Рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure

В этой статье мы рассмотрим рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure. Эти рекомендации являются производными от нашего опыта работы с идентификатором Microsoft Entra ИД и опытом клиентов, как себя.

Для каждой рекомендации будет предоставлено объяснение следующих аспектов:

• суть рекомендации;
• почему необходимо применять эту рекомендацию;
• что может случиться, если не применить эту рекомендацию;
• возможные альтернативы рекомендации;
• как научиться применять эту рекомендацию.

В этой статье рекомендаций по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure изложено общепринятое мнение по рассматриваемому вопросу, а также представлены возможности и компоненты платформы Azure, доступные на момент ее написания.

Целью написания этой статьи является предоставление общего плана для реализации более надежной системы безопасности после развертывания согласно контрольному списку Пять шагов по защите инфраструктуры удостоверений, в котором описываются некоторые основные функции и службы.

Со временем мнения и технологии меняются. Поэтому эта статья будет постоянно обновляться, чтобы отражать эти изменения.

Рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure в этой статье включают в себя:

• Определение удостоверения как основного периметра безопасности
• Централизация управления удостоверениями
• Управление подключенными клиентами
• Включение единого входа
• Включение условного доступа
• Планирование улучшений для рутинных процедур обеспечения безопасности
• Включение управления паролями
• Принудительное применение многофакторной проверки для пользователей
• access control (Управление доступом на основе ролей)
• Снижение подверженности риску привилегированных учетных записей
• Управление расположениями, в которых находятся ресурсы
• Использование идентификатора Microsoft Entra для проверки подлинности хранилища

Определение удостоверения как основного периметра безопасности

Многие считают удостоверение основным периметром безопасности. Это связано с изменением взглядов на обеспечение безопасности сети. Периметры сети становятся все более уязвимыми, а традиционная защита уже не так эффективна, как до распространения устройств BYOD и облачных приложений.

Идентификатор Microsoft Entra — это решение Azure для управления удостоверениями и доступом. Идентификатор Microsoft Entra — это мультитенантная облачная служба каталогов и службы управления удостоверениями от Майкрософт. Это решение объединяет в себе базовые службы каталогов, управление доступом к приложению и защиту идентификации.

В следующих разделах приведены рекомендации по обеспечению безопасности удостоверений и доступа с помощью идентификатора Microsoft Entra.

Рекомендация. Центр управления безопасностью и обнаружения для удостоверений пользователей и служб. Сведения. Используйте идентификатор Microsoft Entra для объединения элементов управления и удостоверений.

Централизация управления удостоверениями

В сценарии гибридной идентификации рекомендуется интегрировать локальные и облачные каталоги. Благодаря интеграции ИТ-отдел может управлять учетными записями из одного расположения независимо от места, где была создана учетная запись. Интеграция также помогает повысить продуктивность пользователей, так как используется единая идентификация для доступа к облачным и локальным ресурсам.

Рекомендация. Создание одного экземпляра Microsoft Entra. Согласованность и единый авторитетный источник повышают четкость работы и снижают риски безопасности, связанные с человеческой ошибкой и сложностью настройки.
Сведения. Назначение одного каталога Microsoft Entra в качестве авторитетного источника для корпоративных и организационных учетных записей.

Рекомендуется интегрировать локальные каталоги с идентификатором Microsoft Entra.
Сведения. Использование Microsoft Entra Подключение для синхронизации локального каталога с облачным каталогом.

Примечание.

Существуют факторы, влияющие на производительность microsoft Entra Подключение. Убедитесь, что Microsoft Entra Подключение имеет достаточную емкость, чтобы обеспечить недостаточное соответствие систем безопасности и производительности. Крупные или сложные организации (организации, подготавливающие более 100 000 объектов) должны следовать рекомендациям по оптимизации реализации Microsoft Entra Подключение.

Рекомендуется не синхронизировать учетные записи с идентификатором Microsoft Entra, имеющими высокие привилегии в существующем экземпляре Active Directory.
Сведения. Не изменяйте конфигурацию Microsoft Entra Подключение по умолчанию, которая отфильтровывает эти учетные записи. Эта конфигурация позволяет снизить риск перехода злоумышленников из облака к локальным ресурсам (в результате чего может возникнуть серьезный инцидент).

Рекомендация: включите синхронизацию хэша паролей.
Сведения. Синхронизация хэша паролей — это функция, используемая для синхронизации хэшей паролей пользователей из экземпляра локальная служба Active Directory в облачный экземпляр Microsoft Entra. Эта синхронизация помогает защититься от использования учетных данных, утечка которых произошла в результате предыдущих атак.

Даже если вы решите использовать федерацию со службами федерации Active Directory (AD FS) или другими поставщиками удостоверений, вы можете настроить синхронизацию хэша паролей на случай, если ваш локальный сервер выйдет из строя или станет временно недоступен. Эта синхронизация позволяет пользователям входить в службу с помощью пароля, который используется в локальном экземпляре Active Directory. Кроме того, защита идентификации позволяет обнаруживать скомпрометированные учетные данные, сравнивая синхронизированные хэши паролей с паролями, известными как скомпрометированные, если пользователь использовал тот же адрес электронной почты и пароль в других службах, которые не подключены к идентификатору Microsoft Entra.

Дополнительные сведения см. в статье "Реализация синхронизации хэша паролей с помощью Microsoft Entra Подключение Sync".

Рекомендация. Для разработки новых приложений используйте идентификатор Microsoft Entra для проверки подлинности.
Подробные сведения. Используйте правильные возможности для поддержки проверки подлинности:

• Идентификатор Microsoft Entra для сотрудников
• Microsoft Entra B2B для гостевых пользователей и внешних партнеров
• Azure AD B2C для контроля процессов регистрации, входа и управления профилями клиентов при использовании ими ваших приложений.

Организации, не выполнившие интеграцию локальных удостоверений с облачными, могут столкнуться с дополнительными издержками при управлении учетными записями. В этом случае увеличивается вероятность возникновения ошибок и брешей в системе безопасности.

Примечание.

Необходимо выбрать каталоги, в которых будут размещаться критически важные учетные записи, а также указать, управляют ли рабочей станцией администратора новые облачные службы или существующие процессы. Использование существующих процессов управления и подготовки удостоверений может снизить некоторые риски, но также может привести к риску взлома локальной учетной записи и перехода в облако. Для разных ролей (например, ИТ-администраторов и администраторов подразделений) может потребоваться использовать разные стратегии. В этом случае у вас есть два варианта. Первым вариантом является создание учетных записей Microsoft Entra, которые не синхронизированы с вашим экземпляром локальная служба Active Directory. Присоедините рабочую станцию администратора к идентификатору Microsoft Entra, который можно управлять и исправлениями с помощью Microsoft Intune. Второй вариант — использовать существующие учетные записи администратора путем синхронизации с локальным экземпляром Active Directory. Используйте существующие рабочие станции в домене Active Directory для управления и обеспечения безопасности.

Управление подключенными клиентами

Вашему отделу безопасности требуется возможность контроля для оценки рисков и определения того, соблюдаются ли политики организации и нормативные требования. Необходимо убедиться, что ваша организация безопасности имеет видимость всех подписок, подключенных к рабочей среде и сети (через Azure ExpressRoute или VPN типа "сеть — сеть". Глобальный Администратор istrator в идентификаторе Microsoft Entra может повысить уровень доступа к роли Администратор istrator пользователя и просмотреть все подписки и управляемые группы, подключенные к вашей среде.

Чтобы вы и ваша группа безопасности могли просматривать все подписки и группы управления, подключенные к среде, см. статью Повышение прав доступа для управления всеми подписками Azure и группами управления. После оценки рисков доступ с повышенными правами следует отменить.

Включение единого входа

В современном мире мобильных и облачных технологий может потребоваться включить единый вход (SSO) в устройства, приложения и службы из любого места, чтобы пользователи могли эффективно работать где угодно и когда угодно. Наличие нескольких управляемых решений для удостоверений создает проблему администрирования не только для ИТ-специалистов, но и для пользователей, ведь им придется запомнить несколько паролей.

Единый вход можно включить с помощью одного решения для удостоверений для всех приложений и ресурсов. Ваши пользователи смогут использовать одни и те же учетные данные для входа в систему и получения доступа к ресурсам независимо от того, где они находятся — в локальном расположении или в облаке.

Рекомендация: включите единый вход.
Сведения. Идентификатор Microsoft Entra расширяет локальная служба Active Directory в облако. Пользователи могут использовать свои основные рабочие или учебные учетные записи для присоединенных к домену устройств, ресурсов компании и всех веб- и SaaS-приложений, необходимых для решения поставленных задач. Пользователям не нужно помнить несколько наборов учетных данных. Доступ к приложениям предоставляется или отменяется автоматически на основе членства в группах организации и статуса конкретного сотрудника. И вы можете управлять доступом для приложений коллекции или для собственных локальных приложений, которые вы разработали и опубликовали с помощью прокси приложения Microsoft Entra.

Используйте единый вход, чтобы пользователи могли получать доступ к приложениям SaaS на основе рабочей или учебной учетной записи в идентификаторе Microsoft Entra. Это применимо не только к приложениям SaaS корпорации Майкрософт, но и к другим приложениям, таким как Google Apps и Salesforce. Вы можете настроить приложение для использования идентификатора Microsoft Entra в качестве поставщика удостоверений на основе SAML. В качестве элемента управления безопасностью идентификатор Microsoft Entra не выдает маркер, позволяющий пользователям входить в приложение, если им не предоставлен доступ через идентификатор Microsoft Entra. Вы можете предоставить пользователю такое право напрямую или через одну из групп, в которые он входит.

В организациях, которые не создают общее удостоверение для включения единого входа для своих пользователей и приложений, чаще возникают ситуации, когда пользователям приходится иметь несколько паролей. Такие ситуации повышают вероятность повторного использования паролей или применения ненадежных паролей.

Включение условного доступа

Пользователи могут откуда угодно обращаться к ресурсам организации с помощью различных устройств и приложений. Как ИТ-администратор, вы хотите, чтобы эти устройства соответствовали стандартам безопасности и соответствия требованиям. Уже недостаточно просто указать, кто имеет доступ к ресурсу.

Чтобы установить баланс между безопасностью и производительностью, перед выбором решения по управлению доступом необходимо подумать о способе доступа к ресурсам. С помощью условного доступа Microsoft Entra вы можете устранить это требование. Благодаря условному доступу вы можете внедрять автоматизированные решения управления доступом на основе условий доступа к облачным приложениям.

Рекомендация: управляйте доступом к корпоративным ресурсам.
Подробные сведения. Настройка общих политик условного доступа Microsoft Entra на основе группы, расположения и конфиденциальности приложений SaaS и подключенных приложений Microsoft Entra ID.

Рекомендуется: блокировать устаревшие протоколы проверки подлинности.
Подробные сведения: злоумышленники используют слабые места в старых протоколах каждый день, особенно для атак спрея паролей. Настройте условный доступ так, чтобы устаревшие протоколы блокировались.

Планирование улучшений для рутинных процедур обеспечения безопасности

Технологии обеспечения безопасности постоянно развиваются, поэтому в облачной среде и платформе управления удостоверениями важно предусмотреть средства для регулярной проверки развития и обнаружения новых способов защиты среды.

Оценка безопасности удостоверений — это набор рекомендуемых средств безопасности, публикуемых корпорацией Майкрософт. Он позволяют объективно оценить в числовой форме уровень безопасности среды и спланировать будущие улучшения. Вы также можете сравнить свою оценку с оценками представителей других отраслей и просмотреть собственные тренды с течением времени.

Рекомендация. Планирование стандартных проверок безопасности и улучшений на основе рекомендаций в вашей отрасли.
Подробные сведения. Используйте функцию оценки безопасности удостоверений для ранжирования улучшений с течением времени.

Включение управления паролями

Если у вас несколько клиентов или нужно предоставить пользователям возможность сбрасывать свои пароли самостоятельно, то важно использовать надлежащие политики безопасности, чтобы предотвратить использование этой возможности не по назначению.

Рекомендация: настройте самостоятельный сброс паролей (SSPR) для пользователей.
Сведения. Используйте функцию самостоятельного сброса пароля идентификатора Microsoft Entra.

Рекомендация: отслеживайте, как используется SSPR, или используется ли эта функция вообще.
Подробные сведения. Мониторинг пользователей, которые регистрируются с помощью отчета о регистрации сброса пароля в Microsoft Entra ID. Функция создания отчетов, которую предоставляет идентификатор Microsoft Entra, помогает ответить на вопросы с помощью предварительно созданных отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.

Рекомендуется расширить облачные политики паролей в локальной инфраструктуре.
Подробные сведения. Улучшение политик паролей в организации путем выполнения одинаковых проверка для локальных изменений паролей, как и для изменений паролей на основе облака. Установите защиту паролей Microsoft Entra для агентов Windows Server Active Directory в локальной среде, чтобы расширить списки запрещенных паролей в существующей инфраструктуре. Пользователи и администраторы, которые меняют, устанавливают или сбрасывают пароли в локальной среде, обязаны соблюдать ту же политику паролей, что и облачные пользователи.

Принудительное применение многофакторной проверки для пользователей

Рекомендуется требовать двухфакторную проверку подлинности для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).

Существует несколько способов, с помощью которых можно требовать двухфакторную проверку подлинности. Лучший вариант зависит от целей, выпуска Microsoft Entra, который вы используете, и вашей программы лицензирования. Сведения по определению подходящего варианта см. в статье Включение двухфакторной проверки подлинности пользователя. Дополнительные сведения о лицензиях и ценах на лицензии и цены см. на страницах цен на многофакторную проверку подлинности Microsoft Entra и Microsoft Entra.

Ниже приводятся варианты и преимущества включения двухфакторной проверки подлинности.

Вариант 1. Включение MFA для всех пользователей и методов входа с помощью microsoft Entra Security Defaults
Преимущество. Этот параметр позволяет легко и быстро применять MFA для всех пользователей в вашей среде с строгой политикой:

• запрос административных учетных записей и административных механизмов входа;
• обязательный запрос многофакторной проверки подлинности через Microsoft Authenticator для всех пользователей;
• ограничение использования устаревших протоколов проверки подлинности.

Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. Дополнительные сведения см. в параметрах безопасности Microsoft Entra Security Defaults

Вариант 2. Включение многофакторной проверки подлинности путем изменения состояния пользователя.
Преимущество. Это традиционный метод применения двухфакторной проверки подлинности. Он работает с многофакторной проверкой подлинности Microsoft Entra в облаке и сервере Многофакторной идентификации Azure. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.

Чтобы определить, где требуется включить многофакторную проверку подлинности, см. раздел "Какая версия многофакторной проверки подлинности Microsoft Entra подходит для моей организации?".

Вариант 3. Включение многофакторной проверки подлинности с помощью политики условного доступа.
Преимущество. Этот параметр позволяет запрашивать двухфакторную проверку в определенных условиях с помощью условного доступа. Это может быть вход пользователей из разных расположений, с недоверенных устройств или приложений, которые считаются опасными. Определение конкретных условий, в которых следует требовать двухфакторную проверку подлинности, позволяет избежать постоянных обращений к пользователю.

Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для многофакторной проверки подлинности Microsoft Entra в облаке и является премиум-функцией идентификатора Microsoft Entra. Дополнительные сведения об этом методе см. в разделе "Развертывание облачной многофакторной проверки подлинности Microsoft Entra".

Вариант 4. Включение многофакторной проверки подлинности с помощью политик условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот вариант позволяет:

• обнаруживать потенциальные уязвимости, которые могут повлиять на удостоверения организации;
• настраивать автоматические ответы при обнаружении подозрительных действий, связанных с учетными записями организации;
• анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Этот метод использует оценку риска Защита идентификации Microsoft Entra для определения необходимости двухфакторной проверки подлинности на основе риска входа для всех облачных приложений. Для этого метода требуется лицензирование Microsoft Entra ID P2. Дополнительные сведения об этом методе можно найти в Защита идентификации Microsoft Entra.

Примечание.

Вариант 2, включение многофакторной проверки подлинности путем изменения пользовательского состояния, переопределяет политики условного доступа. Так как в вариантах 3 и 4 используются политики условного доступа, с ними нельзя применять вариант 2.

Организации, не использующие дополнительные уровни защиты идентификации, например двухфакторную проверку подлинности, более уязвимы к атакам путем кражи учетных данных. Атаки такого типа могут привести к компрометации данных.

access control (Управление доступом на основе ролей)

Управление доступом к облачным ресурсам является критически важной функцией в любой организации, использующей облако. Управление доступом на основе ролей Azure (RBAC Azure) позволяет управлять доступом пользователей к ресурсам Azure, включая настройку разрешений на выполнение операций с этими ресурсами и определение областей доступа.

Назначение групп или отдельных ролей, ответственных за определенные функции в Azure, помогает избежать путаницы, которая может привести к человеческим ошибкам и ошибкам средств автоматизации, влекущим риски безопасности. Ограничение доступа согласно принципам безопасности (принцип предоставления доступа только в тех случаях и в той степени, в которой знание такой информации будет необходимо, а также принцип предоставления минимальных прав) крайне важно для организаций, которым требуется применять политики безопасности для доступа к данным.

Вашей группе безопасности требуется контролировать ресурсы Azure для оценки и устранения рисков. Если у группы безопасности есть эксплуатационные обязанности, ей требуются дополнительные разрешения для работы.

Управление доступом на основе ролей (RBAC) можно использовать для назначения пользователям, группам и приложениям разрешений, действующих в рамках определенной области. Областью назначения роли может быть подписка, группа ресурсов или отдельный ресурс.

Рекомендуется: разделение обязанностей в вашей команде и предоставление доступа только пользователям, которым они должны выполнять свои задания. Вместо того чтобы предоставить всем неограниченные разрешения для подписки Azure или ресурсов, можно разрешить только определенные действия в конкретной области.
Сведения. Назначайте пользователям привилегии с помощью встроенных ролей в Azure.

Примечание.

Определенные разрешения создают лишнюю сложность и путаницу, образуя "устаревшую" конфигурацию, которую трудно исправить, не нарушив работу каких-либо компонентов. Избегайте использования разрешений для конкретных ресурсов. Вместо этого используйте группы управления для управления разрешениями в масштабах предприятия и группы ресурсов для управления разрешениями в подписках. Избегайте использования разрешений для конкретных пользователей. Вместо этого назначьте доступ к группам в идентификаторе Microsoft Entra.

Рекомендуется предоставить группам безопасности доступ к ресурсам Azure, чтобы они могли оценить и устранить риск.
Сведения. Предоставьте группам безопасности роль RBAC Azure Читатель сведений о безопасности. Вы можете использовать корневую группу управления или группу управления сегментом в зависимости от области ответственности:

• корневая группа управления для рабочих групп, ответственных за все корпоративные ресурсы;
• группа управления сегментом для рабочих групп с ограниченной областью ответственности (обычно в связи с нормативными требованиями или другими организационными границами).

Рекомендация. Предоставьте соответствующие разрешения группам безопасности, у которых есть прямые рабочие обязанности.
Сведения. Проверьте встроенные роли RBAC Azure для соответствующего назначения ролей. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать настраиваемые роли Azure. Пользовательские роли, так же как и встроенные, можно назначать пользователям, группам и субъектам-службам в рамках подписки, группы ресурсов или области ресурсов.

Рекомендации. Предоставьте Microsoft Defender для облака доступ к ролям безопасности, которым он необходим. Defender для облака позволяет группам безопасности быстро обнаруживать и устранять риски.
Сведения. Добавьте группы безопасности с такими потребностями к роли Azure RBAC Администратор системы безопасности, чтобы они могли просматривать политики безопасности и состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также закрывать предупреждения и рекомендации. Для этого можно использовать корневую группу управления или группу управления сегментом в зависимости от области ответственности.

Если организация не применяет такие возможности, как Azure RBAC, для контроля доступа к данным, пользователям будет предоставлено больше привилегий, чем необходимо для выполнения назначенных им задач. Это может повлечь компрометацию данных, если пользователям предоставлен доступ к данным определенных типов (например, важным бизнес-данным), которые не предназначены для них.

Снижение подверженности риску привилегированных учетных записей

Защита привилегированного доступа — исключительно важный первый шаг для защиты корпоративных ресурсов. Сведение к минимуму числа пользователей, имеющих доступ к защищенным сведениям или ресурсам, снижает вероятность того, что такой доступ получит злоумышленник или что авторизованный пользователь непреднамеренно повлияет на критический ресурс.

Привилегированные учетные записи — это учетные записи, которые администрируют ИТ-системы и управляют ими. Злоумышленники в Интернете обычно используют эти учетные записи для доступа к данным и системам организации. Чтобы защитить привилегированный доступ, необходимо исключить риск доступа пользователей-злоумышленников к учетным записям и системам.

Рекомендуется разработать и следовать стратегии для обеспечения защиты привилегированного доступа от кибератак. Дополнительные сведения о создании подробной стратегии защиты удостоверений и доступа, управляемых или сообщающихся в идентификаторе Microsoft Entra, Microsoft Azure, Microsoft 365 и других облачных службах, ознакомьтесь с защитой привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra ID.

Ниже приведены рекомендации по защите привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra ID:

Рекомендация: администрируйте, контролируйте и отслеживайте доступ к привилегированным учетным записям.
Сведения. Включение управление привилегированными пользователями Microsoft Entra. После включения этой функции вы получите уведомления по электронной почте об изменении ролей привилегированного доступа. Эти уведомления предоставляют раннее предупреждение, когда дополнительные пользователи добавляются к высокопривилегированным ролям в вашем каталоге.

Рекомендация. Убедитесь, что все критически важные учетные записи администратора управляются учетными записями Microsoft Entra. Сведения. Удаление всех учетных записей потребителей из критически важных ролей администратора (например, учетные записи Майкрософт, такие как hotmail.com, live.com и outlook.com).

Рекомендуется: убедитесь, что все критически важные роли администратора имеют отдельную учетную запись для административных задач, чтобы избежать фишинга и других атак для компрометации прав администратора.
Сведения. Создание отдельной учетной записи администратора, назначаемой привилегиям, необходимым для выполнения административных задач. Запретите использовать эти административные учетные записи для повседневной работы со средствами повышения производительности, такими как электронная почта Microsoft 365, или для произвольного просмотра веб-страниц.

Рекомендация: определяйте и классифицируйте учетные записи, которые находятся в высокопривилегированных ролях.
Сведения. После включения microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в глобальном администраторе, администраторе привилегированных ролей и других ролях с высоким уровнем привилегий. Удалите все учетные записи, которые больше не нужны в этих ролях, и классифицируйте остальные учетные записи, назначенные ролям администратора:

• индивидуально назначается пользователями с правами администратора и может использоваться для неадминистративных целей (например, персональная электронная почта);
• индивидуально назначается пользователями с правами администратора и предназначена только для административных целей;
• совместно используется несколькими пользователями;
• для сценариев аварийного доступа;
• для автоматических скриптов;
• для внешних пользователей.

Рекомендация: реализуйте JIT-доступ для дополнительного сокращения времени подверженности привилегий рискам и повышения уровня осведомленности об использовании привилегированных учетных записей.
Сведения: Microsoft Entra управление привилегированными пользователями позволяет:

• ограничивать пользователей только привилегиями JIT-доступа;
• назначать роли на короткий период с автоматическим отзывом привилегий.

Рекомендация: определите по крайней мере две учетные записи аварийного доступа.
Сведения. Учетные записи аварийного доступа помогают организациям ограничить привилегированный доступ в существующей среде Microsoft Entra. Такие учетные записи имеют высокий уровень привилегий и не присвоены конкретным лицам. Учетные записи для аварийного доступа ограничены ситуациями, в которых невозможно использовать обычные учетные записи администратора. Организации должны ограничивать использование учетной записи для аварийного доступа только при необходимости.

Оцените учетные записи, которые назначены или могут получить роль глобального администратора. Если вы не видите облачные учетные записи, использующие домен *.onmicrosoft.com(предназначенный для аварийного доступа), создайте их. Дополнительные сведения см. в разделе "Управление учетными записями администрирования аварийного доступа" в идентификаторе Microsoft Entra.

Рекомендуется: в случае чрезвычайной ситуации имеется процесс "разбить стекло".
Подробные сведения. Выполните действия, описанные в разделе "Защита привилегированного доступа для гибридных и облачных развертываний" в идентификаторе Microsoft Entra ID.

Рекомендуется: требовать, чтобы все критически важные учетные записи администратора были менее паролем (предпочтительнее) или требуют многофакторной проверки подлинности.
Сведения. Используйте приложение Microsoft Authenticator для входа в любую учетную запись Microsoft Entra без использования пароля. Как и Windows Hello для бизнеса, Microsoft Authenticator использует проверку подлинности на основе ключей, привязывает учетные данные пользователя к определенному устройству и применяет биометрические данные или ПИН-код.

Требовать многофакторную проверку подлинности Microsoft Entra при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra: Global Администратор istrator, Privileged Role Администратор istrator, Exchange Online Администратор istrator и SharePoint Online Администратор istrator. Включите многофакторную проверку подлинности для учетных записей администратора и убедитесь, что пользователи учетной записи администратора зарегистрированы.

Рекомендуется: для критически важных учетных записей администратора есть рабочая станция администрирования, в которой рабочие задачи не разрешены (например, просмотр и электронная почта). Это защитит учетные записи администраторов от векторов атак, использующих веб-страницы и электронную почту, и значительно снизит риск возникновения серьезных инцидентов.
Сведения. Использование рабочей станции администратора. Выберите уровень безопасности рабочей станции:

• защищенные рабочие устройства обеспечивают повышенную безопасность при просмотре веб-страниц и выполнении других рабочих задач.
• Рабочие станции с привилегированным доступом предоставляют выделенную операционную систему для выполнения конфиденциальных задач, защищенную от атак из Интернета и векторов угроз.

Рекомендуется: отмена подготовки учетных записей администратора при выходе сотрудников из организации.
Подробные сведения. У вас есть процесс, который отключает или удаляет учетные записи администратора, когда сотрудники покидают организацию.

Рекомендуется: регулярно тестировать учетные записи администратора с помощью текущих методов атаки.
Сведения. Используйте эмулятор атак Microsoft 365 или стороннее предложение для воссоздания реалистичных сценариев атак в организации. Это поможет выявить уязвимых пользователей до того, как произойдет реальная атака.

Рекомендация: устраните риски, связанные с наиболее часто используемыми методами атак.
Сведения: определение учетных записей Майкрософт в административных ролях, которые необходимо переключить на использование рабочих или учебных учетных записей.

Обеспечение отдельных учетных записей пользователей и перенаправление почты для глобальных учетных записей администратора

Проверка того, что пароли административных учетных записей недавно изменялись

Включение синхронизации хэша паролей

Требовать многофакторную проверку подлинности для пользователей во всех привилегированных ролях, а также для предоставленных пользователей

Получение оценки безопасности Microsoft 365 (при использовании Microsoft 365)

Руководство по безопасности Microsoft 365 (при использовании Microsoft 365)

Настройка мониторинга действий Microsoft 365 (при использовании Microsoft 365)

Определение владельцев плана реагирования на инциденты или чрезвычайные ситуации

Защита локальных привилегированных учетных записей

Если не уделять должное внимание защите привилегированного доступа, может оказаться, что привилегированные роли назначаются слишком большому количеству пользователей, которые становятся все более уязвимыми для атак. Злоумышленники, в том числе киберпреступники, часто совершают атаки на учетные записи администраторов и другие объекты привилегированного доступа, чтобы получить доступ к конфиденциальным данным и системам путем кражи учетных данных.

Управление расположениями, в которых находятся ресурсы

Давая облачным операторам возможность выполнять задачи, очень важно не позволять им нарушать соглашения, которые необходимы для управления ресурсами организации. Организациям, которые хотят контролировать то, в каких расположениях создаются ресурсы, следует жестко задать соответствующие расположения.

Можно воспользоваться Azure Resource Manager и создать политики безопасности с определениями, описывающими действия или ресурсы, которые следует отклонять в первую очередь. Эти определения политик назначаются для нужной области, такой как подписка, группа ресурсов или отдельный ресурс.

Примечание.

Политики безопасности отличаются от RBAC Azure. Фактически, они используют RBAC Azure, чтобы авторизовать пользователей для создания этих ресурсов.

Организации, которые не контролируют то, как создаются ресурсы, более предрасположены к злоупотреблению со стороны пользователей, создающих больше ресурсов, чем требуется. Усиление безопасности создания ресурса — это важный шаг по обеспечению безопасности в сценариях с несколькими клиентами.

Активный мониторинг подозрительных действий

Система активного мониторинга удостоверений может быстро обнаруживать подозрительное поведение и создавать оповещение для дальнейшего изучения. В следующей таблице перечислены возможности Microsoft Entra, которые помогают организациям отслеживать свои удостоверения.

Рекомендация: предусмотрите метод для идентификации следующих угроз:

• попытки входа без трассировки;
• атаки методом перебора, направленные на определенную учетную запись;
• попытки входа из нескольких расположений;
• попытки входа с зараженных устройств;
• подозрительные IP-адреса.

Сведения. Использование отчетов об аномалиях microsoft Entra ID P1 или P2. Предусмотрите процессы и процедуры, которые ИТ-администраторам следует выполнять для ежедневного составления этих отчетов или их создания по требованию (обычно в сценарии реагирования на инциденты).

Рекомендация: предусмотрите активную систему мониторинга, которая уведомляет о рисках и может настроить уровень риска (высокий, средний или низкий) в соответствии с требованиями бизнеса.
Подробные сведения. Используйте Защита идентификации Microsoft Entra, который помечает текущие риски на собственной панели мониторинга и отправляет ежедневные уведомления сводки по электронной почте. Для защиты удостоверений организации можно настроить политики на основе рисков, которые автоматически реагируют на обнаруженные проблемы в случае достижения указанного уровня риска.

Организации, которые не проводят активный мониторинг систем идентификации, подвержены риску компрометации учетных данных пользователей. Не зная о подозрительных действиях, выполненных с использованием этих учетных данных, организации не смогут устранить угрозы такого типа.

Использование идентификатора Microsoft Entra для проверки подлинности хранилища

служба хранилища Azure поддерживает проверку подлинности и авторизацию с помощью идентификатора Microsoft Entra для хранилища BLOB-объектов и хранилища очередей. С помощью проверки подлинности Microsoft Entra можно использовать управление доступом на основе ролей Azure для предоставления определенным разрешениям пользователям, группам и приложениям до область отдельного контейнера или очереди BLOB-объектов.

Мы рекомендуем использовать идентификатор Microsoft Entra для проверки подлинности доступа к хранилищу.

Следующий шаг

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.