Edytuj

Udostępnij za pośrednictwem

Zasady i zależności dotyczące projektowania dostępu warunkowego

Identyfikator Microsoft Entra
Microsoft Endpoint Manager

W tym artykule dowiesz się więcej o zasadach projektowania i zależnościach dla scenariusza dostępu warunkowego opartego na zerowym zaufaniu.

Zasady projektowania

Zaczniemy od pewnych zasad projektowania.

Dostęp warunkowy jako aparat zasad Zero Trust

Podejście firmy Microsoft do zerowego zaufania obejmuje dostęp warunkowy jako główny aparat zasad. Oto omówienie tego podejścia:

Diagram that provides an overview of the Zero Trust model.

Pobierz plik SVG tej architektury.

Dostęp warunkowy jest używany jako aparat zasad dla architektury Zero Trust, która obejmuje zarówno definicję zasad, jak i wymuszanie zasad. Na podstawie różnych sygnałów lub warunków dostęp warunkowy może blokować lub udzielać ograniczonego dostępu do zasobów, jak pokazano poniżej:

Diagram that provides an overview of the Conditional Access signal, decision, enforcement path.

Poniżej przedstawiono bardziej szczegółowy widok elementów dostępu warunkowego i jego opis:

Diagram that shows a more detailed view of Conditional Access.

Na tym diagramie przedstawiono dostęp warunkowy i powiązane elementy, które mogą pomóc chronić dostęp użytkowników do zasobów, w przeciwieństwie do dostępu nieinterakcyjnego lub nieinterakcyjnego. Na poniższym diagramie opisano oba typy tożsamości.

Diagram that describes Conditional Access identity types.

Dostęp warunkowy koncentruje się głównie na ochronie dostępu przed interaktywnymi ludźmi do zasobów. W miarę wzrostu liczby tożsamości innych niż ludzkie należy również rozważyć dostęp z tych tożsamości. Firma Microsoft oferuje dwie funkcje związane z ochroną dostępu do i z tożsamości obciążeń.

  • Ochrona dostępu do aplikacji reprezentowanych przez tożsamość obciążenia, która nie jest wybierana w portalu dostępu warunkowego firmy Microsoft Entra. Ta opcja jest obsługiwana przy użyciu atrybutów zabezpieczeń. Przypisywanie atrybutu zabezpieczeń do tożsamości obciążeń i wybieranie ich w portalu dostępu warunkowego Firmy Microsoft Entra jest częścią licencji Microsoft Entra ID P1.
  • Ochrona dostępu do zasobów inicjowanych przez tożsamości obciążeń (jednostki usługi). Nowa funkcja "Tożsamości obciążeń firmy Microsoft Entra" jest oferowana w oddzielnej licencji, która obsługuje ten scenariusz. Obejmuje zarządzanie cyklem życia tożsamości obciążeń, w tym ochronę dostępu do zasobów przy użyciu dostępu warunkowego.

Model dostępu przedsiębiorstwa

Firma Microsoft udostępniła wcześniej wskazówki i zasady dotyczące dostępu do zasobów lokalnych na podstawie modelu obsługi warstw:

  • Warstwa 0: kontrolery domeny, infrastruktura kluczy publicznych (PKI), serwery usług Active Directory Federation Services (AD FS) i rozwiązania do zarządzania, które zarządzają tymi serwerami
  • Warstwa 1: serwery hostujące aplikacje
  • Warstwa 2: Urządzenia klienckie

Ten model jest nadal odpowiedni dla zasobów lokalnych. Aby ułatwić ochronę dostępu do zasobów w chmurze, firma Microsoft zaleca strategię kontroli dostępu, która:

  • Jest kompleksowy i spójny.
  • Rygorystycznie stosuje zasady zabezpieczeń w całym stosie technologii.
  • Jest wystarczająco elastyczny, aby zaspokoić potrzeby organizacji.

Na podstawie tych zasad firma Microsoft utworzyła następujący model dostępu do przedsiębiorstw:

Diagram that outlines the enterprise access model.

Model dostępu przedsiębiorstwa zastępuje starszy model warstwy, który koncentruje się na zawieraniu nieautoryzowanej eskalacji uprawnień w lokalnym środowisku usługi Active Directory systemu Windows Server. W nowym modelu warstwa 0 rozszerza się, aby stać się płaszczyzną sterowania, warstwa 1 składa się z płaszczyzny zarządzania i danych, a warstwa 2 obejmuje dostęp użytkowników i aplikacji.

Firma Microsoft zaleca przeniesienie kontroli i zarządzania do usług w chmurze, które używają dostępu warunkowego jako głównego płaszczyzny sterowania i aparatu zasad, definiując i wymuszając dostęp.

Aparat zasad dostępu warunkowego firmy Microsoft można rozszerzyć na inne punkty wymuszania zasad, w tym:

  • Nowoczesne aplikacje: aplikacje korzystające z nowoczesnych protokołów uwierzytelniania.
  • Starsze aplikacje: za pośrednictwem serwera proxy aplikacji Microsoft Entra.
  • Rozwiązania sieci VPN i dostępu zdalnego: rozwiązania takie jak Microsoft Always On VPN, Cisco Any Połączenie, Palo Alto Networks, F5, Fortinet, Citrix i Zscaler.
  • Dokumenty, poczta e-mail i inne pliki: za pośrednictwem usługi Microsoft Information Protection.
  • Aplikacje SaaS.
  • Aplikacje działające w innych chmurach, takie jak AWS lub Google Cloud (oparte na federacji).

Zasady zerowego zaufania

Trzy główne zasady zerowego zaufania zdefiniowane przez firmę Microsoft wydają się być zrozumiałe, zwłaszcza przez działy zabezpieczeń. Jednak czasami znaczenie użyteczności jest pomijane podczas projektowania rozwiązań Zero Trust.

Użyteczność powinna być zawsze traktowana jako niejawna zasada.

Zasady dostępu warunkowego

Na podstawie powyższych informacji poniżej przedstawiono podsumowanie sugerowanych zasad. Firma Microsoft zaleca utworzenie modelu dostępu opartego na dostępie warunkowym zgodnym z trzema głównymi zasadami firmy Microsoft Zero Trust:

Weryfikowanie jawnie

  • Przenieś płaszczyznę sterowania do chmury. Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i ochrona ich przy użyciu dostępu warunkowego.
  • Należy wziąć pod uwagę, że wszyscy klienci mają być zewnętrzni.

Użyj najmniej uprzywilejowanego dostępu

  • Ocena dostępu na podstawie zgodności i ryzyka, w tym ryzyka związanego z użytkownikiem, ryzyka związanego z logowaniem i ryzyka związanego z urządzeniem.
  • Użyj tych priorytetów dostępu:
    • Uzyskaj bezpośredni dostęp do zasobu przy użyciu dostępu warunkowego do ochrony.
    • Publikowanie dostępu do zasobu przy użyciu serwera proxy aplikacji Firmy Microsoft Entra przy użyciu dostępu warunkowego do ochrony.
    • Użyj dostępu warunkowego — opartej na sieci VPN, aby uzyskać dostęp do zasobu. Ogranicz dostęp do poziomu aplikacji lub nazwy DNS.

Przyjmij naruszenie

  • Segmentuj infrastrukturę sieci.
  • Minimalizuj użycie infrastruktury kluczy publicznych przedsiębiorstwa.
  • Migrowanie logowania jednokrotnego (SSO) z usług AD FS do synchronizacji skrótów haseł (PHS).
  • Zminimalizuj zależności od kontrolerów domeny przy użyciu centrum dystrybucji kluczy Kerberos w usłudze Microsoft Entra ID.
  • Przenieś płaszczyznę zarządzania do chmury. Zarządzanie urządzeniami przy użyciu programu Microsoft Endpoint Manager.

Poniżej przedstawiono bardziej szczegółowe zasady i zalecane rozwiązania dotyczące dostępu warunkowego:

  • Stosowanie zasad zero trust do dostępu warunkowego.
  • Przed wprowadzeniem zasad do środowiska produkcyjnego należy użyć trybu tylko do raportu.
  • Przetestuj zarówno pozytywne, jak i negatywne scenariusze.
  • Użyj kontroli zmian i poprawek w zasadach dostępu warunkowego.
  • Automatyzowanie zarządzania zasadami dostępu warunkowego przy użyciu narzędzi, takich jak Azure DevOps/ GitHub lub Azure Logic Apps.
  • Użyj trybu blokady, aby uzyskać dostęp ogólny tylko wtedy, gdy i gdzie jest to konieczne.
  • Upewnij się, że wszystkie aplikacje i platforma są chronione. Dostęp warunkowy nie ma niejawnego "odmów wszystkiego".
  • Ochrona uprzywilejowanych użytkowników we wszystkich systemach kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365.
  • Wymagaj zmiany hasła i uwierzytelniania wieloskładnikowego dla użytkowników wysokiego ryzyka i logowania (wymuszane przez częstotliwość logowania).
  • Ogranicz dostęp z urządzeń wysokiego ryzyka. Użyj zasad zgodności usługi Intune z sprawdzaniem zgodności w obszarze Dostęp warunkowy.
  • Ochrona uprzywilejowanych systemów, takich jak dostęp do portali administratorów dla usług Office 365, Azure, AWS i Google Cloud.
  • Zapobiegaj trwałym sesjom przeglądarki dla administratorów i na niezaufanych urządzeniach.
  • Blokowanie starszego uwierzytelniania.
  • Ogranicz dostęp z nieznanych lub nieobsługiwanych platform urządzeń.
  • Wymagaj zgodnego urządzenia w celu uzyskania dostępu do zasobów, jeśli to możliwe.
  • Ogranicz rejestrację silnych poświadczeń.
  • Rozważ użycie domyślnych zasad sesji, które umożliwiają kontynuowanie sesji w przypadku awarii, jeśli zostały spełnione odpowiednie warunki przed awarią.

Na poniższym diagramie przedstawiono zależności i powiązane technologie. Niektóre technologie są wymaganiami wstępnymi dotyczącymi dostępu warunkowego. Inne zależą od dostępu warunkowego. Projekt opisany w tym dokumencie koncentruje się głównie na dostępie warunkowym, a nie na powiązanych technologiach.

Diagram that shows Conditional Access dependencies.

Wskazówki dotyczące dostępu warunkowego

Aby uzyskać więcej informacji, zobacz Projekt dostępu warunkowego oparty na modelu Zero Trust i personas.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki