Mengamankan identitas dengan Zero Trust

  • Artikel

Latar belakang

Aplikasi cloud dan tenaga kerja seluler telah mendefinisikan ulang batas keamanan. Karyawan membawa perangkat mereka sendiri dan bekerja dari jarak jauh. Data sedang diakses di luar jaringan perusahaan dan dibagikan dengan kolaborator eksternal seperti mitra dan vendor. Aplikasi dan data perusahaan berpindah dari lingkungan lokal ke hibrid dan cloud. Organisasi tidak dapat lagi mengandalkan kontrol jaringan tradisional untuk keamanan. Kontrol perlu berpindah ke tempat data berada: pada perangkat, di dalam aplikasi, dan dengan mitra.

Identitas, yang mewakili orang, layanan, atau perangkat IoT, adalah dominator umum di banyak jaringan, titik akhir, dan aplikasi saat ini. Dalam model keamanan Zero Trust, model tersebut berfungsi sebagai cara yang kuat, fleksibel, dan terperinci untuk mengontrol akses ke data.

Sebelum identitas mencoba mengakses sumber daya, organisasi harus:

  • Verifikasi identitas dengan autentikasi yang kuat.

  • Pastikan akses sesuai dan khas untuk identitas tersebut.

  • Mengikuti prinsip akses hak istimewa paling sedikit.

Setelah identitas diverifikasi, kami dapat mengontrol akses identitas tersebut ke sumber daya berdasarkan kebijakan organisasi, analisis risiko yang sedang berlangsung, dan alat lainnya.

Tujuan penyebaran Zero Trust identitas

Sebelum sebagian besar organisasi memulai perjalanan Zero Trust, pendekatan mereka terhadap identitas bermasalah karena penyedia identitas lokal sedang digunakan, tidak ada SSO yang ada antara aplikasi cloud dan lokal, dan visibilitas ke dalam risiko identitas sangat terbatas.

Saat menerapkan kerangka kerja Zero Trust end-to-end untuk identitas, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini:

Ikon daftar dengan satu tanda centang.

Identitas I.Cloud federasi dengan sistem identitas lokal.

II.Kebijakan Akses Bersyar mengakibatkan akses gerbang dan menyediakan aktivitas remediasi.

III.Analitik meningkatkan visibilitas.

Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini:

Ikon daftar dengan dua tanda centang.

IV.Identitas dan hak istimewa akses dikelola dengan tata kelola identitas.

V.User, perangkat, lokasi, dan perilaku dianalisis secara real time untuk menentukan risiko dan memberikan perlindungan berkelanjutan.

VI.Integrasikan sinyal ancaman dari solusi keamanan lainnya untuk meningkatkan deteksi, perlindungan, dan respons.

Panduan penyebaran Zero Trust identitas

Panduan ini akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengelola identitas mengikuti prinsip-prinsip kerangka kerja keamanan Zero Trust.




Ikon daftar periksa dengan satu tanda centang.

Tujuan penyebaran awal

I. Identitas cloud menyatu dengan sistem lokal

MICROSOFT Entra ID memungkinkan autentikasi yang kuat, titik integrasi untuk keamanan titik akhir, dan inti kebijakan yang berpusat pada pengguna Anda untuk menjamin akses yang paling tidak istimewa. Kemampuan Microsoft Entra Conditional Access adalah titik keputusan kebijakan untuk akses ke sumber daya berdasarkan identitas pengguna, lingkungan, kesehatan perangkat, dan risiko—diverifikasi secara eksplisit di titik akses. Kami akan menunjukkan bagaimana Anda dapat menerapkan strategi identitas Zero Trust dengan ID Microsoft Entra.

Diagram langkah-langkah dalam fase 1 dari tujuan penyebaran awal.

Koneksi semua pengguna Anda ke ID Microsoft Entra dan bergabung dengan sistem identitas lokal

Mempertahankan alur identitas karyawan Anda yang sehat dan artefak keamanan yang diperlukan (grup untuk otorisasi dan titik akhir untuk kontrol kebijakan akses ekstra) menempatkan Anda di tempat terbaik untuk menggunakan identitas dan kontrol yang konsisten di cloud.

Ikuti langkah-langkah ini:

  1. Pilih opsi autentikasi. MICROSOFT Entra ID memberi Anda perlindungan brute force, DDoS, dan semprotan kata sandi terbaik, tetapi buat keputusan yang tepat untuk kebutuhan organisasi dan kepatuhan Anda.

  2. Hanya membawa identitas yang benar-benar Anda butuhkan. Misalnya, gunakan masuk ke cloud sebagai kesempatan untuk meninggalkan akun layanan yang hanya masuk akal secara lokal. Biarkan peran istimewa lokal di belakang.

  3. Jika perusahaan Anda memiliki lebih dari 100.000 pengguna, grup, dan perangkat yang digabungkan membangun kotak sinkronisasi performa tinggi yang akan menjaga siklus hidup Anda tetap terbarui.

Menetapkan Identity Foundation Anda dengan ID Microsoft Entra

Strategi Zero Trust memerlukan verifikasi secara eksplisit, menggunakan prinsip akses paling tidak istimewa, dan dengan asumsi pelanggaran. ID Microsoft Entra dapat bertindak sebagai titik keputusan kebijakan untuk memberlakukan kebijakan akses Anda berdasarkan wawasan tentang pengguna, titik akhir, sumber daya target, dan lingkungan.

Lakukan langkah ini:

  • Letakkan ID Microsoft Entra di jalur setiap permintaan akses. Ini menghubungkan setiap pengguna dan setiap aplikasi atau sumber daya melalui satu sarana kontrol identitas dan menyediakan ID Microsoft Entra dengan sinyal untuk membuat keputusan terbaik tentang risiko autentikasi/otorisasi. Selain itu, akses menyeluruh dan pagar pembatas kebijakan yang konsisten memberikan pengalaman pengguna yang lebih baik dan berkontribusi pada peningkatan produktivitas.

Mengintegrasikan semua aplikasi Anda dengan ID Microsoft Entra

Akses menyeluruh mencegah pengguna meninggalkan salinan kredensial mereka di berbagai aplikasi dan membantu menghindari pengguna terbiasa menyerahkan kredensial mereka karena permintaan yang berlebihan.

Pastikan juga Anda tidak memiliki beberapa mesin IAM di lingkungan Anda. Ini tidak hanya mengurangi jumlah sinyal yang dilihat MICROSOFT Entra ID, memungkinkan pelaku jahat untuk tinggal di jahitan antara dua mesin IAM, itu juga dapat menyebabkan pengalaman pengguna yang buruk dan mitra bisnis Anda menjadi keraguan pertama dari strategi Zero Trust Anda.

Ikuti langkah-langkah ini:

  1. Integrasikan aplikasi perusahaan modern yang berbicara OAuth2.0 atau SAML.

  2. Untuk Kerberos dan aplikasi autentikasi berbasis formulir, integrasikan menggunakan proksi aplikasi Microsoft Entra.

  3. Jika Anda menerbitkan aplikasi warisan menggunakan jaringan/pengontrol pengiriman aplikasi, gunakan ID Microsoft Entra untuk berintegrasi dengan sebagian besar aplikasi utama (seperti Citrix, Akamai, dan F5).

  4. Untuk membantu menemukan dan memigrasikan aplikasi Anda dari ADFS dan mesin IAM yang ada/lama, tinjau sumber daya dan alat.

  5. Identitas pendorongan daya ke berbagai aplikasi cloud Anda. Ini memberi Anda integrasi siklus hidup identitas yang lebih ketat dalam aplikasi tersebut.

Tip

Pelajari tentang menerapkan strategi Zero Trust end-to-end untuk aplikasi.

Verifikasi secara eksplisit dengan autentikasi yang kuat

Ikuti langkah-langkah ini:

  1. Meluncurkan autentikasi multifaktor Microsoft Entra (P1). Ini adalah bagian dasar dari mengurangi risiko sesi pengguna. Saat pengguna muncul di perangkat baru dan dari lokasi baru, mampu menanggapi tantangan MFA adalah salah satu cara paling langsung yang dapat diajarkan pengguna Anda kepada kami bahwa ini adalah perangkat/lokasi yang familier saat mereka bergerak di seluruh dunia (tanpa meminta administrator mengurai sinyal individu).

  2. Memblokir autentikasi lama. Salah satu vektor serangan paling umum untuk aktor jahat adalah menggunakan kredensial yang dicuri/diputar ulang terhadap protokol warisan, seperti SMTP, yang tidak dapat melakukan tantangan keamanan modern.

II. Kebijakan akses bersyarat akses gerbang dan memberikan tindakan remediasi

Microsoft Entra Conditional Access (CA) menganalisis sinyal seperti pengguna, perangkat, dan lokasi untuk mengotomatiskan keputusan dan menerapkan kebijakan akses organisasi untuk sumber daya. Anda dapat menggunakan kebijakan CA untuk menerapkan kontrol akses seperti autentikasi multifaktor (MFA). Kebijakan CA memungkinkan Anda meminta pengguna untuk MFA saat diperlukan untuk keamanan dan menjauh dari cara pengguna saat tidak diperlukan.

Diagram kebijakan Akses Bersyar dalam Zero Trust.

Microsoft menyediakan kebijakan bersyarat standar yang disebut default keamanan yang memastikan tingkat keamanan dasar. Namun, organisasi Anda mungkin membutuhkan lebih banyak fleksibilitas daripada penawaran default keamanan. Anda dapat menggunakan Akses Bersyarat untuk menyesuaikan default keamanan dengan lebih banyak granularitas dan untuk mengonfigurasi kebijakan baru yang memenuhi kebutuhan Anda.

Merencanakan kebijakan Akses Bersyarat Anda terlebih dahulu dan memiliki serangkaian kebijakan aktif dan mundur adalah pilar dasar penegakan Kebijakan Akses Anda dalam penyebaran Zero Trust. Luangkan waktu untuk mengonfigurasi lokasi IP tepercaya Anda di lingkungan Anda. Bahkan jika Anda tidak menggunakannya dalam kebijakan Akses Bersyarah, mengonfigurasi IP ini menginformasikan risiko Perlindungan Identitas yang disebutkan di atas.

Lakukan langkah ini:

Mendaftarkan perangkat dengan ID Microsoft Entra untuk membatasi akses dari perangkat yang rentan dan disusupi

Ikuti langkah-langkah ini:

  1. Aktifkan gabungan hibrid Microsoft Entra atau gabungan Microsoft Entra. Jika Anda mengelola laptop/komputer pengguna, bawa informasi tersebut ke ID Microsoft Entra dan gunakan untuk membantu membuat keputusan yang lebih baik. Misalnya, Anda dapat memilih untuk mengizinkan akses klien yang kaya ke data (klien yang memiliki salinan offline di komputer) jika Anda tahu pengguna berasal dari komputer yang dikontrol dan dikelola organisasi Anda. Jika Anda tidak membawa ini, Anda mungkin akan memilih untuk memblokir akses dari klien kaya, yang dapat mengakibatkan pengguna Anda bekerja di sekitar keamanan Anda atau menggunakan TI bayangan.

  2. Aktifkan layanan Intune dalam Microsoft Endpoint Manager (EMS) untuk mengelola perangkat seluler pengguna Anda dan mendaftarkan perangkat. Hal yang sama dapat dikatakan tentang perangkat seluler pengguna seperti tentang laptop: Semakin Anda tahu tentang mereka (tingkat patch, jailbroken, berakar, dll.), semakin Anda dapat mempercayai atau tidak percaya mereka dan memberikan alasan mengapa Anda memblokir/mengizinkan akses.

Tip

Pelajari tentang menerapkan strategi Zero Trust end-to-end untuk titik akhir

III. Analitik meningkatkan visibilitas

Saat Anda membangun properti Anda di ID Microsoft Entra dengan autentikasi, otorisasi, dan provisi, penting untuk memiliki wawasan operasional yang kuat tentang apa yang terjadi di direktori.

Mengonfigurasi pengelogan dan pelaporan Anda untuk meningkatkan visibilitas

Lakukan langkah ini:

  • Rencanakan penyebaran pelaporan dan pemantauan Microsoft Entra untuk dapat mempertahankan dan menganalisis log dari ID Microsoft Entra, baik di Azure atau menggunakan sistem pilihan SIEM.




Ikon daftar periksa dengan dua tanda centang.

Tujuan penyebaran tambahan

IV. Identitas dan hak istimewa akses dikelola dengan tata kelola identitas

Setelah menyelesaikan tiga tujuan awal, Anda dapat fokus pada tujuan tambahan seperti tata kelola identitas yang lebih kuat.

Diagram langkah-langkah dalam fase 4 dari tujuan penyebaran tambahan.

Mengamankan akses istimewa dengan Privileged Identity Management

Kontrol titik akhir, kondisi, dan kredensial yang digunakan pengguna untuk mengakses operasi/peran istimewa.

Ikuti langkah-langkah ini:

  1. Kendalikan identitas istimewa Anda. Perlu diingat bahwa dalam organisasi yang diubah secara digital, akses istimewa tidak hanya akses administratif, tetapi juga pemilik aplikasi atau akses pengembang yang dapat mengubah cara aplikasi penting Anda menjalankan dan menangani data.

  2. Gunakan Privileged Identity Management untuk mengamankan identitas istimewa.

Persetujuan pengguna untuk aplikasi adalah cara yang sangat umum bagi aplikasi modern untuk mendapatkan akses ke sumber daya organisasi, tetapi ada beberapa praktik terbaik yang perlu diingat.

Ikuti langkah-langkah ini:

  1. Batasi persetujuan pengguna dan kelola permintaan persetujuan untuk memastikan bahwa tidak ada paparan yang tidak perlu terjadi pada data organisasi Anda ke aplikasi.

  2. Tinjau persetujuan sebelumnya/yang ada di organisasi Anda untuk persetujuan yang berlebihan atau berbahaya.

Untuk informasi selengkapnya tentang alat untuk melindungi dari taktik untuk mengakses informasi sensitif, lihat "Memperkuat perlindungan terhadap ancaman cyber dan aplikasi nakal" dalam panduan kami untuk menerapkan strategi Zero Trust identitas.

Mengelola hak

Dengan aplikasi yang mengautentikasi dan didorong secara terpusat dari ID Microsoft Entra, Anda sekarang dapat menyederhanakan permintaan akses, persetujuan, dan proses sertifikasi ulang untuk memastikan bahwa orang yang tepat memiliki akses yang tepat dan bahwa Anda memiliki jejak mengapa pengguna di organisasi Anda memiliki akses yang mereka miliki.

Ikuti langkah-langkah ini:

  1. Gunakan Pengelolaan Pemberian Hak untuk membuat paket akses yang dapat diminta pengguna saat mereka bergabung dengan tim/proyek yang berbeda dan yang menetapkan akses ke sumber daya terkait (seperti aplikasi, situs SharePoint, keanggotaan grup).

  2. Jika menyebarkan Pengelolaan Pemberian Hak tidak dimungkinkan untuk organisasi Anda saat ini, setidaknya aktifkan paradigma layanan mandiri di organisasi Anda dengan menyebarkan manajemen grup layanan mandiri dan akses aplikasi layanan mandiri.

Gunakan autentikasi tanpa kata sandi untuk mengurangi risiko phishing dan serangan kata sandi

Dengan MICROSOFT Entra ID yang mendukung FIDO 2.0 dan masuk telepon tanpa kata sandi, Anda dapat memindahkan jarum pada kredensial yang digunakan pengguna Anda (terutama pengguna sensitif/istimewa) sehari-hari. Kredensial ini adalah faktor autentikasi kuat yang juga dapat mengurangi risiko.

Lakukan langkah ini:

V. Pengguna, perangkat, lokasi, dan perilaku dianalisis secara real time untuk menentukan risiko dan memberikan perlindungan berkelanjutan

Analisis real time sangat penting untuk menentukan risiko dan perlindungan.

Diagram langkah-langkah dalam fase 5 dari tujuan penyebaran tambahan.

Menyebarkan Perlindungan Kata Sandi Microsoft Entra

Saat mengaktifkan metode lain untuk memverifikasi pengguna secara eksplisit, jangan abaikan kata sandi yang lemah, semprotan kata sandi, dan serangan pemutaran ulang pelanggaran. Dan kebijakan kata sandi kompleks klasik tidak mencegah serangan kata sandi yang paling umum.

Lakukan langkah ini:

  • Aktifkan Perlindungan Kata Sandi Microsoft Entra untuk pengguna Anda di cloud dan lokal.

Aktifkan Perlindungan Identitas

Dapatkan sesi yang lebih terperinci/sinyal risiko pengguna dengan Perlindungan Identitas. Anda akan dapat menyelidiki risiko dan mengonfirmasi kompromi atau menutup sinyal, yang akan membantu mesin lebih memahami seperti apa risiko di lingkungan Anda.

Lakukan langkah ini:

Mengaktifkan integrasi Aplikasi Microsoft Defender untuk Cloud dengan Perlindungan Identitas

Aplikasi Microsoft Defender untuk Cloud memantau perilaku pengguna di dalam SaaS dan aplikasi modern. Ini menginformasikan ID Microsoft Entra tentang apa yang terjadi pada pengguna setelah mereka mengautentikasi dan menerima token. Jika pola pengguna mulai terlihat mencurigakan (misalnya, pengguna mulai mengunduh gigabyte data dari OneDrive atau mulai mengirim email spam di Exchange Online), maka sinyal dapat disalurkan ke MICROSOFT Entra ID yang memberi tahu bahwa pengguna tampaknya disusupi atau berisiko tinggi. Pada permintaan akses berikutnya dari pengguna ini, ID Microsoft Entra dapat mengambil tindakan dengan benar untuk memverifikasi pengguna atau memblokirnya.

Lakukan langkah ini:

  • Aktifkan pemantauan Defender untuk Cloud Apps untuk memperkaya sinyal Perlindungan Identitas.

Mengaktifkan integrasi Akses Bersyar dengan aplikasi Microsoft Defender untuk Cloud

Menggunakan sinyal yang dikeluarkan setelah autentikasi dan dengan permintaan proksi aplikasi Defender untuk Cloud ke aplikasi, Anda akan dapat memantau sesi yang masuk ke aplikasi SaaS dan memberlakukan pembatasan.

Ikuti langkah-langkah ini:

  1. Aktifkan integrasi Akses Bersyar.

  2. Perluas Akses Bersyarah ke aplikasi lokal.

Mengaktifkan sesi terbatas untuk digunakan dalam keputusan akses

Saat risiko pengguna rendah, tetapi mereka masuk dari titik akhir yang tidak diketahui, Anda mungkin ingin mengizinkan mereka mengakses sumber daya penting, tetapi tidak mengizinkan mereka untuk melakukan hal-hal yang membuat organisasi Anda dalam keadaan tidak patuh. Sekarang Anda bisa mengonfigurasi Exchange Online dan SharePoint Online untuk menawarkan sesi terbatas kepada pengguna yang memungkinkan mereka membaca email atau melihat file, tetapi tidak mengunduhnya dan menyimpannya di perangkat yang tidak tepercaya.

Lakukan langkah ini:

VI. Integrasikan sinyal ancaman dari solusi keamanan lain untuk meningkatkan deteksi, perlindungan, dan respons

Akhirnya, solusi keamanan lainnya dapat diintegrasikan untuk efektivitas yang lebih besar.

Mengintegrasikan Microsoft Defender untuk Identitas dengan aplikasi Microsoft Defender untuk Cloud

Integrasi dengan Microsoft Defender untuk Identitas memungkinkan Microsoft Entra ID mengetahui bahwa pengguna memanjakan diri dengan perilaku berisiko saat mengakses sumber daya lokal dan non-modern (seperti Berbagi File). Hal ini kemudian dapat menjadi faktor risiko pengguna secara keseluruhan untuk memblokir akses lebih lanjut di cloud.

Ikuti langkah-langkah ini:

  1. Aktifkan Microsoft Defender untuk Identitas dengan Microsoft Defender untuk Cloud Apps untuk membawa sinyal lokal ke dalam sinyal risiko yang kita ketahui tentang pengguna.

  2. Periksa skor Prioritas Investigasi gabungan untuk setiap pengguna yang berisiko untuk memberikan tampilan holistik mana yang harus difokuskan SOC Anda.

Mengaktifkan Microsoft Defender untuk Titik Akhir

Microsoft Defender untuk Titik Akhir memungkinkan Anda untuk membuktikan kesehatan komputer Windows dan menentukan apakah mereka melakukan kompromi. Kemudian Anda dapat memberi umpan informasi tersebut agar mengurangi risiko pada runtime. Sedangkan Domain Join memberi Anda rasa kontrol, Defender for Endpoint memungkinkan Anda untuk bereaksi terhadap serangan malware hampir real time dengan mendeteksi pola di mana beberapa perangkat pengguna mencapai situs yang tidak dapat dipercaya, dan bereaksi dengan meningkatkan risiko perangkat/pengguna mereka pada runtime.

Lakukan langkah ini:

Mengamankan Identitas sesuai dengan Perintah Eksekutif 14028 tentang Keamanan Cyber & Nota OMB 22-09

Perintah Eksekutif 14028 tentang Meningkatkan Keamanan Cyber Bangsa & OMB Memorandum 22-09 mencakup tindakan tertentu pada Zero Trust. Tindakan identitas termasuk menggunakan sistem manajemen identitas terpusat, penggunaan MFA tahan phishing yang kuat, dan menggabungkan setidaknya satu sinyal tingkat perangkat dalam keputusan otorisasi. Untuk panduan terperinci tentang implemen tindakan ini dengan ID Microsoft Entra lihat Memenuhi persyaratan identitas memorandum 22-09 dengan ID Microsoft Entra.

Produk yang tercakup dalam panduan ini

Microsoft Azure

Microsoft Entra ID

Pertahanan Microsoft untuk Identitas

Microsoft 365

Microsoft Endpoint Manager (termasuk Microsoft Intune)

Microsoft Defender untuk Titik Akhir

SharePoint Online

Exchange Online

Kesimpulan

Identitas adalah pusat dari strategi Zero Trust yang sukses. Untuk informasi lebih lanjut atau bantuan tentang implementasi, silakan hubungi tim Keberhasilan Pelanggan Anda atau terus membaca bab lain dari panduan ini, yang mencakup semua pilar Zero Trust.



Seri panduan penyebaran Zero Trust

Ikon untuk pengenalan

Ikon untuk identitas

Ikon untuk titik akhir

Ikon untuk aplikasi

Ikon untuk data

Ikon untuk infrastruktur

Ikon untuk jaringan

Ikon untuk visibilitas, otomatisasi, orkestrasi