Udostępnij za pośrednictwem

Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Identity Management i kontroli dostępu

W tym artykule omówiono kolekcję najlepszych rozwiązań w zakresie zarządzania tożsamościami platformy Azure i kontroli dostępu. Te najlepsze praktyki są oparte na naszym doświadczeniu z Microsoft Entra ID oraz doświadczeniach klientów, takich jak ty.

W przypadku każdego najlepszego rozwiązania wyjaśniamy:

  • Jakie jest najlepsze rozwiązanie
  • Dlaczego chcesz włączyć to najlepsze rozwiązanie
  • Jaki może być wynik, jeśli nie można włączyć najlepszych rozwiązań
  • Możliwe alternatywy dla najlepszych rozwiązań
  • Jak możesz nauczyć się wdrażać najlepsze praktyki

Ten artykuł dotyczący najlepszych rozwiązań dotyczących zabezpieczeń zarządzania tożsamościami i kontroli dostępu na platformie Azure jest oparty na opinii konsensusu oraz możliwościach i zestawach funkcji platformy Azure, ponieważ istnieją w momencie napisania tego artykułu.

Celem tego artykułu jest przedstawienie ogólnego planu działania na rzecz bezpieczniejszej infrastruktury po wdrożeniu, zgodnie z przewodnikiem "5 kroków zabezpieczania infrastruktury tożsamości", który przeprowadzi Cię przez najważniejsze funkcje i usługi.

Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł będzie regularnie aktualizowany w celu odzwierciedlenia tych zmian.

Najlepsze rozwiązania dotyczące zabezpieczeń zarządzania tożsamościami i kontroli dostępu platformy Azure omówione w tym artykule obejmują:

  • Traktuj tożsamość jako podstawowy obwód zabezpieczeń
  • Scentralizowane zarządzanie tożsamościami
  • Zarządzanie połączonymi dzierżawami
  • Włączanie logowania jednokrotnego
  • Włączanie dostępu warunkowego
  • Planowanie rutynowych ulepszeń zabezpieczeń
  • Włączanie zarządzania hasłami
  • Wymuszanie weryfikacji wieloskładnikowej dla użytkowników
  • Użyj kontroli dostępu opartej na rolach
  • Niższa ekspozycja kont uprzywilejowanych
  • Kontrolowanie lokalizacji, w których znajdują się zasoby
  • Użyj Microsoft Entra ID do uwierzytelniania pamięci

Traktuj tożsamość jako podstawowy obwód zabezpieczeń

Wiele osób uważa, że tożsamość jest główną granicą bezpieczeństwa. Jest to przejście od tradycyjnego skupienia się na zabezpieczeniach sieci. Obwody sieci ciągle stają się coraz bardziej porowaty i ochrona obwodowa nie może być tak skuteczna, jak przed wybuchem urządzeń BYOD i aplikacji w chmurze.

Microsoft Entra ID to rozwiązanie platformy Azure do zarządzania tożsamościami i dostępem. Microsoft Entra ID to wielodostępna, oparta na chmurze usługa katalogów i zarządzania tożsamościami firmy Microsoft. Łączy podstawowe usługi katalogowe z funkcjami zarządzania dostępem do aplikacji i ochrony tożsamości w jednym rozwiązaniu.

W poniższych sekcjach wymieniono najlepsze rozwiązania dotyczące zabezpieczeń tożsamości i dostępu przy użyciu identyfikatora Entra firmy Microsoft.

Najlepsza praktyka: Skupienie mechanizmów kontroli zabezpieczeń i wykrywania wokół tożsamości użytkowników i usług. Szczegóły: użyj Entra ID firmy Microsoft do koordynacji kontrolki i tożsamości.

Scentralizowane zarządzanie tożsamościami

W scenariuszu tożsamości hybrydowej zalecamy integrację katalogów lokalnych i w chmurze. Integracja umożliwia zespołowi IT zarządzanie kontami z jednej lokalizacji, niezależnie od tego, gdzie jest tworzone konto. Integracja ułatwia również użytkownikom wydajniejszą pracę, zapewniając wspólną tożsamość na potrzeby uzyskiwania dostępu zarówno do zasobów w chmurze, jak i lokalnych.

Najlepsze praktyki: stwórz pojedyncze wystąpienie Microsoft Entra. Spójność i jedno autorytatywne źródło zwiększy przejrzystość i zmniejszy ryzyko bezpieczeństwa przed błędami ludzkimi i złożonością konfiguracji.
Szczegóły: wyznaczyć pojedynczy katalog Microsoft Entra jako autorytatywne źródło dla kont firmowych i organizacyjnych.

Najlepsze rozwiązanie: integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.
Szczegóły: Użyj programu Microsoft Entra Connect , aby zsynchronizować katalog lokalny z katalogiem w chmurze.

Uwaga / Notatka

Istnieją czynniki wpływające na wydajność programu Microsoft Entra Connect. Upewnij się, że program Microsoft Entra Connect ma wystarczającą pojemność, aby niewydajne systemy nie zakłócały bezpieczeństwa i produktywności. Duże lub złożone organizacje (organizacje udostępniające ponad 100 000 obiektów) powinny postępować zgodnie z zaleceniami, aby zoptymalizować implementację Microsoft Entra Connect.

Najlepsze rozwiązanie: nie synchronizuj kont z identyfikatorem Microsoft Entra ID, które mają wysokie uprawnienia w istniejącym wystąpieniu usługi Active Directory.
Szczegóły: nie zmieniaj domyślnej konfiguracji programu Microsoft Entra Connect , która filtruje te konta. Ta konfiguracja ogranicza ryzyko przejścia przeciwników z chmury do zasobów lokalnych (co może spowodować poważne zdarzenie).

Najlepsze rozwiązanie: włącz synchronizację skrótów haseł.
Szczegóły: Synchronizacja skrótów haseł jest funkcją służącą do synchronizowania skrótów haseł użytkownika z lokalnego wystąpienia Active Directory do wystąpienia Microsoft Entra w chmurze. Ta synchronizacja pomaga chronić przed odtwarzaniem wykradzionych poświadczeń z wcześniejszych ataków.

Nawet jeśli zdecydujesz się użyć federacji z usługami Active Directory Federation Services (AD FS) lub innymi dostawcami tożsamości, opcjonalnie możesz skonfigurować synchronizację skrótów haseł jako kopię zapasową w przypadku awarii serwerów lokalnych lub tymczasowo niedostępności. Ta synchronizacja umożliwia użytkownikom logowanie się do usługi przy użyciu tego samego hasła, którego używają do logowania się do lokalnego wystąpienia usługi Active Directory. Umożliwia również usłudze Identity Protection wykrywanie poświadczeń, których bezpieczeństwo zostało naruszone, przez porównanie zsynchronizowanych skrótów haseł z hasłami, które są znane jako naruszone, jeśli użytkownik użył tego samego adresu e-mail i hasła w innych usługach, które nie są połączone z identyfikatorem Entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Implementowanie synchronizacji skrótów haseł za pomocą programu Microsoft Entra Connect Sync.

Najlepsze rozwiązanie: w przypadku tworzenia nowych aplikacji użyj identyfikatora Entra firmy Microsoft do uwierzytelniania.
Szczegóły: Użyj prawidłowych możliwości do obsługi uwierzytelniania:

  • Identyfikator Entra firmy Microsoft dla pracowników
  • Microsoft Entra B2B dla użytkowników-gości i partnerów zewnętrznych
  • Microsoft Entra External ID w celu kontrolowania sposobu rejestrowania się, logowania i zarządzania profilami klientów podczas korzystania z aplikacji

Organizacje, które nie integrują swojej tożsamości lokalnej z tożsamością w chmurze, mogą mieć większe obciążenie związane z zarządzaniem kontami. To obciążenie zwiększa prawdopodobieństwo błędów i naruszeń zabezpieczeń.

Uwaga / Notatka

Musisz wybrać, w których katalogach będą znajdować się krytyczne konta i czy używana stacja robocza administratora jest zarządzana przez nowe usługi w chmurze lub istniejące procesy. Korzystanie z istniejących procesów zarządzania i aprowizacji tożsamości może zmniejszyć pewne ryzyko, ale może również stworzyć ryzyko przejęcia konta lokalnego przez atakującego i przeniesienia się do chmury. Możesz użyć innej strategii dla różnych ról (na przykład administratorów IT a administratorów jednostek biznesowych). Dostępne są dwie opcje. Pierwszą opcją jest utworzenie kont Microsoft Entra, które nie są synchronizowane z lokalną instancją usługi Active Directory. Dołącz stację roboczą administratora do usługi Microsoft Entra ID, którą można zarządzać i poprawiać przy użyciu usługi Microsoft Intune. Drugą opcją jest użycie istniejących kont administratorów przez synchronizację z lokalnym wystąpieniem usługi Active Directory. Użyj istniejących stacji roboczych w domenie usługi Active Directory do zarządzania i zabezpieczeń.

Zarządzanie połączonymi dzierżawami

Twoja organizacja zabezpieczeń potrzebuje widoczności, aby ocenić ryzyko i określić, czy są przestrzegane zasady organizacji i jakiekolwiek wymagania prawne. Upewnij się, że organizacja zabezpieczeń ma wgląd we wszystkie subskrypcje połączone ze środowiskiem produkcyjnym i siecią (za pośrednictwem usługi Azure ExpressRoute lub sieci VPN typu lokacja-lokacja. Administrator globalny w usłudze Microsoft Entra ID może podnieść swój poziom dostępu do roli Administrator dostępu użytkowników i wyświetlić wszystkie subskrypcje i grupy zarządzane połączone ze środowiskiem.

Zobacz podnoszenie poziomu dostępu, aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania , aby upewnić się, że Ty i Twoja grupa zabezpieczeń będą mogły wyświetlać wszystkie subskrypcje lub grupy zarządzania połączone ze środowiskiem. Po ocenie ryzyka należy usunąć ten podwyższony poziom dostępu.

Włączanie logowania jednokrotnego

W świecie opartym na urządzeniach przenośnych, opartych na chmurze, chcesz włączyć logowanie jednokrotne na urządzeniach, aplikacjach i usługach z dowolnego miejsca, aby użytkownicy mogli pracować w dowolnym miejscu i czasie. Jeśli masz wiele rozwiązań do zarządzania tożsamościami, staje się to problemem administracyjnym nie tylko dla IT, ale także dla użytkowników, którzy muszą pamiętać wiele haseł.

Korzystając z tego samego rozwiązania do obsługi tożsamości dla wszystkich aplikacji i zasobów, możesz uzyskać logowanie jednokrotne. Użytkownicy mogą użyć tego samego zestawu poświadczeń, aby zalogować się i uzyskać dostęp do potrzebnych zasobów, niezależnie od tego, czy zasoby znajdują się lokalnie, czy w chmurze.

Najlepsze rozwiązanie: Włącz jednokrotne logowanie.
Szczegóły: Identyfikator Entra firmy Microsoft rozszerza lokalną usługę Active Directory na chmurę. Użytkownicy mogą używać swojego podstawowego konta służbowego lub szkolnego dla swoich urządzeń przyłączonych do domeny, zasobów firmy oraz wszystkich aplikacji internetowych i SaaS, których potrzebują do wykonywania swojej pracy. Użytkownicy nie muszą pamiętać wielu zestawów nazw użytkowników i haseł, a ich dostęp do aplikacji można automatycznie aprowizować (lub anulować aprowizację) na podstawie członkostwa w grupach organizacji i ich statusu jako pracownika. Możesz kontrolować dostęp do aplikacji galerii lub do swoich własnych aplikacji lokalnych na miejscu, które opracowałeś i opublikowałeś za pośrednictwem serwera proxy aplikacji Microsoft Entra.

Użyj logowania jednokrotnego, aby umożliwić użytkownikom dostęp do swoich aplikacji SaaS na podstawie konta służbowego lub szkolnego w usłudze Microsoft Entra ID. Dotyczy to nie tylko aplikacji SaaS firmy Microsoft, ale także innych aplikacji, takich jak Google Apps i Salesforce. Aplikację można skonfigurować tak, aby korzystała z identyfikatora Entra firmy Microsoft jako dostawcy tożsamości opartego na protokole SAML . Jako kontrola zabezpieczeń identyfikator Entra firmy Microsoft nie wystawia tokenu, który umożliwia użytkownikom logowanie się do aplikacji, chyba że udzielono im dostępu za pośrednictwem identyfikatora Entra firmy Microsoft. Możesz udzielić dostępu bezpośrednio lub za pośrednictwem grupy, do której należą użytkownicy.

Organizacje, które nie tworzą wspólnej tożsamości w celu ustanowienia logowania jednokrotnego dla swoich użytkowników i aplikacji, są bardziej narażone na scenariusze, w których użytkownicy mają wiele haseł. Te scenariusze zwiększają prawdopodobieństwo ponownego użycia haseł przez użytkowników lub użycia słabych haseł.

Włączanie dostępu warunkowego

Użytkownicy mogą uzyskiwać dostęp do zasobów organizacji przy użyciu różnych urządzeń i aplikacji z dowolnego miejsca. Jako administrator IT chcesz upewnić się, że te urządzenia spełniają twoje standardy dotyczące zabezpieczeń i zgodności. Po prostu skupienie się na tym, kto może uzyskać dostęp do zasobu, nie jest już wystarczający.

Aby zrównoważyć bezpieczeństwo i produktywność, należy zastanowić się, jak zasób jest uzyskiwany przed podjęciem decyzji o kontroli dostępu. Za pomocą dostępu warunkowego firmy Microsoft Entra możesz rozwiązać to wymaganie. Dostęp warunkowy umożliwia podejmowanie zautomatyzowanych decyzji dotyczących kontroli dostępu na podstawie warunków uzyskiwania dostępu do aplikacji w chmurze.

Najlepsze rozwiązanie: zarządzanie dostępem do zasobów firmowych i kontrolowanie go.
Szczegóły: Skonfiguruj typowe zasady dostępu warunkowego firmy Microsoft Entra na podstawie grupy, lokalizacji i poufności aplikacji dla aplikacji SaaS i aplikacji połączonych z identyfikatorem Entra firmy Microsoft.

Najlepsze rozwiązanie: blokuj starsze protokoły uwierzytelniania.
Szczegóły: Osoby atakujące wykorzystują słabe punkty w starszych protokołach każdego dnia, szczególnie w przypadku ataków sprayu haseł. Skonfiguruj dostęp warunkowy, aby zablokować starsze protokoły.

Planowanie rutynowych ulepszeń zabezpieczeń

Bezpieczeństwo zawsze ewoluuje i ważne jest, aby wbudować w strukturę zarządzania chmurą i tożsamościami sposób regularnego pokazywania wzrostu i odnajdywania nowych sposobów zabezpieczania środowiska.

Wskaźnik Bezpieczeństwa Tożsamości (Identity Secure Score) to zestaw zalecanych mechanizmów kontroli zabezpieczeń publikowanych przez firmę Microsoft, które mają na celu dostarczenie wyniku liczbowego do obiektywnego mierzenia stanu zabezpieczeń i pomocy w planowaniu przyszłych ulepszeń zabezpieczeń. Możesz również zobaczyć swoją punktację w porównaniu do wyników w innych branżach oraz własne trendy na przestrzeni czasu.

Najlepsze rozwiązanie: Planowanie rutynowych przeglądów zabezpieczeń i ulepszeń w oparciu o najlepsze rozwiązania w branży.
Szczegóły: użyj funkcji Wskaźnik bezpieczeństwa tożsamości, aby ocenić ulepszenia w czasie.

Włączanie zarządzania hasłami

Jeśli masz wiele dzierżaw lub chcesz umożliwić użytkownikom resetowanie własnych haseł, ważne jest, aby używać odpowiednich zasad zabezpieczeń, aby zapobiec nadużyciom.

Najlepsze rozwiązanie: konfigurowanie samoobsługowego resetowania hasła (SSPR) dla użytkowników.
Szczegóły: Użyj funkcji samoobsługowego resetowania hasła Microsoft Entra ID.

Najlepsza praktyka: Monitoruj, w jaki sposób lub czy samoobsługowe resetowanie hasła jest rzeczywiście używane.
Szczegóły: Monitoruj użytkowników, którzy rejestrują się przy użyciu raportu Aktywności rejestracji resetowania hasła Microsoft Entra ID. Funkcja raportowania udostępniana przez identyfikator Entra firmy Microsoft pomaga odpowiedzieć na pytania przy użyciu wstępnie utworzonych raportów. Jeśli masz odpowiednią licencję, możesz również utworzyć zapytania niestandardowe.

Najlepsze rozwiązanie: rozszerzanie zasad haseł opartych na chmurze na infrastrukturę lokalną.
Szczegóły: Rozszerz zasady haseł w organizacji, wykonując te same kontrole lokalnych zmian haseł, co w przypadku zmian haseł w chmurze. Zainstaluj lokalną ochronę haseł firmy Microsoft dla agentów usługi Active Directory systemu Windows Server, aby rozszerzyć listy zakazanych haseł do istniejącej infrastruktury. Użytkownicy i administratorzy, którzy zmieniają, ustawiają lub resetują hasła lokalnie, muszą być zgodni z tymi samymi zasadami haseł co użytkownicy tylko w chmurze.

Wymuszanie weryfikacji wieloskładnikowej dla użytkowników

Zalecamy wymaganie weryfikacji dwuetapowej dla wszystkich użytkowników. Obejmuje to administratorów i innych użytkowników w organizacji, którzy mogą mieć znaczący wpływ, jeśli ich konto zostanie przejęte (na przykład pracownicy finansowi).

Istnieje wiele opcji wymagających weryfikacji dwuetapowej. Najlepsza opcja zależy od Twoich celów, wersji Microsoft Entra, która jest uruchomiona, oraz programu licencjonowania. Zobacz Jak wymagać weryfikacji dwuetapowej dla użytkownika , aby określić najlepszą opcję. Aby uzyskać więcej informacji na temat licencji i cen, odwiedź strony cennika Microsoft Entra ID i Microsoft Entra multifactor authentication.

Poniżej przedstawiono opcje i korzyści dotyczące włączania weryfikacji dwuetapowej:

Opcja 1: Włączanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i metod logowania z domyślnymi ustawieniami zabezpieczeń Microsoft Entra
Korzyść: Ta opcja umożliwia łatwe i szybkie wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w środowisku przy użyciu rygorystycznych zasad:

  • Kwestionowanie kont administracyjnych i mechanizmów logowania administracyjnego
  • Wymaganie wyzwania uwierzytelniania wieloskładnikowego za pośrednictwem aplikacji Microsoft Authenticator dla wszystkich użytkowników
  • Ogranicz starsze protokoły uwierzytelniania.

Ta metoda jest dostępna dla wszystkich warstw licencjonowania, ale nie może być mieszana z istniejącymi zasadami dostępu warunkowego. Więcej informacji można znaleźć w Microsoft Entra Security Defaults (Domyślne ustawienia zabezpieczeń firmy Microsoft)

Opcja 2. Włączanie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika.
Korzyść: jest to tradycyjna metoda wymagania weryfikacji dwuetapowej. Działa zarówno z uwierzytelnianiem wieloskładnikowym firmy Microsoft w chmurze, jak i z serwerem usługi Azure Multi-Factor Authentication. Użycie tej metody wymaga od użytkowników przeprowadzenia weryfikacji dwuetapowej za każdym razem, gdy logują się i zastępują zasady dostępu warunkowego.

Aby określić, gdzie należy włączyć uwierzytelnianie wieloskładnikowe, zobacz Która wersja uwierzytelniania wieloskładnikowego firmy Microsoft jest odpowiednia dla mojej organizacji?.

Opcja 3. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego.
Korzyść: Ta opcja umożliwia wyświetlenie monitu o weryfikację dwuetapową w określonych warunkach przy użyciu dostępu warunkowego. Określone warunki mogą obejmować logowanie się użytkownika z różnych lokalizacji, niezaufane urządzenia lub aplikacje, które uważasz za ryzykowne. Definiowanie określonych warunków, w których wymagana jest weryfikacja dwuetapowa, pozwala uniknąć ciągłego monitowania użytkowników, co może być nieprzyjemnym środowiskiem użytkownika.

Jest to najbardziej elastyczny sposób włączania weryfikacji dwuetapowej dla użytkowników. Włączenie zasad dostępu warunkowego działa tylko w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze i jest funkcją Premium identyfikatora Entra firmy Microsoft. Więcej informacji na temat tej metody można znaleźć w Wdrażaniu uwierzytelniania wieloskładnikowego Microsoft Entra opartego na chmurze.

Opcja 4. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego przez ocenę zasad dostępu warunkowego opartego na ryzyku.
Korzyść: ta opcja umożliwia:

  • Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji.
  • Skonfiguruj automatyczne odpowiedzi na wykryte podejrzane akcje powiązane z tożsamościami organizacji.
  • Zbadaj podejrzane zdarzenia i podejmij odpowiednie działania, aby je rozwiązać.

Ta metoda używa oceny ryzyka przez Microsoft Entra ID Protection w celu określenia, czy weryfikacja dwuetapowa jest wymagana na podstawie ryzyka użytkownika i ryzyka przy logowaniu dla wszystkich aplikacji chmurowych. Ta metoda wymaga licencjonowania microsoft Entra ID P2. Więcej informacji na temat tej metody można znaleźć w temacie Microsoft Entra ID Protection.

Uwaga / Notatka

Opcja 2, włączenie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika, zastępuje zasady dostępu warunkowego. Ponieważ opcje 3 i 4 używają zasad dostępu warunkowego, nie można użyć opcji 2 z nimi.

Organizacje, które nie dodają dodatkowych warstw ochrony tożsamości, takich jak weryfikacja dwuetapowa, są bardziej podatne na atak kradzieży poświadczeń. Atak kradzieży poświadczeń może prowadzić do naruszenia bezpieczeństwa danych.

Użyj kontroli dostępu opartej na rolach

Zarządzanie dostępem do zasobów w chmurze ma kluczowe znaczenie dla każdej organizacji korzystającej z chmury. Kontrola dostępu oparta na rolach w Azure (Azure RBAC) pomaga zarządzać tym, kto ma dostęp do zasobów Azure, co mogą zrobić z tymi zasobami oraz do jakich obszarów mają dostęp.

Projektowanie grup lub poszczególnych ról odpowiedzialnych za określone funkcje na platformie Azure pomaga uniknąć nieporozumień, które mogą prowadzić do błędów ludzkich i automatyzacji, które tworzą zagrożenia bezpieczeństwa. Ograniczenie dostępu na podstawie konieczności znajomości i najniższych uprawnień zasad zabezpieczeń jest konieczne dla organizacji, które chcą wymuszać zasady zabezpieczeń dostępu do danych.

Twój zespół ds. zabezpieczeń potrzebuje wglądu w zasoby platformy Azure, aby ocenić i skorygować ryzyko. Jeśli zespół ds. zabezpieczeń ma obowiązki operacyjne, musi mieć dodatkowe uprawnienia do wykonywania swoich zadań.

Używaj Azure RBAC do przypisywania uprawnień użytkownikom, grupom i aplikacjom w określonym zakresie. Zakresem przypisania roli może być subskrypcja, grupa zasobów lub pojedynczy zasób.

Najlepsze rozwiązanie: Segreguj obowiązki w zespole i przyznaj użytkownikom tylko poziom dostępu, którego potrzebują do wykonywania swoich zadań. Zamiast przydzielać wszystkim nieograniczone uprawnienia w ramach subskrypcji lub zasobów platformy Azure, zezwalaj tylko na określone akcje w określonym zakresie.
Szczegóły: Użyj wbudowanych ról platformy Azure na platformie Azure, aby przypisać uprawnienia do użytkowników.

Uwaga / Notatka

Określone uprawnienia tworzą niepotrzebne złożoność i zamieszanie, gromadząc się w "starszej" konfiguracji, która jest trudna do naprawienia bez obawy przed złamaniem czegoś. Unikaj uprawnień specyficznych dla zasobów. Zamiast tego używaj grup zarządzania do nadawania uprawnień w całym przedsiębiorstwie oraz grup zasobów do uprawnień w ramach subskrypcji. Unikaj uprawnień specyficznych dla użytkownika. Zamiast tego przypisz dostęp do grup w identyfikatorze Entra firmy Microsoft.

Najlepsze rozwiązanie: Udzielanie zespołom ds. zabezpieczeń dostępu do obowiązków platformy Azure w celu wyświetlenia zasobów platformy Azure w celu oceny i korygowania ryzyka.
Szczegóły: Przyznaj zespołom zabezpieczeń rolę Czytelnika zabezpieczeń na platformie Azure RBAC. W zależności od zakresu obowiązków można użyć głównej grupy zarządzania lub grupy zarządzania segmentami:

  • Główna grupa zarządzania dla zespołów odpowiedzialnych za wszystkie zasoby przedsiębiorstwa
  • Grupa zarządzania segmentami dla zespołów o ograniczonym zakresie (często ze względu na regulacje lub inne granice organizacyjne)

Najlepsze rozwiązanie: przyznaj odpowiednie uprawnienia zespołom ds. zabezpieczeń, które mają bezpośrednie obowiązki operacyjne.
Szczegóły: Przejrzyj wbudowane role platformy Azure pod kątem odpowiedniego przypisania roli. Jeśli wbudowane role nie spełniają konkretnych potrzeb organizacji, możesz utworzyć role niestandardowe platformy Azure. Podobnie jak w przypadku ról wbudowanych, role niestandardowe można przypisywać użytkownikom, grupom i jednostkom usługi w ramach zakresu subskrypcji, grup zasobów i zasobów.

Najlepsze rozwiązania: udzielanie usłudze Microsoft Defender for Cloud dostępu do ról zabezpieczeń, które ich potrzebują. Usługa Defender for Cloud umożliwia zespołom ds. zabezpieczeń szybkie identyfikowanie i korygowanie zagrożeń.
Szczegóły: Dodaj zespoły ds. zabezpieczeń z tymi wymaganiami do roli administratora zabezpieczeń RBAC platformy Azure, aby mogły wyświetlać zasady zabezpieczeń, wyświetlać stany zabezpieczeń, edytować zasady zabezpieczeń, wyświetlać alerty i zalecenia oraz odrzucać alerty i zalecenia. Można to zrobić przy użyciu głównej grupy zarządzania lub grupy zarządzania segmentami, w zależności od zakresu obowiązków.

Organizacje, które nie wymuszają kontroli dostępu do danych przy użyciu funkcji, takich jak kontrola dostępu oparta na rolach platformy Azure, mogą udzielać swoim użytkownikom więcej uprawnień niż jest to konieczne. Może to prowadzić do naruszenia zabezpieczeń danych, umożliwiając użytkownikom dostęp do typów danych (na przykład wysoki wpływ na działalność biznesową), których nie powinni mieć.

Niższa ekspozycja kont uprzywilejowanych

Zabezpieczanie uprzywilejowanego dostępu jest krytycznym pierwszym krokiem do ochrony zasobów biznesowych. Minimalizacja liczby osób, które mają dostęp do bezpiecznych informacji lub zasobów, zmniejsza prawdopodobieństwo uzyskania dostępu przez złośliwego użytkownika lub nieumyślnie wpływającego na poufny zasób.

Konta uprzywilejowane to konta, które zarządzają systemami IT i zarządzają nimi. Osoby atakujące atakujące atakują te konta w celu uzyskania dostępu do danych i systemów organizacji. Aby zabezpieczyć uprzywilejowany dostęp, należy odizolować konta i systemy od ryzyka ujawnienia złośliwemu użytkownikowi.

Zalecamy opracowanie i przestrzeganie mapy drogowej w celu zabezpieczenia dostępu uprzywilejowanego przed cybernapastnikami. Aby uzyskać informacje na temat tworzenia szczegółowego planu zabezpieczania tożsamości i dostępu, które są zarządzane lub zgłaszane w usłudze Microsoft Entra ID, Microsoft Azure, Microsoft 365 i innych usługach w chmurze, zapoznaj się z artykułem Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.

Poniżej przedstawiono podsumowanie najlepszych rozwiązań opisanych w artykule Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID:

Najlepsze rozwiązanie: zarządzanie, kontrolowanie i monitorowanie dostępu do kont uprzywilejowanych.
Szczegóły: włącz usługę Microsoft Entra Privileged Identity Management. Po włączeniu usługi Privileged Identity Management otrzymasz wiadomości e-mail z powiadomieniem o zmianach roli uprzywilejowanego dostępu. Powiadomienia te dają wczesne ostrzeżenie, gdy nowi użytkownicy zostaną dodani do roli o wysokich uprawnieniach w Twoim katalogu.

Najlepsza praktyka: upewnij się, że wszystkie krytyczne konta administratora są zarządzane przez konta Microsoft Entra. Szczegóły: usuń wszystkie konta konsumentów z krytycznych ról administratora (na przykład konta Microsoft, takie jak hotmail.com, live.com i outlook.com).

Najlepsze rozwiązanie: Upewnij się, że wszystkie krytyczne role administratora mają oddzielne konto dla zadań administracyjnych, aby uniknąć wyłudzania informacji i innych ataków w celu naruszenia uprawnień administracyjnych.
Szczegóły: Utwórz oddzielne konto administratora, które ma przypisane uprawnienia wymagane do wykonywania zadań administracyjnych. Blokuj korzystanie z tych kont administracyjnych na potrzeby codziennych narzędzi zwiększających produktywność, takich jak poczta e-mail platformy Microsoft 365 lub dowolne przeglądanie w Internecie.

Najlepsze rozwiązanie: identyfikowanie i kategoryzowanie kont, które znajdują się w rolach o wysokim poziomie uprawnień.
Szczegóły: Po włączeniu usługi Microsoft Entra Privileged Identity Management wyświetl użytkowników, którzy są administratorem globalnym, administratorem ról uprzywilejowanych i innymi rolami o wysokim poziomie uprawnień. Usuń wszystkie konta, które nie są już potrzebne w tych rolach, i kategoryzuj pozostałe konta przypisane do ról administratora:

  • Indywidualnie przypisane do użytkowników administracyjnych i mogą być używane do celów nieadministracyjnych (na przykład osobisty adres e-mail)
  • Indywidualnie przypisane do użytkowników administracyjnych i wyznaczone tylko do celów administracyjnych
  • Współużytkowany przez wielu użytkowników
  • W przypadku scenariuszy dostępu awaryjnego
  • W przypadku skryptów automatycznych
  • Dla użytkowników zewnętrznych

Najlepsze rozwiązanie: zaimplementuj dostęp "just in time" (JIT), aby jeszcze bardziej obniżyć czas ekspozycji uprawnień i zwiększyć wgląd w korzystanie z uprzywilejowanych kont.
Szczegóły: Usługa Microsoft Entra Privileged Identity Management umożliwia:

  • Ogranicz użytkowników do przydzielania sobie uprawnień w trybie JIT.
  • Przypisz role dla skróconego czasu trwania z ufnością, że uprawnienia są automatycznie odwoływane.

Najlepsze rozwiązanie: Zdefiniuj co najmniej dwa konta dostępu awaryjnego.
Szczegóły: Konta dostępu awaryjnego pomagają organizacjom ograniczyć uprzywilejowany dostęp w istniejącym środowisku firmy Microsoft Entra. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy, w których nie można używać normalnych kont administracyjnych. Organizacje muszą ograniczyć użycie konta awaryjnego tylko do niezbędnego czasu.

Oceń konta przypisane lub spełniające kryteria funkcji administratora globalnego. Jeśli nie widzisz żadnych kont tylko w chmurze z użyciem domeny *.onmicrosoft.com (przeznaczonej do awaryjnego dostępu), utwórz je. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Microsoft Entra ID.

Najlepsza praktyka: Mieć w miejscu procedurę awaryjną na wypadek sytuacji kryzysowej.
Szczegóły: Wykonaj kroki opisane w temacie Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.

Najlepsze rozwiązanie: wymagaj, aby wszystkie konta administratora o krytycznym znaczeniu nie uwzględniały hasła (preferowane) lub wymagały uwierzytelniania wieloskładnikowego.
Szczegóły: użyj aplikacji Microsoft Authenticator , aby zalogować się do dowolnego konta Microsoft Entra bez użycia hasła. Podobnie jak usługa Windows Hello dla firm, aplikacja Microsoft Authenticator używa uwierzytelniania opartego na kluczach, aby umożliwić poświadczenie użytkownika powiązane z urządzeniem, które używa uwierzytelniania biometrycznego lub numeru PIN.

Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft podczas logowania dla wszystkich użytkowników, którzy są trwale przypisani do co najmniej jednej roli administratora usługi Microsoft Entra: administrator globalny, administrator ról uprzywilejowanych, administrator usługi Exchange Online i administrator usługi SharePoint Online. Włącz uwierzytelnianie wieloskładnikowe dla kont administratorów i upewnij się, że użytkownicy kont administracyjnych zarejestrowali się.

Najlepsze rozwiązanie: w przypadku krytycznych kont administratorów mają stację roboczą administratora, na której zadania produkcyjne nie są dozwolone (na przykład przeglądanie i poczta e-mail). Pozwoli to chronić konta administratora przed wektorami ataków, które używają przeglądania i poczty e-mail oraz znacznie obniżają ryzyko wystąpienia poważnego zdarzenia.
Szczegóły: Użyj administracyjnej stacji roboczej. Wybierz poziom zabezpieczeń stacji roboczej:

  • Wysoce bezpieczne urządzenia zwiększające produktywność zapewniają zaawansowane zabezpieczenia przeglądania i innych zadań zwiększających produktywność.
  • Stacje robocze z dostępem uprzywilejowanym (PAW) zapewniają dedykowany system operacyjny chroniony przed atakami internetowymi i wektorami zagrożeń dla zadań poufnych.

Najlepsza praktyka: dezaktywacja kont administratorów, gdy pracownicy opuszczają organizację.
Szczegóły: istnieje proces wyłączający lub usuwający konta administratora, gdy pracownicy opuszczają organizację.

Najlepsze rozwiązanie: Regularnie testuj konta administratorów przy użyciu bieżących technik ataku.
Szczegóły: Użyj symulatora ataków platformy Microsoft 365 lub oferty innej firmy, aby uruchomić realistyczne scenariusze ataku w organizacji. Może to pomóc w znalezieniu narażonych użytkowników przed rzeczywistym atakiem.

Najlepsze rozwiązanie: wykonaj kroki w celu wyeliminowania najczęściej używanych technik atakowanych.
Szczegóły: identyfikowanie kont Microsoft w rolach administracyjnych, które muszą zostać zmienione na konta służbowe lub szkolne

Upewnij się, że dla kont administratorów globalnych są utworzone oddzielne konta użytkowników i jest skonfigurowane przekazywanie poczty

Upewnij się, że hasła kont administracyjnych zostały ostatnio zmienione

Włączanie synchronizacji skrótów haseł

Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników we wszystkich rolach uprzywilejowanych, a także uwidocznionych użytkowników

Uzyskiwanie wskaźnika bezpieczeństwa platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Zapoznaj się ze wskazówkami dotyczącymi zabezpieczeń platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Konfigurowanie monitorowania aktywności platformy Microsoft 365 (w przypadku korzystania z platformy Microsoft 365)

Ustanowienie właścicieli planów reagowania na incydent/kryzys

Zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych

Jeśli nie zabezpieczysz dostępu uprzywilejowanego, może się okazać, że masz zbyt wielu użytkowników w rolach o wysokim poziomie uprawnień i jest bardziej narażonych na ataki. Złośliwi podmioty, w tym osoby atakujące cybernetyczne, często atakują konta administratora i inne elementy uprzywilejowanego dostępu w celu uzyskania dostępu do poufnych danych i systemów przy użyciu kradzieży poświadczeń.

Kontrolowanie lokalizacji, w których tworzone są zasoby

Umożliwienie operatorom chmury wykonywania zadań, zapobiegając im łamaniu konwencji potrzebnych do zarządzania zasobami organizacji, jest bardzo ważne. Organizacje, które chcą kontrolować lokalizacje, w których tworzone są zasoby, powinny trwale kodować te lokalizacje.

Za pomocą usługi Azure Resource Manager można tworzyć zasady zabezpieczeń, których definicje opisują akcje lub zasoby, które zostały specjalnie odrzucone. Te definicje zasad są przypisywane w żądanym zakresie, takim jak subskrypcja, grupa zasobów lub pojedynczy zasób.

Uwaga / Notatka

Zasady zabezpieczeń nie są tym samym, co Azure RBAC (kontrola dostępu oparta na rolach). W rzeczywistości używają kontroli dostępu opartej na rolach (RBAC) Azure, aby upoważnić użytkowników do tworzenia tych zasobów.

Organizacje, które nie kontrolują sposobu tworzenia zasobów, są bardziej podatne na użytkowników, którzy mogą nadużywać usługi, tworząc więcej zasobów niż potrzebują. Wzmocnienie zabezpieczeń procesu tworzenia zasobów jest ważnym krokiem w celu zabezpieczenia scenariusza wielodostępnego.

Aktywne monitorowanie podejrzanych działań

Aktywny system monitorowania tożsamości może szybko wykrywać podejrzane zachowanie i wyzwalać alert w celu dalszego badania. W poniższej tabeli wymieniono możliwości firmy Microsoft Entra, które mogą pomóc organizacjom monitorować swoje tożsamości:

Najlepsza praktyka: Miej metodę do identyfikacji:

Szczegóły: Użyj raportów o anomaliach Microsoft Entra ID P1 lub P2. Mają procesy i procedury przeznaczone dla administratorów IT do uruchamiania tych raportów codziennie lub na żądanie (zwykle w scenariuszu reagowania na zdarzenia).

Najlepsze rozwiązanie: masz aktywny system monitorowania, który powiadamia o ryzyku i może dostosować poziom ryzyka (wysoki, średni lub niski) do wymagań biznesowych.
Szczegóły: Użyj usługi Microsoft Entra ID Protection, która flaguje bieżące zagrożenia na własnym pulpicie nawigacyjnym i wysyła codzienne powiadomienia podsumowujące za pośrednictwem poczty e-mail. Aby ułatwić ochronę tożsamości organizacji, można skonfigurować zasady oparte na ryzyku, które automatycznie reagują na wykryte problemy po osiągnięciu określonego poziomu ryzyka.

Organizacje, które nie monitorują aktywnie swoich systemów tożsamości, są narażone na naruszenie poświadczeń użytkownika. Bez wiedzy, że podejrzane działania odbywają się za pośrednictwem tych poświadczeń, organizacje nie mogą wyeliminować tego typu zagrożenia.

Użyj Microsoft Entra ID do uwierzytelniania pamięci

Usługa Azure Storage obsługuje uwierzytelnianie i autoryzację przy użyciu identyfikatora Entra firmy Microsoft dla usługi Blob Storage i usługi Queue Storage. Dzięki uwierzytelnianiu Microsoft Entra możesz użyć kontroli dostępu opartej na rolach w Azure, aby udzielić określonych uprawnień użytkownikom, grupom i aplikacjom w zakresie pojedynczego kontenera blob lub kolejki.

Zalecamy używanie identyfikatora Entra firmy Microsoft do uwierzytelniania dostępu do magazynu.

Następny krok

Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure , aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.