Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Identity Management i kontroli dostępu
W tym artykule omówiono kolekcję najlepszych rozwiązań dotyczących zabezpieczeń zarządzania tożsamościami i kontroli dostępu na platformie Azure. Te najlepsze rozwiązania są oparte na naszych doświadczeniach z Azure AD i doświadczeniach klientów, takich jak ty.
W przypadku każdego najlepszego rozwiązania wyjaśnimy:
- Jakie jest najlepsze rozwiązanie
- Dlaczego chcesz włączyć to najlepsze rozwiązanie
- Jaki może być wynik w przypadku niepowodzenia włączenia najlepszych rozwiązań
- Możliwe alternatywy dla najlepszych rozwiązań
- Jak dowiedzieć się, jak włączyć najlepsze rozwiązanie
Ten artykuł dotyczący najlepszych rozwiązań dotyczących zabezpieczeń zarządzania tożsamościami i kontroli dostępu na platformie Azure jest oparty na opinii konsensusu oraz możliwościach platformy Azure i zestawach funkcji, ponieważ istnieją w momencie pisania tego artykułu.
Celem pisania tego artykułu jest przedstawienie ogólnego planu dla bardziej niezawodnego stanu zabezpieczeń po wdrożeniu z przewodnikiem "5 kroków w celu zabezpieczenia infrastruktury tożsamości" listy kontrolnej, która przeprowadzi Cię przez niektóre z naszych podstawowych funkcji i usług.
Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł będzie regularnie aktualizowany w celu odzwierciedlenia tych zmian.
Najlepsze rozwiązania dotyczące zabezpieczeń zarządzania tożsamościami i kontroli dostępu na platformie Azure omówione w tym artykule obejmują:
- Traktuj tożsamość jako podstawowy obwód zabezpieczeń
- Scentralizowane zarządzanie tożsamościami
- Zarządzanie połączonymi dzierżawami
- Włączanie logowania jednokrotnego
- Włączanie dostępu warunkowego
- Planowanie rutynowych ulepszeń zabezpieczeń
- Włączanie zarządzania hasłami
- Wymuszanie weryfikacji wieloskładnikowej dla użytkowników
- Korzystanie z kontroli dostępu opartej na rolach
- Mniejsze narażenie kont uprzywilejowanych
- Kontrolowanie lokalizacji, w których znajdują się zasoby
- Używanie Azure AD do uwierzytelniania magazynu
Traktuj tożsamość jako podstawowy obwód zabezpieczeń
Wielu uważa, że tożsamość jest podstawowym obwodem zabezpieczeń. Jest to przejście od tradycyjnego skupienia się na zabezpieczeniach sieci. Obwody sieci ciągle stają się coraz bardziej porowaty i ochrona obwodowa nie może być tak skuteczna, jak przed eksplozją urządzeń BYOD i aplikacji w chmurze.
Usługa Azure Active Directory (Azure AD) to rozwiązanie platformy Azure do zarządzania tożsamościami i dostępem. Azure AD to wielodostępna, oparta na chmurze usługa zarządzania katalogami i tożsamościami firmy Microsoft. Łączy podstawowe usługi katalogowe z funkcjami zarządzania dostępem do aplikacji i ochrony tożsamości w jednym rozwiązaniu.
W poniższych sekcjach wymieniono najlepsze rozwiązania dotyczące zabezpieczeń tożsamości i dostępu przy użyciu Azure AD.
Najlepsze rozwiązanie: Centrum mechanizmów kontroli zabezpieczeń i wykrywania tożsamości użytkowników i usług. Szczegóły: użyj Azure AD do sortowania kontrolek i tożsamości.
Scentralizowane zarządzanie tożsamościami
W scenariuszu tożsamości hybrydowej zalecamy zintegrowanie katalogów lokalnych i katalogów w chmurze. Integracja umożliwia zespołowi IT zarządzanie kontami z jednej lokalizacji, niezależnie od tego, gdzie jest tworzone konto. Integracja pomaga również zwiększyć produktywność użytkowników, zapewniając wspólną tożsamość na potrzeby uzyskiwania dostępu do zasobów w chmurze i lokalnych.
Najlepsze rozwiązanie: ustanowienie pojedynczego wystąpienia Azure AD. Spójność i pojedyncze autorytatywne źródło zwiększy przejrzystość i zmniejszy ryzyko bezpieczeństwa związane z błędami ludzkimi i złożonością konfiguracji. Szczegóły: wyznacz pojedynczy katalog Azure AD jako autorytatywne źródło dla kont firmowych i organizacyjnych.
Najlepsze rozwiązanie: integrowanie katalogów lokalnych z Azure AD.
Szczegóły: użyj Azure AD Connect, aby zsynchronizować katalog lokalny z katalogiem w chmurze.
Uwaga
Istnieją czynniki wpływające na wydajność programu Azure AD Connect. Upewnij się, że Azure AD Connect ma wystarczającą pojemność, aby zapewnić niedostateczną wydajność systemów przed utrudnianiem bezpieczeństwa i produktywności. Duże lub złożone organizacje (organizacje aprowizowania ponad 100 000 obiektów) powinny postępować zgodnie z zaleceniami, aby zoptymalizować implementację Azure AD Connect.
Najlepsze rozwiązanie: nie synchronizuj kont z Azure AD z wysokimi uprawnieniami w istniejącym wystąpieniu usługi Active Directory. Szczegóły: nie zmieniaj domyślnej konfiguracji Azure AD Connect, która filtruje te konta. Ta konfiguracja ogranicza ryzyko przestawiania się przeciwników z chmury do zasobów lokalnych (co może spowodować poważne zdarzenie).
Najlepsze rozwiązanie: włącz synchronizację skrótów haseł.
Szczegóły: Synchronizacja skrótów haseł jest funkcją służącą do synchronizowania skrótów haseł użytkownika z wystąpienia lokalna usługa Active Directory do wystąpienia Azure AD w chmurze. Ta synchronizacja pomaga chronić przed wyciekiem poświadczeń odtwarzanych przed poprzednimi atakami.
Nawet jeśli zdecydujesz się używać federacji z Active Directory Federation Services (AD FS) lub innych dostawców tożsamości, możesz opcjonalnie skonfigurować synchronizację skrótów haseł jako kopię zapasową w przypadku awarii serwerów lokalnych lub tymczasowo niedostępne. Ta synchronizacja umożliwia użytkownikom logowanie się do usługi przy użyciu tego samego hasła, którego używają do logowania się do wystąpienia lokalna usługa Active Directory. Umożliwia również usłudze Identity Protection wykrywanie poświadczeń, których bezpieczeństwo zostało naruszone, przez porównanie zsynchronizowanych skrótów haseł z hasłami, które są znane jako naruszone, jeśli użytkownik użył tego samego adresu e-mail i hasła w innych usługach, które nie są połączone z Azure AD.
Aby uzyskać więcej informacji, zobacz Implementowanie synchronizacji skrótów haseł za pomocą synchronizacji programu Azure AD Connect.
Najlepsze rozwiązanie: w przypadku tworzenia nowych aplikacji użyj Azure AD do uwierzytelniania. Szczegóły: Użyj prawidłowych możliwości do obsługi uwierzytelniania:
- Azure AD dla pracowników
- Azure AD B2B dla użytkowników-gości i partnerów zewnętrznych
- Azure AD B2C, aby kontrolować, jak klienci tworzą konta, logują się i zarządzają swoimi profilami podczas korzystania z aplikacji
Organizacje, które nie integrują tożsamości lokalnej z tożsamością w chmurze, mogą mieć większe obciążenie związane z zarządzaniem kontami. To obciążenie zwiększa prawdopodobieństwo błędów i naruszeń zabezpieczeń.
Uwaga
Musisz wybrać, w których katalogach będą znajdować się krytyczne konta i czy używana przez administratora stacja robocza jest zarządzana przez nowe usługi w chmurze lub istniejące procesy. Korzystanie z istniejących procesów zarządzania i aprowizacji tożsamości może zmniejszyć pewne ryzyko, ale może również spowodować naruszenie konta lokalnego przez osobę atakującą i przestawienia się do chmury. Możesz użyć innej strategii dla różnych ról (na przykład administratorów IT a administratorów jednostek biznesowych). Dostępne są dwie opcje. Pierwszą opcją jest utworzenie kont Azure AD, które nie są synchronizowane z wystąpieniem lokalna usługa Active Directory. Dołącz do administracyjnej stacji roboczej, aby Azure AD, którą można zarządzać i stosować poprawki za pomocą Microsoft Intune. Drugą opcją jest użycie istniejących kont administratorów przez synchronizację z wystąpieniem lokalna usługa Active Directory. Użyj istniejących stacji roboczych w domenie usługi Active Directory na potrzeby zarządzania i zabezpieczeń.
Zarządzanie połączonymi dzierżawami
Twoja organizacja zabezpieczeń musi mieć wgląd w ocenę ryzyka i określić, czy są przestrzegane zasady organizacji i jakiekolwiek wymagania prawne. Upewnij się, że organizacja zabezpieczeń ma wgląd we wszystkie subskrypcje połączone ze środowiskiem produkcyjnym i siecią (za pośrednictwem usługi Azure ExpressRoute lub sieci VPN typu lokacja-lokacja). Administrator globalny w Azure AD może podnieść swój poziom dostępu do roli Administrator dostępu użytkowników i wyświetlić wszystkie subskrypcje i grupy zarządzane połączone ze środowiskiem.
Zobacz podnoszenie poziomu dostępu, aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania , aby upewnić się, że Ty i Twoja grupa zabezpieczeń będą mogli wyświetlać wszystkie subskrypcje lub grupy zarządzania połączone ze środowiskiem. Po dokonaniu oceny ryzyka należy usunąć ten podwyższony poziom dostępu.
Włączanie logowania jednokrotnego
W świecie aplikacji mobilnych, opartych na chmurze, chcesz włączyć logowanie jednokrotne na urządzeniach, aplikacjach i usługach z dowolnego miejsca, aby użytkownicy mogli pracować w dowolnym miejscu i czasie. Jeśli masz wiele rozwiązań do zarządzania tożsamościami, staje się to problemem administracyjnym nie tylko dla it, ale także dla użytkowników, którzy muszą pamiętać wiele haseł.
Korzystając z tego samego rozwiązania do obsługi tożsamości dla wszystkich aplikacji i zasobów, można osiągnąć logowanie jednokrotne. Użytkownicy mogą używać tego samego zestawu poświadczeń do logowania się i uzyskiwania dostępu do potrzebnych zasobów, niezależnie od tego, czy zasoby znajdują się lokalnie, czy w chmurze.
Najlepsze rozwiązanie: Włączanie logowania jednokrotnego.
Szczegóły: Azure AD rozszerza lokalna usługa Active Directory do chmury. Użytkownicy mogą używać podstawowego konta służbowego dla urządzeń przyłączonych do domeny, zasobów firmy i wszystkich aplikacji internetowych i SaaS, które muszą wykonać swoje zadania. Użytkownicy nie muszą pamiętać wielu zestawów nazw użytkowników i haseł, a ich dostęp do aplikacji można automatycznie aprowizować (lub anulować aprowizację) na podstawie członkostwa w grupach organizacji i ich statusu pracownika. Możesz również kontrolować dostęp do aplikacji galerii lub własnych aplikacji lokalnych opracowanych i opublikowanych za pośrednictwem serwera proxy aplikacji usługi Azure AD.
Użyj logowania jednokrotnego, aby umożliwić użytkownikom dostęp do aplikacji SaaS na podstawie konta służbowego w Azure AD. Dotyczy to nie tylko aplikacji SaaS firmy Microsoft, ale także innych aplikacji, takich jak Google Apps i Salesforce. Aplikację można skonfigurować do używania Azure AD jako dostawcy tożsamości opartego na protokole SAML. Jako kontrola zabezpieczeń Azure AD nie wystawia tokenu, który umożliwia użytkownikom logowanie się do aplikacji, chyba że udzielono im dostępu za pośrednictwem Azure AD. Możesz udzielić dostępu bezpośrednio lub za pośrednictwem grupy, do której należą użytkownicy.
Organizacje, które nie tworzą wspólnej tożsamości w celu ustanowienia logowania jednokrotnego dla użytkowników i aplikacji, są bardziej narażone na scenariusze, w których użytkownicy mają wiele haseł. Te scenariusze zwiększają prawdopodobieństwo ponownego użycia haseł przez użytkowników lub użycia słabych haseł.
Włączanie dostępu warunkowego
Użytkownicy mogą uzyskiwać dostęp do zasobów organizacji przy użyciu różnych urządzeń i aplikacji z dowolnego miejsca. Jako administrator IT chcesz upewnić się, że te urządzenia spełniają twoje standardy dotyczące zabezpieczeń i zgodności. Tylko skupienie się na tym, kto może uzyskać dostęp do zasobu, nie jest już wystarczające.
Aby zrównoważyć bezpieczeństwo i produktywność, należy zastanowić się nad sposobem uzyskiwania dostępu do zasobu, zanim będzie można podjąć decyzję o kontroli dostępu. Za pomocą Azure AD dostępu warunkowego można spełnić to wymaganie. Za pomocą dostępu warunkowego można podejmować zautomatyzowane decyzje dotyczące kontroli dostępu na podstawie warunków uzyskiwania dostępu do aplikacji w chmurze.
Najlepsze rozwiązanie: zarządzanie dostępem do zasobów firmowych i kontrolowanie ich.
Szczegóły: Skonfiguruj typowe zasady dostępu warunkowego Azure AD oparte na grupie, lokalizacji i poufności aplikacji dla aplikacji SaaS i aplikacji połączonych Azure AD.
Najlepsze rozwiązanie: Blokuj starsze protokoły uwierzytelniania. Szczegóły: Osoby atakujące wykorzystują słabe strony starszych protokołów każdego dnia, szczególnie w przypadku ataków sprayowych haseł. Skonfiguruj dostęp warunkowy, aby zablokować starsze protokoły.
Planowanie rutynowych ulepszeń zabezpieczeń
Bezpieczeństwo zawsze ewoluuje i ważne jest, aby utworzyć platformę zarządzania chmurą i tożsamościami, aby regularnie pokazywać rozwój i odkrywać nowe sposoby zabezpieczania środowiska.
Wskaźnik bezpieczeństwa tożsamości to zestaw zalecanych mechanizmów kontroli zabezpieczeń publikowanych przez firmę Microsoft w celu zapewnienia wyniku liczbowego w celu obiektywnego mierzenia stanu zabezpieczeń i planowania przyszłych ulepszeń zabezpieczeń. Możesz również wyświetlić swój wynik w porównaniu z tymi w innych branżach, a także własne trendy w miarę upływu czasu.
Najlepsze rozwiązanie: Planowanie rutynowych przeglądów zabezpieczeń i ulepszeń w oparciu o najlepsze rozwiązania w branży. Szczegóły: użyj funkcji Wskaźnik bezpieczeństwa tożsamości, aby sklasyfikować ulepszenia w czasie.
Włączanie zarządzania hasłami
Jeśli masz wiele dzierżaw lub chcesz umożliwić użytkownikom resetowanie własnych haseł, ważne jest, aby używać odpowiednich zasad zabezpieczeń, aby zapobiec nadużyciom.
Najlepsze rozwiązanie: konfigurowanie samoobsługowego resetowania hasła (SSPR) dla użytkowników.
Szczegóły: użyj funkcji samoobsługowego resetowania haseł Azure AD.
Najlepsze rozwiązanie: monitorowanie sposobu lub rzeczywistego użycia samoobsługowego resetowania hasła.
Szczegóły: monitoruj użytkowników, którzy rejestrują się przy użyciu raportu Azure AD Działania rejestracji resetowania hasła. Funkcja raportowania, która Azure AD zapewnia, ułatwia odpowiadanie na pytania przy użyciu wstępnie utworzonych raportów. Jeśli masz odpowiednią licencję, możesz również tworzyć zapytania niestandardowe.
Najlepsze rozwiązanie: rozszerzanie zasad haseł opartych na chmurze na infrastrukturę lokalną. Szczegóły: Ulepszanie zasad haseł w organizacji przez wykonanie tych samych kontroli lokalnych zmian haseł w przypadku zmian haseł opartych na chmurze. Zainstaluj Azure AD ochronę haseł dla agentów Windows Server Active Directory lokalnych, aby rozszerzyć listy zakazanych haseł do istniejącej infrastruktury. Użytkownicy i administratorzy, którzy zmieniają, ustawiają lub resetują hasła lokalnie, muszą być zgodni z tymi samymi zasadami haseł co użytkownicy tylko w chmurze.
Wymuszanie weryfikacji wieloskładnikowej dla użytkowników
Zalecamy wymaganie weryfikacji dwuetapowej dla wszystkich użytkowników. Obejmuje to administratorów i innych użytkowników w organizacji, którzy mogą mieć znaczący wpływ, jeśli ich konto zostało naruszone (na przykład oficerowie finansowi).
Istnieje wiele opcji wymagających weryfikacji dwuetapowej. Najlepsza opcja zależy od celów, wersji Azure AD, której używasz, oraz programu licencjonowania. Zobacz Jak wymagać weryfikacji dwuetapowej dla użytkownika , aby określić najlepszą opcję. Aby uzyskać więcej informacji na temat licencji i cen, zobacz strony cennika Azure AD i Azure AD Multi-Factor Authentication.
Poniżej przedstawiono opcje i korzyści dotyczące włączania weryfikacji dwuetapowej:
Opcja 1. Włącz uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników i metod logowania przy użyciu Azure AD Korzyści domyślne zabezpieczeń: Ta opcja umożliwia łatwe i szybkie wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w środowisku przy użyciu rygorystycznych zasad:
- Kwestionowanie kont administracyjnych i mechanizmów logowania administracyjnego
- Wymaganie wyzwania uwierzytelniania wieloskładnikowego za pośrednictwem aplikacji Microsoft Authenticator dla wszystkich użytkowników
- Ogranicz starsze protokoły uwierzytelniania.
Ta metoda jest dostępna dla wszystkich warstw licencjonowania, ale nie może być mieszana z istniejącymi zasadami dostępu warunkowego. Więcej informacji można znaleźć w artykule Azure AD Security Defaults (Ustawienia domyślne zabezpieczeń)
Opcja 2. Włączanie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika.
Korzyść: jest to tradycyjna metoda wymagania weryfikacji dwuetapowej. Działa zarówno z usługą Azure AD Multi-Factor Authentication w chmurze, jak i Azure AD serwerem multi-Factor Authentication. Użycie tej metody wymaga od użytkowników przeprowadzenia weryfikacji dwuetapowej za każdym razem, gdy logują się i zastępują zasady dostępu warunkowego.
Aby określić, gdzie należy włączyć usługę Multi-Factor Authentication, zobacz Która wersja usługi MFA Azure AD jest odpowiednia dla mojej organizacji?.
Opcja 3. Włącz uwierzytelnianie wieloskładnikowe przy użyciu zasad dostępu warunkowego. Korzyść: Ta opcja umożliwia monit o weryfikację dwuetapową w określonych warunkach przy użyciu dostępu warunkowego. Określone warunki mogą być logowaniem użytkownika z różnych lokalizacji, niezaufanych urządzeń lub aplikacji, które uważasz za ryzykowne. Definiowanie określonych warunków, w których wymagana jest weryfikacja dwuetapowa, pozwala uniknąć stałego monitowania użytkowników, co może być nieprzyjemnym środowiskiem użytkownika.
Jest to najbardziej elastyczny sposób włączania weryfikacji dwuetapowej dla użytkowników. Włączenie zasad dostępu warunkowego działa tylko w przypadku usługi Azure AD Multi-Factor Authentication w chmurze i jest funkcją premium Azure AD. Więcej informacji na temat tej metody można znaleźć w temacie Deploy cloud-based Azure AD Multi-Factor Authentication (Wdrażanie usługi Multi-Factor Authentication opartej na chmurze).
Opcja 4. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego przez ocenę zasad dostępu warunkowego opartego na ryzyku.
Korzyść: ta opcja umożliwia:
- Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji.
- Skonfiguruj automatyczne odpowiedzi na wykryte podejrzane akcje powiązane z tożsamościami organizacji.
- Zbadaj podejrzane zdarzenia i podejmij odpowiednie działania, aby je rozwiązać.
Ta metoda używa oceny ryzyka Azure AD Identity Protection w celu określenia, czy weryfikacja dwuetapowa jest wymagana na podstawie ryzyka związanego z użytkownikiem i logowaniem dla wszystkich aplikacji w chmurze. Ta metoda wymaga licencjonowania usługi Azure Active Directory P2. Więcej informacji na temat tej metody można znaleźć w usłudze Azure Active Directory Identity Protection.
Uwaga
Opcja 2, włączenie usługi Multi-Factor Authentication przez zmianę stanu użytkownika, zastępuje zasady dostępu warunkowego. Ponieważ opcje 3 i 4 używają zasad dostępu warunkowego, nie można z nimi użyć opcji 2.
Organizacje, które nie dodają dodatkowych warstw ochrony tożsamości, takie jak weryfikacja dwuetapowa, są bardziej podatne na atak kradzieży poświadczeń. Atak kradzieży poświadczeń może prowadzić do naruszenia bezpieczeństwa danych.
Korzystanie z kontroli dostępu opartej na rolach
Zarządzanie dostępem do zasobów w chmurze ma kluczowe znaczenie dla każdej organizacji korzystającej z chmury. Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure ułatwia zarządzanie tym, kto ma dostęp do zasobów platformy Azure, co mogą robić z tymi zasobami i do jakich obszarów mają dostęp.
Projektowanie grup lub poszczególnych ról odpowiedzialnych za określone funkcje na platformie Azure pomaga uniknąć nieporozumień, które mogą prowadzić do błędów człowieka i automatyzacji, które tworzą zagrożenia bezpieczeństwa. Ograniczenie dostępu na podstawie konieczności znajomości i zasad zabezpieczeń o najmniejszych uprawnieniach jest konieczne dla organizacji, które chcą wymusić zasady zabezpieczeń na potrzeby dostępu do danych.
Zespół ds. zabezpieczeń potrzebuje wglądu w zasoby platformy Azure, aby ocenić i skorygować ryzyko. Jeśli zespół ds. zabezpieczeń ma obowiązki operacyjne, potrzebuje dodatkowych uprawnień do wykonywania swoich zadań.
Kontrola dostępu oparta na rolach platformy Azure umożliwia przypisywanie uprawnień do użytkowników, grup i aplikacji w określonym zakresie. Zakresem przypisania roli może być subskrypcja, grupa zasobów lub pojedynczy zasób.
Najlepsze rozwiązanie: segregowanie obowiązków w zespole i udzielanie dostępu tylko do użytkowników, których potrzebują do wykonywania swoich zadań. Zamiast udzielać wszystkim nieograniczonym uprawnień w subskrypcji lub zasobach platformy Azure, zezwalaj tylko na określone akcje w określonym zakresie. Szczegóły: Użyj wbudowanych ról platformy Azure na platformie Azure, aby przypisać uprawnienia do użytkowników.
Uwaga
Określone uprawnienia tworzą niepotrzebne złożoność i zamieszanie, gromadząc się w "starszej" konfiguracji, która jest trudna do naprawienia bez obawy przed złamaniem czegoś. Unikaj uprawnień specyficznych dla zasobów. Zamiast tego użyj grup zarządzania dla uprawnień i grup zasobów dla całego przedsiębiorstwa, aby uzyskać uprawnienia w ramach subskrypcji. Unikaj uprawnień specyficznych dla użytkownika. Zamiast tego przypisz dostęp do grup w usłudze Azure AD.
Najlepsze rozwiązanie: udzielanie zespołom ds. zabezpieczeń dostępu do platformy Azure w celu wyświetlenia zasobów platformy Azure, aby mogli ocenić i skorygować ryzyko. Szczegóły: Udziel zespołom ds. zabezpieczeń rolę Czytelnik zabezpieczeń RBAC platformy Azure. W zależności od zakresu obowiązków można użyć głównej grupy zarządzania lub grupy zarządzania segmentami:
- Główna grupa zarządzania dla zespołów odpowiedzialnych za wszystkie zasoby przedsiębiorstwa
- Grupa zarządzania segmentów dla zespołów z ograniczonym zakresem (często ze względu na przepisy lub inne granice organizacyjne)
Najlepsze rozwiązanie: udzielanie odpowiednich uprawnień zespołom ds. zabezpieczeń, które mają bezpośrednie obowiązki operacyjne. Szczegóły: Przejrzyj wbudowane role platformy Azure pod kątem odpowiedniego przypisania roli. Jeśli wbudowane role nie spełniają konkretnych potrzeb organizacji, możesz utworzyć role niestandardowe platformy Azure. Podobnie jak w przypadku ról wbudowanych, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresie subskrypcji, grupy zasobów i zasobów.
Najlepsze rozwiązania: udzielanie Microsoft Defender dostępu do ról zabezpieczeń, które ich potrzebują w chmurze. Usługa Defender for Cloud umożliwia zespołom ds. zabezpieczeń szybkie identyfikowanie i korygowanie zagrożeń. Szczegóły: Dodaj zespoły ds. zabezpieczeń z tymi wymaganiami do roli Administracja zabezpieczeń RBAC platformy Azure, aby mogły wyświetlać zasady zabezpieczeń, wyświetlać stany zabezpieczeń, edytować zasady zabezpieczeń, wyświetlać alerty i zalecenia oraz odrzucać alerty i zalecenia. Można to zrobić przy użyciu głównej grupy zarządzania lub grupy zarządzania segmentami, w zależności od zakresu obowiązków.
Organizacje, które nie wymuszają kontroli dostępu do danych przy użyciu funkcji, takich jak kontrola dostępu oparta na rolach platformy Azure, mogą mieć więcej uprawnień niż to konieczne dla użytkowników. Może to prowadzić do naruszenia bezpieczeństwa danych przez umożliwienie użytkownikom dostępu do typów danych (na przykład wysokiego wpływu biznesowego), których nie powinni mieć.
Niższa ekspozycja kont uprzywilejowanych
Zabezpieczanie uprzywilejowanego dostępu jest krytycznym pierwszym krokiem do ochrony zasobów biznesowych. Minimalizacja liczby osób, które mają dostęp do bezpiecznych informacji lub zasobów, zmniejsza prawdopodobieństwo uzyskania dostępu przez złośliwego użytkownika lub nieumyślnie wpływającego na poufny zasób.
Konta uprzywilejowane to konta, które zarządzają systemami IT i zarządzają nimi. Osoby atakujące cybernetyczne mają na celu uzyskanie dostępu do danych i systemów organizacji. Aby zabezpieczyć uprzywilejowany dostęp, należy odizolować konta i systemy od ryzyka ujawnienia złośliwemu użytkownikowi.
Zalecamy opracowanie i wykonanie planu zapewnienia uprzywilejowanego dostępu do cyberataków. Aby uzyskać szczegółowe informacje na temat tworzenia szczegółowego planu zabezpieczania tożsamości i dostępu, które są zarządzane lub zgłaszane w Azure AD, Microsoft Azure, Microsoft 365 i innych usługach w chmurze, zapoznaj się z artykułem Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w Azure AD.
Poniżej przedstawiono podsumowanie najlepszych rozwiązań opisanych w artykule Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w Azure AD:
Najlepsze rozwiązanie: zarządzanie, kontrolowanie i monitorowanie dostępu do uprzywilejowanych kont.
Szczegóły: włącz Azure AD Privileged Identity Management. Po włączeniu Privileged Identity Management otrzymasz wiadomości e-mail z powiadomieniem o zmianach roli uprzywilejowanego dostępu. Te powiadomienia zapewniają wczesne ostrzeżenie, gdy dodatkowi użytkownicy zostaną dodani do ról o wysokim poziomie uprawnień w katalogu.
Najlepsze rozwiązanie: upewnij się, że wszystkie krytyczne konta administratora są zarządzane Azure AD kontach. Szczegóły: Usuń wszystkie konta konsumentów z krytycznych ról administratora (na przykład konta Microsoft, takie jak hotmail.com, live.com i outlook.com).
Najlepsze rozwiązanie: Upewnij się, że wszystkie krytyczne role administratora mają oddzielne konto dla zadań administracyjnych, aby uniknąć wyłudzania informacji i innych ataków w celu naruszenia uprawnień administracyjnych. Szczegóły: Utwórz oddzielne konto administratora, które ma przypisane uprawnienia wymagane do wykonywania zadań administracyjnych. Blokuj korzystanie z tych kont administracyjnych na potrzeby codziennych narzędzi zwiększających produktywność, takich jak poczta e-mail platformy Microsoft 365 lub dowolne przeglądanie w Internecie.
Najlepsze rozwiązanie: identyfikowanie i kategoryzowanie kont, które znajdują się w wysoce uprzywilejowanych rolach.
Szczegóły: po włączeniu Azure AD Privileged Identity Management wyświetl użytkowników będących administratorem globalnym, administratorem ról uprzywilejowanych i innymi rolami z wysokimi uprawnieniami. Usuń wszystkie konta, które nie są już potrzebne w tych rolach, i kategoryzuj pozostałe konta przypisane do ról administratora:
- Indywidualnie przypisane do użytkowników administracyjnych i mogą być używane do celów nieadministracyjnych (na przykład osobistej poczty e-mail)
- Indywidualnie przypisane do użytkowników administracyjnych i wyznaczone tylko do celów administracyjnych
- Współużytkowany przez wielu użytkowników
- W przypadku scenariuszy dostępu awaryjnego
- W przypadku skryptów automatycznych
- Dla użytkowników zewnętrznych
Najlepsze rozwiązanie: zaimplementuj dostęp "just in time" (JIT), aby jeszcze bardziej obniżyć czas ekspozycji uprawnień i zwiększyć wgląd w korzystanie z uprzywilejowanych kont.
Szczegóły: Azure AD Privileged Identity Management umożliwia:
- Ogranicz użytkowników tylko do podejmowania uprawnień JIT.
- Przypisz role dla skróconego czasu trwania z pewnością, że uprawnienia są automatycznie odwoływane.
Najlepsze rozwiązanie: zdefiniuj co najmniej dwa konta dostępu awaryjnego.
Szczegóły: Konta dostępu awaryjnego pomagają organizacjom ograniczyć uprzywilejowany dostęp w istniejącym środowisku usługi Azure Active Directory. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy, w których nie można używać normalnych kont administracyjnych. Organizacje muszą ograniczyć użycie konta awaryjnego tylko do niezbędnego czasu.
Oceń konta przypisane lub kwalifikujące się do roli administratora globalnego. Jeśli nie widzisz żadnych kont tylko w chmurze przy użyciu domeny (przeznaczonej *.onmicrosoft.com
do uzyskiwania dostępu awaryjnego), utwórz je. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami administracyjnymi dostępu awaryjnego w Azure AD.
Najlepsze rozwiązanie: w przypadku wystąpienia sytuacji awaryjnej należy wykonać proces "szklenia". Szczegóły: Wykonaj kroki opisane w temacie Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i w chmurze w Azure AD.
Najlepsze rozwiązanie: wymagaj, aby wszystkie krytyczne konta administratora miały mniej hasła (preferowane) lub wymagają uwierzytelniania wieloskładnikowego. Szczegóły: użyj aplikacji Microsoft Authenticator, aby zalogować się do dowolnego konta Azure AD bez użycia hasła. Podobnie jak Windows Hello dla firm, aplikacja Microsoft Authenticator używa uwierzytelniania opartego na kluczach, aby umożliwić poświadczenia użytkownika powiązane z urządzeniem i używa uwierzytelniania biometrycznego lub numeru PIN.
Wymagaj Azure AD uwierzytelniania wieloskładnikowego podczas logowania dla wszystkich użytkowników, którzy są trwale przypisani do co najmniej jednej roli administratora Azure AD: administrator globalny, administrator ról uprzywilejowanych, administrator Exchange Online i administrator usługi SharePoint Online. Włącz usługę Multi-Factor Authentication dla kont administratora i upewnij się, że użytkownicy kont administratora zarejestrowali się.
Najlepsze rozwiązanie: w przypadku krytycznych kont administratorów ma stację roboczą administratora, na której zadania produkcyjne nie są dozwolone (na przykład przeglądanie i poczta e-mail). Pozwoli to chronić konta administratora przed wektorami ataków korzystającymi z przeglądania i poczty e-mail oraz znacznie obniży ryzyko wystąpienia poważnego incydentu. Szczegóły: Użyj administracyjnej stacji roboczej. Wybierz poziom zabezpieczeń stacji roboczej:
- Wysoce bezpieczne urządzenia zwiększające produktywność zapewniają zaawansowane zabezpieczenia przeglądania i innych zadań zwiększających produktywność.
- Stacje robocze uprzywilejowanego dostępu (PAW) zapewniają dedykowany system operacyjny, który jest chroniony przed atakami internetowymi i wektorami zagrożeń dla poufnych zadań.
Najlepsze rozwiązanie: anulowanie aprowizacji kont administratorów po opuszczeniu organizacji przez pracowników. Szczegóły: należy mieć proces wyłączający lub usuwający konta administratora, gdy pracownicy opuszczają organizację.
Najlepsze rozwiązanie: Regularne testowanie kont administratorów przy użyciu bieżących technik ataku. Szczegóły: Użyj symulatora ataków platformy Microsoft 365 lub oferty innej firmy, aby uruchomić realistyczne scenariusze ataków w organizacji. Może to pomóc w znalezieniu wrażliwych użytkowników przed rzeczywistym atakiem.
Najlepsze rozwiązanie: wykonaj kroki w celu ograniczenia najczęściej używanych technik atakowanych.
Szczegóły: identyfikowanie kont Microsoft w rolach administracyjnych, które muszą zostać przełączone na konta służbowe
Zapewnianie oddzielnych kont użytkowników i przekazywania poczty dla kont administratorów globalnych
Upewnij się, że hasła kont administracyjnych zostały ostatnio zmienione
Włączanie synchronizacji skrótów haseł
Uzyskaj wskaźnik bezpieczeństwa platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)
Ustanawianie właścicieli planu reagowania na zdarzenia/reagowanie awaryjne
Zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych
Jeśli nie masz bezpiecznego dostępu uprzywilejowanego, może się okazać, że masz zbyt wielu użytkowników w wysoce uprzywilejowanych rolach i jest bardziej podatnych na ataki. Złośliwi podmioty, w tym osoby atakujące cybernetyczne, często wybierają konta administratora i inne elementy uprzywilejowanego dostępu w celu uzyskania dostępu do poufnych danych i systemów przy użyciu kradzieży poświadczeń.
Kontrolowanie lokalizacji, w których są tworzone zasoby
Umożliwienie operatorom chmury wykonywania zadań, uniemożliwiając im łamanie konwencji, które są potrzebne do zarządzania zasobami organizacji, jest bardzo ważne. Organizacje, które chcą kontrolować lokalizacje, w których tworzone są zasoby, powinny trwale kodować te lokalizacje.
Za pomocą usługi Azure Resource Manager można tworzyć zasady zabezpieczeń, których definicje opisują akcje lub zasoby, które zostały specjalnie odrzucone. Te definicje zasad są przypisywane w żądanym zakresie, takim jak subskrypcja, grupa zasobów lub pojedynczy zasób.
Uwaga
Zasady zabezpieczeń nie są takie same jak kontrola dostępu oparta na rolach platformy Azure. W rzeczywistości używają kontroli dostępu opartej na rolach platformy Azure, aby autoryzować użytkowników do tworzenia tych zasobów.
Organizacje, które nie kontrolują sposobu tworzenia zasobów, są bardziej podatne na użytkowników, którzy mogą nadużywać usługi, tworząc więcej zasobów niż potrzebują. Wzmacnianie poziomu procesu tworzenia zasobów jest ważnym krokiem w celu zabezpieczenia scenariusza wielodostępnego.
Aktywne monitorowanie podejrzanych działań
Aktywny system monitorowania tożsamości może szybko wykrywać podejrzane zachowanie i wyzwalać alert w celu dalszego badania. W poniższej tabeli wymieniono Azure AD możliwości, które mogą pomóc organizacjom monitorować swoje tożsamości:
Najlepsze rozwiązanie: aby zidentyfikować metodę:
- Próbuje się zalogować bez śledzenia.
- Ataki siłowe na określone konto.
- Próbuje zalogować się z wielu lokalizacji.
- Logowania z zainfekowanych urządzeń.
- Podejrzane adresy IP.
Szczegóły: użyj raportów anomalii Azure AD Premium. Obowiązuje procesy i procedury dla administratorów IT w celu codziennego uruchamiania tych raportów lub na żądanie (zwykle w scenariuszu reagowania na zdarzenia).
Najlepsze rozwiązanie: masz aktywny system monitorowania, który powiadamia o ryzyku i może dostosować poziom ryzyka (wysoki, średni lub niski) do wymagań biznesowych.
Szczegóły: użyj usługi Azure AD Identity Protection, która flaguje bieżące zagrożenia na własnym pulpicie nawigacyjnym i wysyła codzienne powiadomienia podsumowania za pośrednictwem poczty e-mail. Aby ułatwić ochronę tożsamości organizacji, można skonfigurować zasady oparte na ryzyku, które automatycznie reagują na wykryte problemy po osiągnięciu określonego poziomu ryzyka.
Organizacje, które nie monitorują aktywnie swoich systemów tożsamości, mogą mieć naruszone poświadczenia użytkownika. Bez wiedzy, że podejrzane działania odbywają się za pośrednictwem tych poświadczeń, organizacje nie mogą ograniczyć tego typu zagrożenia.
Używanie Azure AD do uwierzytelniania magazynu
Usługa Azure Storage obsługuje uwierzytelnianie i autoryzację za pomocą Azure AD dla usług Blob Storage i Queue Storage. Za pomocą uwierzytelniania Azure AD możesz użyć kontroli dostępu opartej na rolach platformy Azure, aby udzielić określonych uprawnień użytkownikom, grupom i aplikacjom w zakresie pojedynczego kontenera lub kolejki obiektów blob.
Zalecamy używanie Azure AD do uwierzytelniania dostępu do magazynu.
Następny krok
Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure , aby uzyskać więcej najlepszych rozwiązań w zakresie zabezpieczeń używanych podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.