Emelt szintű hozzáférés: Közvetítők

A köztes eszközök biztonsága a kiemelt hozzáférés biztosításának kritikus összetevője.

A közvetítők a felhasználó vagy a rendszergazda végpontok közötti munkamenetének Teljes felügyelet biztosítéki láncára mutató hivatkozást adnak hozzá, így fenn kell tartaniuk (vagy javítaniuk kell) a munkamenet Teljes felügyelet biztonsági garanciáit. A közvetítők közé tartoznak például a virtuális magánhálózatok (VPN-ek), a jump-kiszolgálók, a virtuális asztali infrastruktúra (VDI), valamint az alkalmazások hozzáférési proxykon keresztül történő közzététele.

A támadók támadhatnak egy közvetítőt, hogy a rajtuk tárolt hitelesítő adatokkal próbálják eszkalálni a jogosultságokat, hálózati távelérést szerezzenek a vállalati hálózatokhoz, vagy kihasználhassák az eszköz megbízhatóságát, ha Teljes felügyelet hozzáférési döntésekhez használják őket. A közvetítők megcélzása túl gyakorivá vált, különösen az olyan szervezetek esetében, amelyek nem tartják szigorúan fenn ezen eszközök biztonsági helyzetét. Ilyenek például a VPN-eszközökről gyűjtött hitelesítő adatok.

A közvetítők célja és technológiája eltérő, de általában távelérést, munkamenet-biztonságot vagy mindkettőt biztosítanak:

• Távelérés – A vállalati hálózatokon lévő rendszerekhez való hozzáférés engedélyezése az internetről
• Munkamenet-biztonság – A munkamenet biztonsági védelmének és láthatóságának növelése
  • Nem felügyelt eszközforgatókönyv – Felügyelt virtuális asztal biztosítása, amelyhez nem felügyelt eszközök (például személyes alkalmazottak eszközei) és/vagy partner/szállító által felügyelt eszközök férhetnek hozzá.
  • Rendszergazdai biztonsági forgatókönyv – Összevonhatja a felügyeleti útvonalakat, és/vagy növelheti a biztonságot az igény szerint elérhető hozzáféréssel, a munkamenetek figyelésével és rögzítésével, valamint hasonló képességekkel.

Annak biztosításához, hogy a biztonsági biztosítékok az eredeti eszköztől és a fióktól az erőforrás-felületen keresztül fennmaradjanak, ismernie kell a közvetítői és kockázatcsökkentési lehetőségek kockázati profilját.

Támadó lehetőség és érték

A különböző köztes típusok egyedi funkciókat látnak el, így mindegyikhez más biztonsági megközelítés szükséges, bár vannak olyan kritikus gyakoriságok, mint a biztonsági javítások gyors alkalmazása a berendezésekre, a belső vezérlőprogramra, az operációs rendszerekre és az alkalmazásokra.

A támadói lehetőséget az elérhető támadási felület képviseli, amelyet a támadási operátor a következő célokra használhat:

• Az olyan natív felhőszolgáltatások, mint a Azure AD PIM, az Azure Bastion és a Azure AD App Proxy, korlátozott támadási felületet kínálnak a támadók számára. Bár a nyilvános internetnek vannak kitéve, az ügyfelek (és a támadók) nem férnek hozzá a szolgáltatásokat biztosító mögöttes operációs rendszerekhez, és általában a felhőszolgáltató automatizált mechanizmusai révén folyamatosan karbantartják és figyelik őket. Ez a kisebb támadási felület korlátozza a támadók számára elérhető lehetőségeket, szemben a klasszikus helyszíni alkalmazásokkal és berendezésekkel, amelyeket az informatikai személyzetnek kell konfigurálnia, javítania és figyelnie, akik gyakran túlterhelik az ütköző prioritásokat és több biztonsági feladatot, mint amennyit el kell végezniük.
• A virtuális magánhálózatok (VPN-ek) és a távoli asztaliugrókiszolgálók / gyakran jelentős támadói lehetőségekkel rendelkeznek, mivel az interneten keresztül biztosítják a távoli hozzáférést, és e rendszerek karbantartása gyakran figyelmen kívül hagyható. Bár csak néhány hálózati port van elérhetővé téve, a támadóknak csak egy nem kicsomagolt szolgáltatáshoz kell hozzáférniük egy támadáshoz.
• A külső PIM-/PAM-szolgáltatásokat gyakran üzemeltetik a helyszínen vagy szolgáltatott infrastruktúra (IaaS) virtuális gépeként, és általában csak intranetes gazdagépek számára érhetők el. Bár nem érhető el közvetlenül az internet, egyetlen feltört hitelesítő adat lehetővé teheti, hogy a támadók VPN-en vagy más távelérési adathordozón keresztül érhessék el a szolgáltatást.

A támadó értéke azt jelzi, hogy egy támadó mit nyerhet egy közvetítő veszélyeztetésével. A biztonsági rést olyan támadónak nevezzük, aki teljes körű irányítást szerez az alkalmazás/virtuális gép és/vagy a felhőszolgáltatás ügyfélpéldányának rendszergazdája felett.

A támadók által a támadás következő szakaszában begyűjthető összetevők a következők:

• Hálózati kapcsolat lekérése a nagyvállalati hálózatokon lévő legtöbb vagy az összes erőforrással való kommunikációhoz. Ezt a hozzáférést általában VPN-ek és távoli asztali /jump kiszolgálói megoldások biztosítják. Bár az Azure Bastion és Azure AD alkalmazásproxy (vagy hasonló külső megoldások) is biztosítják a távelérést, ezek a megoldások általában alkalmazás- vagy kiszolgálóspecifikus kapcsolatok, és nem biztosítanak általános hálózati hozzáférést
• Eszközidentitás megszemélyesítése – legyőzheti Teljes felügyelet mechanizmusokat, ha a hitelesítéshez eszközre van szükség, és/vagy a támadók a célhálózatok intelligenciájának gyűjtésére használják. A biztonsági üzemeltetési csapatok gyakran nem figyelik szorosan az eszközfiókok tevékenységeit, és csak a felhasználói fiókokra összpontosítanak.
• Fiók hitelesítő adatainak ellopása az erőforrásokhoz való hitelesítéshez, amely a támadók legértékesebb eszköze, mivel lehetővé teszi a jogosultságok megemelésének lehetőségét a végső cél eléréséhez vagy a támadás következő szakaszához. Távoli asztal / Jump szerverek és külső PIM / PAM a legvonzóbb célokat, és a "Minden tojás egy kosárban" dinamikus, a támadó értékének növelése és a biztonsági kockázatcsökkentések:
  • A PIM-/PAM-megoldások általában a legtöbb vagy az összes kiemelt szerepkör hitelesítő adatait tárolják a szervezetben, így rendkívül jövedelmező célpontok a biztonsági rések vagy fegyverzetek ellen.
  • Azure AD PIM nem teszi lehetővé a támadók számára a hitelesítő adatok ellopásának lehetőségét, mivel feloldja az MFA-t vagy más munkafolyamatokat használó fiókhoz már hozzárendelt jogosultságokat, de egy rosszul megtervezett munkafolyamat lehetővé teheti a támadók számára a jogosultságok eszkalálását.
  • A rendszergazdák által használt távoli asztali /jump-kiszolgálók olyan gazdagépet biztosítanak, amelyen számos vagy az összes bizalmas munkamenet áthalad, így a támadók szabványos hitelesítőadat-lopási támadási eszközökkel ellophatják és újra felhasználhatják ezeket a hitelesítő adatokat.
  • A VPN-ek a megoldásban tárolhatják a hitelesítő adatokat, így a támadók potenciálisan kincstári jogosultságok eszkalálásához vezethetnek, ami azt eredményezi, hogy a kockázat csökkentése érdekében érdemes Azure AD használni a hitelesítéshez.

Köztes biztonsági profilok

Ezeknek a biztosítékoknak a megállapításához biztonsági ellenőrzések kombinációjára van szükség, amelyek némelyike sok közvetítőre jellemző, és amelyek némelyike a közvetítő típusára jellemző.

A közvetítő a Teljes felügyelet láncban található hivatkozás, amely egy felületet jelenít meg a felhasználók/eszközök számára, majd engedélyezi a hozzáférést a következő felülethez. A biztonsági vezérlőknek foglalkozniuk kell a bejövő kapcsolatokkal, magának a köztes eszköznek/alkalmazásnak/szolgáltatásnak a biztonságával, és (ha van ilyen) Teljes felügyelet biztonsági jeleket kell biztosítaniuk a következő felület számára.

Gyakori biztonsági vezérlők

A közvetítők közös biztonsági elemei a nagyvállalati és speciális szintek megfelelő biztonsági higiéniáinak fenntartására összpontosítanak, a jogosultsági biztonságra vonatkozó további korlátozásokkal.

Ezeket a biztonsági ellenőrzéseket minden közvetítőtípusra alkalmazni kell:

• Bejövő kapcsolat biztonságának kényszerítése – A Azure AD és a feltételes hozzáférés használatával biztosíthatja, hogy az eszközökről és fiókokról érkező összes bejövő kapcsolat ismert, megbízható és engedélyezett legyen. További információ: Emelt szintű interfészek szekvenálása a nagyvállalati és speciális eszközökre és fiókkövetelményekre vonatkozó részletes definíciókért.
• Megfelelő rendszerkarbantartás – Minden közvetítőnek be kell tartania a megfelelő biztonsági higiéniai gyakorlatokat, beleértve a következőket:
  • Biztonságos konfiguráció – Kövesse a gyártó vagy az iparág biztonsági konfigurációjának alapkonfigurációit és ajánlott eljárásait mind az alkalmazáshoz, mind az alapul szolgáló operációs rendszerekhez, felhőszolgáltatásokhoz vagy más függőségekhez. A Microsoft vonatkozó útmutatója tartalmazza az Azure biztonsági alapkonfigurációját és a Windows alapkonfigurációit.
  • Gyors javítás – A gyártóktól származó biztonsági frissítéseket és javításokat a kiadás után gyorsan alkalmazni kell.
• A szerepköralapú Access Control (RBAC) modelleket a támadók kihasználhatják a jogosultságok eszkalálása érdekében. A közvetítő RBAC-modelljét gondosan át kell vizsgálni annak biztosítása érdekében, hogy csak a speciális vagy emelt szintű védelem alatt álló, engedéllyel rendelkező személyzet kapjon rendszergazdai jogosultságot. Ennek a modellnek tartalmaznia kell minden mögöttes operációs rendszert vagy felhőszolgáltatást (gyökérfiókjelszót, helyi rendszergazdai felhasználókat/csoportokat, bérlői rendszergazdákat stb.).
• Végpontészlelés és válasz (EDR) és kimenő megbízhatósági jel – A teljes operációs rendszert tartalmazó eszközöket monitorozni és védeni kell egy olyan EDR-vel, mint a Végponthoz készült Microsoft Defender. Ezt a vezérlőt úgy kell konfigurálni, hogy eszközmegfelelési jeleket biztosítson a feltételes hozzáférés számára, hogy a szabályzat kényszeríthesse ezt a követelményt a felületeken.

A kiemelt közvetítők további biztonsági vezérlőket igényelnek:

• Szerepköralapú Access Control (RBAC) – A rendszergazdai jogosultságokat csak olyan kiemelt szerepkörökre kell korlátozni, amelyek a munkaállomások és fiókok esetében szabványosak.
• Dedikált eszközök (nem kötelező) – a kiemelt munkamenetek rendkívüli érzékenysége miatt a szervezetek dönthetnek úgy, hogy dedikált köztes függvénypéldányokat implementálnak a kiemelt szerepkörökhöz. Ez a vezérlő további biztonsági korlátozásokat tesz lehetővé ezekhez a kiemelt közvetítőkhöz, és közelebbről figyeli a kiemelt szerepkörű tevékenységeket.

Biztonsági útmutató az egyes közvetítőtípusokhoz

Ez a szakasz az egyes közvetítőtípusokra egyedi biztonsági útmutatást tartalmaz.

Privileged Access Management /Privileged Identity Management

A kifejezetten biztonsági használati esetekhez tervezett közvetítők egyik típusa a privileged identity management/privileged access management (PIM/PAM) megoldások.

Használati esetek és forgatókönyvek a PIM-hez/PAM-hoz

A PIM-/PAM-megoldások célja a speciális vagy kiemelt profilok által lefedett bizalmas fiókok biztonsági garanciáinak növelése, és általában elsősorban az informatikai rendszergazdákra összpontosítanak.

Bár a funkciók eltérőek a PIM-/PAM-szállítók között, számos megoldás biztosít biztonsági képességeket a következőkhöz:

• Egyszerűsítse a szolgáltatásfiókok kezelését és a jelszóváltást (ez egy kritikus fontosságú képesség)

• Speciális munkafolyamatok biztosítása igény szerinti (JIT) hozzáféréshez

• Felügyeleti munkamenetek rögzítése és figyelése

  Fontos

  A PIM-/PAM-képességek kiváló kockázatcsökkentést biztosítanak egyes támadásokhoz, de nem kezelik a számos privielged hozzáférési kockázatot, különösen az eszközök sérülésének kockázatát. Míg egyes gyártók azt javasolják, hogy a PIM/PAM-megoldásuk egy "ezüst listajeles" megoldás, amely mérsékelheti az eszköz kockázatát, az ügyfélesemények vizsgálatával kapcsolatos tapasztalataink következetesen bizonyították, hogy ez a gyakorlatban nem működik.

  A munkaállomás vagy eszköz vezérlésével rendelkező támadók használhatják ezeket a hitelesítő adatokat (és a hozzájuk rendelt jogosultságokat), miközben a felhasználó be van jelentkezve (és gyakran ellophatják a hitelesítő adatokat későbbi használatra is). A PIM-/PAM-megoldások önmagukban nem tudják konzisztensen és megbízhatóan látni és enyhíteni ezeket az eszközkockázatokat, ezért különálló eszköz- és fiókvédelemmel kell rendelkeznie, amelyek kiegészítik egymást.

Biztonsági kockázatok és javaslatok a PIM-hez/PAM-hoz

Az egyes PIM-/PAM-szállítók képességei eltérnek a biztonságosságuk módjától, ezért tekintse át és kövesse a szállító konkrét biztonsági konfigurációs javaslatait és ajánlott eljárásait.

Megjegyzés

Győződjön meg arról, hogy beállít egy második személyt az üzletileg kritikus munkafolyamatokban, hogy segítsen csökkenteni a belső kockázatokat (növeli a belső fenyegetések által történő lehetséges összejátszás költségeit/súrlódásait).

Végfelhasználói virtuális magánhálózatok

A virtuális magánhálózatok (VPN-ek) olyan közvetítők, amelyek teljes hálózati hozzáférést biztosítanak a távoli végpontokhoz, általában megkövetelik a végfelhasználótól a hitelesítést, és helyileg tárolhatják a hitelesítő adatokat a bejövő felhasználói munkamenetek hitelesítéséhez.

Megjegyzés

Ez az útmutató csak a felhasználók által használt "pont–hely" VPN-ekre vonatkozik, nem pedig a "helyek közötti" VPN-ekre, amelyeket általában az adatközpont/alkalmazás kapcsolatához használnak.

Használati esetek és forgatókönyvek VPN-ekhez

A VPN-ek távoli kapcsolatot létesítenek a vállalati hálózattal, hogy lehetővé tegyék az erőforrás-hozzáférést a felhasználók és rendszergazdák számára.

A VPN-ek biztonsági kockázatai és javaslatai

A VPN-közvetítők számára a legkritikusabb kockázatok a karbantartás elhanyagolása, a konfigurációs problémák és a hitelesítő adatok helyi tárolása.

A Microsoft a VPN-közvetítők vezérlőinek kombinációját javasolja:

• Azure AD hitelesítés integrálása – a helyileg tárolt hitelesítő adatok kockázatának csökkentése vagy kiküszöbölése (és a karbantartásukhoz szükséges többletterhelés), valamint Teljes felügyelet házirendek kényszerítése feltételes hozzáféréssel rendelkező bejövő fiókokon/eszközökön. Az integrálással kapcsolatos útmutatásért lásd:
  • Azure VPN AAD-integráció
  • Azure AD-hitelesítés engedélyezése a VPN-átjárón
  • Külső VPN-ek integrálása
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect és Kötött portál
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • és még sok más
• Gyors javítás – Győződjön meg arról, hogy minden szervezeti elem támogatja a gyors javítást, beleértve a következőket:
  • Szervezeti szponzorálás és vezetői támogatás a követelményekhez
  • Szabványos technikai folyamatok a VPN-ek minimális vagy nulla állásidővel történő frissítéséhez. Ennek a folyamatnak magában kell foglalnia a VPN-szoftvereket, a berendezéseket, valamint a mögöttes operációs rendszereket vagy belső vezérlőprogramokat
  • Vészhelyzeti folyamatok a kritikus biztonsági frissítések gyors üzembe helyezéséhez
  • Irányítás a kihagyott elemek folyamatos felderítéséhez és szervizeléséhez
• Biztonságos konfiguráció – Az egyes VPN-szállítók képességei a biztonságuktól függően változnak, ezért tekintse át és kövesse a szállító konkrét biztonsági konfigurációs javaslatait és ajánlott eljárásait
• Lépjen túl a VPN-en – Cserélje le a VPN-eket az idő múlásával biztonságosabb lehetőségekre, például Azure AD alkalmazásproxyra vagy az Azure Bastionra, mivel ezek csak közvetlen alkalmazás-/kiszolgáló-hozzáférést biztosítanak a teljes hálózati hozzáférés helyett. Emellett Azure AD alkalmazásproxy lehetővé teszi a munkamenetek figyelését a további biztonság érdekében Microsoft Defender for Cloud Apps.

Azure AD alkalmazásproxy

Azure AD alkalmazásproxy és a hasonló külső képességek távoli hozzáférést biztosítanak a helyszíni vagy a felhőben található IaaS virtuális gépeken üzemeltetett örökölt és egyéb alkalmazásokhoz.

Esetek és forgatókönyvek használata Azure AD alkalmazásproxyhoz

Ez a megoldás alkalmas régi végfelhasználói hatékonyságnövelő alkalmazások közzétételére a jogosult felhasználók számára az interneten keresztül. Egyes felügyeleti alkalmazások közzétételére is használható.

Biztonsági kockázatok és javaslatok Azure AD alkalmazásproxyhoz

Azure AD az alkalmazásproxy hatékonyan átalakítja a modern Teljes felügyelet szabályzatkényszerítést a meglévő alkalmazásokra. További információ: Biztonsági szempontok a Azure AD alkalmazásproxy

Azure AD alkalmazásproxy is integrálható a Microsoft Defender for Cloud Apps- és a feltételes hozzáférésű alkalmazásvezérlő munkamenet-biztonságának hozzáadásához a következőhöz:

• Adatkiszivárgás megakadályozása
• Védelem letöltés után
• Címkézetlen fájlok feltöltésének megakadályozása
• Felhasználói munkamenetek figyelése a megfelelőség érdekében
• Hozzáférés letiltása
• Egyéni tevékenységek letiltása

További információ: A Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlésének üzembe helyezése Azure AD alkalmazásokhoz

Amikor alkalmazásokat tesz közzé a Azure AD alkalmazásproxy keresztül, a Microsoft azt javasolja, hogy az alkalmazástulajdonosok a biztonsági csapatokkal együttműködve kövessék a minimális jogosultságot, és győződjön meg arról, hogy az egyes alkalmazásokhoz való hozzáférés csak az azt igénylő felhasználók számára érhető el. Ha így több alkalmazást helyez üzembe, előfordulhat, hogy el tudja ellensúlyozni a végfelhasználói pont–hely VPN-használatot.

Távoli asztal/ jump server

Ez a forgatókönyv egy vagy több alkalmazást futtató teljes asztali környezetet biztosít. Ez a megoldás számos különböző változatot tartalmaz, például:

• Élmények – Teljes asztal egy ablakban vagy egyetlen alkalmazás által kivetített felületen
• Távoli gazdagép – lehet megosztott virtuális gép vagy dedikált asztali virtuális gép a Windows Virtual Desktop (WVD) vagy egy másik VDI-megoldás használatával.
• Helyi eszköz – lehet mobileszköz, felügyelt munkaállomás vagy személyes/partner által felügyelt munkaállomás
• Forgatókönyv – a felhasználói hatékonyságnövelő alkalmazásokra vagy a felügyeleti forgatókönyvekre összpontosított, gyakran "jump server" néven is ismert

Esetek és biztonsági javaslatok használata távoli asztali/ jumpkiszolgálóhoz

A leggyakoribb konfigurációk a következők:

• Közvetlen távoli asztali protokoll (RDP) – Ez a konfiguráció nem ajánlott internetkapcsolatokhoz, mert az RDP egy olyan protokoll, amely korlátozott védelmet nyújt a modern támadások, például a jelszópermet ellen. A közvetlen RDP-t a következőre kell konvertálni:
  • RDP egy Azure AD alkalmazásproxy által közzétett átjárón keresztül
  • Azure Bastion
• RDP átjárón keresztül
  • A Windows Serverben található távoli asztali szolgáltatások (RDS). Közzététel Azure AD alkalmazásproxy.
  • Windows Virtual Desktop (WVD) – Kövesse a Windows Virtual Desktop biztonsági ajánlott eljárásait.
  • Külső VDI – Gyártói vagy iparági ajánlott eljárások követése, vagy a WVD útmutatójának adaptálása a megoldáshoz
• Secure Shell- (SSH-) kiszolgáló – távoli rendszerhéj és szkriptelés biztosítása a technológiai részlegek és a számítási feladatok tulajdonosai számára. A konfiguráció biztonságossá tételének a következőket kell tartalmaznia:
  • Az iparági/gyártói ajánlott eljárásokat követve biztonságosan konfigurálhatja, módosíthatja az alapértelmezett jelszavakat (ha van ilyen), valamint SSH-kulcsokat használhat jelszavak helyett, valamint biztonságosan tárolhatja és kezelheti az SSH-kulcsokat.
  • Az Azure Bastion használata SSH-remotáláshoz az Azure-ban üzemeltetett erőforrásokhoz – Csatlakozás Linux rendszerű virtuális géphez az Azure Bastion használatával

Azure Bastion

Az Azure Bastion egy közvetítő, amely úgy van kialakítva, hogy biztonságos hozzáférést biztosítson az Azure-erőforrásokhoz egy böngésző és a Azure Portal használatával. Az Azure Bastion olyan hozzáférési erőforrásokat biztosít az Azure-ban, amelyek támogatják a Távoli asztali protokoll (RDP) és a Secure Shell (SSH) protokollokat.

Esetek és forgatókönyvek használata az Azure Bastionhoz

Az Azure Bastion hatékonyan biztosít egy rugalmas megoldást, amelyet az informatikai üzemeltetési személyzet és a számítási feladatok rendszergazdái használhatnak az Azure-ban üzemeltetett erőforrások kezeléséhez anélkül, hogy teljes VPN-kapcsolatot kellene létesítenie a környezettel.

Biztonsági kockázatok és javaslatok az Azure Bastionhoz

Az Azure Bastion a Azure Portal keresztül érhető el, így győződjön meg arról, hogy a Azure Portal felület megfelelő szintű biztonságot igényel a benne lévő erőforrásokhoz és az azt használó szerepkörökhöz, általában emelt szintű vagy speciális szinten.

További útmutatás az Azure Bastion dokumentációjában érhető el

Következő lépések

• A kiemelt hozzáférés biztonságossá tétele – áttekintés
• Emelt szintű hozzáférési stratégia
• A sikeresség mérése
• Biztonsági szintek
• Emelt szintű hozzáféréssel rendelkező fiókok
• Interfészek
• Emelt szintű hozzáféréssel rendelkező eszközök
• Vállalati hozzáférési modell