Bevoegde toegang: Tussenpersonen

Beveiliging van tussenliggende apparaten is een essentieel onderdeel van het beveiligen van bevoegde toegang.

Tussenpersonen voegen een koppeling toe aan de keten van Zero Trust assurance voor de end-to-end-sessie van de gebruiker of beheerder, zodat ze de Zero Trust beveiligingsgaranties in de sessie moeten behouden (of verbeteren). Voorbeelden van tussenpersonen zijn virtuele particuliere netwerken (VPN's), jumpservers, virtual desktop infrastructure (VDI) en toepassingspublicatie via toegangsproxy's.

Een aanvaller kan een tussenpersoon aanvallen om bevoegdheden te escaleren met behulp van referenties die op hem zijn opgeslagen, externe netwerktoegang tot bedrijfsnetwerken verkrijgen of misbruik maken van vertrouwen op dat apparaat als het wordt gebruikt voor Zero Trust toegangsbeslissingen. Het richten op tussenpersonen is maar al te vaak voorgekomen, met name voor organisaties die de beveiligingspostuur van deze apparaten niet strikt onderhouden. Bijvoorbeeld referenties die zijn verzameld van VPN-apparaten.

Tussenpersonen variëren in doel en technologie, maar bieden doorgaans externe toegang, sessiebeveiliging of beide:

• Externe toegang : toegang tot systemen op bedrijfsnetwerken via internet inschakelen
• Sessiebeveiliging : beveiligingsbescherming en zichtbaarheid voor een sessie vergroten
  • Scenario voor onbeheerde apparaten : een beheerd virtueel bureaublad dat toegankelijk is voor niet-beheerde apparaten (bijvoorbeeld persoonlijke apparaten van werknemers) en/of apparaten die worden beheerd door een partner/leverancier.
  • Beveiligingsscenario voor beheerders : consolideer beheerpaden en/of verhoog de beveiliging met Just-In-Time-toegang, sessiebewaking en -opname en vergelijkbare mogelijkheden.

Om ervoor te zorgen dat beveiligingsgaranties worden doorgevoerd van het oorspronkelijke apparaat en account tot en met de resource-interface, moet u inzicht hebben in het risicoprofiel van de intermediair en de oplossingsopties.

Kansen en waarde voor aanvallers

Verschillende tussenliggende typen voeren unieke functies uit, zodat ze elk een andere beveiligingsbenadering vereisen, hoewel er enkele kritieke overeenkomsten zijn, zoals het snel toepassen van beveiligingspatches op apparaten, firmware, besturingssystemen en toepassingen.

De aanvallerkans wordt vertegenwoordigd door het beschikbare aanvalsoppervlak dat een aanvalsoperator kan richten op:

• Systeemeigen cloudservices zoals Azure AD PIM, Azure Bastion en Azure AD App Proxy bieden een beperkt aanvalsoppervlak voor aanvallers. Hoewel ze worden blootgesteld aan het openbare internet, hebben klanten (en aanvallers) geen toegang tot onderliggende besturingssystemen die de services leveren en worden ze doorgaans consistent onderhouden en bewaakt via geautomatiseerde mechanismen bij de cloudprovider. Dit kleinere aanvalsoppervlak beperkt de beschikbare opties voor aanvallers versus klassieke on-premises toepassingen en apparaten die moeten worden geconfigureerd, gepatcht en bewaakt door IT-personeel dat vaak wordt overspoeld door conflicterende prioriteiten en meer beveiligingstaken dan ze nodig hebben om te voltooien.
• Virtual Private Networks (VPN's) en extern bureaublad / Jump-servers hebben vaak een aanzienlijke kans van aanvallers omdat ze worden blootgesteld aan internet om externe toegang te bieden en het onderhoud van deze systemen vaak wordt genegeerd. Hoewel er slechts een paar netwerkpoorten beschikbaar zijn, hebben aanvallers slechts toegang nodig tot één niet-gepatchte service voor een aanval.
• PIM/PAM-services van derden worden vaak on-premises of als een VM op IaaS (Infrastructure as a Service) gehost en zijn doorgaans alleen beschikbaar voor intranethosts. Hoewel het internet niet rechtstreeks beschikbaar is, kan één aangetaste referentie kwaadwillenden toegang geven tot de service via VPN of een ander medium voor externe toegang.

De waarde van de aanvaller geeft aan wat een aanvaller kan winnen door een tussenpersoon te compromitteren. Een inbreuk wordt gedefinieerd als een aanvaller die volledige controle krijgt over de toepassing/VM en/of een beheerder van het klantexemplaren van de cloudservice.

De ingrediënten die aanvallers kunnen verzamelen van een tussenpersoon voor de volgende fase van hun aanval zijn:

• Zorg voor netwerkconnectiviteit om te communiceren met de meeste of alle resources in bedrijfsnetwerken. Deze toegang wordt doorgaans geleverd door VPN's en Extern bureaublad/Jump-serveroplossingen. Hoewel Azure Bastion en Azure AD App Proxy (of vergelijkbare oplossingen van derden) ook externe toegang bieden, zijn deze oplossingen meestal toepassings- of serverspecifieke verbindingen en bieden ze geen algemene netwerktoegang
• Apparaatidentiteit imiteren: kan Zero Trust mechanismen verslaan als een apparaat is vereist voor verificatie en/of wordt gebruikt door een aanvaller om informatie over de doelnetwerken te verzamelen. Security Operations-teams houden de activiteit van apparaataccounts vaak niet nauwkeurig in de gaten en richten zich alleen op gebruikersaccounts.
• Stel accountreferenties om te verifiëren bij resources, die de meest waardevolle aanwinst zijn voor aanvallers, omdat het de mogelijkheid biedt om bevoegdheden te verhogen voor toegang tot hun uiteindelijke doel of de volgende fase van de aanval. Extern bureaublad/jumpservers en PIM/PAM van derden zijn de meest aantrekkelijke doelen en hebben de dynamische 'Al uw eieren in één mand' met verhoogde waarde voor aanvallers en beveiligingsbeperkingen:
  • PIM/PAM-oplossingen slaan doorgaans de referenties op voor de meeste of alle bevoorrechte rollen in de organisatie, waardoor ze een zeer lucratief doelwit zijn om inbreuk te plegen of te bewapenen.
  • Azure AD PIM biedt aanvallers niet de mogelijkheid om referenties te stelen, omdat het bevoegdheden ontgrendelt die al zijn toegewezen aan een account met behulp van MFA of andere werkstromen, maar een slecht ontworpen werkstroom kan een kwaadwillende persoon in staat stellen bevoegdheden te escaleren.
  • Extern bureaublad/jumpservers die door beheerders worden gebruikt, bieden een host waar veel of alle gevoelige sessies worden doorgegeven, waardoor aanvallers standaardprogramma's voor referentiediefstal kunnen gebruiken om deze referenties te stelen en opnieuw te gebruiken.
  • VPN's kunnen referenties opslaan in de oplossing, waardoor aanvallers een mogelijke schat aan uitbreiding van bevoegdheden krijgen, wat leidt tot de sterke aanbeveling om Azure AD te gebruiken voor verificatie om dit risico te beperken.

Tussenliggende beveiligingsprofielen

Het tot stand brengen van deze garanties vereist een combinatie van beveiligingscontroles, waarvan sommige gemeenschappelijk zijn voor veel tussenpersonen en waarvan sommige specifiek zijn voor het type tussenpersoon.

Een tussenpersoon is een koppeling in de Zero Trust keten die gebruikers/apparaten een interface biedt en vervolgens toegang tot de volgende interface mogelijk maakt. De beveiligingscontroles moeten betrekking hebben op binnenkomende verbindingen, de beveiliging van het tussenliggende apparaat/de toepassing/service zelf en (indien van toepassing) Zero Trust beveiligingssignalen bieden voor de volgende interface.

Algemene beveiligingscontroles

De algemene beveiligingselementen voor tussenpersonen zijn gericht op het handhaven van een goede beveiligingshygiëne voor ondernemingen en gespecialiseerde niveaus, met aanvullende beperkingen voor beveiliging met bevoegdheden.

Deze beveiligingscontroles moeten worden toegepast op alle soorten tussenpersonen:

• Beveiliging van binnenkomende verbindingen afdwingen: gebruik Azure AD en voorwaardelijke toegang om ervoor te zorgen dat alle binnenkomende verbindingen van apparaten en accounts bekend, vertrouwd en toegestaan zijn. Zie het artikel Bevoegde interfaces secuiting voor gedetailleerde definities voor apparaat- en accountvereisten voor ondernemingen en gespecialiseerde gebruikers voor meer informatie.
• Correct systeemonderhoud - Alle tussenpersonen moeten goede beveiligingshygiëneprocedures volgen, waaronder:
  • Veilige configuratie : volg de basislijnen en best practices voor de beveiligingsconfiguratie van de fabrikant of branche voor zowel de toepassing als eventuele onderliggende besturingssystemen, cloudservices of andere afhankelijkheden. Toepasselijke richtlijnen van Microsoft omvatten de Azure-beveiligingsbasislijn en Windows-basislijnen.
  • Snelle patching : beveiligingsupdates en patches van de leveranciers moeten snel na de release worden toegepast.
• RBAC-modellen (Role-Based Access Control) kunnen door aanvallers worden misbruikt om bevoegdheden te escaleren. Het RBAC-model van de tussenpersoon moet zorgvuldig worden gecontroleerd om ervoor te zorgen dat alleen geautoriseerd personeel dat is beveiligd op gespecialiseerd of bevoegd niveau beheerdersbevoegdheden krijgt. Dit model moet alle onderliggende besturingssystemen of cloudservices bevatten (hoofdaccountwachtwoord, lokale beheerdersgebruikers/groepen, tenantbeheerders, enzovoort).
• Eindpuntdetectie en -respons (EDR) en uitgaand vertrouwenssignaal: apparaten met een volledig besturingssysteem moeten worden bewaakt en beveiligd met een EDR zoals Microsoft Defender voor Eindpunt. Dit besturingselement moet worden geconfigureerd om apparaatnalevingssignalen te bieden aan voorwaardelijke toegang, zodat deze vereiste kan worden afgedwongen voor interfaces.

Bevoegde tussenpersonen vereisen aanvullende beveiligingscontroles:

• Op rollen gebaseerde Access Control (RBAC): beheerdersrechten moeten worden beperkt tot alleen bevoorrechte rollen die voldoen aan die standaard voor werkstations en accounts.
• Toegewezen apparaten (optioneel): vanwege de extreme gevoeligheid van bevoegde sessies kunnen organisaties ervoor kiezen om toegewezen instanties van tussenliggende functies voor bevoorrechte rollen te implementeren. Dit besturingselement maakt aanvullende beveiligingsbeperkingen mogelijk voor deze bevoegde tussenpersonen en een betere bewaking van activiteit met bevoorrechte rollen.

Beveiligingsrichtlijnen voor elk type tussenpersoon

Deze sectie bevat specifieke beveiligingsrichtlijnen die uniek zijn voor elk type tussenpersoon.

Privileged Access Management/Privileged Identity Management

Een type tussenpersoon die expliciet is ontworpen voor beveiligingsgebruiksscenario's is pim-/PAM-oplossingen (Privileged Identity Management/Privileged Access Management).

Use cases en scenario's voor PIM/PAM

PIM/PAM-oplossingen zijn ontworpen om de beveiligingsgaranties te verbeteren voor gevoelige accounts die worden gedekt door gespecialiseerde of bevoegde profielen, en richten zich meestal eerst op IT-beheerders.

Hoewel de functies verschillen per PIM-/PAM-leverancier, bieden veel oplossingen beveiligingsmogelijkheden voor het volgende:

• Beheer van serviceaccounts en wachtwoordrotatie vereenvoudigen (een zeer belangrijke mogelijkheid)

• Geavanceerde werkstromen bieden voor JIT-toegang (Just-In-Time)

• Beheersessies opnemen en bewaken

  Belangrijk

  PIM/PAM-mogelijkheden bieden uitstekende oplossingen voor sommige aanvallen, maar bieden geen oplossing voor veel privielged toegangsrisico's, met name het risico van inbreuk op apparaten. Hoewel sommige leveranciers ervoor pleiten dat hun PIM/PAM-oplossing een 'zilveren kogel'-oplossing is die apparaatrisico's kan beperken, heeft onze ervaring met het onderzoeken van klantincidenten consistent bewezen dat dit in de praktijk niet werkt.

  Een aanvaller met controle over een werkstation of apparaat kan deze referenties (en bevoegdheden die aan hem zijn toegewezen) gebruiken terwijl de gebruiker is aangemeld (en kan vaak ook referenties stelen voor later gebruik). Een PIM/PAM-oplossing alleen kan deze apparaatrisico's niet consistent en betrouwbaar zien en beperken. Daarom moet u afzonderlijke apparaat- en accountbeveiligingen hebben die elkaar aanvullen.

Beveiligingsrisico's en aanbevelingen voor PIM/PAM

De mogelijkheden van elke PIM/PAM-leverancier verschillen per manier om ze te beveiligen. Bekijk en volg daarom de specifieke aanbevelingen en best practices voor de beveiligingsconfiguratie van uw leverancier.

Notitie

Zorg ervoor dat u een tweede persoon instelt in bedrijfskritieke werkstromen om insider-risico's te beperken (verhoogt de kosten/wrijving voor mogelijke collusie door bedreigingen van binnenuit).

Virtuele particuliere netwerken voor eindgebruikers

Vpn's (Virtual Private Networks) zijn tussenpersonen die volledige netwerktoegang bieden voor externe eindpunten. Meestal moet de eindgebruiker zich verifiëren en kunnen referenties lokaal opslaan om binnenkomende gebruikerssessies te verifiëren.

Notitie

Deze richtlijnen hebben alleen betrekking op 'punt-naar-site'-VPN's die door gebruikers worden gebruikt, niet 'site-naar-site'-VPN's die doorgaans worden gebruikt voor datacentrum-/toepassingsconnectiviteit.

Use cases en scenario's voor VPN's

VPN's zorgen voor externe connectiviteit met het bedrijfsnetwerk om toegang tot resources mogelijk te maken voor gebruikers en beheerders.

Beveiligingsrisico's en aanbevelingen voor VPN's

De meest kritieke risico's voor VPN-tussenpersonen zijn onderhoud, configuratieproblemen en lokale opslag van referenties.

Microsoft adviseert een combinatie van controles voor VPN-tussenpersonen:

• Integreren Azure AD verificatie: om het risico van lokaal opgeslagen referenties (en eventuele overheadlast om deze te onderhouden) te verminderen of te elimineren en Zero Trust-beleid af te dwingen voor binnenkomende accounts/apparaten met voorwaardelijke toegang. Zie voor hulp bij het integreren
  • Azure VPN AAD-integratie
  • Azure AD-verificatie inschakelen op de VPN-gateway
  • VPN's van derden integreren
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect en Captive Portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • en meer
• Snelle patching : zorg ervoor dat alle organisatie-elementen snelle patching ondersteunen, waaronder:
  • Sponsorship en leiderschapsondersteuning voor vereisten
  • Standaard technische processen voor het bijwerken van VPN's met minimale of geen downtime. Dit proces moet VPN-software, apparaten en eventuele onderliggende besturingssystemen of firmware omvatten
  • Noodprocessen voor het snel implementeren van essentiële beveiligingsupdates
  • Governance om eventuele gemiste items voortdurend te detecteren en te herstellen
• Veilige configuratie : de mogelijkheden van elke VPN-leverancier variëren op basis van de manier waarop ze moeten worden beveiligd, dus bekijk en volg de specifieke aanbevelingen en best practices voor de beveiligingsconfiguratie van uw leverancier en volg deze op
• Ga verder dan VPN: vervang VPN's in de loop van de tijd door veiligere opties, zoals Azure AD App Proxy of Azure Bastion, omdat deze alleen directe toegang tot toepassingen/servers bieden in plaats van volledige netwerktoegang. Daarnaast staat Azure AD app-proxy sessiebewaking toe voor extra beveiliging met Microsoft Defender for Cloud Apps.

Azure AD-app-proxy

Azure AD app-proxy en vergelijkbare mogelijkheden van derden bieden externe toegang tot verouderde en andere toepassingen die on-premises of op IaaS-VM's in de cloud worden gehost.

Gebruiksvoorbeelden en scenario's voor Azure AD-app-proxy

Deze oplossing is geschikt voor het publiceren van verouderde productiviteitstoepassingen voor eindgebruikers naar geautoriseerde gebruikers via internet. Het kan ook worden gebruikt voor het publiceren van sommige beheertoepassingen.

Beveiligingsrisico's en aanbevelingen voor Azure AD-app-proxy

Azure AD app-proxy past moderne Zero Trust beleidshandhaving effectief aan bestaande toepassingen aan. Zie Beveiligingsoverwegingen voor Azure AD toepassingsproxy voor meer informatie

Azure AD toepassingsproxy kunt ook integreren met Microsoft Defender for Cloud Apps om app-beheersessiebeveiliging voor voorwaardelijke toegang toe te voegen aan:

• Gegevensexfiltratie voorkomen
• Beveiligen bij downloaden
• Uploaden van niet-gelabelde bestanden voorkomen
• Gebruikerssessies controleren op naleving
• Toegang blokkeren
• Aangepaste activiteiten blokkeren

Zie App-beheer voor voorwaardelijke toegang van Defender for Cloud Apps implementeren voor Azure AD-apps voor meer informatie

Wanneer u toepassingen publiceert via de Azure AD toepassingsproxy, raadt Microsoft aan om toepassingseigenaren samen te laten werken met beveiligingsteams om minimale bevoegdheden te volgen en ervoor te zorgen dat toegang tot elke toepassing alleen beschikbaar is voor de gebruikers die dit nodig hebben. Naarmate u meer apps op deze manier implementeert, kunt u mogelijk het punt-naar-site-VPN-gebruik van eindgebruikers compenseren.

Extern bureaublad/jumpserver

Dit scenario biedt een volledige bureaubladomgeving met een of meer toepassingen. Deze oplossing heeft een aantal verschillende variaties, waaronder:

• Ervaringen - Volledig bureaublad in een venster of een geprojecteerde ervaring voor één toepassing
• Externe host : kan een gedeelde VM of een toegewezen bureaublad-VM zijn met Windows Virtual Desktop (WVD) of een andere VDI-oplossing (Virtual Desktop Infrastructure).
• Lokaal apparaat : kan een mobiel apparaat, een beheerd werkstation of een persoonlijk/door een partner beheerd werkstation zijn
• Scenario : gericht op toepassingen voor gebruikersproductiviteit of op administratieve scenario's, vaak een 'jumpserver' genoemd

Gebruiksvoorbeelden en beveiligingsaanbeveling voor Extern bureaublad/Jump-server

De meest voorkomende configuraties zijn:

• Direct Remote Desktop Protocol (RDP): deze configuratie wordt niet aanbevolen voor internetverbinding, omdat RDP een protocol is dat beperkte bescherming biedt tegen moderne aanvallen, zoals wachtwoordspray. Directe RDP moet worden geconverteerd naar:
  • RDP via een gateway die is gepubliceerd door Azure AD App Proxy
  • Azure Bastion
• RDP via een gateway met
  • Extern bureaublad-services (RDS) opgenomen in Windows Server. Publiceren met Azure AD toepassingsproxy.
  • Windows Virtual Desktop (WVD): volg de aanbevolen beveiligingsprocedures voor Windows Virtual Desktop.
  • VDI van derden: volg best practices van de fabrikant of de branche of pas de WVD-richtlijnen aan uw oplossing aan
• SSH-server (Secure Shell): biedt externe shell en scripting voor technologieafdelingen en eigenaren van workloads. Het beveiligen van deze configuratie moet het volgende omvatten:
  • Volg de best practices van de branche/fabrikant om deze veilig te configureren, eventuele standaardwachtwoorden te wijzigen (indien van toepassing), SSH-sleutels te gebruiken in plaats van wachtwoorden, en SSH-sleutels veilig op te slaan en te beheren.
  • Azure Bastion gebruiken voor externe SSH-communicatie naar resources die worden gehost in Azure - Verbinding maken met een Linux-VM met behulp van Azure Bastion

Azure Bastion

Azure Bastion is een tussenpersoon die is ontworpen om beveiligde toegang te bieden tot Azure-resources met behulp van een browser en de Azure Portal. Azure Bastion biedt toegangsresources in Azure die ondersteuning bieden voor RDP- (Remote Desktop Protocol) en SSH-protocollen (Secure Shell).

Use cases en scenario's voor Azure Bastion

Azure Bastion biedt effectief een flexibele oplossing die kan worden gebruikt door IT Operations-medewerkers en workloadbeheerders buiten IT om resources te beheren die in Azure worden gehost zonder dat er een volledige VPN-verbinding met de omgeving nodig is.

Beveiligingsrisico's en aanbevelingen voor Azure Bastion

Azure Bastion is toegankelijk via de Azure Portal, dus zorg ervoor dat uw Azure Portal-interface het juiste beveiligingsniveau vereist voor de resources in de interface en de rollen die deze gebruiken, meestal bevoegd of gespecialiseerd niveau.

Aanvullende richtlijnen zijn beschikbaar in de Documentatie voor Azure Bastion

Volgende stappen

• Overzicht van het beveiligen van bevoegde toegang
• Strategie voor bevoegde toegang
• Succes meten
• Beveiligingsniveaus
• Accounts voor bevoegde toegang
• Interfaces
• Apparaten voor bevoegde toegang
• Model voor bedrijfstoegang