Dostęp uprzywilejowany: Pośrednicy

Zabezpieczenia urządzeń pośredniczących to krytyczny składnik zabezpieczania uprzywilejowanego dostępu.

Pośrednicy dodają link do łańcucha Zero Trust zapewnienia końca sesji użytkownika lub administratora, aby utrzymać (lub poprawić) Zero Trust zabezpieczenia w sesji. Przykłady pośredników obejmują wirtualne sieci prywatne (VPN), serwery przesiadkowe, infrastrukturę pulpitu wirtualnego (VDI), a także publikowanie aplikacji za pośrednictwem serwerów proxy dostępu.

Osoba atakująca może zaatakować pośrednika, aby spróbować eskalować uprawnienia przy użyciu poświadczeń przechowywanych na nich, uzyskać dostęp zdalny do sieci firmowych lub wykorzystać zaufanie do tego urządzenia, jeśli jest używane do podejmowania decyzji dotyczących dostępu Zero Trust. Ukierunkowanie pośredników stało się zbyt powszechne, zwłaszcza w przypadku organizacji, które nie rygorystycznie utrzymują stan bezpieczeństwa tych urządzeń. Na przykład poświadczenia zebrane z urządzeń sieci VPN.

Pośrednicy różnią się w celach i technologiach, ale zazwyczaj zapewniają dostęp zdalny, zabezpieczenia sesji lub oba te elementy:

• Dostęp zdalny — włączanie dostępu do systemów w sieciach przedsiębiorstwa z Internetu
• Zabezpieczenia sesji — zwiększanie ochrony zabezpieczeń i widoczności sesji
  • Scenariusz urządzenia niezarządzanego — udostępnianie zarządzanego pulpitu wirtualnego do uzyskania dostępu przez urządzenia niezarządzane (na przykład osobiste urządzenia pracowników) i/lub urządzenia zarządzane przez partnera/dostawcę.
  • Scenariusz zabezpieczeń administratora — konsoliduj ścieżki administracyjne i/lub zwiększ bezpieczeństwo przy użyciu dostępu just in time, monitorowania sesji i rejestrowania oraz podobnych możliwości.

Zapewnienie gwarancji bezpieczeństwa jest trwałe od urządzenia źródłowego i konta za pośrednictwem interfejsu zasobu wymaga zrozumienia profilu ryzyka opcji pośredniczących i zaradczych.

Szansa i wartość osoby atakującej

Różne typy pośredniczące wykonują unikatowe funkcje, więc każdy z nich wymaga innego podejścia zabezpieczeń, chociaż istnieją pewne krytyczne typowe elementy, takie jak szybkie stosowanie poprawek zabezpieczeń do urządzeń, oprogramowania układowego, systemów operacyjnych i aplikacji.

Możliwość ataku na osobę atakującą jest reprezentowana przez dostępną powierzchnię ataku, do których może kierować się operator ataku:

• Natywne usługi w chmurze, takie jak Azure AD PIM, Azure Bastion i serwer proxy aplikacji Azure AD oferują ograniczoną powierzchnię ataku na osoby atakujące. Chociaż są one narażone na publiczny Internet, klienci (i osoby atakujące) nie mają dostępu do podstawowych systemów operacyjnych dostarczających usługi i są one zwykle utrzymywane i monitorowane spójnie za pośrednictwem zautomatyzowanych mechanizmów u dostawcy usług w chmurze. Ta mniejsza powierzchnia ataków ogranicza dostępne opcje dla osób atakujących, a klasyczne aplikacje i urządzenia lokalne, które muszą być skonfigurowane, poprawione i monitorowane przez personel IT, którzy często są przeciążeni konfliktami priorytetów i większej liczby zadań zabezpieczeń niż mają czas na ukończenie.
• Wirtualne sieci prywatne (VPN) i serwery przesiadkowe pulpitów zdalnych / często mają znaczną szansę atakującą, ponieważ są one narażone na Internet w celu zapewnienia dostępu zdalnego, a konserwacja tych systemów jest często zaniedbana. Mimo że mają tylko kilka portów sieciowych, osoby atakujące potrzebują dostępu tylko do jednej niezapatowanej usługi w przypadku ataku.
• Usługi PIM/PAM innych firm są często hostowane lokalnie lub jako maszyna wirtualna w infrastrukturze jako usługa (IaaS) i są zwykle dostępne tylko dla hostów intranetowych. Chociaż nie jest bezpośrednio uwidoczniony internet, pojedyncze naruszone poświadczenia mogą zezwalać osobom atakującym na dostęp do usługi za pośrednictwem sieci VPN lub innego nośnika dostępu zdalnego.

Wartość atakująca reprezentuje to, co osoba atakująca może uzyskać, narażając pośrednika. Bezpieczeństwo jest definiowane jako osoba atakująca uzyskująca pełną kontrolę nad aplikacją/maszyną wirtualną i/lub administratorem wystąpienia klienta usługi w chmurze.

Składniki, które osoby atakujące mogą zbierać od pośrednika na następnym etapie ataku, to:

• Uzyskiwanie łączności sieciowej w celu komunikowania się z większością lub wszystkimi zasobami w sieciach przedsiębiorstwa. Ten dostęp jest zwykle zapewniany przez sieci VPN i rozwiązania pulpitu zdalnego / serwera przesiadkowego. Chociaż usługa Azure Bastion i Azure AD rozwiązania serwera proxy aplikacji (lub podobne rozwiązania innych firm) zapewniają również dostęp zdalny, te rozwiązania są zazwyczaj połączeniami aplikacji lub serwerami i nie zapewniają ogólnego dostępu do sieci
• Personifikuj tożsamość urządzenia — może pokonać Zero Trust mechanizmów, jeśli urządzenie jest wymagane do uwierzytelniania i/lub może być używane przez osobę atakującą do zbierania informacji wywiadowczych w sieciach docelowych. Zespoły ds. operacji zabezpieczeń często nie monitorują aktywności konta urządzenia i koncentrują się tylko na kontach użytkowników.
• Kradzież poświadczeń konta w celu uwierzytelnienia się w zasobach, które są najcenniejszym zasobem dla osób atakujących, ponieważ oferuje możliwość podniesienia uprawnień dostępu do ostatecznego celu lub następnego etapu ataku. Pulpit zdalny/ serwery przesiadkowe i inne firmy PIM/PAM są najbardziej atrakcyjnymi celami i mają dynamiczne "Wszystkie jaja w jednym koszyku" ze zwiększoną wartością atakującą i środki zaradcze bezpieczeństwa:
  • Rozwiązania PIM/PAM zwykle przechowują poświadczenia dla większości lub wszystkich uprzywilejowanych ról w organizacji, co czyni je wysoce lukratywnym celem naruszenia lub broni.
  • Azure AD PIM nie oferuje atakującym możliwości kradzieży poświadczeń, ponieważ odblokowuje uprawnienia przypisane już do konta przy użyciu uwierzytelniania wieloskładnikowego lub innych przepływów pracy, ale słabo zaprojektowany przepływ pracy może umożliwić przeciwnikowi eskalację uprawnień.
  • Pulpit zdalny/ serwery przesiadkowe używane przez administratorów zapewniają hosta, w którym wiele lub wszystkie poufne sesje przechodzą, umożliwiając atakującym korzystanie ze standardowych narzędzi ataku kradzieży poświadczeń w celu kradzieży i ponownego użycia tych poświadczeń.
  • Sieci VPN mogą przechowywać poświadczenia w rozwiązaniu, zapewniając atakującym potencjalną eskalację uprawnień, co prowadzi do silnego zalecenia dotyczącego używania Azure AD do uwierzytelniania w celu ograniczenia tego ryzyka.

Profile zabezpieczeń pośredniczących

Ustanowienie tych gwarancji wymaga kombinacji mechanizmów kontroli zabezpieczeń, z których niektóre są wspólne dla wielu pośredników, a niektóre z nich specyficzne dla typu pośrednika.

Pośrednik to link w łańcuchu Zero Trust, który przedstawia interfejs użytkownikom/urządzeniom, a następnie umożliwia dostęp do następnego interfejsu. Mechanizmy kontroli zabezpieczeń muszą obsługiwać połączenia przychodzące, zabezpieczenia urządzenia pośredniego/aplikacji/usługi, a (jeśli ma to zastosowanie) zapewniają sygnały zabezpieczeń Zero Trust dla następnego interfejsu.

Typowe mechanizmy kontroli zabezpieczeń

Wspólne elementy zabezpieczeń dla pośredników koncentrują się na utrzymaniu dobrej higieny zabezpieczeń dla przedsiębiorstw i wyspecjalizowanych poziomów, z dodatkowymi ograniczeniami dla zabezpieczeń uprawnień.

Te mechanizmy kontroli bezpieczeństwa powinny być stosowane do wszystkich typów pośredników:

• Wymuszaj zabezpieczenia połączeń przychodzących — użyj Azure AD i dostępu warunkowego, aby upewnić się, że wszystkie połączenia przychodzące z urządzeń i kont są znane, zaufane i dozwolone. Aby uzyskać więcej informacji, zobacz artykuł Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and specialized (Interfejsy uprzywilejowane secuiting), aby uzyskać szczegółowe definicje wymagań dotyczących urządzeń i kont dla przedsiębiorstw i wyspecjalizowanych.
• Właściwa konserwacja systemu — wszyscy pośrednicy muszą przestrzegać dobrych praktyk dotyczących higieny zabezpieczeń, w tym:
  • Bezpieczna konfiguracja — postępuj zgodnie z punktami odniesienia konfiguracji zabezpieczeń producenta lub branży oraz najlepszymi rozwiązaniami dotyczącymi zarówno aplikacji, jak i wszystkich podstawowych systemów operacyjnych, usług w chmurze lub innych zależności. Odpowiednie wskazówki firmy Microsoft obejmują punkt odniesienia zabezpieczeń platformy Azure i punkty odniesienia systemu Windows.
  • Szybkie stosowanie poprawek — aktualizacje zabezpieczeń i poprawki od dostawców muszą być stosowane szybko po wydaniu.
• Modele Access Control oparte na rolach (RBAC) mogą być nadużywane przez osoby atakujące w celu eskalacji uprawnień. Model kontroli dostępu opartej na rolach pośrednika musi być dokładnie sprawdzony, aby zagwarantować, że tylko autoryzowani pracownicy, którzy są chronieni na poziomie wyspecjalizowanym lub uprzywilejowanym, mają przyznane uprawnienia administracyjne. Ten model musi zawierać wszystkie podstawowe systemy operacyjne lub usługi w chmurze (hasło konta głównego, użytkownicy/grupy administratora lokalnego, administratorzy dzierżawy itp.).
• Wykrywanie i reagowanie na punkty końcowe (EDR) i sygnał zaufania ruchu wychodzącego — urządzenia, które zawierają pełny system operacyjny, powinny być monitorowane i chronione za pomocą EDR, takiego jak Ochrona punktu końcowego w usłudze Microsoft Defender. Ta kontrolka powinna być skonfigurowana w celu zapewnienia sygnałów zgodności urządzeń do dostępu warunkowego, aby zasady mogły wymuszać to wymaganie dla interfejsów.

Uprzywilejowani pośrednicy wymagają dodatkowych mechanizmów kontroli zabezpieczeń:

• Role-Based Access Control (RBAC) — prawa administracyjne muszą być ograniczone tylko do ról uprzywilejowanych spełniających ten standard dla stacji roboczych i kont.
• Urządzenia dedykowane (opcjonalnie) — ze względu na skrajną wrażliwość sesji uprzywilejowanych organizacje mogą zdecydować się na zaimplementowanie dedykowanych wystąpień funkcji pośredniczących dla ról uprzywilejowanych. Ta kontrola umożliwia dodatkowe ograniczenia zabezpieczeń dla tych uprzywilejowanych pośredników i bliższe monitorowanie działań ról uprzywilejowanych.

Wskazówki dotyczące zabezpieczeń dla każdego typu pośredniczącego

Ta sekcja zawiera konkretne wskazówki dotyczące zabezpieczeń unikatowe dla każdego typu pośrednika.

Privileged Access Management / Privileged Identity Management

Jednym z typów pośredników przeznaczonych jawnie dla przypadków użycia zabezpieczeń jest uprzywilejowane zarządzanie tożsamościami / uprzywilejowane zarządzanie dostępem (PIM/PAM).

Przypadki użycia i scenariusze dotyczące usługi PIM/PAM

Rozwiązania PIM/PAM są przeznaczone do zwiększania zabezpieczeń dla poufnych kont, które byłyby objęte wyspecjalizowanymi lub uprzywilejowanymi profilami, a zazwyczaj skupiają się najpierw na administratorach IT.

Chociaż funkcje różnią się między dostawcami usługi PIM/PAM, wiele rozwiązań zapewnia możliwości zabezpieczeń:

• Upraszczanie zarządzania kontami usług i rotacji haseł (co jest niezwykle ważne)

• Zapewnianie zaawansowanych przepływów pracy dla dostępu just in time (JIT)

• Rejestrowanie i monitorowanie sesji administracyjnych

  Ważne

  Możliwości usługi PIM/PAM zapewniają doskonałe środki zaradcze w przypadku niektórych ataków, ale nie odnoszą się do wielu zagrożeń związanych z dostępem uprzywilejowanym, zwłaszcza ryzyka naruszenia zabezpieczeń urządzeń. Podczas gdy niektórzy dostawcy opowiadają się za tym, że ich rozwiązanie PIM/PAM jest "srebrnym punktorem", które może ograniczyć ryzyko związane z urządzeniem, nasze doświadczenie w badaniu zdarzeń klientów konsekwentnie udowodniło, że nie działa to w praktyce.

  Osoba atakująca kontrolującą stację roboczą lub urządzenie może używać tych poświadczeń (i przypisanych do nich uprawnień), gdy użytkownik jest zalogowany (i często może kraść poświadczenia do późniejszego użycia). Rozwiązanie PIM/PAM samodzielnie nie może spójnie i niezawodnie widzieć i ograniczać ryzyka związane z tym urządzeniem, dlatego musisz mieć dyskretne zabezpieczenia urządzeń i kont, które się uzupełniają.

Zagrożenia bezpieczeństwa i zalecenia dotyczące usługi PIM/PAM

Możliwości poszczególnych dostawców usługi PIM/PAM różnią się w zależności od sposobu ich zabezpieczania, dlatego przejrzyj i postępuj zgodnie z zaleceniami dotyczącymi konfiguracji zabezpieczeń i najlepszymi rozwiązaniami dostawcy.

Uwaga

Upewnij się, że skonfigurowaliśmy drugą osobę w przepływach pracy o krytycznym znaczeniu dla działania firmy, aby pomóc w ograniczeniu ryzyka wewnętrznego (zwiększa koszt/tarcie pod kątem potencjalnych zmów przez zagrożenia wewnętrzne).

Wirtualne sieci prywatne użytkownika końcowego

Wirtualne sieci prywatne (VPN) to pośrednicy, którzy zapewniają pełny dostęp do sieci dla zdalnych punktów końcowych, zazwyczaj wymagają uwierzytelnienia użytkownika końcowego i mogą przechowywać poświadczenia lokalnie w celu uwierzytelniania przychodzących sesji użytkowników.

Uwaga

Te wskazówki dotyczą tylko sieci VPN typu punkt-lokacja używane przez użytkowników, a nie sieci VPN typu "lokacja-lokacja", które są zwykle używane do łączności centrum danych/aplikacji.

Przypadki użycia i scenariusze dla sieci VPN

Sieci VPN ustanawiają łączność zdalną z siecią przedsiębiorstwa, aby umożliwić dostęp do zasobów użytkownikom i administratorom.

Zagrożenia bezpieczeństwa i zalecenia dotyczące sieci VPN

Najważniejsze zagrożenia dla pośredników sieci VPN są od zaniedbania konserwacji, problemów z konfiguracją i lokalnego magazynu poświadczeń.

Firma Microsoft zaleca połączenie mechanizmów kontroli dla pośredników sieci VPN:

• Integrowanie uwierzytelniania Azure AD — aby zmniejszyć lub wyeliminować ryzyko lokalnego przechowywania poświadczeń (i wszelkich obciążeń związanych z ich konserwacją) i wymusić zasady Zero Trust na kontach przychodzących/urządzeniach z dostępem warunkowym. Aby uzyskać wskazówki dotyczące integracji, zobacz
  • Integracja usługi AAD sieci VPN platformy Azure
  • Włączanie uwierzytelniania Azure AD w bramie sieci VPN
  • Integrowanie sieci VPN innych firm
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect i Captive Portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • i nie tylko
• Szybkie stosowanie poprawek — upewnij się, że wszystkie elementy organizacyjne obsługują szybkie stosowanie poprawek, w tym:
  • Obsługa sponsoringu organizacyjnego i przywództwa dla wymagań
  • Standardowe procesy techniczne aktualizacji sieci VPN z minimalnym lub zerowym przestojem. Ten proces powinien obejmować oprogramowanie sieci VPN, urządzenia i wszelkie podstawowe systemy operacyjne lub oprogramowanie układowe
  • Procesy awaryjne umożliwiające szybkie wdrażanie krytycznych aktualizacji zabezpieczeń
  • Ład w celu ciągłego odnajdywania i korygowania wszystkich pominiętych elementów
• Bezpieczna konfiguracja — możliwości poszczególnych dostawców sieci VPN różnią się w zależności od sposobu ich zabezpieczania, dlatego przejrzyj i postępuj zgodnie z zaleceniami dotyczącymi konfiguracji zabezpieczeń i najlepszymi rozwiązaniami dotyczącymi konfiguracji zabezpieczeń dostawcy
• Przejdź poza sieć VPN — zastąp sieci VPN w czasie bardziej bezpiecznymi opcjami, takimi jak serwer proxy aplikacji Azure AD lub usługa Azure Bastion, ponieważ zapewniają tylko bezpośredni dostęp do aplikacji/serwera, a nie pełny dostęp do sieci. Ponadto serwer proxy aplikacji Azure AD umożliwia monitorowanie sesji w celu zapewnienia dodatkowych zabezpieczeń przy użyciu Microsoft Defender for Cloud Apps.

serwer proxy aplikacji Azure AD

Azure AD serwer proxy aplikacji i podobne możliwości innych firm zapewniają zdalny dostęp do starszych i innych aplikacji hostowanych lokalnie lub na maszynach wirtualnych IaaS w chmurze.

Przypadki użycia i scenariusze dla serwera proxy aplikacji Azure AD

To rozwiązanie jest odpowiednie do publikowania starszych aplikacji zwiększających produktywność użytkowników końcowych dla autoryzowanych użytkowników w Internecie. Może być również używany do publikowania niektórych aplikacji administracyjnych.

Zagrożenia bezpieczeństwa i zalecenia dotyczące serwera proxy aplikacji Azure AD

Azure AD serwer proxy aplikacji skutecznie modernizuje nowoczesne wymuszanie zasad Zero Trust do istniejących aplikacji. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące zabezpieczeń dla Azure AD serwer proxy aplikacji

Azure AD serwer proxy aplikacji można również zintegrować z Microsoft Defender for Cloud Apps w celu dodania zabezpieczeń sesji kontroli dostępu warunkowego do:

• Zapobieganie eksfiltracji danych
• Ochrona podczas pobierania
• Zapobieganie przekazywaniu plików niezaznakowanych
• Monitorowanie sesji użytkowników pod kątem zgodności
• Blokowanie dostępu
• Blokuj działania niestandardowe

Aby uzyskać więcej informacji, zobacz Deploy Defender for Cloud Apps Conditional Access App Control for Azure AD apps (Wdrażanie kontroli dostępu warunkowego aplikacji usługi Defender for Cloud Apps dla aplikacji Azure AD)

Podczas publikowania aplikacji za pośrednictwem Azure AD serwer proxy aplikacji firma Microsoft zaleca, aby właściciele aplikacji pracowali z zespołami ds. zabezpieczeń, aby postępowali zgodnie z najmniejszymi uprawnieniami i zapewniali dostęp do każdej aplikacji tylko użytkownikom, którzy tego wymagają. W miarę wdrażania większej liczby aplikacji w ten sposób możesz zrównoważyć użycie sieci VPN przez użytkownika końcowego.

Pulpit zdalny/serwer przesiadkowy

Ten scenariusz zapewnia pełne środowisko pulpitu z uruchomioną co najmniej jedną aplikacją. To rozwiązanie ma wiele różnych odmian, w tym:

• Środowiska — pełny pulpit w oknie lub w jednym projekcie aplikacji
• Host zdalny — może być udostępnioną maszyną wirtualną lub dedykowaną maszyną wirtualną pulpitu przy użyciu usługi Windows Virtual Desktop (WVD) lub innego rozwiązania infrastruktury pulpitu wirtualnego (VDI).
• Urządzenie lokalne — może być urządzeniem przenośnym, zarządzaną stacją roboczą lub zarządzaną stacją roboczą osobistą/partnerem
• Scenariusz — skoncentrowany na aplikacjach zwiększających produktywność użytkowników lub na scenariuszach administracyjnych, często nazywanych "serwerem przesiadkowym"

Przypadki użycia i zalecenia dotyczące zabezpieczeń dla pulpitu zdalnego/serwera przesiadkowego

Najczęstsze konfiguracje to:

• Protokół RDP (Direct Remote Desktop Protocol) — ta konfiguracja nie jest zalecana w przypadku połączeń internetowych, ponieważ protokół RDP jest protokołem, który ma ograniczoną ochronę przed nowoczesnymi atakami, takimi jak spray haseł. Bezpośrednie połączenie RDP powinno zostać przekonwertowane na jedną z następujących:
  • RDP za pośrednictwem bramy opublikowanej przez serwer proxy aplikacji Azure AD
  • Azure Bastion
• RDP za pośrednictwem bramy przy użyciu
  • Usługi pulpitu zdalnego (RDS) zawarte w systemie Windows Server. Publikowanie za pomocą Azure AD serwer proxy aplikacji.
  • Windows Virtual Desktop (WVD) — postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń usługi Windows Virtual Desktop.
  • VDI innych firm — postępuj zgodnie z najlepszymi rozwiązaniami producenta lub branży lub dostosuj wskazówki dotyczące usługi WVD do rozwiązania
• Serwer Secure Shell (SSH) — zapewnia zdalne powłoki i skrypty dla działów technologii i właścicieli obciążeń. Zabezpieczanie tej konfiguracji powinno obejmować następujące elementy:
  • Zgodnie z najlepszymi rozwiązaniami branżowymi/producentami, aby bezpiecznie je skonfigurować, zmienić domyślne hasła (jeśli ma to zastosowanie) i używać kluczy SSH zamiast haseł oraz bezpiecznie przechowywać klucze SSH i zarządzać nimi.
  • Używanie komunikacji zdalnej usługi Azure Bastion for SSH z zasobami hostowanymi na platformie Azure — nawiązywanie połączenia z maszyną wirtualną z systemem Linux przy użyciu usługi Azure Bastion

Azure Bastion

Usługa Azure Bastion to pośrednik, który jest przeznaczony do zapewnienia bezpiecznego dostępu do zasobów platformy Azure przy użyciu przeglądarki i Azure Portal. Usługa Azure Bastion udostępnia zasoby dostępu na platformie Azure, które obsługują protokoły RDP (Remote Desktop Protocol) i Secure Shell (SSH).

Przypadki użycia i scenariusze dla usługi Azure Bastion

Usługa Azure Bastion skutecznie udostępnia elastyczne rozwiązanie, które może być używane przez pracowników działu operacji IT i administratorów obciążeń spoza działu IT do zarządzania zasobami hostowanymi na platformie Azure bez konieczności pełnego połączenia sieci VPN ze środowiskiem.

Zagrożenia bezpieczeństwa i zalecenia dotyczące usługi Azure Bastion

Usługa Azure Bastion jest dostępna za pośrednictwem Azure Portal, dlatego upewnij się, że interfejs Azure Portal wymaga odpowiedniego poziomu zabezpieczeń dla zasobów w nim i ról korzystających z niego, zazwyczaj uprzywilejowanych lub wyspecjalizowanych poziomów.

Dodatkowe wskazówki są dostępne w dokumentacji usługi Azure Bastion

Następne kroki

• Omówienie zabezpieczania dostępu uprzywilejowanego
• Strategia uprzywilejowanego dostępu
• Mierzenie sukcesu
• Poziomy zabezpieczeń
• Konta z uprzywilejowanym dostępem
• Interfejsy
• Urządzenia z uprzywilejowanym dostępem
• Model dostępu przedsiębiorstwa