Udostępnij za pośrednictwem

Zabezpieczanie tożsamości przy użyciu zera zaufania

  • Artykuł

Zanim większość organizacji rozpocznie swoją podróż ku modelowi Zero Trust, ich podejście do tożsamości może być fragmentaryczne, z różnymi dostawcami tożsamości, brakiem jednokrotnego logowania (SSO) między aplikacjami chmurowymi a lokalnymi oraz ograniczonym wglądem w ryzyko związane z tożsamością.

Aplikacje w chmurze i pracownicy mobilni wymagają nowego sposobu myślenia, jeśli chodzi o zabezpieczenia. Wielu pracowników wprowadza własne urządzenia i pracuje w sposób hybrydowy. Dane są regularnie dostępne poza tradycyjnym obwodem sieci firmowej i udostępniane zewnętrznym współpracownikom, takich jak partnerzy i dostawcy. Tradycyjne aplikacje i dane firmowe są przenoszone ze środowiska lokalnego do środowisk hybrydowych i chmurowych.

Tradycyjne mechanizmy kontroli sieci dla zabezpieczeń nie są już wystarczające.

Tożsamości reprezentują osoby, usługi lub urządzenia w sieciach, punktach końcowych i aplikacjach. W modelu zabezpieczeń Zero Trust działają one jako zaawansowane, elastyczne i szczegółowe środki kontroli dostępu do zasobów.

Zanim tożsamość podejmie próbę uzyskania dostępu do zasobu, organizacje muszą:

  • Zweryfikuj tożsamość przy użyciu silnego uwierzytelniania.
  • Upewnij się, że dostęp jest zgodny i adekwatny dla danej tożsamości.
  • Postępuj zgodnie z zasadami dostępu z najmniejszymi uprawnieniami.

Po zweryfikowaniu tożsamości możemy kontrolować dostęp do zasobów na podstawie zasad organizacji, bieżącej analizy ryzyka i innych narzędzi.

Cele wdrożenia usługi Identity Zero Trust

Podczas implementowania kompleksowych ram Zero Trust dla tożsamości zalecamy skupienie się najpierw na tych początkowych celach wdrożeniowych:

Po omówieniu poprzednich obszarów skoncentruj się na tych celach wdrażania:

I. Tożsamość w chmurze federuje się z lokalnymi systemami tożsamości.

Microsoft Entra ID umożliwia silne uwierzytelnianie, stanowi punkt integracji z zabezpieczeniami punktu końcowego i jest podstawą zasad skoncentrowanych na użytkowniku w celu zagwarantowania dostępu z najniższymi uprawnieniami. Microsoft Entra Conditional Access to mechanizm zasad używany do podejmowania decyzji o dostępie do zasobów w oparciu o tożsamość użytkownika, środowisko, stan urządzenia i ryzyko wyraźnie zweryfikowane w momencie dostępu. Strategię tożsamości zero trust można zaimplementować za pomocą identyfikatora Entra firmy Microsoft.

Diagram kroków w fazie 1 początkowego celu wdrożenia.

Łączenie wszystkich użytkowników z identyfikatorem Entra firmy Microsoft i federowanie z lokalnymi systemami tożsamości

Utrzymywanie prawidłowego zarządzania tożsamościami pracowników oraz niezbędnych artefaktów zabezpieczeń, w tym grup do autoryzacji i punktów końcowych kontroli dostępu, umożliwia najlepsze wykorzystanie spójnych tożsamości i mechanizmów kontroli w chmurze.

Wykonaj te kroki:

  1. Wybierz opcję uwierzytelniania. Microsoft Entra ID zapewnia najlepszą ochronę przed atakami siłowymi, DDoS i atakami sprayowymi na hasła, ale podejmij decyzję, która jest odpowiednia dla twojej organizacji i twoich potrzeb w zakresie zgodności.
  2. Przynieś tylko te tożsamości, które są naprawdę niezbędne. Użyj opcji przechodzenia do chmury jako okazji, aby pozostawić konta usług, które mają sens tylko lokalnie. Pozostaw role uprzywilejowane na serwerze.
  3. Upewnij się, że spełniasz wymagania sprzętowe dotyczące usługi Microsoft Entra Connect Sync na podstawie rozmiaru organizacji.

Ustanawianie programu Identity Foundation przy użyciu identyfikatora Entra firmy Microsoft

Strategia Zero Trust wymaga jawnej weryfikacji, używania zasad dostępu z najniższymi uprawnieniami, zakładając naruszenie. Microsoft Entra ID może działać jako punkt decyzyjny zasad, aby wymusić zasady dostępu na podstawie szczegółowych informacji na temat użytkownika, punktu końcowego, zasobu docelowego i środowiska.

Umieść identyfikator Entra firmy Microsoft w ścieżce każdego żądania dostępu. Ten proces łączy każdego użytkownika, aplikację i zasób za pośrednictwem wspólnej warstwy kontroli tożsamości oraz dostarcza Microsoft Entra ID sygnałów do podejmowania najlepszych możliwych decyzji dotyczących ryzyka związanego z uwierzytelnianiem/autoryzacją. Ponadto logowanie jednokrotne (SSO) i spójne zabezpieczenia zasad zapewniają lepsze środowisko użytkownika i przyczyniają się do zwiększenia produktywności.

Integrowanie wszystkich aplikacji z identyfikatorem Entra firmy Microsoft

Logowanie jednokrotne uniemożliwia użytkownikom pozostawienie kopii poświadczeń w różnych aplikacjach i pomaga uniknąć ataków wyłudzających informacji lub zmęczenia uwierzytelnianiem wieloskładnikowym z powodu nadmiernego monitowania.

Upewnij się, że w danym środowisku nie masz wielu rozwiązań do zarządzania tożsamościami i dostępem (IAM). Ta duplikacja zmniejsza sygnały odbierane przez Microsoft Entra ID, pozwala złośliwym podmiotom działać w ukryciu między dwoma systemami IAM i prowadzi do złego doświadczenia użytkownika. Ta złożoność może prowadzić do tego, że partnerzy biznesowi stają się wątpliwi co do strategii Zero Trust.

Wykonaj te kroki:

  1. Zintegrować nowoczesne aplikacje przedsiębiorstwa obsługujące OAuth2.0 lub SAML.
  2. W przypadku aplikacji Kerberos i uwierzytelniania opartego na formularzach zintegruj je przy użyciu serwera proxy aplikacji Microsoft Entra.
  3. Jeśli publikujesz starsze aplikacje przy użyciu sieci dostarczania aplikacji/kontrolerów, użyj identyfikatora Entra firmy Microsoft do integracji z większością głównych aplikacji (takich jak Citrix, Akamai i F5).
  4. Aby ułatwić odkrywanie i migrowanie aplikacji z ADFS oraz istniejących/starszych silników IAM, zapoznaj się z Zasobami dotyczącymi migrowania aplikacji do Microsoft Entra ID.
  5. Automatyzacja udostępniania użytkowników.

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii Zero Trust dla aplikacji.

Wyraźna weryfikacja przy użyciu silnego uwierzytelniania

Wykonaj te kroki:

  1. Wdróż Microsoft Entra uwierzytelnianie wieloskładnikowe. Ten wysiłek jest podstawowym elementem zmniejszenia ryzyka sesji użytkownika. Gdy użytkownicy pojawiają się na nowych urządzeniach i z nowych lokalizacji, możliwość reagowania na wyzwanie uwierzytelniania wieloskładnikowego jest jednym z najbardziej bezpośrednich sposobów, w jaki użytkownicy mogą nauczyć nas, że są to znane urządzenia/lokalizacje podczas poruszania się po świecie (bez konieczności analizowania poszczególnych sygnałów przez administratorów).
  2. Blokowanie starszego uwierzytelniania. Jednym z najczęstszych wektorów ataków dla złośliwych podmiotów jest użycie skradzionych/odtwarzanych poświadczeń względem starszych protokołów, takich jak SMTP, które nie mogą wykonywać nowoczesnych wyzwań związanych z zabezpieczeniami.

II. Zasady dostępu warunkowego kontrolują dostęp i zapewniają działania korygujące.

Microsoft Entra Conditional Access analizuje sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacyjnego dla zasobu. Zasady dostępu warunkowego umożliwiają stosowanie kontroli dostępu, takich jak uwierzytelnianie wieloskładnikowe (MFA). Zasady dostępu warunkowego umożliwiają proszenie użytkowników o uwierzytelnianie wieloskładnikowe, gdy jest to potrzebne dla bezpieczeństwa, i nie przeszkadzać użytkownikom, gdy nie jest to konieczne.

Diagram zasad dostępu warunkowego w programie Zero Trust.

Firma Microsoft udostępnia standardowe zasady warunkowe nazywane domyślnymi zabezpieczeniami , które zapewniają podstawowy poziom zabezpieczeń. Jednak twoja organizacja może potrzebować większej elastyczności niż oferowane przez domyślne ustawienia zabezpieczeń. Za pomocą dostępu warunkowego można dostosować wartości domyślne zabezpieczeń z większą szczegółowością i skonfigurować nowe zasady spełniające wymagania.

Planowanie zasad dostępu warunkowego z wyprzedzeniem i posiadanie zestawu aktywnych i rezerwowych zasad jest podstawowym filarem wymuszania zasad dostępu we wdrożeniu zero trust. Pośmiń czas na skonfigurowanie znanych lokalizacji sieciowych w danym środowisku. Nawet jeśli nie używasz tych lokalizacji sieciowych w zasadach dostępu warunkowego, skonfigurowanie tych adresów IP pozwala ocenić ryzyko związane z Ochroną tożsamości ID Microsoft Entra.

Wykonaj ten krok:

Rejestrowanie urządzeń przy użyciu identyfikatora Entra firmy Microsoft w celu ograniczenia dostępu z urządzeń narażonych na zagrożenia i naruszonych zabezpieczeń

Wykonaj te kroki:

  1. Włącz hybrydowe przyłączanie Microsoft Entra lub przyłączanie Microsoft Entra. Jeśli zarządzasz laptopem/komputerem użytkownika, wprowadź te informacje do identyfikatora Entra firmy Microsoft i użyj go, aby ułatwić podejmowanie lepszych decyzji. Na przykład umożliwienie rozbudowanym klientom, którzy mają lokalne kopie danych na komputerze, dostępu do danych, jeśli wiesz, że użytkownik korzysta z komputera kontrolowanego i zarządzanego przez twoją organizację.
  2. Włącz usługę Intune w programie Microsoft Endpoint Manager (EMS) na potrzeby zarządzania urządzeniami przenośnymi użytkowników i rejestrowania urządzeń. To samo można powiedzieć o urządzeniach mobilnych użytkowników, co o laptopach: Im więcej wiesz o nich (poziom poprawek, jailbreak, rooted itp.), tym łatwiej możesz uzasadnić, dlaczego blokujesz lub zezwalasz na dostęp.

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla punktów końcowych.

III. Analiza poprawia widoczność

Podczas tworzenia majątku w usłudze Microsoft Entra ID z uwierzytelnianiem, autoryzacją i aprowizowaniem ważne jest, aby mieć silny wgląd operacyjny w to, co dzieje się w katalogu.

Konfigurowanie rejestrowania i raportowania w celu zwiększenia widoczności

Wykonaj ten krok:

  • Zaplanuj wdrożenie raportowania i monitorowania firmy Microsoft, aby móc utrwalać i analizować dzienniki z identyfikatora Entra firmy Microsoft na platformie Azure lub przy użyciu wybranego systemu SIEM.

IV. Tożsamości i uprawnienia dostępu są zarządzane poprzez zarządzanie tożsamością.

Po osiągnięciu początkowych celów skoncentruj się na innych celach, takich jak bardziej niezawodny nadzór nad tożsamościami.

Diagram kroków w fazie 4 dodatkowych celów wdrażania.

Zabezpieczanie uprzywilejowanego dostępu za pomocą usługi Privileged Identity Management

Kontrolowanie punktów końcowych, warunków i poświadczeń używanych przez użytkowników do uzyskiwania dostępu do uprzywilejowanych operacji/ról.

Wykonaj te kroki:

  1. Przejmij kontrolę nad tożsamościami uprzywilejowanymi. Dostęp uprzywilejowany nie jest tylko dostępem administracyjnym, ale także dostępem aplikacji lub dewelopera, który może zmienić sposób uruchamiania aplikacji o krytycznym znaczeniu i obsługi danych.
  2. Użyj usługi Privileged Identity Management, aby zabezpieczyć tożsamości uprzywilejowane.

Zgoda użytkownika na aplikacje jest typowym sposobem, w jaki nowoczesne aplikacje uzyskują dostęp do zasobów organizacji, ale należy pamiętać o pewnych najlepszych rozwiązaniach.

Wykonaj te kroki:

  1. Ogranicz zgodę użytkownika i zarządzaj żądaniami zgody, aby upewnić się, że nie dochodzi do niepotrzebnego ujawniania danych organizacji w aplikacjach.
  2. Przejrzyj wcześniejsze/istniejące zgody w organizacji pod kątem nadmiernej lub złośliwej zgody.

Aby uzyskać więcej informacji na temat narzędzi do ochrony przed taktykami uzyskiwania dostępu do poufnych informacji, zobacz "Wzmocnienie ochrony przed zagrożeniami cybernetycznymi i wrogimi aplikacjami" w naszym przewodniku dotyczącym implementowania strategii Zero Trust dotyczącej tożsamości.

Zarządzanie upoważnieniami

Dzięki aplikacjom centralnie uwierzytelniającym i opartym na identyfikatorze Firmy Microsoft Entra możesz usprawnić proces żądania dostępu, zatwierdzenia i ponownego certyfikacji, aby upewnić się, że odpowiednie osoby mają odpowiedni dostęp i że masz ślad, dlaczego użytkownicy w organizacji mają dostęp.

Wykonaj te kroki:

  1. Zarządzanie upoważnieniami umożliwia tworzenie pakietów dostępu, których użytkownicy mogą żądać w miarę dołączania do różnych zespołów/projektów oraz przypisywania im dostępu do skojarzonych zasobów (takich jak aplikacje, witryny programu SharePoint, członkostwo w grupach).
  2. Jeśli w tej chwili wdrożenie zarządzania upoważnieniami nie jest możliwe w twojej organizacji, przynajmniej włącz samoobsługowe paradygmaty w organizacji, wdrażając samoobsługowe zarządzanie grupami i dostęp do aplikacji samoobsługowej.

Używanie uwierzytelniania bez hasła w celu zmniejszenia ryzyka wyłudzania informacji i ataków haseł

Dzięki usłudze Microsoft Entra ID, która obsługuje logowanie za pomocą protokołu FIDO 2.0 i bezhasłowe logowanie telefoniczne, możesz znacząco zmienić podejście do poświadczeń używanych na co dzień przez użytkowników (zwłaszcza tych wrażliwych/uprzywilejowanych). Te poświadczenia są silnymi czynnikami uwierzytelniania, które również mogą ograniczyć ryzyko.

Wykonaj ten krok:

V. Użytkownik, urządzenie, lokalizacja i zachowanie są analizowane w czasie rzeczywistym, aby określić ryzyko i zapewnić ciągłą ochronę

Analiza w czasie rzeczywistym ma kluczowe znaczenie dla określania ryzyka i ochrony.

Diagram kroków w fazie 5 dodatkowych celów wdrażania.

Wdrażanie ochrony haseł w usłudze Microsoft Entra

Włączając inne metody jawnego weryfikowania użytkowników, nie ignoruj słabych haseł, sprayu haseł i ataków powtarzania naruszeń. Klasyczne złożone zasady haseł nie uniemożliwiają najbardziej rozpowszechnionych ataków na hasła.

Wykonaj ten krok:

Włącz Ochronę Microsoft Entra ID

Uzyskaj bardziej szczegółowy sygnał ryzyka sesji/użytkownika dzięki Microsoft Entra ID Protection. Możesz włączyć opcje badania i korygowania ryzyka na podstawie zmieniających się potrzeb organizacji w zakresie zabezpieczeń.

Wykonaj ten krok:

Włącz integrację Microsoft Defender dla aplikacji w chmurze z Ochroną tożsamości Microsoft Entra ID

Microsoft Defender dla Aplikacji Chmurowych monitoruje zachowanie użytkowników w aplikacjach typu SaaS i nowoczesnych aplikacjach. Ten sygnał informuje microsoft Entra ID o tym, co się stało z użytkownikiem po uwierzytelnieniu i otrzymaniu tokenu. Jeśli wzorzec użytkownika zacznie wyglądać podejrzanie, sygnał może być wysyłany do usługi Ochrona tożsamości i Dostęp warunkowy Microsoft Entra, informując że użytkownik może być uznany za zagrożonego lub obarczonego wysokim ryzykiem. W następnym żądaniu dostępu od tego użytkownika identyfikator Entra firmy Microsoft może prawidłowo podjąć działania w celu zweryfikowania użytkownika lub zablokowania ich.

Wykonaj ten krok:

Włącz integrację dostępu warunkowego z Microsoft Defender for Cloud Apps

Za pomocą emitowanych po uwierzytelnieniu sygnałów i proxyjowania żądań przez Defender for Cloud Apps do aplikacji, będziesz mógł monitorować sesje przechodzące do aplikacji SaaS i wymuszać ograniczenia.

Wykonaj te kroki:

  1. Włącz integrację z dostępem warunkowym.

  2. Rozszerzanie dostępu warunkowego do aplikacji lokalnych.

Włączanie sesji z ograniczeniami do użycia w decyzjach dotyczących dostępu

Gdy ryzyko użytkownika jest niskie, ale loguje się z nieznanego punktu końcowego, możesz zezwolić na dostęp do zasobów, ale nie zezwalać im na wykonywanie czynności, które narażają organizację na ryzykowne działania. Możesz skonfigurować usługi Exchange Online i SharePoint Online, aby oferować użytkownikowi sesję z ograniczeniami, która umożliwia im odczytywanie wiadomości e-mail lub wyświetlanie plików, ale nie pobieranie ich i zapisywanie ich na niezaufanym urządzeniu.

Wykonaj ten krok:

VI. Integrowanie sygnałów zagrożeń z innych rozwiązań zabezpieczeń w celu poprawy wykrywania, ochrony i reagowania

Na koniec inne rozwiązania zabezpieczeń można zintegrować w celu zwiększenia skuteczności.

Integrowanie usługi Microsoft Defender for Identity z aplikacjami Microsoft Defender dla Chmury

Integracja z usługą Microsoft Defender for Identity umożliwia Microsoft Entra ID wykrywanie, że użytkownik wykazuje ryzykowne zachowanie podczas uzyskiwania dostępu do lokalnych, przestarzałych zasobów (takich jak udziały plików). Ten sygnał może być uwzględniany w ogólnym ryzyku, co może blokować dalszy dostęp w chmurze.

Wykonaj te kroki:

  1. Włącz usługę Microsoft Defender for Identity za pomocą usługi Microsoft Defender dla Aplikacji Chmurowych, aby wprowadzić sygnały lokalizacji do sygnału ryzyka znanego o użytkowniku.
  2. Sprawdź łączny wynik priorytetu badań dla każdego zagrożonego użytkownika, aby uzyskać całościowy obraz tych, na których SOC powinien się skupić.

Włącz Microsoft Defender dla punktu końcowego

Microsoft Defender dla punktu końcowego pozwala potwierdzić kondycję maszyn z systemem Windows i określić, czy są one poddawane kompromitacji. Następnie możesz wykorzystać te informacje w celu zmniejszenia ryzyka w czasie działania. Podczas gdy przyłączanie do domeny daje poczucie kontroli, usługa Defender dla punktu końcowego umożliwia reagowanie na atak złośliwego oprogramowania niemal w czasie rzeczywistym, wykrywając wzorce, w których wiele urządzeń użytkowników wchodzi na niezaufane witryny i reaguje, podnosząc poziom ryzyka związanego z urządzeniem/użytkownikiem w czasie rzeczywistym.

Wykonaj ten krok:

Zabezpieczanie tożsamości zgodnie z zarządzeniem wykonawczym 14028 w sprawie cyberbezpieczeństwa i protokołu OMB 22-09

Zarządzenie wykonawcze 14028 w sprawie poprawy bezpieczeństwa cybernetycznego państwa & OMB Memorandum 22-09 obejmuje konkretne działania w zakresie "Zero Trust". Akcje tożsamości zawierają zastosowanie scentralizowanych systemów zarządzania tożsamościami, korzystanie z silnego uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji i włączenie co najmniej jednego sygnału na poziomie urządzenia w decyzjach dotyczących autoryzacji. Aby uzyskać szczegółowe wskazówki dotyczące implementowania tych akcji za pomocą identyfikatora Entra firmy Microsoft, zobacz Spełnianie wymagań dotyczących tożsamości protokołu memorandum 22-09 przy użyciu identyfikatora Entra firmy Microsoft.

Produkty omówione w tym przewodniku

Podsumowanie

Tożsamość jest centralna dla pomyślnej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub przejdź do innych rozdziałów tego przewodnika, który obejmuje wszystkie filary Zero Trust.



Seria przewodników wdrażania zero trust

Ikona wprowadzenia

Ikona tożsamości

Ikona punktów końcowych

Ikona aplikacji

Ikona danych

Ikona infrastruktury

Ikona sieci

Ikona widoczności, automatyzacji, aranżacji