Рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure

В этой статье мы рассмотрим рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure. Эти рекомендации основаны на нашем опыте, полученном в процессе использования Azure AD, и на отзывах других пользователей.

Для каждой рекомендации будет предоставлено объяснение следующих аспектов:

  • суть рекомендации;
  • почему необходимо применять эту рекомендацию;
  • что может случиться, если не применить эту рекомендацию;
  • возможные альтернативы рекомендации;
  • как научиться применять эту рекомендацию.

В этой статье рекомендаций по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure изложено общепринятое мнение по рассматриваемому вопросу, а также представлены возможности и компоненты платформы Azure, доступные на момент ее написания.

Целью написания этой статьи является предоставление общего плана для реализации более надежной системы безопасности после развертывания согласно контрольному списку Пять шагов по защите инфраструктуры удостоверений, в котором описываются некоторые основные функции и службы.

Со временем мнения и технологии меняются. Поэтому эта статья будет постоянно обновляться, чтобы отражать эти изменения.

Рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure в этой статье включают в себя:

  • Определение удостоверения как основного периметра безопасности
  • Централизация управления удостоверениями
  • Управление подключенными клиентами
  • Доступ с единым входом
  • Включение условного доступа
  • Планирование улучшений для рутинных процедур обеспечения безопасности
  • Включение управления паролями
  • Применение многофакторной идентификации для пользователей
  • Использование управления доступом на основе ролей
  • Снижение подверженности риску привилегированных учетных записей
  • Управление расположениями, в которых находятся ресурсы
  • Использование Azure AD для проверки подлинности хранилища

Определение удостоверения как основного периметра безопасности

Многие считают удостоверение основным периметром безопасности. Это связано с изменением взглядов на обеспечение безопасности сети. Периметры сети становятся все более уязвимыми, а традиционная защита уже не так эффективна, как до распространения устройств BYOD и облачных приложений.

Azure Active Directory (Azure AD) — это решение для идентификации и управления доступом в Azure. Azure AD — это мультитенантный облачный каталог и служба управления удостоверениями корпорации Майкрософт. Azure AD объединяет в себе базовые службы каталогов, функции управления доступом к приложениям и защиту удостоверений.

В следующих разделах приведены рекомендации по обеспечению безопасности удостоверений и доступа с помощью Azure AD.

Рекомендация. Направьте меры безопасности и операции обнаружения на удостоверения пользователей и служб. Сведения. Используйте Azure AD для совместного размещения элементов управления и удостоверений.

Централизация управления удостоверениями

В сценарии гибридной идентификации рекомендуется интегрировать локальные и облачные каталоги. Благодаря интеграции ИТ-отдел может управлять учетными записями из одного расположения независимо от места, где была создана учетная запись. Интеграция также помогает повысить продуктивность пользователей, так как используется единая идентификация для доступа к облачным и локальным ресурсам.

Рекомендация. Создайте один экземпляр Azure AD. Согласованность и единые заслуживающие доверия источники повышают ясность и снижают риски безопасности, связанные с человеческим фактором и сложностью настройки. Сведения. Назначьте один каталог Azure AD в качестве заслуживающего доверия источника для корпоративных учетных записей и учетных записей организации.

Рекомендация. Интегрируйте локальные каталоги с Azure AD.
Сведения. Синхронизируйте свой локальный каталог с облачным каталогом с помощью Azure AD Connect.

Примечание

Существуют факторы, влияющие на производительность Azure AD Connect. Убедитесь в том, что Azure AD Connect имеет достаточную емкость, чтобы системы с недостаточной производительностью не снижали безопасность и продуктивность. Большие или сложные организации (организации, подготавливающие более 100 000 объектов) должны следовать рекомендациям по оптимизации реализации Azure AD Connect.

Рекомендация. Не синхронизируйте с Azure AD учетные записи с высоким уровнем привилегий в существующем экземпляре Active Directory. Сведения. Не изменяйте конфигурацию Azure AD Connect по умолчанию, которая фильтрует эти учетные записи. Эта конфигурация позволяет снизить риск перехода злоумышленников из облака к локальным ресурсам (в результате чего может возникнуть серьезный инцидент).

Рекомендация. Включите синхронизацию хэша паролей.
Сведения. Синхронизация хэшированных паролей предназначена для синхронизации хэшей пользовательских паролей между локальным экземпляром Active Directory и облачным экземпляром Azure AD. Эта синхронизация помогает защититься от использования учетных данных, утечка которых произошла в результате предыдущих атак.

Даже если вы решите использовать федерацию со службами федерации Active Directory (AD FS) или другими поставщиками удостоверений, вы можете настроить синхронизацию хэша паролей на случай, если ваш локальный сервер выйдет из строя или станет временно недоступен. Эта синхронизация позволяет пользователям входить в службу с помощью пароля, который используется в локальном экземпляре Active Directory. Кроме того, благодаря этому служба защиты идентификации сможет обнаруживать скомпрометированные учетные данные, сравнивая синхронизированные хэши паролей с паролями, которые были скомпрометированы, если пользователь использует один и тот же адрес электронной почты и пароль для других служб, не связанных с Azure AD.

Дополнительные сведения см. в статье о реализации синхронизации хэша паролей с помощью службы синхронизации Azure AD Connect.

Рекомендация. Для разработки нового приложения используйте Azure AD для проверки подлинности. Сведения. Используйте правильные возможности для поддержки проверки подлинности:

  • Azure AD для сотрудников;
  • Azure AD B2B для гостевых пользователей и внешних партнеров;
  • Azure AD B2C для контроля процессов регистрации, входа и управления профилями клиентов при использовании ими ваших приложений.

Организации, не выполнившие интеграцию локальных удостоверений с облачными, могут столкнуться с дополнительными издержками при управлении учетными записями. В этом случае увеличивается вероятность возникновения ошибок и брешей в системе безопасности.

Примечание

Необходимо выбрать каталоги, в которых будут размещаться критически важные учетные записи, а также указать, управляют ли рабочей станцией администратора новые облачные службы или существующие процессы. Использование существующих процессов управления и подготовки удостоверений может снизить некоторые риски, но также может привести к риску взлома локальной учетной записи и перехода в облако. Для разных ролей (например, ИТ-администраторов и администраторов подразделений) может потребоваться использовать разные стратегии. Имеются две возможности. Первый вариант — создать учетные записи Azure AD, которые не синхронизированы с локальным экземпляром Active Directory. Присоедините к Azure AD рабочую станцию администратора, чтобы управлять ею и применять к ней исправления с помощью Microsoft Intune. Второй вариант — использовать существующие учетные записи администратора путем синхронизации с локальным экземпляром Active Directory. Используйте существующие рабочие станции в домене Active Directory для управления и обеспечения безопасности.

Управление подключенными клиентами

Вашему отделу безопасности требуется возможность контроля для оценки рисков и определения того, соблюдаются ли политики организации и нормативные требования. Необходимо сделать так, чтобы ваш отдел безопасности мог контролировать все подписки, подключенные к рабочей среде и сети (через Azure ExpressRoute или VPN типа "сеть — сеть"). Глобальный администратор в Azure AD может повысить свои разрешения на доступ до роли администратора доступа пользователей, чтобы просматривать все подписки и управляемые группы, подключенные к среде.

Чтобы вы и ваша группа безопасности могли просматривать все подписки и группы управления, подключенные к среде, см. статью Повышение прав доступа для управления всеми подписками Azure и группами управления. После оценки рисков доступ с повышенными правами следует отменить.

Доступ с единым входом

В современном мире мобильных и облачных технологий может потребоваться включить единый вход (SSO) в устройства, приложения и службы из любого места, чтобы пользователи могли эффективно работать где угодно и когда угодно. Наличие нескольких управляемых решений для удостоверений создает проблему администрирования не только для ИТ-специалистов, но и для пользователей, ведь им придется запомнить несколько паролей.

Единый вход можно включить с помощью одного решения для удостоверений для всех приложений и ресурсов. Ваши пользователи смогут использовать одни и те же учетные данные для входа в систему и получения доступа к ресурсам независимо от того, где они находятся — в локальном расположении или в облаке.

Рекомендация. Включите единый вход.
Сведения. Azure AD расширяет локальную службу Active Directory в облако. Пользователи могут использовать свои основные рабочие или учебные учетные записи для присоединенных к домену устройств, ресурсов компании и всех веб- и SaaS-приложений, необходимых для решения поставленных задач. Пользователям не нужно помнить несколько наборов учетных данных. Доступ к приложениям предоставляется или отменяется автоматически на основе членства в группах организации и статуса конкретного сотрудника. Вы можете также управлять доступом к приложениям из коллекции или к собственным локальным приложениям, разработанным и опубликованным с помощью прокси приложения Azure AD.

Предоставьте пользователям возможность единого входа, чтобы они могли получать доступ к приложениям SaaS, используя рабочую или учебную учетную запись в Azure AD. Это применимо не только к приложениям SaaS корпорации Майкрософт, но и к другим приложениям, таким как Google Apps и Salesforce. Приложение можно настроить для использования Azure AD в качестве поставщика удостоверений на основе SAML. Azure AD из соображений безопасности не выдает токен, который позволяет войти в приложение, если у пользователя нет права на доступ к приложению в Azure AD. Вы можете предоставить пользователю такое право напрямую или через одну из групп, в которые он входит.

В организациях, которые не создают общее удостоверение для включения единого входа для своих пользователей и приложений, чаще возникают ситуации, когда пользователям приходится иметь несколько паролей. Такие ситуации повышают вероятность повторного использования паролей или применения ненадежных паролей.

Включение условного доступа

Пользователи могут откуда угодно обращаться к ресурсам организации с помощью различных устройств и приложений. Как ИТ-администратор, вы хотите, чтобы эти устройства соответствовали стандартам безопасности и соответствия требованиям. Уже недостаточно просто указать, кто имеет доступ к ресурсу.

Чтобы установить баланс между безопасностью и производительностью, перед выбором решения по управлению доступом необходимо подумать о способе доступа к ресурсам. Это требование можно выполнить с помощью условного доступа Azure AD. Благодаря условному доступу вы можете внедрять автоматизированные решения управления доступом на основе условий доступа к облачным приложениям.

Рекомендация. Управляйте доступом к корпоративным ресурсам.
Сведения. Настройте в Azure AD общие политики условного доступа на основе группы, расположения и конфиденциальности приложения для приложений SaaS и подключенных приложений Azure AD.

Рекомендация. Блокируйте устаревшие протоколы проверки подлинности. Сведения. Злоумышленники используют слабые места в устаревших протоколах каждый день, особенно при атаках путем распыления пароля. Настройте условный доступ так, чтобы устаревшие протоколы блокировались.

Планирование улучшений для рутинных процедур обеспечения безопасности

Технологии обеспечения безопасности постоянно развиваются, поэтому в облачной среде и платформе управления удостоверениями важно предусмотреть средства для регулярной проверки развития и обнаружения новых способов защиты среды.

Оценка безопасности удостоверений — это набор рекомендуемых средств безопасности, публикуемых корпорацией Майкрософт. Он позволяют объективно оценить в числовой форме уровень безопасности среды и спланировать будущие улучшения. Вы также можете сравнить свою оценку с оценками представителей других отраслей и просмотреть собственные тренды с течением времени.

Рекомендация. Спланируйте проверки и улучшения рутинных процедур обеспечения безопасности в соответствии с отраслевыми рекомендациями. Сведения. Используйте функцию "Оценка безопасности удостоверений" для ранжирования улучшений с течением времени.

Включение управления паролями

Если у вас несколько клиентов или нужно предоставить пользователям возможность сбрасывать свои пароли самостоятельно, то важно использовать надлежащие политики безопасности, чтобы предотвратить использование этой возможности не по назначению.

Рекомендация. Настройте самостоятельный сброс пароля (SSPR) для пользователей.
Сведения. Используйте функцию самостоятельного сброса пароля в Azure AD.

Рекомендация. Отслеживайте, как используется SSPR или используется ли эта функция вообще.
Сведения. Ведите мониторинг пользователей, которые выполняют регистрацию, с помощью отчета о действии регистрации сброса пароля в Azure AD. Функция создания отчетов, предоставляемая в Azure AD, поможет ответить на вопросы с помощью готовых отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.

Рекомендация. Распространите облачные политики паролей на локальную инфраструктуру. Сведения. Улучшайте политики паролей в организации, выполняя те же проверки для изменений локальных паролей, что и для изменений паролей в облаке. Установите защиту паролем Azure AD локально для агентов Windows Server Active Directory. Это позволит расширить списки заблокированных паролей в имеющейся инфраструктуре. Пользователи и администраторы, которые меняют, устанавливают или сбрасывают пароли в локальной среде, обязаны соблюдать ту же политику паролей, что и облачные пользователи.

Применение многофакторной идентификации для пользователей

Рекомендуется требовать двухфакторную проверку подлинности для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).

Существует несколько способов, с помощью которых можно требовать двухфакторную проверку подлинности. Наилучший вариант зависит от поставленных целей, используемого выпуска Azure AD и программы лицензирования. Сведения по определению подходящего варианта см. в статье Включение двухфакторной проверки подлинности пользователя. Дополнительные сведения о лицензиях и ценах см. на страницах цен на Azure AD и многофакторную проверку подлинности Azure AD.

Ниже приводятся варианты и преимущества включения двухфакторной проверки подлинности.

Вариант 1. Включите многофакторную проверку подлинности для всех пользователей и методов входа в систему с помощью преимущества "Параметры безопасности Azure AD по умолчанию": Этот позволяет легко и быстро применять многофакторную проверку подлинности для всех пользователей в среде со строгой политикой в следующих целях:

  • запрос административных учетных записей и административных механизмов входа;
  • обязательный запрос многофакторной проверки подлинности через Microsoft Authenticator для всех пользователей;
  • ограничение использования устаревших протоколов проверки подлинности.

Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. См. дополнительные сведения о параметрах безопасности Azure AD по умолчанию.

Вариант 2. Включение Многофакторной идентификации путем изменения состояния пользователя.
Преимущество. Это традиционный метод применения двухфакторной проверки подлинности. Он работает в службе Многофакторной проверки подлинности Azure AD в облаке и на сервере Многофакторной идентификации Azure. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.

Чтобы определить, когда следует включать многофакторную проверку подлинности, см. статью Какая версия Многофакторной проверки подлинности Azure AD подходит организации.

Вариант 3. Включение Многофакторной идентификации с политикой условного доступа. Преимущество. Этот вариант позволяет запрашивать двухфакторную проверку подлинности при определенных условиях с помощью условного доступа. Это может быть вход пользователей из разных расположений, с недоверенных устройств или приложений, которые считаются опасными. Определение конкретных условий, в которых следует требовать двухфакторную проверку подлинности, позволяет избежать постоянных обращений к пользователю.

Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для Многофакторной проверки подлинности Azure AD в облаке и является компонентом уровня "Премиум" в Azure AD. Дополнительные сведения об этом методе см. в статье Развертывание облачной службы Многофакторной проверки подлинности Azure AD.

Вариант 4. Включение многофакторной проверки подлинности с политиками условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот вариант позволяет:

  • обнаруживать потенциальные уязвимости, которые могут повлиять на удостоверения организации;
  • настраивать автоматические ответы при обнаружении подозрительных действий, связанных с учетными записями организации;
  • анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Этот метод использует оценку рисков защиты идентификации Azure AD, чтобы определить необходимость требования двухфакторной проверки подлинности на основе риска пользователя и входа для всех облачных приложений. Этот метод требует лицензирования Azure Active Directory P2. Дополнительные сведения об этом методе см. в статье Защита идентификации Azure Active Directory.

Примечание

Вариант 2, предусматривающий включение многофакторной проверки подлинности путем изменения состояния пользователя, переопределяет политики условного доступа. Так как в вариантах 3 и 4 используются политики условного доступа, с ними нельзя применять вариант 2.

Организации, не использующие дополнительные уровни защиты идентификации, например двухфакторную проверку подлинности, более уязвимы к атакам путем кражи учетных данных. Атаки такого типа могут привести к компрометации данных.

Использование управления доступом на основе ролей

Управление доступом к облачным ресурсам является критически важной функцией в любой организации, использующей облако. Управление доступом на основе ролей Azure (RBAC Azure) позволяет управлять доступом пользователей к ресурсам Azure, включая настройку разрешений на выполнение операций с этими ресурсами и определение областей доступа.

Назначение групп или отдельных ролей, ответственных за определенные функции в Azure, помогает избежать путаницы, которая может привести к человеческим ошибкам и ошибкам средств автоматизации, влекущим риски безопасности. Ограничение доступа согласно принципам безопасности (принцип предоставления доступа только в тех случаях и в той степени, в которой знание такой информации будет необходимо, а также принцип предоставления минимальных прав) крайне важно для организаций, которым требуется применять политики безопасности для доступа к данным.

Вашей группе безопасности требуется контролировать ресурсы Azure для оценки и устранения рисков. Если у группы безопасности есть эксплуатационные обязанности, ей требуются дополнительные разрешения для работы.

Управление доступом на основе ролей (RBAC) можно использовать для назначения пользователям, группам и приложениям разрешений, действующих в рамках определенной области. Областью назначения роли может быть подписка, группа ресурсов или отдельный ресурс.

Рекомендация. Распределите обязанности внутри команды и предоставьте пользователям доступ на уровне, который им необходим для выполнения поставленных задач. Вместо того чтобы предоставить всем неограниченные разрешения для подписки Azure или ресурсов, можно разрешить только определенные действия в конкретной области. Сведения. Назначайте пользователям привилегии с помощью встроенных ролей в Azure.

Примечание

Определенные разрешения создают лишнюю сложность и путаницу, образуя "устаревшую" конфигурацию, которую трудно исправить, не нарушив работу каких-либо компонентов. Избегайте использования разрешений для конкретных ресурсов. Вместо этого используйте группы управления для управления разрешениями в масштабах предприятия и группы ресурсов для управления разрешениями в подписках. Избегайте использования разрешений для конкретных пользователей. Вместо этого назначьте доступ для групп в Azure AD.

Рекомендация. Предоставьте группам безопасности, отвечающим за Azure, доступ к ресурсам Azure, чтобы они могли оценивать и устранять риски. Сведения. Предоставьте группам безопасности роль RBAC Azure Читатель сведений о безопасности. Вы можете использовать корневую группу управления или группу управления сегментом в зависимости от области ответственности:

  • корневая группа управления для рабочих групп, ответственных за все корпоративные ресурсы;
  • группа управления сегментом для рабочих групп с ограниченной областью ответственности (обычно в связи с нормативными требованиями или другими организационными границами).

Рекомендация. Предоставьте соответствующие разрешения группам безопасности, которые имеют прямые эксплуатационные обязанности. Сведения. Проверьте встроенные роли RBAC Azure для соответствующего назначения ролей. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать настраиваемые роли Azure. Пользовательские роли, так же как и встроенные, можно назначать пользователям, группам и субъектам-службам в рамках подписки, группы ресурсов или области ресурсов.

Рекомендации. Предоставьте Microsoft Defender для облака доступ к ролям безопасности, которым он необходим. Defender для облака позволяет группам безопасности быстро обнаруживать и устранять риски. Сведения. Добавьте группы безопасности с такими потребностями к роли Azure RBAC Администратор системы безопасности, чтобы они могли просматривать политики безопасности и состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также закрывать предупреждения и рекомендации. Для этого можно использовать корневую группу управления или группу управления сегментом в зависимости от области ответственности.

Если организация не применяет такие возможности, как Azure RBAC, для контроля доступа к данным, пользователям будет предоставлено больше привилегий, чем необходимо для выполнения назначенных им задач. Это может повлечь компрометацию данных, если пользователям предоставлен доступ к данным определенных типов (например, важным бизнес-данным), которые не предназначены для них.

Снижение подверженности риску привилегированных учетных записей

Защита привилегированного доступа — исключительно важный первый шаг для защиты корпоративных ресурсов. Сведение к минимуму числа пользователей, имеющих доступ к защищенным сведениям или ресурсам, снижает вероятность того, что такой доступ получит злоумышленник или что авторизованный пользователь непреднамеренно повлияет на критический ресурс.

Привилегированные учетные записи — это учетные записи, которые администрируют ИТ-системы и управляют ими. Злоумышленники в Интернете обычно используют эти учетные записи для доступа к данным и системам организации. Чтобы защитить привилегированный доступ, необходимо исключить риск доступа пользователей-злоумышленников к учетным записям и системам.

Рекомендуется разработать и следовать стратегии для обеспечения защиты привилегированного доступа от кибератак. Сведения о разработке стратегии защиты удостоверений и доступа, управляемых в Azure AD, Microsoft Azure, Microsoft 365 и других облачных службах, см. в статье Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD.

Далее приводится сводка рекомендаций из статьи Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD.

Рекомендация. Администрируйте, контролируйте и отслеживайте доступ к привилегированным учетным записям.
Сведения. Включение Управление привилегированными пользователями Azure AD. После включения этой функции вы получите уведомления по электронной почте об изменении ролей привилегированного доступа. Эти уведомления предоставляют раннее предупреждение, когда дополнительные пользователи добавляются к высокопривилегированным ролям в вашем каталоге.

Рекомендация. Убедитесь в том, что все критически важные учетные записи администратора являются управляемыми учетными записями Azure AD. Сведения. Удалите все учетные записи потребителей из критически важных ролей администратора (например, учетные записи Майкрософт, такие как hotmail.com, live.com и outlook.com).

Рекомендация. Убедитесь в том, что все критически важные роли администратора имеют отдельную учетную запись для административных задач, чтобы избежать фишинга и других атак, направленных на получение прав администратора. Сведения. Создайте отдельную учетную запись администратора, которой назначены права, необходимые для выполнения административных задач. Запретите использовать эти административные учетные записи для повседневной работы со средствами повышения производительности, такими как электронная почта Microsoft 365, или для произвольного просмотра веб-страниц.

Рекомендация. Определяйте и классифицируйте учетные записи, которые находятся в высокопривилегированных ролях.
Сведения. После включения управления привилегированными пользователями Azure AD просмотрите пользователей, которые находятся в ролях "Глобальный администратор", "Администратор привилегированных ролей" и других высокопривилегированных ролях. Удалите все учетные записи, которые больше не нужны в этих ролях, и классифицируйте остальные учетные записи, назначенные ролям администратора:

  • индивидуально назначается пользователями с правами администратора и может использоваться для неадминистративных целей (например, персональная электронная почта);
  • индивидуально назначается пользователями с правами администратора и предназначена только для административных целей;
  • совместно используется несколькими пользователями;
  • для сценариев аварийного доступа;
  • для автоматических скриптов;
  • для внешних пользователей.

Рекомендация. Реализуйте JIT-доступ для дополнительного сокращения времени подверженности привилегий рискам и повышения уровня осведомленности об использовании привилегированных учетных записей.
Сведения. Управление привилегированными пользователями Azure AD позволяет:

  • ограничивать пользователей только привилегиями JIT-доступа;
  • назначать роли на короткий период с автоматическим отзывом привилегий.

Рекомендация. Определите по крайней мере две учетные записи аварийного доступа.
Сведения. Учетные записи аварийного доступа помогают организациям ограничить привилегированный доступ в имеющейся среде Azure Active Directory. Такие учетные записи имеют высокий уровень привилегий и не присвоены конкретным лицам. Учетные записи для аварийного доступа ограничены ситуациями, в которых невозможно использовать обычные учетные записи администратора. Организации должны ограничивать использование учетной записи для аварийного доступа только при необходимости.

Оцените учетные записи, которые назначены или могут получить роль глобального администратора. Если вы не видите облачные учетные записи, использующие домен *.onmicrosoft.com(предназначенный для аварийного доступа), создайте их. Дополнительные сведения см. в статье Управление учетными записями администратора для аварийного доступа в Azure AD.

Рекомендация. Реализуйте аварийный процесс на случай экстренной ситуации. Сведения. Выполните инструкции, приведенные в статье Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD.

Рекомендация. Сделайте так, чтобы для всех критически важных учетных записей администраторов не требовался пароль (предпочтительно) или требовалась многофакторная проверка подлинности. Сведения. Используйте приложение Microsoft Authenticator для входа в любую учетную запись Azure AD без пароля. Как и Windows Hello для бизнеса, Microsoft Authenticator использует проверку подлинности на основе ключей, привязывает учетные данные пользователя к определенному устройству и применяет биометрические данные или ПИН-код.

Требуйте прохождения многофакторной проверки подлинности Azure AD при входе в систему для всех отдельных пользователей, которым постоянно назначена одна или несколько из ролей администраторов Azure AD: "Глобальный администратор", "Администратор привилегированных ролей", "Администратор Exchange Online" и "Администратор SharePoint Online". Включите многофакторную проверку подлинности для учетных записей администраторов и зарегистрируйте пользователей учетных записей администраторов.

Рекомендация. Для критически важных учетных записей администраторов используйте рабочую станцию администратора, на которой запрещено выполнять рабочие задачи (например, просматривать веб-страницы и электронную почту). Это защитит учетные записи администраторов от векторов атак, использующих веб-страницы и электронную почту, и значительно снизит риск возникновения серьезных инцидентов. Сведения. Используйте рабочую станцию администратора. Выберите уровень безопасности рабочей станции:

  • защищенные рабочие устройства обеспечивают повышенную безопасность при просмотре веб-страниц и выполнении других рабочих задач.
  • Рабочие станции с привилегированным доступом предоставляют выделенную операционную систему для выполнения конфиденциальных задач, защищенную от атак из Интернета и векторов угроз.

Рекомендация. Отзывайте учетные записи администраторов, когда сотрудники покидают организацию. Сведения. Реализуйте процесс, который отключает или удаляет учетные записи администраторов, когда сотрудники покидают организацию.

Рекомендация. Регулярно тестируйте учетные записи администраторов на устойчивость к текущим методам атак. Сведения. Используйте эмулятор атак Microsoft 365 или стороннее предложение для воссоздания реалистичных сценариев атак в организации. Это поможет выявить уязвимых пользователей до того, как произойдет реальная атака.

Рекомендация. Устраните риски, связанные с наиболее часто используемыми методами атак.
Сведения. Определение учетных записей Майкрософт в административных ролях, которые необходимо переключить на использование рабочих или учебных учетных записей.

Обеспечение отдельных учетных записей пользователей и перенаправление почты для глобальных учетных записей администратора

Проверка того, что пароли административных учетных записей недавно изменялись

Включение синхронизации хэша паролей

Настройка принудительного прохождения многофакторной идентификации для пользователей во всех привилегированных ролях, а также пользователей важных учетных записей

Получение оценки безопасности Microsoft 365 (при использовании Microsoft 365)

Руководство по безопасности Microsoft 365 (при использовании Microsoft 365)

Настройка мониторинга действий Microsoft 365 (при использовании Microsoft 365)

Определение владельцев плана реагирования на инциденты или чрезвычайные ситуации

Защита локальных привилегированных учетных записей

Если не уделять должное внимание защите привилегированного доступа, может оказаться, что привилегированные роли назначаются слишком большому количеству пользователей, которые становятся все более уязвимыми для атак. Злоумышленники, в том числе киберпреступники, часто совершают атаки на учетные записи администраторов и другие объекты привилегированного доступа, чтобы получить доступ к конфиденциальным данным и системам путем кражи учетных данных.

Управление расположениями, в которых находятся ресурсы

Давая облачным операторам возможность выполнять задачи, очень важно не позволять им нарушать соглашения, которые необходимы для управления ресурсами организации. Организациям, которые хотят контролировать то, в каких расположениях создаются ресурсы, следует жестко задать соответствующие расположения.

Можно воспользоваться Azure Resource Manager и создать политики безопасности с определениями, описывающими действия или ресурсы, которые следует отклонять в первую очередь. Эти определения политик назначаются для нужной области, такой как подписка, группа ресурсов или отдельный ресурс.

Примечание

Политики безопасности отличаются от RBAC Azure. Фактически, они используют RBAC Azure, чтобы авторизовать пользователей для создания этих ресурсов.

Организации, которые не контролируют то, как создаются ресурсы, более предрасположены к злоупотреблению со стороны пользователей, создающих больше ресурсов, чем требуется. Усиление безопасности создания ресурса — это важный шаг по обеспечению безопасности в сценариях с несколькими клиентами.

Активный мониторинг подозрительных действий

Система активного мониторинга удостоверений может быстро обнаруживать подозрительное поведение и создавать оповещение для дальнейшего изучения. В следующей таблице перечислены две возможности Azure AD, которые могут помочь организациям наблюдать за удостоверениями.

Рекомендация. Предусмотрите метод для идентификации следующих угроз:

Сведения. Используйте отчеты об аномалиях в Azure AD Premium. Предусмотрите процессы и процедуры, которые ИТ-администраторам следует выполнять для ежедневного составления этих отчетов или их создания по требованию (обычно в сценарии реагирования на инциденты).

Рекомендация. Предусмотрите активную систему мониторинга, которая уведомляет о рисках и может настроить уровень риска (высокий, средний или низкий) в соответствии с требованиями бизнеса.
Сведения. Используйте защиту идентификации Azure AD, которая помечает текущие риски на панели мониторинга и отправляет ежедневные сводные уведомления по электронной почте. Для защиты удостоверений организации можно настроить политики на основе рисков, которые автоматически реагируют на обнаруженные проблемы в случае достижения указанного уровня риска.

Организации, которые не проводят активный мониторинг систем идентификации, подвержены риску компрометации учетных данных пользователей. Не зная о подозрительных действиях, выполненных с использованием этих учетных данных, организации не смогут устранить угрозы такого типа.

Использование Azure AD для проверки подлинности хранилища

Служба хранилища Azure поддерживает проверку подлинности и авторизацию с помощью Azure AD для хранилищ больших двоичных объектов и очередей. Благодаря проверке подлинности Azure AD вы можете использовать управление доступом на основе ролей Azure для предоставления определенных разрешений пользователям, группам и приложениям в области отдельных контейнеров больших двоичных объектов или очередей.

Мы рекомендуем использовать Azure AD для проверки подлинности доступа к хранилищу.

Следующий шаг

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.