásokkal

A Microsoft Defender for Identity integrációja lehetővé teszi, hogy a Microsoft Entra ID tudja, hogy egy felhasználó kockázatos viselkedést tapasztal, miközben helyszíni, nem modern erőforrásokhoz (például fájlmegosztásokhoz) fér hozzá. Ez aztán a felhőben való további hozzáférés letiltásához szükséges általános felhasználói kockázattal is számolni lehet.

Follow these steps:

  1. Engedélyezze a Microsoft Defender for Identity használatát a Felhőhöz készült Microsoft Defender-alkalmazásokkal, hogy helyszíni jeleket hozzon a felhasználóról ismert kockázati jelbe.

  2. Ellenőrizze az egyes veszélyeztetett felhasználók összesített vizsgálati prioritási pontszámát , hogy holisztikus képet kapjon az soc-nak azokra, amelyekre az SOC-nek összpontosítania kell.

Végponthoz készült Microsoft Defender engedélyezése

Végponthoz készült Microsoft Defender lehetővé teszi, hogy igazolja a Windows-gépek állapotát, és megállapítsa, hogy biztonsági kockázatot jelentenek-e. Ezután ezeket az információkat a futásidőben a kockázat csökkentésére használhatja. Míg a Domain Join egyfajta vezérlést biztosít, a Defender for Endpoint lehetővé teszi, hogy közel valós időben reagáljon a kártevők támadására olyan minták észlelésével, amelyekben több felhasználói eszköz nem megbízható webhelyeket ér el, és hogy futásidőben növelve az eszköz/felhasználó kockázatát.

Végezze el ezt a lépést:

Identitás biztonságossá tétele a kiberbiztonságról szóló 14028- os végrehajtási rendelettel összhangban – OMB Memorandum 22-09

A Nations Cyber Security & OMB Memorandum 22-09 javítására vonatkozó 14028- os végrehajtási rendelet konkrét intézkedéseket tartalmaz Teljes felügyelet. Az identitáskezelési műveletek közé tartozik a központosított identitáskezelési rendszerek alkalmazása, az erős adathalászatnak ellenálló MFA használata, valamint legalább egy eszközszintű jel beépítése az engedélyezési döntés(ek)be. A műveletek Microsoft Entra-azonosítóval való megszemélyesítésével kapcsolatos részletes útmutatásért lásd a 22–09., Microsoft Entra-azonosítóval rendelkező memorandum identitáskövetelményeinek teljesítését ismertető szakaszt.

Az útmutatóban szereplő termékek

Microsoft Azure

Microsoft Entra ID

Microsoft Defender identitáshoz

Microsoft 365

Microsoft Endpoint Manager (a Microsoft Intune-t is beleértve)

Végponthoz készült Microsoft Defender

SharePoint Online

Exchange Online

Összefoglalás

Az identitás egy sikeres Teljes felügyelet stratégia központi eleme. További információkért vagy a megvalósítással kapcsolatos segítségért forduljon az Ügyfélsikere csapatához, vagy olvassa tovább az útmutató többi fejezetét, amelyek az összes Teljes felügyelet pillérre kiterjednek.



A Teljes felügyelet üzembehelyezési útmutató sorozata

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration