Udostępnij za pośrednictwem


Jak zabezpieczyć rozwiązanie tożsamości usługi Azure Active Directory B2C

Ten artykuł zawiera najlepsze rozwiązania dotyczące zabezpieczania rozwiązania azure Active Directory B2C (Azure AD B2C). Utworzenie rozwiązania do zarządzania tożsamością przy użyciu usługi Azure AD B2C obejmuje wiele składników, które należy brać pod uwagę przy ich ochronie i monitorowaniu.

W zależności od rozwiązania masz co najmniej jeden z następujących składników w ramach:

Musisz chronić i monitorować wszystkie te składniki, aby zapewnić użytkownikom możliwość logowania się do aplikacji bez zakłóceń. Postępuj zgodnie ze wskazówkami w tym artykule, aby chronić rozwiązanie przed atakami botów, fałszywym tworzeniem kont, oszustwami dotyczącymi międzynarodowego udziału przychodów (ISRF) i sprayem haseł.

Jak zabezpieczyć rozwiązanie

Rozwiązanie do obsługi tożsamości używa wielu składników w celu zapewnienia bezproblemowego środowiska logowania. W poniższej tabeli przedstawiono mechanizmy ochrony zalecane dla każdego składnika.

Składnik Punkt końcowy Dlaczego Jak chronić
Punkty końcowe uwierzytelniania usługi Azure AD B2C /authorize, , /token, , /.well-known/openid-configuration/discovery/v2.0/keys Zapobieganie wyczerpaniu zasobów Zapora aplikacji internetowej (WAF) i usługa Azure Front Door (AFD)
Logowanie NIE Próby złośliwego logowania mogą próbować przełamać zabezpieczenia kont lub użyć ujawnionych poświadczeń. Ochrona Tożsamości
Tworzenie konta NIE Fałszywe rejestracje, które mogą próbować wyczerpać zasoby. Ochrona punktu końcowego
Technologie zapobiegania oszustwom, takie jak Dynamics Fraud Protection
Jednorazowe hasło e-mail NIE Fałszywe próby ataku siłowego lub wyczerpania zasobów Ochrona punktu końcowego i aplikacja Authenticator
Kontrolki uwierzytelniania wieloskładnikowego NIE Niepożądane połączenia telefoniczne lub wiadomości SMS lub wyczerpanie zasobów. Ochrona punktu końcowego i aplikacja Authenticator
Zewnętrzne interfejsy API REST Punkty końcowe interfejsu API REST Złośliwe użycie przepływów użytkownika lub zasad niestandardowych może prowadzić do wyczerpania zasobów w punktach końcowych interfejsu API. Zapora aplikacji internetowej i AFD

Mechanizmy ochrony

Poniższa tabela zawiera omówienie różnych mechanizmów ochrony, których można użyć do ochrony różnych składników.

Co Dlaczego Jak
Zapora aplikacji internetowej Zapora aplikacji internetowej (WAF) służy jako pierwsza warstwa obrony przed złośliwymi żądaniami wysyłanymi do punktów końcowych usługi Azure AD B2C. Zapewnia scentralizowaną ochronę przed typowymi programami wykorzystującymi luki i lukami w zabezpieczeniach, takimi jak DDoS, boty, OWASP Top 10 itd. Zaleca się użycie WAF (zapory aplikacji internetowej) w celu upewnienia się, że złośliwe żądania są zatrzymywane jeszcze przed dotarciem do punktów końcowych usługi Azure AD B2C.

Aby włączyć WAF, należy najpierw włączyć domeny niestandardowe w usłudze Azure AD B2C przy użyciu AFD.
Azure Front Door (AFD) AFD to globalny, skalowalny punkt wejścia, który używa globalnej sieci brzegowej firmy Microsoft do tworzenia szybkich, bezpiecznych i szeroko skalowalnych aplikacji internetowych. Najważniejsze możliwości usługi AFD to:
  • Domeny niestandardowe można dodawać lub usuwać w sposób samoobsługowy
  • Usprawnione środowisko zarządzania certyfikatami
  • Możesz użyć własnego certyfikatu i otrzymywać alerty o wygaśnięciu certyfikatu z efektywnym procesem rotacji za pośrednictwem usługi Azure Key Vault
  • Certyfikat wydany przez usługę AFD umożliwiający szybsze dostarczanie i automatyczne odnawianie po wygaśnięciu.
Weryfikacja tożsamości i sprawdzanie/ ochrona przed oszustwami Weryfikacja i sprawdzanie tożsamości mają kluczowe znaczenie dla tworzenia zaufanego doświadczenia użytkownika oraz ochrony przed przejęciem konta i tworzeniem fałszywych kont. Przyczynia się również do higieny dzierżawy, zapewniając, że obiekty użytkowników odzwierciedlają rzeczywistych użytkowników, które są zgodne ze scenariuszami biznesowymi.

Usługa Azure AD B2C umożliwia integrację weryfikacji i potwierdzania tożsamości oraz ochrony przed oszustwami od partnerów różnych dostawców oprogramowania.
Ochrona tożsamości Usługa Identity Protection zapewnia ciągłe wykrywanie ryzyka. Po wykryciu ryzyka podczas logowania można skonfigurować zasady warunkowe usługi Azure AD B2C, aby umożliwić użytkownikowi korygowanie ryzyka przed kontynuowaniem logowania. Administratorzy mogą również używać raportów ochrony tożsamości, aby przeglądać ryzykownych użytkowników, którzy są zagrożeni i przeglądać szczegóły wykrywania. Raport wykrywania ryzyka zawiera informacje o każdym wykryciu ryzyka, takie jak typ i lokalizacja próby logowania, i nie tylko. Administratorzy mogą również potwierdzić lub odrzucić naruszenie zabezpieczeń użytkownika.
Dostęp warunkowy (CA) Gdy użytkownik próbuje się zalogować, urząd certyfikacji zbiera różne sygnały, takie jak zagrożenia związane z ochroną tożsamości, w celu podejmowania decyzji i wymuszania zasad organizacji. Urząd certyfikacji może pomóc administratorom w opracowywaniu zasad, które są zgodne ze stanem zabezpieczeń organizacji. Zasady mogą obejmować możliwość całkowitego blokowania dostępu użytkowników lub zapewnienia dostępu po ukończeniu innego uwierzytelniania przez użytkownika, takiego jak uwierzytelnianie wieloskładnikowe.
Uwierzytelnianie wieloskładnikowe Uwierzytelnianie wieloskładnikowe (MFA) dodaje drugą warstwę zabezpieczeń do procesu rejestracji i logowania oraz stanowi kluczowy element poprawy bezpieczeństwa uwierzytelniania użytkowników w usłudze Azure AD B2C. Aplikacja Authenticator — TOTP jest zalecaną metodą MFA w usłudze Azure AD B2C.
Zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM)/ Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) Potrzebujesz niezawodnego systemu monitorowania i zgłaszania alertów do analizowania wzorców użycia, takich jak logowania i rejestracje, oraz wykrywania wszelkich nietypowych zachowań, które mogą wskazywać na cyberatak. Jest to ważny krok, który dodaje dodatkową warstwę zabezpieczeń. Pozwala również zrozumieć wzorce i trendy, które można uchwycić i rozwijać z biegiem czasu. Alerty pomagają w określaniu czynników, takich jak tempo zmian w ogólnej liczbie logowań, wzrost liczby nieudanych logowań i nieudanych procesów rejestracji, oszustwa telefoniczne, takie jak ataki IRSF, itd. Wszystko to może być wskaźnikiem trwającego cyberataku, który wymaga natychmiastowej uwagi. Usługa Azure AD B2C obsługuje zarówno rejestrowanie na wysokim poziomie, jak i szczegółowe, a także generowanie raportów i alertów. Zaleca się zaimplementowanie monitorowania i zgłaszania alertów we wszystkich dzierżawach produkcyjnych.

Zrzut ekranu przedstawiający diagram architektury zabezpieczeń usługi Azure AD B2C.

Ochrona interfejsów API REST

Usługa Azure AD B2C umożliwia łączenie się z systemami zewnętrznymi przy użyciu łączników interfejsu API lub profilu technicznego interfejsu API REST. Należy chronić te interfejsy. Możesz zapobiec złośliwym żądaniom interfejsów API REST, chroniąc punkty końcowe uwierzytelniania usługi Azure AD B2C. Te punkty końcowe można chronić za pomocą WAF (zapory aplikacji internetowej) i usługi AFD.

Scenariusz 1. Jak zabezpieczyć środowisko logowania

Po utworzeniu doświadczenia logowania lub przepływu użytkownika należy chronić określone składniki przepływu przed złośliwą aktywnością. Jeśli na przykład przepływ logowania obejmuje następujące elementy, w tabeli przedstawiono składniki potrzebne do ochrony i skojarzona technika ochrony:

  • Uwierzytelnianie za pomocą poczty e-mail i hasła konta lokalnego
  • Uwierzytelnianie wieloskładnikowe Microsoft Entra przy użyciu wiadomości SMS lub połączenia telefonicznego
Składnik Punkt końcowy Jak chronić
Punkty końcowe uwierzytelniania usługi Azure AD B2C /authorize, , /token, , /.well-known/openid-configuration/discovery/v2.0/keys WAP i AFD
Zaloguj NIE Ochrona tożsamości
Kontrolki uwierzytelniania wieloskładnikowego NIE Aplikacja Authenticator
Zewnętrzny interfejs API REST Punkt końcowy interfejsu API. Aplikacja Authenticator, zapora aplikacji internetowej (WAF) i AFD

Zrzut ekranu przedstawiający diagram architektury zabezpieczeń usługi Azure AD B2C w celu ochrony logowania.

Scenariusz 2. Jak zabezpieczyć środowisko rejestracji

Po utworzeniu procesu rejestracji lub przepływu użytkownika należy chronić określone elementy przepływu przed złośliwym działaniem. Jeśli przepływ logowania obejmuje następujące elementy, w tabeli przedstawiono składniki potrzebne do ochrony i powiązaną technikę ochrony:

  • Rejestracja za pomocą adresu e-mail i hasła konta lokalnego
  • Weryfikacja e-mail za pomocą jednorazowego hasła (OTP)
  • Uwierzytelnianie wieloskładnikowe Microsoft Entra przy użyciu wiadomości SMS lub połączenia telefonicznego
Składnik Punkt końcowy Jak chronić
Punkty końcowe uwierzytelniania usługi Azure AD B2C /authorize, , /token, , /.well-known/openid-configuration/discovery/v2.0/keys Zapora aplikacji internetowej i usługa AFD
Zarejestruj się NIE Ochrona przed oszustwami Dynamics
Jednorazowe hasło e-mail NIE Zapora aplikacji internetowej i usługa AFD
Kontrolki uwierzytelniania wieloskładnikowego NIE Aplikacja Authenticator

W tym scenariuszu użycie mechanizmów ochrony zapory aplikacji internetowej i usługi AFD chroni zarówno punkty końcowe uwierzytelniania usługi Azure AD B2C, jak i składniki protokołu OTP poczty e-mail.

Zrzut ekranu przedstawiający diagram architektury zabezpieczeń usługi Azure AD B2C w celu ochrony rejestracji.

Dalsze kroki