Привилегированный доступ: интерфейсы
Критически важный компонент защиты привилегированного доступа — это применение политики "Никому не доверяй" для обеспечения соответствия устройств, учетных записей и посредников требованиям безопасности перед предоставлением доступа.
Эта политика гарантирует, что пользователи и устройства, инициирующие входящий сеанс, являются известными, надежными и правомочными для получения доступа к ресурсу (через интерфейс). Принудительное применение политики выполняется подсистемой политики условного доступа Microsoft Entra, которая оценивает политику, назначенную конкретному интерфейсу приложения (например, портал Azure, Salesforce, Office 365, AWS, Workday и т. д.).
В этом руководстве определены три уровня безопасности интерфейсов, которые можно использовать для ресурсов с разными уровнями конфиденциальности. Эти уровни настраиваются в плане ускоренной модернизации для защиты привилегированного доступа (RAMP) и соответствуют уровням безопасности учетных записей и устройств.
Требования к безопасности входящих сеансов для интерфейсов применяются к учетным записям и исходному устройству, будь это прямое подключение с физических устройств или промежуточного сервера удаленных рабочих столов или сервера переходов. Посредники могут принимать сеансы с личных устройств для обеспечения уровня безопасности предприятия (для некоторых сценариев), но специализированные или привилегированные посредники не должны разрешать подключения от более низких уровней из-за конфиденциальности безопасности их ролей.
Примечание.
Эти технологии обеспечивают надежное комплексное управление доступом к интерфейсу приложения, но сам ресурс также должен быть защищен от атак по внешним каналам на код или функциональные возможности приложения, атак посредством неисправленных уязвимостей или ошибок конфигурации в базовой операционной системе или встроенном ПО, а также атак на неактивные и передаваемые данных, логистические цепочки или других типов атак.
Обязательно оцените и выявите риски для самих ресурсов, чтобы обеспечить полную защиту. Корпорация Майкрософт предоставляет средства и рекомендации, которые помогут вам в этом, включая Microsoft Defender для облака, оценку безопасности Майкрософт и руководство по моделированию угроз.
Примеры интерфейсов
Интерфейсы бывают различного типа, как правило это:
- веб-сайты облачных служб и приложений, такие как портал Azure, AWS, Office 365;
- консоль для настольных систем, используемая для управления локальным приложением (консоль управления Майкрософт (MMC) или пользовательское приложение);
- интерфейс управления сценариями или консольный интерфейс, например Secure Shell (SSH) или PowerShell.
Хотя некоторые из них поддерживают принудительное применение нулевого доверия через подсистему политики условного доступа Microsoft Entra, некоторые из них должны быть опубликованы через посредника, например прокси приложения Microsoft Entra или удаленный рабочий стол или сервер перехода.
Безопасность интерфейса
Конечной целью защиты интерфейса является гарантия того, что каждый входящий сеанс в нем является известным, доверенным и разрешенным:
- известный: пользователь прошел строгую проверку подлинности, а его устройство аутентифицировано (за исключением личных устройств, использующих удаленный рабочий стол или решение VDI для корпоративного доступа);
- доверенный: работоспособность системы безопасности явным образом проверена и применена к учетным записям и устройствам с помощью подсистемы политики "Никому не доверяй";
- Разрешено. Доступ к ресурсам следует принципу наименьших привилегий с помощью сочетания элементов управления, чтобы обеспечить доступ только к ним.
- для соответствующих пользователей;
- в соответствующее время (JIT-доступ, а не постоянный доступ);
- посредством правильного рабочего процесса утверждения (при необходимости);
- на приемлемом уровне риска или доверия.
Элементы управления безопасностью интерфейса
Для определения гарантий безопасности интерфейса необходимо сочетание элементов управления безопасностью, включая следующие:
- Применение политики нулевого доверия — использование условного доступа для обеспечения соответствия входящих сеансов требованиям:
- Доверие устройств для обеспечения минимального значения устройства:
- управляется предприятием;
- обладает возможностями обнаружения конечных точек и ответа им;
- соответствует требованиям конфигурации, установленным в организации;
- не заражено или не подвергается атаке во время сеанса.
- Доверие пользователей достаточно высоко на основе сигналов, включая:
- Использование многофакторной проверки подлинности во время начального входа (или добавлено позже для повышения доверия)
- соответствие сеанса закономерностям поведения в прошлом;
- активацию учетной записью или текущим сеансом каких-либо оповещений на основе аналитики угроз;
- риск Защита идентификации Microsoft Entra
- Доверие устройств для обеспечения минимального значения устройства:
- Модель управления доступом на основе ролей (RBAC), которая сочетает в себе корпоративные группы каталогов и разрешения, а также роли, группы и разрешения для конкретных приложений.
- Рабочие процессы JIT-доступа, обеспечивающие выполнение конкретных требований (одноранговые утверждения, журнал аудита, срок действия привилегированного доступа и т. д.) перед предоставлением привилегий учетной записи.
Уровни безопасности интерфейса
В этом руководстве определяются три уровня безопасности. Дополнительные сведения об этих уровнях см. в статье "Keep it Simple - Personas and Profiles" (Все просто: пользователи и профили). Руководство по реализации см. в разделе о плане ускоренной модернизации системы безопасности.
Корпоративный интерфейс
Безопасность корпоративного интерфейса подходит для всех корпоративных пользователей и сценариев повышения производительности. Корпоративный интерфейс также выступает в качестве отправной точки для рабочих нагрузок повышенной конфиденциальности, на основе которых можно постепенно создавать уровни гарантий специализированного и привилегированного доступа.
- Применение политики нулевого доверия — на входящих сеансах с помощью условного доступа, чтобы обеспечить безопасность пользователей и устройств на корпоративном или более высоком уровне
- Устройства BYOD, персональные устройства и управляемые партнером устройства могут подключаться, если они используют корпоративный посредник, например выделенный виртуальный рабочий стол Windows или аналогичное решение на основе сервера удаленных рабочих столов либо сервера переходов.
- Управление доступом на основе ролей (RBAC): модель должна обеспечивать администрирование приложений только посредством ролей на специализированном или привилегированном уровне безопасности.
Специализированный интерфейс
Элементы управления безопасностью для специализированных интерфейсов должны включать в себя:
- Применение политики "Никому не доверяй": входящие сеансы должны использовать условный доступ, чтобы обеспечить защиту пользователей и устройств на специализированном или привилегированном уровне безопасности.
- Управление доступом на основе ролей (RBAC): модель должна обеспечивать администрирование приложений только посредством ролей на специализированном или привилегированном уровне безопасности.
- Только во время доступа к рабочим процессам (необязательно) — которые применяют минимальные привилегии, обеспечивая использование привилегий только авторизованными пользователями во время их необходимости.
Привилегированный интерфейс
Элементы управления безопасностью для привилегированных интерфейсов должны включать в себя
- Применение политики "Никому не доверяй": входящие сеансы должны использовать условный доступ, чтобы обеспечить защиту пользователей и устройств на привилегированном уровне безопасности.
- Управление доступом на основе ролей (RBAC): модель должна обеспечивать администрирование приложений только посредством ролей на привилегированном уровне безопасности.
- Только во время доступа к рабочим процессам (обязательным), которые применяют минимальные привилегии, обеспечивая использование привилегий только авторизованными пользователями в течение времени, когда они необходимы.