Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera najlepsze rozwiązania dotyczące zabezpieczania rozwiązania azure Active Directory B2C (Azure AD B2C). Utworzenie rozwiązania do zarządzania tożsamością przy użyciu usługi Azure AD B2C obejmuje wiele składników, które należy brać pod uwagę przy ich ochronie i monitorowaniu.
W zależności od rozwiązania masz co najmniej jeden z następujących składników w ramach:
- Punkty końcowe uwierzytelniania usługi Azure AD B2C
-
Przepływy użytkowników i zasady niestandardowe w usłudze Azure AD B2C
- Zaloguj
- Zarejestruj się
- Wiadomość e-mail z jednorazowym hasłem (OTP)
- Kontrolki uwierzytelniania wieloskładnikowego
- Zewnętrzne interfejsy API REST
Musisz chronić i monitorować wszystkie te składniki, aby zapewnić użytkownikom możliwość logowania się do aplikacji bez zakłóceń. Postępuj zgodnie ze wskazówkami w tym artykule, aby chronić rozwiązanie przed atakami botów, fałszywym tworzeniem kont, oszustwami dotyczącymi międzynarodowego udziału przychodów (ISRF) i sprayem haseł.
Jak zabezpieczyć rozwiązanie
Rozwiązanie do obsługi tożsamości używa wielu składników w celu zapewnienia bezproblemowego środowiska logowania. W poniższej tabeli przedstawiono mechanizmy ochrony zalecane dla każdego składnika.
| Składnik | Punkt końcowy | Dlaczego | Jak chronić |
|---|---|---|---|
| Punkty końcowe uwierzytelniania usługi Azure AD B2C |
/authorize, , /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
Zapobieganie wyczerpaniu zasobów | Zapora aplikacji internetowej (WAF) i usługa Azure Front Door (AFD) |
| Logowanie | NIE | Próby złośliwego logowania mogą próbować przełamać zabezpieczenia kont lub użyć ujawnionych poświadczeń. | Ochrona Tożsamości |
| Tworzenie konta | NIE | Fałszywe rejestracje, które mogą próbować wyczerpać zasoby. |
Ochrona punktu końcowego Technologie zapobiegania oszustwom, takie jak Dynamics Fraud Protection |
| Jednorazowe hasło e-mail | NIE | Fałszywe próby ataku siłowego lub wyczerpania zasobów | Ochrona punktu końcowego i aplikacja Authenticator |
| Kontrolki uwierzytelniania wieloskładnikowego | NIE | Niepożądane połączenia telefoniczne lub wiadomości SMS lub wyczerpanie zasobów. | Ochrona punktu końcowego i aplikacja Authenticator |
| Zewnętrzne interfejsy API REST | Punkty końcowe interfejsu API REST | Złośliwe użycie przepływów użytkownika lub zasad niestandardowych może prowadzić do wyczerpania zasobów w punktach końcowych interfejsu API. | Zapora aplikacji internetowej i AFD |
Mechanizmy ochrony
Poniższa tabela zawiera omówienie różnych mechanizmów ochrony, których można użyć do ochrony różnych składników.
| Co | Dlaczego | Jak |
|---|---|---|
| Zapora aplikacji internetowej | Zapora aplikacji internetowej (WAF) służy jako pierwsza warstwa obrony przed złośliwymi żądaniami wysyłanymi do punktów końcowych usługi Azure AD B2C. Zapewnia scentralizowaną ochronę przed typowymi programami wykorzystującymi luki i lukami w zabezpieczeniach, takimi jak DDoS, boty, OWASP Top 10 itd. Zaleca się użycie WAF (zapory aplikacji internetowej) w celu upewnienia się, że złośliwe żądania są zatrzymywane jeszcze przed dotarciem do punktów końcowych usługi Azure AD B2C.
Aby włączyć WAF, należy najpierw włączyć domeny niestandardowe w usłudze Azure AD B2C przy użyciu AFD. |
|
| Azure Front Door (AFD) | AFD to globalny, skalowalny punkt wejścia, który używa globalnej sieci brzegowej firmy Microsoft do tworzenia szybkich, bezpiecznych i szeroko skalowalnych aplikacji internetowych. Najważniejsze możliwości usługi AFD to:
|
|
| Weryfikacja tożsamości i sprawdzanie/ ochrona przed oszustwami | Weryfikacja i sprawdzanie tożsamości mają kluczowe znaczenie dla tworzenia zaufanego doświadczenia użytkownika oraz ochrony przed przejęciem konta i tworzeniem fałszywych kont. Przyczynia się również do higieny dzierżawy, zapewniając, że obiekty użytkowników odzwierciedlają rzeczywistych użytkowników, które są zgodne ze scenariuszami biznesowymi.
Usługa Azure AD B2C umożliwia integrację weryfikacji i potwierdzania tożsamości oraz ochrony przed oszustwami od partnerów różnych dostawców oprogramowania. |
|
| Ochrona tożsamości | Usługa Identity Protection zapewnia ciągłe wykrywanie ryzyka. Po wykryciu ryzyka podczas logowania można skonfigurować zasady warunkowe usługi Azure AD B2C, aby umożliwić użytkownikowi korygowanie ryzyka przed kontynuowaniem logowania. Administratorzy mogą również używać raportów ochrony tożsamości, aby przeglądać ryzykownych użytkowników, którzy są zagrożeni i przeglądać szczegóły wykrywania. Raport wykrywania ryzyka zawiera informacje o każdym wykryciu ryzyka, takie jak typ i lokalizacja próby logowania, i nie tylko. Administratorzy mogą również potwierdzić lub odrzucić naruszenie zabezpieczeń użytkownika. | |
| Dostęp warunkowy (CA) | Gdy użytkownik próbuje się zalogować, urząd certyfikacji zbiera różne sygnały, takie jak zagrożenia związane z ochroną tożsamości, w celu podejmowania decyzji i wymuszania zasad organizacji. Urząd certyfikacji może pomóc administratorom w opracowywaniu zasad, które są zgodne ze stanem zabezpieczeń organizacji. Zasady mogą obejmować możliwość całkowitego blokowania dostępu użytkowników lub zapewnienia dostępu po ukończeniu innego uwierzytelniania przez użytkownika, takiego jak uwierzytelnianie wieloskładnikowe. | |
| Uwierzytelnianie wieloskładnikowe | Uwierzytelnianie wieloskładnikowe (MFA) dodaje drugą warstwę zabezpieczeń do procesu rejestracji i logowania oraz stanowi kluczowy element poprawy bezpieczeństwa uwierzytelniania użytkowników w usłudze Azure AD B2C. Aplikacja Authenticator — TOTP jest zalecaną metodą MFA w usłudze Azure AD B2C. | |
| Zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM)/ Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) | Potrzebujesz niezawodnego systemu monitorowania i zgłaszania alertów do analizowania wzorców użycia, takich jak logowania i rejestracje, oraz wykrywania wszelkich nietypowych zachowań, które mogą wskazywać na cyberatak. Jest to ważny krok, który dodaje dodatkową warstwę zabezpieczeń. Pozwala również zrozumieć wzorce i trendy, które można uchwycić i rozwijać z biegiem czasu. Alerty pomagają w określaniu czynników, takich jak tempo zmian w ogólnej liczbie logowań, wzrost liczby nieudanych logowań i nieudanych procesów rejestracji, oszustwa telefoniczne, takie jak ataki IRSF, itd. Wszystko to może być wskaźnikiem trwającego cyberataku, który wymaga natychmiastowej uwagi. Usługa Azure AD B2C obsługuje zarówno rejestrowanie na wysokim poziomie, jak i szczegółowe, a także generowanie raportów i alertów. Zaleca się zaimplementowanie monitorowania i zgłaszania alertów we wszystkich dzierżawach produkcyjnych. |
|
Ochrona interfejsów API REST
Usługa Azure AD B2C umożliwia łączenie się z systemami zewnętrznymi przy użyciu łączników interfejsu API lub profilu technicznego interfejsu API REST. Należy chronić te interfejsy. Możesz zapobiec złośliwym żądaniom interfejsów API REST, chroniąc punkty końcowe uwierzytelniania usługi Azure AD B2C. Te punkty końcowe można chronić za pomocą WAF (zapory aplikacji internetowej) i usługi AFD.
Scenariusz 1. Jak zabezpieczyć środowisko logowania
Po utworzeniu doświadczenia logowania lub przepływu użytkownika należy chronić określone składniki przepływu przed złośliwą aktywnością. Jeśli na przykład przepływ logowania obejmuje następujące elementy, w tabeli przedstawiono składniki potrzebne do ochrony i skojarzona technika ochrony:
- Uwierzytelnianie za pomocą poczty e-mail i hasła konta lokalnego
- Uwierzytelnianie wieloskładnikowe Microsoft Entra przy użyciu wiadomości SMS lub połączenia telefonicznego
| Składnik | Punkt końcowy | Jak chronić |
|---|---|---|
| Punkty końcowe uwierzytelniania usługi Azure AD B2C |
/authorize, , /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
WAP i AFD |
| Zaloguj | NIE | Ochrona tożsamości |
| Kontrolki uwierzytelniania wieloskładnikowego | NIE | Aplikacja Authenticator |
| Zewnętrzny interfejs API REST | Punkt końcowy interfejsu API. | Aplikacja Authenticator, zapora aplikacji internetowej (WAF) i AFD |
Scenariusz 2. Jak zabezpieczyć środowisko rejestracji
Po utworzeniu procesu rejestracji lub przepływu użytkownika należy chronić określone elementy przepływu przed złośliwym działaniem. Jeśli przepływ logowania obejmuje następujące elementy, w tabeli przedstawiono składniki potrzebne do ochrony i powiązaną technikę ochrony:
- Rejestracja za pomocą adresu e-mail i hasła konta lokalnego
- Weryfikacja e-mail za pomocą jednorazowego hasła (OTP)
- Uwierzytelnianie wieloskładnikowe Microsoft Entra przy użyciu wiadomości SMS lub połączenia telefonicznego
| Składnik | Punkt końcowy | Jak chronić |
|---|---|---|
| Punkty końcowe uwierzytelniania usługi Azure AD B2C |
/authorize, , /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
Zapora aplikacji internetowej i usługa AFD |
| Zarejestruj się | NIE | Ochrona przed oszustwami Dynamics |
| Jednorazowe hasło e-mail | NIE | Zapora aplikacji internetowej i usługa AFD |
| Kontrolki uwierzytelniania wieloskładnikowego | NIE | Aplikacja Authenticator |
W tym scenariuszu użycie mechanizmów ochrony zapory aplikacji internetowej i usługi AFD chroni zarówno punkty końcowe uwierzytelniania usługi Azure AD B2C, jak i składniki protokołu OTP poczty e-mail.
Dalsze kroki
- Skonfiguruj zaporę aplikacji internetowej w celu ochrony punktów końcowych uwierzytelniania usługi Azure AD B2C.
- Skonfiguruj zapobieganie oszustwom w usłudze Dynamics, aby chronić procesy uwierzytelniania.
- Badanie ryzyka za pomocą usługi Identity Protection w usłudze Azure AD B2C w celu odnajdywania, badania i korygowania zagrożeń opartych na tożsamościach.
- Zabezpieczanie uwierzytelniania wieloskładnikowego opartego na telefonie w celu ochrony uwierzytelniania wieloskładnikowego opartego na telefonie.
- Skonfiguruj usługę Identity Protection , aby chronić środowisko logowania.
- Skonfiguruj monitorowanie i alerty , aby otrzymywać alerty dotyczące wszelkich zagrożeń.