Akses istimewa: Akun

Keamanan akun adalah komponen penting untuk mengamankan akses istimewa. Keamanan Zero Trust end to end untuk sesi membutuhkan pembentukan kuat bahwa akun yang digunakan dalam sesi sebenarnya berada di bawah kendali pemilik manusia dan bukan penyerang yang menirunya.

Keamanan akun yang kuat dimulai dengan penyediaan yang aman dan manajemen siklus hidup penuh hingga deprovisi, dan setiap sesi harus menetapkan jaminan kuat bahwa akun saat ini tidak disusupi berdasarkan semua data yang tersedia termasuk pola perilaku historis, inteligensi ancaman yang tersedia, dan penggunaan dalam sesi saat ini.

Keamanan Akun

Panduan ini menentukan tiga tingkat keamanan untuk keamanan akun yang dapat Anda gunakan untuk aset dengan tingkat sensitivitas yang berbeda:

Protecting accounts end to end

Tingkat ini menetapkan profil keamanan yang jelas dan dapat diimplementasikan yang sesuai untuk setiap tingkat sensitivitas yang dapat Anda tetapkan perannya dan peluasan skala dengan cepat. Semua tingkat keamanan akun ini dirancang untuk mempertahankan atau meningkatkan produktivitas bagi orang-orang dengan membatasi atau menghilangkan gangguan pada alur kerja pengguna dan admin.

Merencanakan keamanan akun

Panduan ini menguraikan kontrol teknis yang diperlukan untuk memenuhi setiap tingkat. Panduan implementasi ada dalam peta jalan akses istimewa.

Kontrol keamanan akun

Mencapai keamanan untuk antarmuka memerlukan kombinasi kontrol teknis yang melindungi akun dan memberikan sinyal yang akan digunakan dalam keputusan kebijakan Zero Trust (lihat Mengamankan Antarmuka untuk referensi konfigurasi kebijakan).

Kontrol yang digunakan dalam profil ini meliputi:

  • Autentikasi multifaktor - memberikan beragam sumber bukti bahwa (dirancang semampu mungkin bagi pengguna, tetapi sulit bagi musuh untuk meniru).
  • Risiko akun - Pemantauan Ancaman dan Anomali - menggunakan inteligensi UEBA dan Ancaman untuk mengidentifikasi skenario berisiko
  • Pemantauan kustom - Untuk akun yang lebih sensitif, secara eksplisit mendefinisikan perilaku/pola yang diizinkan/diterima memungkinkan deteksi dini aktivitas anomali. Kontrol ini tidak cocok untuk akun tujuan umum di perusahaan karena akun ini membutuhkan fleksibilitas untuk peran mereka.

Kombinasi kontrol juga memungkinkan Anda untuk meningkatkan keamanan dan kegunaan - misalnya pengguna yang tetap dalam pola normal mereka (menggunakan perangkat yang sama di lokasi yang sama hari demi hari) tidak perlu diminta untuk keluar MFA setiap kali mereka mengautentikasi.

Comparing each account tier and cost benefit

Akun keamanan perusahaan

Kontrol keamanan untuk akun perusahaan dirancang untuk membuat garis besar yang aman untuk semua pengguna dan menyediakan fondasi yang aman untuk keamanan khusus dan istimewa:

  • Menerapkan autentikasi multifaktor (MFA) yang kuat - Pastikan bahwa pengguna diautentikasi dengan MFA yang kuat yang disediakan oleh sistem identitas yang dikelola perusahaan (terperinci dalam diagram di bawah). Untuk informasi selengkapnya tentang autentikasi multifaktor, lihat Praktik terbaik keamanan Azure 6.

    Catatan

    Meskipun organisasi Anda dapat memilih untuk menggunakan bentuk MFA yang lebih lemah selama periode transisi, penyerang semakin menghindari perlindungan MFA yang lebih lemah, sehingga semua investasi baru ke MFA harus dalam bentuk terkuat.

  • Menerapkan risiko akun/sesi - pastikan bahwa akun tidak dapat mengautentikasi kecuali berada pada tingkat risiko rendah (atau sedang?). Lihat Tingkat Keamanan Antarmuka untuk detail tentang keamanan akun perusahaan kondisional.

  • Pantau dan tanggapi pemberitahuan - Operasi keamanan harus mengintegrasikan pemberitahuan keamanan akun dan mendapatkan pelatihan yang memadai tentang cara kerja protokol dan sistem ini untuk memastikan mereka dapat dengan cepat memahami apa arti pemberitahuan dan bereaksi sesuai.

Diagram berikut memberikan perbandingan dengan berbagai bentuk MFA dan autentikasi tanpa kata sandi. Setiap opsi dalam kotak terbaik dianggap sebagai keamanan tinggi dan kegunaan tinggi. Masing-masing memiliki persyaratan perangkat keras yang berbeda sehingga Anda mungkin ingin mencampur dan mencocokkan yang berlaku untuk peran atau individu yang berbeda. Semua solusi tanpa kata sandi Microsoft diakui oleh Akses Bersyarat sebagai autentikasi multifaktor karena memerlukan penggandaan sesuatu yang Anda miliki dengan biometrik, sesuatu yang Anda ketahui, atau keduanya.

Comparison of authentication methods good, better, best

Catatan

Untuk informasi selengkapnya tentang mengapa SMS dan autentikasi berbasis telepon lainnya dibatasi, lihat posting blog Saatnya Menutup Telepon Transportasi untuk Autentikasi.

Akun khusus

Akun khusus adalah tingkat perlindungan yang lebih tinggi yang cocok untuk pengguna sensitif. Karena dampak bisnis mereka yang lebih tinggi, akun khusus menjamin pemantauan dan prioritas tambahan selama pemberitahuan keamanan, penyelidikan insiden, dan perburuan ancaman.

Keamanan khusus dibangun pada MFA yang kuat dalam keamanan perusahaan dengan mengidentifikasi akun yang paling sensitif dan memastikan pemberitahuan dan proses respons diprioritaskan:

  1. Identifikasi Akun Sensitif - Lihat panduan tingkat keamanan khusus untuk mengidentifikasi akun-akun ini.
  2. Tag Akun Khusus - Pastikan setiap akun sensitif ditandai
    1. Konfigurasikan Daftar Tonton Microsoft Sentinel untuk mengidentifikasi akun sensitif ini
    2. Mengonfigurasi Perlindungan Akun Prioritas di Pertahanan Microsoft untuk Office 365 dan menunjuk akun khusus dan istimewa sebagai akun prioritas -
  3. Perbarui proses Operasi Keamanan - untuk memastikan pemberitahuan ini diberikan prioritas tertinggi
  4. Menyiapkan Tata Kelola - Memperbarui atau membuat proses tata kelola untuk memastikan bahwa
    1. Semua peran baru dievaluasi untuk klasifikasi khusus atau istimewa saat dibuat atau diubah
    2. Semua akun baru ditandai saat dibuat
    3. Pemeriksaan band berkelanjutan atau berkala untuk memastikan bahwa peran dan akun tidak terlewatkan oleh proses tata kelola normal.

Akun istimewa

Akun istimewa memiliki tingkat perlindungan tertinggi karena mewakili dampak potensial yang signifikan atau material pada operasi organisasi jika disusupi.

Akun istimewa selalu menyertakan Admin TI dengan akses ke sebagian besar atau semua sistem perusahaan, termasuk sebagian besar atau semua sistem penting bisnis. Akun lain dengan dampak bisnis yang tinggi juga dapat menjamin tingkat perlindungan tambahan ini. Untuk informasi selengkapnya tentang peran dan akun mana yang harus dilindungi pada tingkat apa, lihat artikel Keamanan Istimewa.

Selain keamanan khusus, keamanan akun istimewa meningkatkan keduanya:

  • Pencegahan - tambahkan kontrol untuk membatasi penggunaan akun ini ke perangkat, stasiun kerja, dan perantara yang ditunjuk.
  • Respons - pantau dengan cermat akun-akun ini untuk aktivitas anomali dan dengan cepat menyelidiki dan memulihkan risiko.

Mengonfigurasi keamanan akun istimewa

Ikuti panduan dalam rencana modernisasi cepat Keamanan untuk meningkatkan keamanan akun istimewa Anda dan mengurangi biaya anda untuk mengelola.

Langkah berikutnya