Эта архитектура показывает, как команды центра управления безопасностью (SOC) могут включать удостоверения Microsoft Entra и возможности доступа в общую интегрированную и многоуровневую стратегию безопасности без доверия .
Когда все службы и устройства находились в управляемых сетях организаций, в Центре SOC преобладали операции по обеспечению безопасности сети. Однако согласно прогнозам Gartner до 2022 года объем рынка облачных служб будет увеличиваться почти в три раза быстрее, чем общий объем рынка ИТ-услуг. Поскольку все больше компаний переходит на работу с облачными вычислениями, удостоверение пользователя все чаще рассматривается как основная граница безопасности.
Защита удостоверений в облаке является приоритетной задачей.
В отчете Verizon об исследовании утечки данных (2020 г.) отмечалось, что в 37 % случаев использовались украденные учетные данные, а 22 % случаев были связаны с фишингом.
Исследование инцидентов, связанных с утечкой данных, проведенное IBM в 2019 году, показало, что средняя мировая стоимость утечки данных составляет 3,9 млн долл. США, а средняя стоимость в США приближена 8,2 млн долл. США.
Отчет по аналитике безопасности Microsoft 2019 сообщил, что фишинговые атаки увеличились на 250% в период с января по декабрь 2018 года.
В рамках модели безопасности "Никому не доверяй" все узлы рассматриваются так, как если бы они имели выход в Интернет, а вся сеть считается потенциально скомпрометированной и враждебной. Этот подход посвящен созданию строгой проверки подлинности (AuthN), авторизации и шифрования, а также обеспечения секционированного доступа и повышения гибкости работы.
Gartner продвигает адаптивную архитектуру безопасности, которая заменяет стратегию, основанную на реагировании на инциденты, моделью предотвращение — обнаружение — реагирование — прогнозирование. В ней контроль доступа, поведенческий мониторинг, управление использованием и обнаружение объединены с непрерывным мониторингом и анализом.
Эталонная архитектура Microsoft Cybersecurity (MCRA) описывает возможности кибербезопасности Майкрософт и их интеграцию с существующими архитектурами безопасности, включая облачные и гибридные среды, которые используют идентификатор Microsoft Entra для удостоверений как службы (IDaaS).
В этой статье описан подход к IDaaS с адаптивной безопасностью, подчеркивающий компоненты, доступные на платформе Microsoft Entra.
Потенциальные варианты использования
- Проектирование новых решений по обеспечению безопасности
- Улучшение существующих реализаций или интеграция с ними
- Обучение команд SOC
Архитектура
Скачайте файл Visio этой архитектуры.
Рабочий процесс
- Управление учетными данными контролирует проверку подлинности.
- Подготовка и управление правами определяют пакет для доступа, назначают ресурсы пользователям и отправляют данные для аттестации.
- Механизм авторизации оценивает политику доступа для определения доступа. Он также оценивает обнаружения рисков, в том числе данные аналитики поведения пользователей и сущностей (UEBA), и проверяет соответствие устройства для управления конечными точками.
- Прошедший авторизацию пользователь или устройство получает доступ к политикам и элементам управления условного доступа.
- Если авторизация завершилась ошибкой, пользователи могут выполнить исправление в режиме реального времени, чтобы разблокировать себя.
- Все данные сеанса регистрируются в журнале для последующего анализа и отчетности.
- Система управления безопасностью и событиями (SIEM) команды SOC (SIEM) получает все данные журнала, обнаружения рисков и UEBA из облачных и локальных удостоверений.
Компоненты
Следующие процессы и компоненты безопасности способствуют этой архитектуре Microsoft Entra IDaaS.
Управление учетными данными
Управление учетными данными включает в себя службы, политики и методики, которые предоставляют, отслеживают и обновляют доступ к ресурсам или службам. Управление учетными данными Microsoft Entra включает следующие возможности:
Самостоятельный сброс пароля (SSPR) — пользователи могут самостоятельно обслуживать и сбрасывать свои потерянные, забытые или скомпрометированные пароли. SSPR не только снижает число обращений в службу поддержки, но и обеспечивает большую гибкость и безопасность пользователей.
Обратная запись паролей — синхронизация паролей, измененных в облаке, с локальными каталогами в режиме реального времени.
Запрещенные пароли анализируют данные телеметрии, предоставляющие часто используемые слабые или скомпрометированные пароли, а также запрещает их использование во всем мире по идентификатору Microsoft Entra. Эту функцию можно настроить для имеющейся среды и включить список пользовательских паролей, которые запрещены в организации.
Смарт-блокировка — сравнение допустимых попыток проверки подлинности с попытками методом подбора для получения неавторизованного доступа. Согласно политике смарт-блокировки по умолчанию учетная запись блокируется на одну минуту после 10 неудачных попыток входа в систему. По мере того как попытки входа в систему завершаются неудачей, время блокировки учетной записи увеличивается С помощью политик можно настроить соответствующие параметры, чтобы обеспечить оптимальное сочетание безопасности и удобства использования в организации.
Многофакторная проверка подлинности (MFA) требует нескольких форм проверки подлинности, когда пользователи пытаются получить доступ к защищенным ресурсам. Для доступа к ресурсам большинство пользователей привыкло использовать что-то известное им, например пароль. MFA просит пользователей продемонстрировать то, что у них есть, например доступ к доверенному устройству, или то, чем они являются, например биометрический идентификатор. MFA может использовать различные способы проверки подлинности, такие как телефонные звонки, текстовые сообщения или уведомления через приложение Authenticator.
Проверка подлинности без пароля заменяет пароль в рабочем процессе проверки подлинности смартфоном или аппаратным токеном, биометрическим идентификатором или ПИН-кодом. Проверка подлинности Без пароля Майкрософт может работать с ресурсами Azure, такими как Windows Hello для бизнеса, и приложением Microsoft Authenticator на мобильных устройствах. Кроме того, можно включить проверку подлинности без пароля с помощью ключей безопасности, совместимых с FIDO2, которые используют WebAuthn и протокол КЛИЕНТА и CTAP в Альянсе FIDO.
Подготовка приложений и предоставление прав
Управление правами — это функция управления удостоверениями Microsoft Entra, которая позволяет организациям управлять жизненным циклом идентификации и доступа в большом масштабе. Управление правами автоматизирует рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия.
Подготовка Microsoft Entra позволяет автоматически создавать удостоверения пользователей и роли в приложениях, которым пользователям требуется доступ. Вы можете настроить подготовку Microsoft Entra для сторонних приложений программного обеспечения как услуга (SaaS), таких как SuccessFactors, Workday и многое другое.
Простой единый вход автоматически проверяет подлинность пользователей в облачных приложениях после входа на корпоративные устройства. Вы можете использовать простой единый вход Microsoft Entra с синхронизацией хэша паролей или сквозной проверкой подлинности.
Аттестация с помощью проверок доступа Microsoft Entra помогает соответствовать требованиям к мониторингу и аудиту. Проверки доступа позволяют быстро определять количество пользователей-администраторов, проверять возможность доступа новых сотрудников к необходимым ресурсам или изучать активность пользователей, чтобы определять, нужен ли им все еще доступ.
Политики условного доступа и элементы управления
Политика условного доступа — это инструкция с условиями для назначений и управления доступом. Вы определяете ответ ("сделать это") на причину активации политики ("если это"), позволяя механизму авторизации принимать решения, обеспечивающие соблюдение политик организации. С помощью условного доступа Microsoft Entra вы можете управлять доступом авторизованных пользователей к вашим приложениям. Средство Microsoft Entra ID What If может помочь понять, почему политика условного доступа была или не применена, или если политика будет применяться к пользователю в определенном обстоятельстве.
Элементы управления условным доступом работают вместе с политиками условного доступа, чтобы обеспечить соблюдение политики организации. Элементы управления условным доступом Microsoft Entra позволяют реализовать безопасность на основе факторов, обнаруженных во время запроса доступа, а не одномерного подхода. Путем связывания элементов управления условным доступом с условиями доступа необходимо сократить потребность в создании дополнительных элементов управления безопасностью. Вот типичный пример: вы можете разрешить пользователям устройств, подключенных к домену, получать доступ к ресурсам с помощью SSO, но требовать MFA для пользователей вне сети или пользователей личных устройств.
Идентификатор Microsoft Entra может использовать следующие элементы управления условным доступом с политиками условного доступа:
Управление доступом на основе ролей Azure (RBAC) позволяет настраивать и назначать соответствующие роли пользователям, которым необходимо выполнять административные или специализированные задачи с ресурсами Azure. С помощью Azure RBAC можно создавать и обслуживать отдельные выделенные учетные записи только для администраторов, ограничивать доступ заданными ролями, ограничивать время доступа или предоставлять доступ с помощью рабочих процессов утверждения.
управление привилегированными пользователями (PIM) помогает уменьшить вектор атак для вашей организации, позволяя добавлять дополнительные функции мониторинга и защиты в административные учетные записи. С помощью Microsoft Entra PIM вы можете управлять доступом к ресурсам в Azure, идентификаторе Microsoft Entra и других службах Microsoft 365 с JIT-доступом и достаточного количества администрирования (JEA). PIM предоставляет журнал административных действий и журнал изменений, а также выводит оповещения при добавлении пользователей в определяемых вами роли или удалении их из них.
С помощью PIM можно требовать утверждение или обоснование для активации административных ролей. Большую часть времени пользователи могут иметь обычные привилегии и запрашивать и получать доступ к ролям, необходимым им для выполнения административных или специализированных задач. После выполнения работы и выхода из системы или при истечении времени доступа они могут повторно пройти проверку подлинности с помощью стандартных разрешений.
Microsoft Defender for Cloud Apps — это брокер безопасного доступа в облако (CASB), который анализирует журналы трафика для обнаружения и мониторинга приложений и служб, используемых в организации. С помощью Microsoft Defender for Cloud Apps вы можете:
- создавать политики для управления взаимодействием с приложениями и службами;
- определять приложения как санкционированные или несанкционированные;
- управлять доступом к данным и ограничивать его;
- применять защиту информации для защиты от потери данных.
Microsoft Defender for Cloud Apps может также работать с политиками доступа и политиками сеансов для управления доступом пользователей к приложениям SaaS. Например, доступны следующие возможности:
- ограничивать диапазоны IP-адресов, которые могут получать доступ к приложениям;
- требовать MFA для доступа к приложениям;
- разрешать действия только из утвержденных приложений.
На странице управления доступом в Центре администрирования SharePoint доступно несколько способов управления доступом к содержимому SharePoint и OneDrive. Можно заблокировать доступ, разрешить ограниченный доступ только через Интернет с неуправляемых устройств или управлять доступом на основе сетевого расположения.
Можно ограничить разрешения приложения конкретными почтовыми ящиками Exchange Online с помощью ApplicationAccessPolicy из API Microsoft Graph.
Условия использования (TOU) — простой способ представления информации, с которой конечные пользователи должны согласиться перед получением доступа к защищенным ресурсам. Документы TOU отправляются в Azure в виде PDF-файлов, которые затем доступны в качестве элементов управления в политиках условного доступа. Создав политику условного доступа, которая требует от пользователей согласия на вход в систему, вы можете легко проверить пользователей, которые приняли toU.
Управление кончеными точками контролирует доступ авторизованных пользователей к облачным приложениям с широкого спектра мобильных и других устройств, в том числе личных. Политики условного доступа можно использовать для ограничения доступа только к устройствам, которые соответствуют определенным стандартам безопасности и соответствия требованиям. Для этих управляемых устройств требуется удостоверение устройства.
Обнаружение риска
Защита идентификации Azure включает в себя несколько политик с помощью которых организации могут управлять ответными мерами на подозрительные действия пользователей. Риск пользователя — это вероятность того, что удостоверение пользователя скомпрометировано. Риск при входе — вероятность того, что запрос на вход в систему исходит не от пользователя. Идентификатор Microsoft Entra вычисляет оценки рисков входа на основе вероятности запроса на вход, исходящий от фактического пользователя, на основе аналитики поведения.
Обнаружения рисков Microsoft Entra используют адаптивные алгоритмы машинного обучения и эвристики для обнаружения подозрительных действий, связанных с учетными записями пользователей. Каждое обнаруженное подозрительное действие сохраняется в виде записи, называемой событием риска. Идентификатор Microsoft Entra вычисляет вероятность риска входа пользователей и входа с помощью этих данных, улучшенных с помощью внутренних и внешних источников аналитики угроз Майкрософт и сигналов.
API обнаружения рисков Защиты идентификации в Microsoft Graph позволяют раскрывать информации о рискованных пользователях и входах.
Устранение рисков в режиме реального времени позволяет пользователям разблокировать себя с помощью SSPR и MFA, чтобы самостоятельно устранить некоторые обнаруженные риски.
Рекомендации
Имейте в виду эти моменты при использовании этого решения.
Ведение журнала
Отчеты аудита Microsoft Entra обеспечивают трассировку действий Azure с помощью журналов аудита, журналов входа и рискованных отчетов пользователей. Данные журнала можно фильтровать и выполнять в них поиск на основе нескольких параметров, включая службу, категорию, действие и состояние.
Данные журнала идентификатора Microsoft Entra можно направлять в такие конечные точки, как:
- Учетные записи хранения Azure
- Журналы Azure Monitor
- Концентраторы событий Azure
- Решения SIEM такие как Microsoft Sentinel, ArcSight, Splunk, SumoLogic, другие внешние средства SIEM или ваше собственное решение.
Вы также можете использовать API отчетов Microsoft Graph для получения и использования данных журнала идентификатора Microsoft Entra в собственных скриптах.
Рекомендации по локальным и гибридным сценариям
Способы проверки подлинности имеют критическое значение для защиты удостоверений организации в гибридном сценарии. Корпорация Майкрософт предоставляет конкретные рекомендации по выбору метода гибридной проверки подлинности с идентификатором Microsoft Entra.
Microsoft Defender для удостоверений могут использовать сигналы локальная служба Active Directory для выявления, обнаружения и изучения расширенных угроз, скомпрометированных удостоверений и вредоносных действий предварительной оценки. Defender для удостоверений использует UEBA для выявления внутренних угроз и флага риска. Даже если удостоверение скомпрометировано, Defender для удостоверений может помочь определить компромисс на основе необычного поведения пользователя.
Defender для удостоверений интегрирован с Defender для облака Apps для расширения защиты облачных приложений. С помощью Defender for Cloud Apps можно создать политики сеансов, защищающие файлы при скачивании. Например, вы можете автоматически задать разрешения только для просмотра для любого файла, скачаемого определенными типами пользователей.
Вы можете настроить локальное приложение в идентификаторе Microsoft Entra для использования Defender для облака Apps для мониторинга в режиме реального времени. Microsoft Defender for Cloud Apps использует Управление условным доступом к приложениям для мониторинга сеансов и управления ими в режиме реального времени на основе политик условного доступа. Эти политики можно применить к локальным приложениям, используюющим прокси приложения в идентификаторе Microsoft Entra.
Microsoft Entra Application Proxy позволяет пользователям получать доступ к локальным веб-приложениям из удаленных клиентов. С помощью Application Proxy можно отслеживать все действия входа для приложений в одном месте.
Вы можете использовать Defender для удостоверений с Защита идентификации Microsoft Entra для защиты удостоверений пользователей, синхронизированных с Azure с Microsoft Entra Connect.
Если некоторые из приложений уже используют существующий контроллер доставки или сетевой контроллер для предоставления доступа вне сети, их можно интегрировать с идентификатором Microsoft Entra. Несколько партнеров, включая Akamai, Citrix, F5 Networks и Zscaler, предлагают решения и рекомендации по интеграции с Идентификатором Microsoft Entra.
Оптимизация затрат
Цены Microsoft Entra варьируются от бесплатных функций, таких как единый вход и MFA, до Premium P2, для таких функций, как PIM и управление правами. Сведения о ценах см. в разделе о ценах Microsoft Entra.
Следующие шаги
- Безопасность по модели "Никому не доверяй"
- Руководство по развертыванию нулевого доверия для идентификатора Microsoft Entra
- Обзор принципа безопасности
- Демонстрационный клиент Microsoft Entra (требуется учетная запись Microsoft Partner Network) или Бесплатная пробная версия Enterprise Mobility + Security
- Планы развертывания Microsoft Entra