Cara mengamankan solusi identitas Azure Active Directory B2C Anda

Artikel ini menyediakan praktik terbaik dalam mengamankan solusi Azure Active Directory B2C (Azure AD B2C) Anda. Untuk membangun solusi identitas Anda menggunakan Azure AD B2C melibatkan banyak komponen yang harus Anda pertimbangkan untuk melindungi dan memantau.

Bergantung pada solusi Anda, Anda memiliki satu atau beberapa komponen berikut dalam cakupan:

• Titik akhir autentikasi Azure AD B2C
• Aliran Pengguna Azure AD B2C atau Kebijakan Kustom
  • Masuk akun
  • Daftar
• Email Sandi Satu Kali (OTP)
• Pengendalian autentikasi multifaktor
• REST API Eksternal

Anda harus melindungi dan memantau semua komponen ini untuk memastikan pengguna Anda dapat masuk ke aplikasi tanpa gangguan. Ikuti panduan dalam artikel ini untuk melindungi solusi Anda dari serangan bot, pembuatan akun penipuan, penipuan berbagi pendapatan internasional (ISRF), dan semprotan kata sandi.

Cara mengamankan solusi Anda

Solusi identitas Anda menggunakan beberapa komponen untuk memberikan pengalaman masuk yang lancar. Tabel berikut menunjukkan mekanisme perlindungan yang kami rekomendasikan untuk setiap komponen.

Komponen	Titik akhir	Mengapa	Cara melindungi
Titik akhir autentikasi Azure AD B2C	/authorize,/token,/.well-known/openid-configuration,/discovery/v2.0/keys	Mencegah kelelahan sumber daya	Web Application Firewall (WAF) dan Azure Front Door (AFD)
Masuk	NA	Upaya masuk berbahaya dapat mencoba memaksa masuk ke akun atau menggunakan kredensial yang bocor	Perlindungan Identitas
Mendaftar	NA	Pendaftaran palsu yang mungkin mencoba menghabiskan sumber daya.	Perlindungan titik akhir Teknologi pencegahan penipuan, seperti Dynamics Fraud Protection
Email Kata Sandi Sekali Pakai (OTP)	NA	Upaya penipuan untuk melakukan serangan brute force atau menguras sumber daya	Perlindungan titik akhir dan Aplikasi Authenticator
Pengendalian autentikasi multifaktor	NA	Panggilan telepon atau pesan SMS yang tidak diminta atau kelelahan sumber daya yang tidak diinginkan.	Perlindungan titik akhir dan Aplikasi Authenticator
REST API Eksternal	Titik akhir REST API Anda	Penggunaan alur pengguna atau kebijakan kustom yang berbahaya dapat menyebabkan kelelahan sumber daya di titik akhir API Anda.	WAF dan AFD

Mekanisme perlindungan

Tabel berikut ini memberikan gambaran umum tentang berbagai mekanisme perlindungan yang dapat Anda gunakan untuk melindungi komponen yang berbeda.

Apa	Mengapa	Bagaimana
Web Application Firewall (WAF)	WAF berfungsi sebagai lapisan pertahanan pertama terhadap permintaan berbahaya yang dibuat ke titik akhir Azure AD B2C. Ini memberikan perlindungan terpusat terhadap eksploitasi dan kerentanan umum seperti DDoS, bot, OWASP Top 10, dan sebagainya. Disarankan agar Anda menggunakan WAF untuk memastikan bahwa permintaan berbahaya dihentikan bahkan sebelum mencapai titik akhir Azure AD B2C. Untuk mengaktifkan WAF, Anda harus terlebih dahulu mengaktifkan domain kustom di Azure AD B2C menggunakan AFD.	Konfigurasi Cloudflare WAF Mengonfigurasi Akamai WAF
Azure Front Door (AFD)	AFD adalah titik masuk global yang dapat diskalakan yang menggunakan jaringan tepi global Microsoft untuk membuat aplikasi web yang cepat, aman, dan dapat diskalakan secara luas. Kemampuan utama AFD adalah: Anda dapat menambahkan atau menghapus domain kustom dengan cara layanan mandiri Pengalaman manajemen sertifikat yang disederhanakan Anda dapat membawa sertifikat Anda sendiri dan mendapatkan pemberitahuan untuk kedaluwarsa sertifikat dengan pengalaman rotasi yang baik melalui Azure Key Vault Sertifikat yang disediakan oleh AFD untuk memfasilitasi pemberian dan pembaruan otomatis yang lebih cepat saat kedaluwarsa.	Mengaktifkan domain kustom untuk Azure Active Directory B2C
Verifikasi Identitas & Pembuktian / Perlindungan terhadap Penipuan	Verifikasi dan pemeriksaan identitas sangat penting untuk menciptakan pengalaman pengguna tepercaya dan melindungi dari pengambilalihan akun dan pembuatan akun yang curang. Ini juga berkontribusi pada kebersihan penyewa dengan memastikan bahwa objek pengguna mencerminkan pengguna aktual, yang selaras dengan skenario bisnis. Azure AD B2C memungkinkan integrasi verifikasi dan pemeriksa identitas, dan perlindungan penipuan dari berbagai mitra vendor perangkat lunak.	Integrasikan dengan verifikasi identitas dan mitra pengecekan Mengonfigurasi Perlindungan Penipuan Microsoft Dynamics 365 Mengonfigurasi dengan platform Arkose Labs Mengurangi penggunaan MFA penipuan
Perlindungan Identitas	Perlindungan Identitas menyediakan deteksi risiko dengan terus-menerus. Saat risiko terdeteksi selama masuk, Anda dapat mengonfigurasi kebijakan bersyarat Azure AD B2C untuk memungkinkan pengguna memulihkan risiko sebelum melanjutkan proses masuk. Administrator juga dapat menggunakan laporan perlindungan identitas untuk meninjau pengguna berisiko yang berisiko dan meninjau detail deteksi. Laporan deteksi risiko mencakup informasi tentang setiap deteksi risiko, seperti jenisnya dan lokasi upaya masuk, dan banyak lagi. Administrator juga dapat mengonfirmasi atau menolak bahwa pengguna disusupi.	Menyelidiki risiko dengan Perlindungan Identitas
Akses Bersyarat (CA)	Ketika pengguna mencoba masuk, CA mengumpulkan berbagai sinyal seperti risiko dari perlindungan identitas, untuk membuat keputusan dan menegakkan kebijakan organisasi. CA dapat membantu administrator untuk mengembangkan kebijakan yang konsisten dengan postur keamanan organisasi mereka. Kebijakan dapat mencakup kemampuan untuk sepenuhnya memblokir akses pengguna atau menyediakan akses setelah pengguna menyelesaikan autentikasi lain seperti MFA.	Tambahkan kebijakan Akses Kondisional ke alur pengguna
Autentikasi multifaktor	MFA menambahkan lapisan keamanan kedua ke proses pendaftaran dan masuk dan merupakan komponen penting untuk meningkatkan postur keamanan autentikasi pengguna di Azure AD B2C. Aplikasi Authenticator - TOTP adalah metode MFA yang direkomendasikan di Azure AD B2C.	Mengaktifkan autentikasi multifaktor
Manajemen Informasi Keamanan dan Acara (SIEM)/ Orkestrasi, Automasi, dan Respons Keamanan (SOAR)	Anda memerlukan sistem pemantauan dan peringatan yang andal untuk menganalisis pola penggunaan seperti masuk dan pendaftaran, dan mendeteksi perilaku anomali yang mungkin mengindikasikan serangan cyber. Ini adalah langkah penting yang menambahkan lapisan keamanan tambahan. Ini juga memungkinkan Anda untuk memahami pola dan tren yang hanya dapat ditangkap dan dikembangkan seiring waktu. Peringatan membantu dalam menentukan faktor-faktor seperti tingkat perubahan dalam log masuk keseluruhan, peningkatan log masuk yang gagal, dan proses pendaftaran yang gagal, penipuan berbasis telepon seperti serangan IRSF, dan sebagainya. Semua ini dapat menjadi indikator serangan cyber yang sedang berlangsung yang membutuhkan perhatian segera. Azure AD B2C mendukung pencatatan log tingkat tinggi dan pencatatan log granular, serta pembuatan laporan dan peringatan. Disarankan agar Anda menerapkan pemantauan dan pemberitahuan di semua penyewa produksi.	Memantau menggunakan Azure Monitor Menggunakan laporan & pemberitahuan Memantau penggunaan MFA yang curang Mengumpulkan log Azure AD B2C dengan Application Insights Mengonfigurasi analitik keamanan untuk data Azure AD B2C dengan Microsoft Azure Sentinel

Melindungi REST API Anda

Azure AD B2C memungkinkan Anda terhubung ke sistem eksternal dengan menggunakan Konektor API, atau profil teknis REST API. Anda perlu melindungi antarmuka ini. Anda dapat mencegah permintaan berbahaya ke REST API Anda dengan melindungi titik akhir autentikasi Azure AD B2C. Anda dapat melindungi titik akhir ini dengan WAF dan AFD.

Skenario 1: Cara mengamankan pengalaman masuk Anda

Setelah membuat pengalaman masuk, atau alur pengguna, Anda harus melindungi komponen tertentu dari alur Anda dari aktivitas berbahaya. Misalnya, jika alur masuk Anda melibatkan hal berikut, maka tabel menunjukkan komponen yang perlu Anda lindungi, dan teknik perlindungan terkait:

• Email akun lokal dan autentikasi kata sandi
• Autentikasi multifaktor Microsoft Entra menggunakan SMS atau panggilan telepon

Komponen	Titik akhir	Cara melindungi
Titik akhir autentikasi Azure AD B2C	/authorize,/token,/.well-known/openid-configuration,/discovery/v2.0/keys	WAP dan AFD
Masuk akun	NA	Perlindungan Identitas
Pengendalian autentikasi multifaktor	NA	Aplikasi Authenticator
REST API Eksternal	Titik akhir API Anda.	Aplikasi Authenticator, WAF, dan AFD

Skenario 2: Cara mengamankan pengalaman pendaftaran Anda

Setelah membuat pengalaman pendaftaran, atau alur pengguna, Anda perlu melindungi komponen tertentu dari alur Anda dari aktivitas berbahaya. Jika alur masuk Anda melibatkan hal berikut, tabel menunjukkan komponen yang perlu Anda lindungi, dan teknik perlindungan terkait:

• Email akun lokal dan pendaftaran kata sandi
• Verifikasi email menggunakan email OTP
• Autentikasi multifaktor Microsoft Entra menggunakan SMS atau panggilan telepon

Komponen	Titik akhir	Cara melindungi
Titik akhir autentikasi Azure AD B2C	/authorize,/token,/.well-known/openid-configuration,/discovery/v2.0/keys	WAF dan AFD
Daftar	NA	Perlindungan Penipuan Dinamika
Email Kata Sandi Sekali Pakai (OTP)	NA	WAF dan AFD
Pengendalian autentikasi multifaktor	NA	Aplikasi Authenticator

Dalam skenario ini, penggunaan mekanisme perlindungan WAF dan AFD melindungi titik akhir autentikasi Azure AD B2C dan komponen Email OTP.

Langkah selanjutnya

• Konfigurasikan firewall aplikasi Web untuk melindungi titik akhir autentikasi Azure AD B2C.
• Konfigurasikan pencegahan Penipuan dengan Dynamics untuk melindungi pengalaman autentikasi Anda.
• Selidiki risiko dengan Perlindungan Identitas di Azure AD B2C untuk menemukan, menyelidiki, dan memulihkan risiko berbasis identitas.
• Mengamankan autentikasi multifaktor berbasis telepon untuk melindungi autentikasi multifaktor berbasis telepon Anda.
• Konfigurasikan Perlindungan Identitas untuk melindungi pengalaman masuk Anda.
• Konfigurasikan Pemantauan dan pemberitahuan untuk diberi tahu ancaman apa pun.