Emelt szintű hozzáférés: Interfészek

A kiemelt hozzáférés biztosításának kritikus összetevője a nulla megbízhatósági szabályzat alkalmazása, amely biztosítja, hogy az eszközök, fiókok és közvetítők megfeleljenek a biztonsági követelményeknek a hozzáférés biztosítása előtt.

Ez a szabályzat biztosítja, hogy a bejövő munkamenetet kezdeményező felhasználók és eszközök ismertek, megbízhatók és hozzáférhessenek az erőforráshoz (a felületen keresztül). A szabályzatok kikényszerítését a Microsoft Entra Feltételes hozzáférés szabályzatmotorja végzi, amely kiértékeli az adott alkalmazásfelülethez rendelt szabályzatokat (például az Azure Portalt, a Salesforce-ot, az Office 365-öt, az AWS-t, a Workdayt és másokat).

Ez az útmutató három biztonsági szintet határoz meg az interfészek biztonságához, amelyeket különböző bizalmassági szinttel rendelkező objektumokhoz használhat. Ezek a szintek a biztonságos emelt szintű hozzáférés gyors modernizálási tervében (RAMP) vannak konfigurálva, és megfelelnek a fiókok és eszközök biztonsági szintjeinek.

Az interfészekre irányuló bejövő munkamenetekre vonatkozó biztonsági követelmények a fiókokra és a forráseszközre vonatkoznak, függetlenül attól, hogy fizikai eszközökről közvetlen kapcsolatról van-e szó, vagy távoli asztali/jumpkiszolgálói közvetítőről van-e szó. A közvetítők elfogadhatnak munkameneteket személyes eszközökről a vállalati biztonsági szint biztosítása érdekében (bizonyos helyzetekben), de a specializált vagy kiemelt közvetítők nem engedélyezhetik az alacsonyabb szintekről érkező kapcsolatokat szerepköreik biztonsági szempontból érzékeny jellege miatt.

Feljegyzés

Ezek a technológiák erős végpontok közötti hozzáférés-vezérlést biztosítanak az alkalmazás felületéhez, de magát az erőforrást is védeni kell az alkalmazás kódját/funkcióit, az alapul szolgáló operációs rendszer vagy belső vezérlőprogram által az inaktív vagy átvitel alatt álló adatokon, ellátási láncokon vagy egyéb eszközökön végrehajtott sávon kívüli támadásoktól, a nem javított biztonsági résektől vagy konfigurációs hibáktól.

A teljes védelem érdekében győződjön meg arról, hogy az eszközökre vonatkozó kockázatokat felméri és felderíti. A Microsoft olyan eszközöket és útmutatást nyújt, amelyekkel többek között a Felhőhöz készült Microsoft Defender, a Microsoft biztonságos pontszámával és a fenyegetésmodellezési útmutatóval segíthet.

Példák felületre

Az interfészek különböző formában jönnek létre, általában a következők:

• Felhőszolgáltatás-/alkalmazásweboldalak, például Azure Portal, AWS, Office 365
• Helyszíni alkalmazásokat kezelő asztali konzol (Microsoft Management Console (MMC) vagy egyéni alkalmazás)
• Parancsfájl-/konzolfelület, például Secure Shell (SSH) vagy PowerShell

Bár ezek némelyike közvetlenül támogatja Teljes felügyelet kikényszerítést a Microsoft Entra feltételes hozzáférési szabályzatmotoron keresztül, néhányat közzé kell tenni egy közvetítőn keresztül, például a Microsoft Entra alkalmazásproxyn vagy a Távoli asztali /jump serveren keresztül.

Interfész biztonsága

Az interfész biztonságának végső célja annak biztosítása, hogy a felületre irányuló minden bejövő munkamenet ismert, megbízható és engedélyezett legyen:

• Ismert – A felhasználó hitelesítése erős hitelesítéssel történik, és az eszköz hitelesítése (kivételekkel a személyes eszközök esetében távoli asztali vagy VDI-megoldást használ a vállalati hozzáféréshez)
• Megbízható – A biztonsági állapotot a rendszer explicit módon érvényesíti és érvényesíti az Teljes felügyelet szabályzatmotort használó fiókok és eszközök esetében
• Engedélyezett – Az erőforrásokhoz való hozzáférés a legkevesebb jogosultsági elvet követi vezérlők kombinációjával annak biztosítása érdekében, hogy csak azokat lehessen elérni
  • A megfelelő felhasználók
  • A megfelelő időben (csak időben, nem állandó hozzáférés)
  • A megfelelő jóváhagyási munkafolyamattal (szükség szerint)
  • Elfogadható kockázat/megbízhatósági szinten

Interfész biztonsági vezérlői

Az interfészek biztonsági garanciáinak létrehozásához biztonsági vezérlők kombinációjára van szükség, beleértve a következőket:

• szabályzatkényszerítés Teljes felügyelet – feltételes hozzáférés használata annak biztosítására, hogy a bejövő munkamenetek megfeleljenek a következő követelményeknek:
  • Eszközmegbízhatóság az eszköz minimális biztosításához:
    • A vállalat kezeli
    • Rajta végponti észlelés és reagálás
    • Megfelel a szervezetek konfigurációs követelményeinek
    • Nem fertőzött vagy támadás alatt áll a munkamenet során
  • A felhasználói megbízhatóság elég magas a következő jelek alapján:
    • Többtényezős hitelesítés használata a kezdeti bejelentkezés során (vagy később hozzáadva a megbízhatóság növelése érdekében)
    • Az, hogy ez a munkamenet megfelel-e az előzmény viselkedési mintáinak
    • Azt jelzi, hogy a fiók vagy az aktuális munkamenet riasztásokat aktivál-e a fenyegetésfelderítés alapján
    • Microsoft Entra ID-védelem kockázat
• Szerepköralapú hozzáférés-vezérlési (RBAC) modell, amely egyesíti a vállalati címtárcsoportokat/engedélyeket és alkalmazásspecifikus szerepköröket, csoportokat és engedélyeket
• Csak az időelérési munkafolyamatok, amelyek biztosítják a jogosultságok konkrét követelményeit (társ-jóváhagyások, naplózási nyomvonal, jogosultsági lejárat stb.), mielőtt engedélyeznénk a fiók jogosultságait.

Az interfész biztonsági szintjei

Ez az útmutató három biztonsági szintet határoz meg. További információ ezekről a szintekről: Keep it Simple – Personas and Profiles. A megvalósítással kapcsolatos útmutatásért tekintse meg a gyors modernizációs tervet.

Vállalati felület

A nagyvállalati felület biztonsága minden nagyvállalati felhasználó és hatékonysági forgatókönyv számára megfelelő. A Nagyvállalati verzió kiindulási pontként szolgál a nagyobb érzékenységű számítási feladatokhoz, amelyekre növekményesen építhet a speciális és emelt szintű hozzáférési szintű megbízhatóság elérése érdekében.

• Teljes felügyelet szabályzatkényszerítés – a feltételes hozzáféréssel rendelkező bejövő munkameneteken annak biztosítása érdekében, hogy a felhasználók és az eszközök vállalati vagy magasabb szinten legyenek biztonságban
  • A támogatás érdekében saját eszköz (BYOD) forgatókönyvek, személyes eszközök és partner által felügyelt eszközök is csatlakozhatnak, ha olyan vállalati közvetítőt használnak, mint például egy dedikált Windows Virtual Desktop (WVD) vagy hasonló távoli asztali / jump kiszolgálói megoldás.
• Szerepköralapú hozzáférés-vezérlés (RBAC) – A modellnek biztosítania kell, hogy az alkalmazást csak a speciális vagy kiemelt biztonsági szintű szerepkörök felügyeljék

Specializált felület

A speciális interfészek biztonsági vezérlőinek tartalmazniuk kell a

• Teljes felügyelet szabályzatkényszerítés – a feltételes hozzáféréssel rendelkező bejövő munkameneteken a felhasználók és eszközök speciális vagy emelt szintű védelme érdekében
• Szerepköralapú hozzáférés-vezérlés (RBAC) – A modellnek biztosítania kell, hogy az alkalmazást csak a speciális vagy kiemelt biztonsági szintű szerepkörök felügyeljék
• Csak időalapú hozzáférési munkafolyamatok (nem kötelező) – amelyek a minimális jogosultságot érvényesítik azáltal, hogy biztosítják, hogy a jogosultságokat csak a jogosult felhasználók használják a szükséges idő alatt.

Emelt szintű felület

A speciális interfészek biztonsági vezérlőinek tartalmazniuk kell a

• Teljes felügyelet szabályzatkényszerítés – a feltételes hozzáféréssel rendelkező bejövő munkameneteken a felhasználók és eszközök kiemelt szintű védelme érdekében
• Szerepköralapú hozzáférés-vezérlés (RBAC) – A modellnek biztosítania kell, hogy az alkalmazást csak a kiemelt biztonsági szintű szerepkörök felügyeljék
• Csak időben elérhető munkafolyamatok (kötelező), amelyek a minimális jogosultságot érvényesítik azáltal, hogy biztosítják, hogy a jogosultságokat csak a jogosult felhasználók használják a szükséges idő alatt.

Következő lépések

• A kiemelt hozzáférés biztonságossá tétele – áttekintés
• Emelt szintű hozzáférési stratégia
• Sikeresség mérése
• Biztonsági szintek
• Emelt szintű hozzáférési fiókok
• Közvetítők
• Emelt szintű hozzáférési eszközök
• Vállalati hozzáférési modell