Microsoft Entra IDaaS in beveiligingsbewerkingen

Deze architectuur laat zien hoe SOC-teams (Security Operations Center) microsoft Entra-identiteits- en toegangsmogelijkheden kunnen opnemen in een algehele geïntegreerde en gelaagde beveiligingsstrategie voor nulvertrouwen .

Netwerkbeveiliging overheerst SOC-bewerkingen wanneer alle services en apparaten zijn opgenomen in beheerde netwerken in organisaties. Echter, Gartner voorspelt dat tot en met 2022 de marktgrootte van cloudservices met een snelheid van bijna drie keer dat van de algemene IT-services zal groeien. Naarmate meer bedrijven cloud-computing omarmen, is er een verschuiving naar het behandelen van gebruikersidentiteiten als de primaire beveiligingsgrens.

Het beveiligen van identiteiten in de cloud is een hoge prioriteit.

• In het rapport van het onderzoek naar gegevenslekken van Verizon in 2020 werd aangegeven dat 37% het gebruik van gestolen referenties en 22% van de betrokken phishinggegevens betrokken was.

• In een IBM-onderzoek van 2019 naar incidenten met gegevenslekken is gemeld dat de gemiddelde wereldwijde kosten van een gegevenslek $ 3,9 miljoen bedroegen, met de gemiddelde kosten van de VS dichter bij $ 8,2 miljoen.

• Het Microsoft 2019 Security Intelligence Report heeft gemeld dat phishingaanvallen tussen januari en december 2018 met een marge van 250% zijn toegenomen.

Het zero trust-beveiligingsmodel behandelt alle hosts alsof ze internetgericht zijn en beschouwt het hele netwerk als potentieel aangetast en vijandig. Deze aanpak is gericht op het bouwen van sterke verificatie (AuthN), autorisatie en versleuteling, terwijl ook compartimentale toegang en betere operationele flexibiliteit worden geboden.

Gartner bevordert een adaptieve beveiligingsarchitectuur die een strategie op basis van reacties op incidenten vervangt door een model voor prevent-detect-respond-predict . Adaptieve beveiliging combineert toegangsbeheer, gedragsbewaking, gebruiksbeheer en detectie met continue bewaking en analyse.

De Microsoft Cybersecurity Reference Architecture (MCRA) beschrijft de cyberbeveiligingsmogelijkheden van Microsoft en hoe ze kunnen worden geïntegreerd met bestaande beveiligingsarchitecturen, waaronder cloud- en hybride omgevingen, die gebruikmaken van Microsoft Entra ID voor IDaaS (Identity-as-a-Service).

In dit artikel wordt de benadering van nulvertrouwen, adaptieve beveiliging voor IDaaS verbeterd, waarbij de onderdelen worden benadrukt die beschikbaar zijn op het Microsoft Entra-platform.

Potentiële gebruikscases

• Nieuwe beveiligingsoplossingen ontwerpen
• Verbeteren of integreren met bestaande implementaties
• SOC-teams trainen

Architectuur

Download een Visio-bestand van deze architectuur.

Workflow

1. Verificatie wordt beheerd door referentiebeheer .
2. Met inrichtings- en rechtenbeheer definieert u het toegangspakket, wijst u gebruikers toe aan resources en pusht u gegevens voor attestation.
3. De autorisatie-engine evalueert het toegangsbeleid om de toegang te bepalen. De engine evalueert ook risicodetecties, waaronder UEBA-gegevens (User/Entity Behavior Analytics) en controleert de apparaatcompatibiliteit voor eindpuntbeheer.
4. Indien geautoriseerd, krijgt de gebruiker of het apparaat toegang per beleid en besturingselementen voor voorwaardelijke toegang.
5. Als autorisatie mislukt, kunnen gebruikers realtime herstel uitvoeren om zichzelf te deblokkeren .
6. Alle sessiegegevens worden vastgelegd voor analyse en rapportage.
7. Het SIEM-systeem (Security Information and Event Management) van het SOC-team (Security Information and Event Management) ontvangt alle logboek-, risicodetectie- en UEBA-gegevens van cloud- en on-premises identiteiten.

Onderdelen

De volgende beveiligingsprocessen en onderdelen dragen bij aan deze Microsoft Entra IDaaS-architectuur.

Referentiebeheer

Referentiebeheer omvat services, beleidsregels en procedures die toegang tot resources of services uitgeven, bijhouden en bijwerken. Microsoft Entra-referentiebeheer bevat de volgende mogelijkheden:

• Met selfservice voor wachtwoordherstel (SSPR) kunnen gebruikers hun eigen verloren, vergeten of aangetaste wachtwoorden zelf opnieuw instellen en opnieuw instellen. SSPR vermindert niet alleen helpdeskoproepen, maar biedt meer flexibiliteit en beveiliging van gebruikers.

• Wachtwoord terugschrijven synchroniseert wachtwoorden die in de cloud zijn gewijzigd met on-premises mappen in realtime.

• Verboden wachtwoorden analyseren telemetriegegevens die veelgebruikte zwakke of gecompromitteerde wachtwoorden blootstellen en verbieden hun gebruik wereldwijd in Microsoft Entra ID. U kunt deze functionaliteit voor uw omgeving aanpassen en een lijst met aangepaste wachtwoorden opnemen die binnen uw eigen organisatie moeten worden verboden.

• Slimme vergrendeling vergelijkt legitieme verificatiepogingen met brute-force pogingen om onbevoegde toegang te krijgen. Onder het standaardbeleid voor slimme vergrendeling wordt een account één minuut na tien mislukte aanmeldingspogingen vergrendeld. Naarmate aanmeldingspogingen blijven mislukken, neemt de vergrendelingstijd van het account toe. U kunt beleidsregels gebruiken om de instellingen aan te passen voor de juiste combinatie van beveiliging en bruikbaarheid voor uw organisatie.

• Meervoudige verificatie (MFA) vereist meerdere vormen van verificatie wanneer gebruikers toegang proberen te krijgen tot beveiligde resources. De meeste gebruikers zijn bekend met het gebruik van iets wat ze weten, zoals een wachtwoord, bij het openen van resources. MFA vraagt gebruikers ook iets te laten zien dat ze hebben, zoals toegang tot een vertrouwd apparaat of iets dat ze zijn, zoals een biometrische id. MFA kan verschillende soorten verificatiemethoden gebruiken, zoals telefoongesprekken, sms-berichten of meldingen via de authenticator-app.

• Verificatie zonder wachtwoord vervangt het wachtwoord in de verificatiewerkstroom door een smartphone of hardwaretoken, biometrische id of pincode. Verificatie zonder wachtwoord van Microsoft kan werken met Azure-resources zoals Windows Hello voor Bedrijven en de Microsoft Authenticator-app op mobiele apparaten. U kunt ook verificatie zonder wachtwoord inschakelen met FIDO2-compatibele beveiligingssleutels, die gebruikmaken van WebAuthn en het CTAP-protocol (Client-to Authenticator) van de FIDO Alliance.

App-inrichting en -rechten

• Rechtenbeheer is een Microsoft Entra Identity Governance-functie waarmee organisaties de levenscyclus van identiteiten en toegang op schaal kunnen beheren. Rechtenbeheer automatiseert werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en vervaldatums.

• Met Microsoft Entra-inrichting kunt u automatisch gebruikersidentiteiten en -rollen maken in toepassingen waartoe gebruikers toegang nodig hebben. U kunt Microsoft Entra-inrichting configureren voor SaaS-apps (software-as-a-service) van derden, zoals SuccessFactors, Workday en nog veel meer.

• Naadloze eenmalige aanmelding (SSO) verifieert gebruikers automatisch bij cloudtoepassingen zodra ze zich aanmelden bij hun bedrijfsapparaten. U kunt naadloze eenmalige aanmelding van Microsoft Entra gebruiken met wachtwoord-hashsynchronisatie of passthrough-verificatie.

• Attestation met Microsoft Entra-toegangsbeoordelingen helpen bij het voldoen aan de controle- en controlevereisten. Met toegangsbeoordelingen kunt u bijvoorbeeld snel het aantal beheerdersgebruikers identificeren, ervoor zorgen dat nieuwe werknemers toegang hebben tot de benodigde resources of de activiteit van gebruikers controleren om te bepalen of ze nog steeds toegang nodig hebben.

Beleid en besturingselementen voor voorwaardelijke toegang

Een beleid voor voorwaardelijke toegang is een if-then instructie van toewijzingen en toegangsbeheer. U definieert het antwoord ('doe dit') op de reden voor het activeren van uw beleid ('als dit'),, zodat de autorisatie-engine beslissingen kan nemen die organisatiebeleid afdwingen. Met voorwaardelijke toegang van Microsoft Entra kunt u bepalen hoe geautoriseerde gebruikers toegang hebben tot uw apps. Met het hulpprogramma Wat als van Microsoft Entra-id kunt u begrijpen waarom een beleid voor voorwaardelijke toegang is toegepast of niet is toegepast, of als een beleid in een bepaalde situatie van toepassing is op een gebruiker.

Besturingselementen voor voorwaardelijke toegang werken in combinatie met beleidsregels voor voorwaardelijke toegang om organisatiebeleid af te dwingen. Met Microsoft Entra-besturingselementen voor voorwaardelijke toegang kunt u beveiliging implementeren op basis van factoren die zijn gedetecteerd op het moment van de toegangsaanvraag, in plaats van een een-grootte die bij alle benaderingen past. Door besturingselementen voor voorwaardelijke toegang te koppelen aan toegangsvoorwaarden, hoeft u minder beveiligingsmaatregelen te maken. Als typisch voorbeeld kunt u gebruikers op een apparaat dat lid is van een domein toegang geven tot resources met behulp van eenmalige aanmelding, maar MFA vereisen voor gebruikers buiten het netwerk of op hun eigen apparaten.

Microsoft Entra ID kan gebruikmaken van de volgende besturingselementen voor voorwaardelijke toegang met beleid voor voorwaardelijke toegang:

• Met op rollen gebaseerd toegangsbeheer (RBAC) van Azure kunt u de juiste rollen configureren en toewijzen aan gebruikers die beheertaken of gespecialiseerde taken moeten uitvoeren met Azure-resources. U kunt Azure RBAC gebruiken voor het maken of onderhouden van afzonderlijke toegewezen beheerdersaccounts, bereiktoegang tot rollen die u hebt ingesteld, de toegang tot tijdslimiet of het verlenen van toegang via goedkeuringswerkstromen.

• Privileged Identity Management (PIM) helpt de aanvalsvector voor uw organisatie te verminderen door extra bewaking en beveiliging toe te voegen aan beheerdersaccounts. Met Microsoft Entra PIM kunt u de toegang tot resources in Azure, Microsoft Entra ID en andere Microsoft 365-services beheren en beheren met Just-In-Time -toegang (JIT) en precies genoeg beheer (JEA). PIM biedt een geschiedenis van beheeractiviteiten en een wijzigingslogboek en waarschuwt u wanneer gebruikers worden toegevoegd aan of verwijderd uit rollen die u definieert.

  U kunt PIM gebruiken om goedkeuring of reden te vereisen voor het activeren van beheerdersrollen. Gebruikers kunnen de meeste tijd normale bevoegdheden behouden en toegang aanvragen en toegang krijgen tot rollen die ze nodig hebben om administratieve of gespecialiseerde taken te voltooien. Wanneer ze hun werk voltooien en zich afmelden, of de tijdslimiet voor hun toegang verloopt, kunnen ze opnieuw verifiëren met hun standaardgebruikersmachtigingen.

• Microsoft Defender voor Cloud Apps is een CASB (Cloud Access Security Broker) waarmee verkeerslogboeken worden geanalyseerd voor het detecteren en bewaken van de toepassingen en services die in uw organisatie worden gebruikt. Met Defender voor Cloud Apps kunt u het volgende doen:

  • Beleid maken voor het beheren van interactie met apps en services
  • Toepassingen identificeren als goedgekeurd of niet goedgekeurd
  • Toegang tot gegevens beheren en beperken
  • Informatiebeveiliging toepassen om gegevensverlies te voorkomen

  Defender voor Cloud Apps kunnen ook werken met toegangsbeleid en sessiebeleid om gebruikerstoegang tot SaaS-apps te beheren. U kunt bijvoorbeeld:

  • De IP-bereiken beperken die toegang hebben tot apps
  • MFA vereisen voor app-toegang
  • Activiteiten alleen vanuit goedgekeurde apps toestaan

• De pagina toegangsbeheer in het SharePoint-beheercentrum biedt verschillende manieren om de toegang tot SharePoint- en OneDrive-inhoud te beheren. U kunt ervoor kiezen om de toegang te blokkeren, beperkte, alleen-webtoegang vanaf niet-beheerde apparaten toe te staan of toegang te beheren op basis van de netwerklocatie.

• U kunt toepassingsmachtigingen instellen voor specifieke Exchange Online-postvakken met behulp van ApplicationAccessPolicy vanuit de Microsoft Graph API.

• Gebruiksvoorwaarden (TOU) bieden een manier om informatie te presenteren waartoe eindgebruikers toestemming moeten geven voordat ze toegang krijgen tot beveiligde resources. U uploadt tou-documenten naar Azure als PDF-bestanden, die vervolgens beschikbaar zijn als besturingselementen in het beleid voor voorwaardelijke toegang. Door een beleid voor voorwaardelijke toegang te maken waarvoor gebruikers toestemming moeten geven voor tou bij het aanmelden, kunt u eenvoudig gebruikers controleren die de tou hebben geaccepteerd.

• Eindpuntbeheer bepaalt hoe geautoriseerde gebruikers toegang hebben tot uw cloud-apps vanaf een breed scala aan apparaten, waaronder mobiele en persoonlijke apparaten. U kunt beleid voor voorwaardelijke toegang gebruiken om de toegang alleen te beperken tot apparaten die voldoen aan bepaalde beveiligings- en nalevingsstandaarden. Voor deze beheerde apparaten is een apparaat-id vereist.

Risicodetectie

Azure Identity Protection bevat verschillende beleidsregels waarmee uw organisatie reacties op verdachte gebruikersacties kan beheren. Gebruikersrisico is de kans dat een gebruikersidentiteit wordt aangetast. Aanmeldingsrisico is de kans dat een aanmeldingsaanvraag niet afkomstig is van de gebruiker. Microsoft Entra ID berekent aanmeldingsrisicoscores op basis van de waarschijnlijkheid van de aanmeldingsaanvraag die afkomstig is van de werkelijke gebruiker, op basis van gedragsanalyse.

• Microsoft Entra-risicodetecties maken gebruik van adaptieve machine learning-algoritmen en heuristiek om verdachte acties te detecteren die betrekking hebben op gebruikersaccounts. Elke gedetecteerde verdachte actie wordt opgeslagen in een record die een risicodetectie wordt genoemd. Microsoft Entra ID berekent de kans op gebruikers- en aanmeldingsrisico's met behulp van deze gegevens, uitgebreid met de interne en externe bedreigingsinformatiebronnen en -signalen van Microsoft.

• U kunt de Identity Protection-api's voor risicodetectie in Microsoft Graph gebruiken om informatie weer te geven over riskante gebruikers en aanmeldingen.

• Met realtime herstel kunnen gebruikers zichzelf deblokkeren met behulp van SSPR en MFA om een aantal risicodetecties zelf te herstellen.

Overwegingen

Houd rekening met deze punten wanneer u deze oplossing gebruikt.

Logboekregistratie

Microsoft Entra-auditrapporten bieden traceerbaarheid voor Azure-activiteiten met auditlogboeken, aanmeldingslogboeken en riskante aanmelding en riskante gebruikersrapporten. U kunt de logboekgegevens filteren en doorzoeken op basis van verschillende parameters, waaronder service, categorie, activiteit en status.

U kunt logboekgegevens van Microsoft Entra ID naar eindpunten routeren, zoals:

• Azure Storage-accounts
• Azure Monitor-logboeken
• Azure Event Hubs
• SIEM-oplossingen zoals Microsoft Sentinel, ArcSight, Splunk, SumoLogic, andere externe SIEM-hulpprogramma's of uw eigen oplossing.

U kunt ook de Rapportage-API van Microsoft Graph gebruiken om logboekgegevens van Microsoft Entra ID op te halen en te gebruiken in uw eigen scripts.

On-premises en hybride overwegingen

Verificatiemethoden zijn essentieel voor het beveiligen van de identiteiten van uw organisatie in een hybride scenario. Microsoft biedt specifieke richtlijnen voor het kiezen van een hybride verificatiemethode met Microsoft Entra-id.

Microsoft Defender for Identity kan uw on-premises Active Directory-signalen gebruiken om geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties te identificeren, te detecteren en te onderzoeken. Defender for Identity maakt gebruik van UEBA om bedreigingen van insiders te identificeren en risico's te markeren. Zelfs als een identiteit wordt aangetast, kan Defender for Identity helpen bij het identificeren van het compromis op basis van ongebruikelijk gebruikersgedrag.

Defender for Identity is geïntegreerd met Defender voor Cloud-apps om de beveiliging uit te breiden naar cloud-apps. U kunt Defender voor Cloud Apps gebruiken om sessiebeleid te maken waarmee uw bestanden worden beveiligd bij het downloaden. U kunt bijvoorbeeld automatisch machtigingen voor alleen-weergeven instellen voor elk bestand dat is gedownload door specifieke typen gebruikers.

U kunt een on-premises toepassing in Microsoft Entra ID configureren voor het gebruik van Defender voor Cloud-apps voor realtime bewaking. Defender voor Cloud Apps gebruikt App-beheer voor voorwaardelijke toegang om sessies in realtime te bewaken en te beheren op basis van beleid voor voorwaardelijke toegang. U kunt dit beleid toepassen op on-premises toepassingen die gebruikmaken van toepassingsproxy in Microsoft Entra-id.

Met Microsoft Entra toepassingsproxy kunnen gebruikers toegang krijgen tot on-premises webtoepassingen van externe clients. Met toepassingsproxy kunt u alle aanmeldingsactiviteiten voor uw toepassingen op één plaats bewaken.

U kunt Defender for Identity gebruiken met Microsoft Entra ID Protection om gebruikersidentiteiten te beveiligen die worden gesynchroniseerd met Azure met Microsoft Entra Connect.

Als sommige van uw apps al een bestaande leveringscontroller of netwerkcontroller gebruiken om toegang buiten het netwerk te bieden, kunt u deze integreren met Microsoft Entra ID. Verschillende partners, waaronder Akamai, Citrix, F5 Networks en Zscaler , bieden oplossingen en richtlijnen voor integratie met Microsoft Entra ID.

Kostenoptimalisatie

Microsoft Entra-prijzen variëren van gratis, voor functies zoals SSO en MFA, tot Premium P2, voor functies zoals PIM en Rechtenbeheer. Zie Prijzen van Microsoft Entra voor meer informatie over prijzen.

Volgende stappen

• Zero Trust-beveiliging
• Implementatiehandleiding voor Zero Trust voor Microsoft Entra-id
• Overzicht van de pijler voor beveiliging
• Microsoft Entra-demotenant (vereist een Microsoft Partner Network-account) of een gratis proefversie van Enterprise Mobility + Security
• Microsoft Entra-implementatieplannen

Verwante resources

• Azure IoT-referentiearchitectuur
• Beveiligingsoverwegingen voor zeer gevoelige IaaS-apps (Infrastructure as a Service) in Azure