Zabezpieczanie tożsamości przy użyciu Zero Trust
Tło
Aplikacje w chmurze i pracownicy mobilni ponownie zdefiniowali obwód zabezpieczeń. Pracownicy przenoszą własne urządzenia i pracują zdalnie. Dostęp do danych jest uzyskiwany poza siecią firmową i udostępniany współpracownikom zewnętrznym, takim jak partnerzy i dostawcy. Aplikacje i dane firmowe są przenoszone ze środowisk lokalnych do środowisk hybrydowych i w chmurze. Organizacje nie mogą już polegać na tradycyjnych mechanizmach kontroli sieci na potrzeby zabezpieczeń. Kontrolki muszą przejść do miejsca, w którym dane są: na urządzeniach, w aplikacjach i z partnerami.
Tożsamości, reprezentujące osoby, usługi lub urządzenia IoT, są typowym elementem dominatora w wielu dzisiejszych sieciach, punktach końcowych i aplikacjach. W modelu zabezpieczeń Zero Trust pełnią one funkcję zaawansowanego, elastycznego i szczegółowego sposobu kontrolowania dostępu do danych.
Aby tożsamość próbowała uzyskać dostęp do zasobu, organizacje muszą:
Zweryfikuj tożsamość przy użyciu silnego uwierzytelniania.
Upewnij się, że dostęp jest zgodny i typowy dla tej tożsamości.
Jest zgodny z zasadami dostępu do najniższych uprawnień.
Po zweryfikowaniu tożsamości możemy kontrolować dostęp tożsamości do zasobów na podstawie zasad organizacji, trwającej analizy ryzyka i innych narzędzi.
Cele wdrażania Zero Trust tożsamości
Zanim większość organizacji rozpocznie Zero Trust podróży, ich podejście do tożsamości jest problematyczne w tym, że lokalny dostawca tożsamości jest w użyciu, nie ma logowania jednokrotnego między aplikacjami w chmurze i lokalnymi, a wgląd w ryzyko związane z tożsamością jest bardzo ograniczone.
Podczas implementowania kompleksowej platformy Zero Trust dla tożsamości zalecamy skupienie się najpierw na tych początkowych celach wdrażania: |
|
|
Tożsamość I.Cloud jest federacyjna z lokalnymi systemami tożsamości. II.Zasady dostępu warunkowego umożliwiają dostęp i zapewniają działania korygacyjne. |
Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania: |
|
|
IV.Tożsamości i uprawnienia dostępu są zarządzane za pomocą ładu tożsamości. |
Przewodnik wdrażania Zero Trust tożsamości
Ten przewodnik przeprowadzi Cię przez kroki wymagane do zarządzania tożsamościami zgodnie z zasadami platformy zabezpieczeń Zero Trust.
|
Początkowe cele wdrożenia |
I. Tożsamości w chmurze są federacyjne z lokalnymi systemami tożsamości
Usługa Azure Active Directory (AD) umożliwia silne uwierzytelnianie, punkt integracji z zabezpieczeniami punktu końcowego oraz podstawowe zasady skoncentrowane na użytkownikach w celu zagwarantowania dostępu z najniższymi uprawnieniami. Azure AD możliwości dostępu warunkowego to punkt decyzyjny zasad dostępu do zasobów oparty na tożsamości użytkownika, środowisku, kondycji urządzenia i ryzyku — zweryfikowany jawnie w punkcie dostępu. Pokażemy, jak wdrożyć strategię obsługi tożsamości Zero Trust za pomocą Azure AD.
Łączenie wszystkich użytkowników z Azure AD i sfederowanie z lokalnymi systemami tożsamości
Utrzymanie prawidłowego potoku tożsamości pracowników i niezbędnych artefaktów zabezpieczeń (grup autoryzacji i punktów końcowych na potrzeby dodatkowych mechanizmów kontroli zasad dostępu) zapewnia najlepsze miejsce do używania spójnych tożsamości i mechanizmów kontroli w chmurze.
Wykonaj następujące kroki:
Wybierz opcję uwierzytelniania. Azure AD zapewnia najlepszą siłę, ochronę przed atakami DDoS i sprayem haseł, ale podejmowanie decyzji, która jest odpowiednia dla twojej organizacji i Twoich potrzeb dotyczących zgodności.
Przynieś tylko tożsamości, których absolutnie potrzebujesz. Na przykład użyj opcji przechodzenia do chmury jako okazji, aby pozostawić konta usług, które mają sens tylko lokalnie. Pozostaw role uprzywilejowane w środowisku lokalnym.
Jeśli przedsiębiorstwo ma ponad 100 000 użytkowników, grup i urządzeń połączonych , utwórz pole synchronizacji o wysokiej wydajności , które zapewni aktualność cyklu życia.
Ustanawianie programu Identity Foundation przy użyciu Azure AD
Strategia Zero Trust wymaga jawnego weryfikowania, używania zasad dostępu z najmniejszymi uprawnieniami i przy założeniu naruszenia. Azure AD może działać jako punkt decyzyjny zasad wymuszania zasad dostępu na podstawie szczegółowych informacji na temat użytkownika, punktu końcowego, zasobu docelowego i środowiska.
Wykonaj ten krok:
- Umieść Azure AD w ścieżce każdego żądania dostępu. Łączy to każdego użytkownika i każdą aplikację lub zasób za pośrednictwem jednej płaszczyzny kontroli tożsamości i zapewnia Azure AD sygnałem, aby podejmować najlepsze możliwe decyzje dotyczące ryzyka uwierzytelniania/autoryzacji. Ponadto logowanie jednokrotne i spójne zabezpieczenia zasad zapewniają lepsze środowisko użytkownika i przyczyniają się do zwiększenia produktywności.
Integrowanie wszystkich aplikacji z Azure AD
Logowanie jednokrotne uniemożliwia użytkownikom pozostawienie kopii swoich poświadczeń w różnych aplikacjach i pomaga uniknąć używania użytkowników do poddania swoich poświadczeń z powodu nadmiernego monitowania.
Upewnij się również, że w środowisku nie ma wielu aparatów IAM. Nie tylko zmniejsza to ilość sygnału, który Azure AD widzi, pozwalając złym aktorom żyć w szwach między dwoma aparatami IAM, może to również prowadzić do słabego środowiska użytkownika i partnerów biznesowych staje się pierwszymi wątpliwymi strategii Zero Trust.
Wykonaj następujące kroki:
Integrowanie nowoczesnych aplikacji dla przedsiębiorstw , które mówią OAuth2.0 lub SAML.
W przypadku aplikacji kerberos i uwierzytelniania opartego na formularzach należy je zintegrować przy użyciu Azure AD serwer proxy aplikacji.
Jeśli publikujesz starsze aplikacje przy użyciu sieci/kontrolerów dostarczania aplikacji, użyj Azure AD do integracji z większością głównych aplikacji (takich jak Citrix, Akamai i F5).
Aby ułatwić odnajdywanie i migrowanie aplikacji poza usługami ADFS i istniejącymi/starszymi aparatami zarządzania dostępem i tożsamościami, przejrzyj zasoby i narzędzia.
Wypychanie tożsamości do różnych aplikacji w chmurze. Zapewnia to ściślejszą integrację cyklu życia tożsamości w tych aplikacjach.
Weryfikowanie jawnie przy użyciu silnego uwierzytelniania
Wykonaj następujące kroki:
Wdrażanie Azure AD uwierzytelniania wieloskładnikowego (P1). Jest to podstawowy element zmniejszenia ryzyka sesji użytkownika. Gdy użytkownicy pojawiają się na nowych urządzeniach i z nowych lokalizacji, możliwość reagowania na wyzwanie uwierzytelniania wieloskładnikowego jest jednym z najbardziej bezpośrednich sposobów, w jaki użytkownicy mogą nauczyć nas, że są to znane urządzenia/lokalizacje, gdy poruszają się po świecie (bez konieczności analizowania poszczególnych sygnałów przez administratorów).
Blokowanie starszego uwierzytelniania. Jednym z najczęstszych wektorów ataków dla złośliwych podmiotów jest użycie skradzionych/odtwarzanych poświadczeń przed starszymi protokołami, takimi jak SMTP, które nie mogą wykonywać nowoczesnych wyzwań w zakresie zabezpieczeń.
II. Dostęp do zasad dostępu warunkowego i zapewnianie działań korygcyjnych
Azure AD dostęp warunkowy analizuje sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacji dla zasobu. Zasady urzędu certyfikacji umożliwiają stosowanie kontroli dostępu, takich jak uwierzytelnianie wieloskładnikowe (MFA). Zasady urzędu certyfikacji umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładnikowe w razie potrzeby w celu zapewnienia bezpieczeństwa i pozostanenia poza sposobem użytkownika, jeśli nie jest to konieczne.
Firma Microsoft udostępnia standardowe zasady warunkowe nazywane domyślnymi zabezpieczeniami , które zapewniają podstawowy poziom zabezpieczeń. Organizacja może jednak potrzebować większej elastyczności niż oferta ustawień domyślnych zabezpieczeń. Możesz użyć dostępu warunkowego, aby dostosować wartości domyślne zabezpieczeń z większą szczegółowością i skonfigurować nowe zasady spełniające wymagania.
Planowanie zasad dostępu warunkowego z wyprzedzeniem i posiadanie zestawu aktywnych i rezerwowych zasad jest podstawowym filarem wymuszania zasad dostępu we wdrożeniu Zero Trust. Poświęć czas na skonfigurowanie zaufanych lokalizacji IP w środowisku. Nawet jeśli nie używasz ich w zasadach dostępu warunkowego, skonfigurowanie tych adresów IP informuje o ryzyku ochrony tożsamości wymienionych powyżej.
Wykonaj ten krok:
- Zapoznaj się z naszymi wskazówkami dotyczącymi wdrażania i najlepszymi rozwiązaniami dotyczącymi odpornych zasad dostępu warunkowego.
Rejestrowanie urządzeń przy użyciu Azure AD w celu ograniczenia dostępu z urządzeń narażonych na zagrożenia i naruszonych zabezpieczeń
Wykonaj następujące kroki:
Włącz Azure AD sprzężenia hybrydowego lub sprzężenia Azure AD. Jeśli zarządzasz komputerem przenośnym/komputerem użytkownika, wprowadź te informacje w Azure AD i użyjesz go, aby pomóc w podejmowaniu lepszych decyzji. Na przykład możesz zezwolić rozbudowanym klientom na dostęp do danych (klientów, którzy mają kopie offline na komputerze), jeśli wiesz, że użytkownik pochodzi z komputera, który kontroluje i zarządza organizacją. Jeśli nie wprowadzisz tego elementu, prawdopodobnie zdecydujesz się zablokować dostęp od bogatych klientów, co może spowodować, że użytkownicy będą pracować nad zabezpieczeniami lub korzystać z zasobów it w tle.
Włącz usługę Intune w programie Microsoft Endpoint Manager (EMS) na potrzeby zarządzania urządzeniami przenośnymi użytkowników i rejestrowania urządzeń. To samo można powiedzieć o urządzeniach przenośnych użytkowników, co w przypadku laptopów: Im więcej wiesz o nich (poziom poprawek, zdjęte zabezpieczenia systemu, rooted itp.), tym więcej możesz ufać lub nieufać i zapewnić uzasadnienie, dlaczego blokujesz/zezwalasz na dostęp.
III. Analiza zwiększa widoczność
Podczas tworzenia majątku w Azure AD z uwierzytelnianiem, autoryzacją i aprowizowaniem ważne jest, aby mieć silny wgląd operacyjny w to, co dzieje się w katalogu.
Konfigurowanie rejestrowania i raportowania w celu zwiększenia widoczności
Wykonaj ten krok:
- Zaplanuj wdrożenie raportowania i monitorowania Azure AD, aby umożliwić utrwalanie i analizowanie dzienników z Azure AD na platformie Azure lub korzystanie z wybranego systemu SIEM.
|
Dodatkowe cele wdrożenia |
IV. Tożsamości i uprawnienia dostępu są zarządzane za pomocą ładu tożsamości
Po osiągnięciu pierwszych trzech celów możesz skupić się na dodatkowych celach, takich jak bardziej niezawodny nadzór nad tożsamościami.
Zabezpieczanie dostępu uprzywilejowanego przy użyciu Privileged Identity Management
Kontrolowanie punktów końcowych, warunków i poświadczeń używanych przez użytkowników do uzyskiwania dostępu do uprzywilejowanych operacji/ról.
Wykonaj następujące kroki:
Przejmij kontrolę nad tożsamościami uprzywilejowanimi. Należy pamiętać, że w organizacji przekształconej cyfrowo uprzywilejowany dostęp jest nie tylko dostępem administracyjnym, ale także właścicielem aplikacji lub dostępem dewelopera, który może zmienić sposób uruchamiania aplikacji o krytycznym znaczeniu i obsługi danych.
Użyj Privileged Identity Management, aby zabezpieczyć tożsamości uprzywilejowane.
Ograniczanie zgody użytkownika na aplikacje
Zgoda użytkownika na aplikacje to bardzo powszechny sposób, w jaki nowoczesne aplikacje uzyskują dostęp do zasobów organizacji, ale należy pamiętać o pewnych najlepszych rozwiązaniach.
Wykonaj następujące kroki:
Ogranicz zgodę użytkownika i zarządzaj żądaniami zgody , aby upewnić się, że żadne niepotrzebne ujawnienie danych organizacji w aplikacjach.
Przejrzyj wcześniejsze/istniejące zgody w organizacji pod kątem nadmiernej lub złośliwej zgody.
Aby uzyskać więcej informacji na temat narzędzi chroniących przed taktyką dostępu do poufnych informacji, zobacz "Wzmocnienie ochrony przed zagrożeniami cybernetycznymi i nieuczciwymi aplikacjami" w naszym przewodniku dotyczącym wdrażania strategii Zero Trust tożsamości.
Zarządzanie upoważnieniami
Dzięki aplikacjom centralnie uwierzytelniającym i opartym na Azure AD możesz teraz usprawnić proces żądania dostępu, zatwierdzania i ponownego certyfikacji, aby upewnić się, że odpowiednie osoby mają odpowiedni dostęp i że masz ślad powodów, dla których użytkownicy w organizacji mają dostęp.
Wykonaj następujące kroki:
Użyj zarządzania upoważnieniami, aby utworzyć pakiety dostępu , które użytkownicy mogą żądać, gdy dołączają do różnych zespołów/projektów, i przypisuje im dostęp do skojarzonych zasobów (takich jak aplikacje, witryny programu SharePoint, członkostwa w grupach).
Jeśli w tej chwili wdrożenie zarządzania upoważnieniami nie jest możliwe w twojej organizacji, przynajmniej włącz samoobsługowe paradygmaty w organizacji, wdrażając samoobsługowe zarządzanie grupami i dostęp do aplikacji samoobsługowych.
Używanie uwierzytelniania bez hasła w celu zmniejszenia ryzyka wyłudzania informacji i ataków na hasła
Dzięki Azure AD obsługi logowania za pomocą telefonu FIDO 2.0 i bez hasła można przenieść igłę na poświadczeniach, które użytkownicy (szczególnie wrażliwe/uprzywilejowani użytkownicy) zatrudniają codzienne. Te poświadczenia są silnymi czynnikami uwierzytelniania, które również mogą ograniczyć ryzyko.
Wykonaj ten krok:
- Rozpocznij wdrażanie poświadczeń bez hasła w organizacji.
V. Użytkownik, urządzenie, lokalizacja i zachowanie są analizowane w czasie rzeczywistym w celu określenia ryzyka i zapewnienia ciągłej ochrony
Analiza w czasie rzeczywistym ma kluczowe znaczenie dla określania ryzyka i ochrony.
Wdrażanie ochrony haseł Azure AD
Włączając inne metody jawnego weryfikowania użytkowników, nie ignoruj słabych haseł, sprayu haseł i ataków powtarzania naruszeń. Ponadto klasyczne złożone zasady haseł nie uniemożliwiają najbardziej rozpowszechnionych ataków na hasła.
Wykonaj ten krok:
Włączanie usługi Identity Protection
Uzyskaj bardziej szczegółowy sygnał sesji/ryzyka użytkownika za pomocą usługi Identity Protection. Będziesz w stanie zbadać ryzyko i potwierdzić naruszenie lub odrzucić sygnał, co pomoże aparatowi lepiej zrozumieć, jak wygląda ryzyko w danym środowisku.
Wykonaj ten krok:
Włączanie integracji Microsoft Defender for Cloud Apps z usługą Identity Protection
Microsoft Defender for Cloud Apps monitoruje zachowanie użytkowników w modelu SaaS i nowoczesnych aplikacjach. Informuje to Azure AD o tym, co się stało z użytkownikiem po uwierzytelnieniu i otrzymaniu tokenu. Jeśli wzorzec użytkownika zacznie wyglądać podejrzanie (np. użytkownik zaczyna pobierać gigabajty danych z usługi OneDrive lub zaczyna wysyłać wiadomości e-mail ze spamem w Exchange Online), sygnał może zostać przesłany, aby Azure AD powiadomić go, że użytkownik wydaje się być zagrożony lub wysokiego ryzyka. W następnym żądaniu dostępu od tego użytkownika Azure AD może poprawnie podjąć działania w celu zweryfikowania użytkownika lub ich zablokowania.
Wykonaj ten krok:
- Włącz monitorowanie usługi Defender for Cloud Apps , aby wzbogacić sygnał usługi Identity Protection.
Włączanie integracji dostępu warunkowego z usługą Microsoft Defender for Cloud Apps
Za pomocą sygnałów emitowanych po uwierzytelnieniu i żądań serwera proxy usługi Defender for Cloud Apps do aplikacji będzie można monitorować sesje przechodzące do aplikacji SaaS i wymuszać ograniczenia.
Wykonaj następujące kroki:
Włączanie sesji z ograniczeniami do użycia w decyzjach dotyczących dostępu
Gdy ryzyko użytkownika jest niskie, ale loguje się z nieznanego punktu końcowego, możesz zezwolić im na dostęp do krytycznych zasobów, ale nie zezwalać im na wykonywanie czynności, które opuszczają organizację w stanie niezgodnym. Teraz możesz skonfigurować Exchange Online i SharePoint Online, aby zaoferować użytkownikowi sesję z ograniczeniami, która umożliwia im odczytywanie wiadomości e-mail lub wyświetlanie plików, ale nie pobieranie ich i zapisywanie ich na niezaufanym urządzeniu.
Wykonaj ten krok:
- Włączanie ograniczonego dostępu do usługi SharePoint Online i Exchange Online
VI. Integrowanie sygnałów zagrożeń z innych rozwiązań zabezpieczeń w celu poprawy wykrywania, ochrony i reagowania
Na koniec inne rozwiązania zabezpieczeń można zintegrować w celu zwiększenia skuteczności.
Integrowanie Microsoft Defender for Identity z Microsoft Defender for Cloud Apps
Integracja z Microsoft Defender for Identity umożliwia Azure AD wiedzieć, że użytkownik dzieli ryzykowne zachowanie podczas uzyskiwania dostępu do lokalnych, nie nowoczesnych zasobów (takich jak udziały plików). Może to być następnie uwzględnione w ogólnym ryzyku użytkownika, aby zablokować dalszy dostęp w chmurze.
Wykonaj następujące kroki:
Włącz Microsoft Defender for Identity za pomocą Microsoft Defender for Cloud Apps, aby wprowadzić sygnały lokalne do sygnału ryzyka, który wiemy o użytkowniku.
Sprawdź łączny wynik priorytetu badania dla każdego użytkownika zagrożonego, aby uzyskać całościowy widok tych, na których soC powinien się skupić.
Włączanie Ochrona punktu końcowego w usłudze Microsoft Defender
Ochrona punktu końcowego w usłudze Microsoft Defender pozwala potwierdzić kondycję maszyn z systemem Windows i określić, czy są one poddawane naruszeniu. Następnie możesz posunąć te informacje w celu ograniczenia ryzyka w czasie wykonywania. Dołączenie do domeny daje poczucie kontroli, usługa Defender dla punktu końcowego umożliwia reagowanie na atak złośliwego oprogramowania niemal w czasie rzeczywistym przez wykrywanie wzorców, w których wiele urządzeń użytkowników uderza w niezaufane witryny i reagowanie przez podniesienie ryzyka związanego z urządzeniem/użytkownikiem w czasie wykonywania.
Wykonaj ten krok:
Zabezpieczanie tożsamości zgodnie z zarządzeniem wykonawczym 14028 w sprawie cyberbezpieczeństwa & Protokołu OMB 22-09
Zarządzenie wykonawcze 14028 w sprawie poprawy bezpieczeństwa& cybernetycznegoProtokołu OMB 22-09 zawiera konkretne działania w sprawie Zero Trust. Akcje tożsamości obejmują zastosowanie scentralizowanych systemów zarządzania tożsamościami, korzystanie z silnego uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji oraz włączenie co najmniej jednego sygnału na poziomie urządzenia w decyzjach dotyczących autoryzacji. Aby uzyskać szczegółowe wskazówki dotyczące implemening tych akcji w usłudze Azure Active Directory, zobacz Spełnianie wymagań dotyczących tożsamości protokołu 22-09 w usłudze Azure Active Directory.
Produkty omówione w tym przewodniku
Microsoft Azure
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager (obejmuje Microsoft Intune)
Usługa Microsoft Defender dla punktu końcowego
Podsumowanie
Tożsamość jest kluczowa dla udanej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub zapoznaj się z innymi rozdziałami tego przewodnika, które obejmują wszystkie filary Zero Trust.
Seria przewodników wdrażania Zero Trust