Akses istimewa: Akun
Keamanan akun adalah komponen penting untuk mengamankan akses istimewa. Keamanan Zero Trust menyeluruh untuk sesi memerlukan pembentukan yang kuat bahwa akun yang digunakan dalam sesi sebenarnya berada di bawah kendali pemilik manusia dan bukan penyerang yang menirunya.
Keamanan akun yang kuat dimulai dengan penyediaan yang aman dan manajemen siklus hidup penuh hingga deprovisi, dan setiap sesi harus menetapkan jaminan kuat bahwa akun saat ini tidak disusupi berdasarkan semua data yang tersedia termasuk pola perilaku historis, inteligensi ancaman yang tersedia, dan penggunaan dalam sesi saat ini.
Keamanan Akun
Panduan ini menentukan tiga tingkat keamanan untuk keamanan akun yang dapat Anda gunakan untuk aset dengan tingkat sensitivitas yang berbeda:
Tingkat ini menetapkan profil keamanan yang jelas dan dapat diimplementasikan yang sesuai untuk setiap tingkat sensitivitas yang dapat Anda tetapkan perannya dan peluasan skala dengan cepat. Semua tingkat keamanan akun ini dirancang untuk mempertahankan atau meningkatkan produktivitas bagi orang-orang dengan membatasi atau menghilangkan gangguan pada alur kerja pengguna dan admin.
Merencanakan keamanan akun
Panduan ini menguraikan kontrol teknis yang diperlukan untuk memenuhi setiap tingkat. Panduan implementasi berada dalam peta jalan akses istimewa.
Kontrol keamanan akun
Mencapai keamanan untuk antarmuka memerlukan kombinasi kontrol teknis yang melindungi akun dan memberikan sinyal yang akan digunakan dalam keputusan kebijakan Zero Trust (lihat Mengamankan Antarmuka untuk referensi konfigurasi kebijakan).
Kontrol yang digunakan dalam profil ini meliputi:
- Autentikasi multifaktor - memberikan berbagai sumber bukti bahwa (dirancang agar semampu mungkin bagi pengguna, tetapi sulit bagi musuh untuk meniru).
- Risiko akun - Pemantauan Ancaman dan Anomali - menggunakan inteligensi UEBA dan Ancaman untuk mengidentifikasi skenario berisiko
- Pemantauan kustom - Untuk akun yang lebih sensitif, secara eksplisit menentukan perilaku/pola yang diizinkan/diterima memungkinkan deteksi dini aktivitas anomali. Kontrol ini tidak cocok untuk akun tujuan umum di perusahaan karena akun ini membutuhkan fleksibilitas untuk peran mereka.
Kombinasi kontrol juga memungkinkan Anda untuk meningkatkan keamanan dan kegunaan - misalnya pengguna yang tetap dalam pola normal mereka (menggunakan perangkat yang sama di lokasi yang sama hari demi hari) tidak perlu diminta untuk di luar MFA setiap kali mereka mengautentikasi.
Akun keamanan perusahaan
Kontrol keamanan untuk akun perusahaan dirancang untuk membuat garis besar yang aman untuk semua pengguna dan menyediakan fondasi yang aman untuk keamanan khusus dan istimewa:
Menerapkan autentikasi multifaktor (MFA) yang kuat - Pastikan bahwa pengguna diautentikasi dengan MFA kuat yang disediakan oleh sistem identitas yang dikelola perusahaan (dirinci dalam diagram di bawah). Untuk informasi selengkapnya tentang autentikasi multifaktor, lihat Praktik terbaik keamanan Azure 6.
Catatan
Meskipun organisasi Anda dapat memilih untuk menggunakan bentuk MFA yang lebih lemah selama periode transisi, penyerang semakin menghindari perlindungan MFA yang lebih lemah, sehingga semua investasi baru ke MFA harus dalam bentuk terkuat.
Menerapkan risiko akun/sesi - pastikan bahwa akun tidak dapat mengautentikasi kecuali berada pada tingkat risiko rendah (atau sedang?). Lihat Tingkat Keamanan Antarmuka untuk detail tentang keamanan akun perusahaan kondisional.
Pantau dan tanggapi pemberitahuan - Operasi keamanan harus mengintegrasikan pemberitahuan keamanan akun dan mendapatkan pelatihan yang memadai tentang cara kerja protokol dan sistem ini untuk memastikan mereka dapat dengan cepat memahami apa arti pemberitahuan dan bereaksi yang sesuai.
Diagram berikut memberikan perbandingan dengan berbagai bentuk MFA dan autentikasi tanpa kata sandi. Setiap opsi dalam kotak terbaik dianggap sebagai keamanan tinggi dan kegunaan tinggi. Masing-masing memiliki persyaratan perangkat keras yang berbeda sehingga Anda mungkin ingin mencampur dan mencocokkan yang berlaku untuk peran atau individu yang berbeda. Semua solusi tanpa kata sandi Microsoft dikenali oleh Akses Bersyarat sebagai autentikasi multifaktor karena memerlukan penggandaan sesuatu yang Anda miliki dengan biometrik, sesuatu yang Anda ketahui, atau keduanya.
Catatan
Untuk informasi selengkapnya tentang mengapa SMS dan autentikasi berbasis telepon lainnya dibatasi, lihat posting blog Saatnya Untuk Menutup di Telepon Transportasi untuk Autentikasi.
Akun khusus
Akun khusus adalah tingkat perlindungan yang lebih tinggi yang cocok untuk pengguna sensitif. Karena dampak bisnis mereka yang lebih tinggi, akun khusus menjamin pemantauan dan prioritas tambahan selama pemberitahuan keamanan, penyelidikan insiden, dan perburuan ancaman.
Keamanan khusus dibangun pada MFA yang kuat dalam keamanan perusahaan dengan mengidentifikasi akun yang paling sensitif dan memastikan pemberitahuan dan proses respons diprioritaskan:
- Identifikasi Akun Sensitif - Lihat panduan tingkat keamanan khusus untuk mengidentifikasi akun-akun ini.
- Tag Akun Khusus - Pastikan setiap akun sensitif ditandai
- Konfigurasikan Daftar Tonton Microsoft Sentinel untuk mengidentifikasi akun sensitif ini
- Mengonfigurasi perlindungan akun Prioritas di Microsoft Defender untuk Office 365 dan menunjuk akun khusus dan istimewa sebagai akun prioritas -
- Perbarui proses Operasi Keamanan - untuk memastikan pemberitahuan ini diberikan prioritas tertinggi
- Menyiapkan Tata Kelola - Memperbarui atau membuat proses tata kelola untuk memastikan bahwa
- Semua peran baru dievaluasi untuk klasifikasi khusus atau istimewa saat dibuat atau diubah
- Semua akun baru ditandai saat dibuat
- Pemeriksaan band berkelanjutan atau berkala untuk memastikan bahwa peran dan akun tidak terlewatkan oleh proses tata kelola normal.
Akun istimewa
Akun istimewa memiliki tingkat perlindungan tertinggi karena mewakili dampak potensial yang signifikan atau material pada operasi organisasi jika disusupi.
Akun istimewa selalu menyertakan Admin TI dengan akses ke sebagian besar atau semua sistem perusahaan, termasuk sebagian besar atau semua sistem penting bisnis. Akun lain dengan dampak bisnis yang tinggi juga dapat menjamin tingkat perlindungan tambahan ini. Untuk informasi selengkapnya tentang peran dan akun mana yang harus dilindungi pada tingkat apa, lihat artikel Keamanan Istimewa.
Selain keamanan khusus, keamanan akun istimewa meningkatkan keduanya:
- Pencegahan - tambahkan kontrol untuk membatasi penggunaan akun ini ke perangkat, stasiun kerja, dan perantara yang ditunjuk.
- Respons - pantau akun-akun ini dengan cermat untuk aktivitas anomali dan selidiki dan remediasi risiko dengan cepat.
Mengonfigurasi keamanan akun istimewa
Ikuti panduan dalam rencana modernisasi cepat Keamanan untuk meningkatkan keamanan akun istimewa Anda dan mengurangi biaya anda untuk mengelola.