Защита привилегированного доступа: посредники

Безопасность промежуточных устройств является критически важным компонентом защиты привилегированного доступа.

Посредники добавляют ссылку на цепочку контроля по модели "Никому не доверяй" для сквозного сеанса пользователя или администратора, поэтому они должны поддерживать (или улучшать) контроль безопасности по модели "Никому не доверяй" в сеансе. К примерам посредников относятся виртуальные частные сети, серверы переходов, инфраструктура виртуальных рабочих столов (VDI), а также публикация приложений с помощью прокси-серверов доступа.

Злоумышленник может атаковать посредника, чтобы попытаться расширить привилегии, используя хранимые на них учетные данные, получить удаленный доступ к корпоративным сетям или воспользоваться доверием на устройстве, если оно применяется для принятия решений о доступе по модели "Никому не доверяй". Целенаправленное воздействие на посредников получило слишком широкое распространение, особенно для организаций, которые не занимаются систематичной поддержкой уровня безопасности таких устройств. Например, учетные данные, полученные с VPN-устройств.

Цели и технологии посредников отличаются, однако они, как правило, обеспечивают удаленный доступ, безопасность сеансов или и то, и другое:

• Удаленный доступ — обеспечение доступа к системам в корпоративных сетях из Интернета
• Безопасность сеансов— повышение защиты и видимости сеанса
  • Сценарий неуправляемого устройства — предоставление доступа к управляемому виртуальному рабочему столу неуправляемым устройствам (например, личным устройствам сотрудников) и (или) устройствам, управляемым партнером или поставщиком.
  • Сценарий безопасности администратора — объединение административных путей и (или) повышение уровня безопасности с помощью JIT-доступа, мониторинга и записи сеансов, а также аналогичных возможностей.

Поддержание постоянного характера средств обеспечения безопасности от исходного устройства и учетной записи до интерфейса ресурсов требует понимания профиля риска посредника и вариантов его устранения.

Возможность и ценность для злоумышленника

Различные типы посредников выполняют уникальные функции, поэтому каждый из них требует собственного подхода к обеспечению безопасности. Тем не менее существует ряд важных общих черт, таких как быстрое применение обновлений системы безопасности к устройствам, встроенному ПО, операционным системам и приложениям.

Возможность злоумышленника представляется доступной поверхностью атаки, на которую может оказывать целенаправленной воздействие оператор атаки:

• Собственные облачные службы , такие как Microsoft Entra PIM, Бастион Azure и прокси приложения Microsoft Entra, предлагают ограниченную область атаки злоумышленникам. Хотя они предоставляются в общедоступном Интернете, клиенты (и злоумышленники) не имеют доступа к базовым операционным системам, предоставляющим службы, и они обычно поддерживаются и отслеживаются последовательно с помощью автоматизированных механизмов в поставщике облачных служб. Уменьшенная поверхность атаки ограничивает доступные злоумышленникам варианты по сравнению с классическими локальными приложениями и устройствами, которые необходимо настраивать, исправлять и контролировать при помощи ИТ-специалистов, часто перегруженных вследствие конфликта приоритетов и большего количества задач обеспечения безопасности, чем можно выполнить в рабочее время.
• Виртуальные частные сети (VPN) и серверы переходов / к удаленным рабочим столам часто имеют значительную возможность злоумышленника, так как они предоставляют доступ к Интернету для обеспечения удаленного доступа и обслуживания этих систем часто игнорируются. Несмотря на то, что доступ открыт только к нескольким сетевым портам, злоумышленникам для атаки зачастую требуется доступ только к одной службе, для которой не установлены обновления.
• Сторонние службы PIM и PAM часто размещаются локально или в качестве виртуальной машины в инфраструктуре как услуга (IaaS) и обычно доступны только для узлов интрасети. Хотя и не напрямую доступ к Интернету, один скомпрометированные учетные данные могут позволить злоумышленникам получить доступ к службе через VPN или другой носитель удаленного доступа.

Ценность для злоумышленника — то, что может получить злоумышленник в результате компрометации посредника. Под компрометацией понимается получение злоумышленником полного контроля над приложением или виртуальной машиной и (или) администратором клиентского экземпляра облачной службы.

Ниже перечислены некоторые компоненты, которые злоумышленники могут получать от посредника для следующего этапа атаки:

• Получение сетевого подключения для взаимодействия с большинством ресурсов или со всеми ресурсами в корпоративных сетях. Этот доступ обычно предоставляется VPN, а также решениями удаленного рабочего стола или серверов перехода. Хотя решения прокси приложения Microsoft Entra (или аналогичные сторонние решения) также предоставляют удаленный доступ, эти решения обычно являются подключениями к приложениям или серверам и не предоставляют общий сетевой доступ.
• Олицетворение удостоверения устройства может преодолеть механизмы модели "Никому не доверяй", если устройство требуется для проверки подлинности и (или) используется злоумышленником для сбора информации о целевых сетях. Группы информационной безопасности часто не отслеживают действия с учетными записями устройств, а занимаются только учетными записями пользователей.
• Кража учетных данных учетной записи с целью прохождения проверки подлинности в ресурсах, которые представляют для злоумышленников наибольшую ценность в связи с тем, что обеспечивают возможность повышения привилегий для доступа к конечной цели или выполнения следующего этапа атаки. Удаленный рабочий стол и серверы переходов и сторонние PIM/PAM являются наиболее привлекательными целевыми объектами и имеют динамический динамический параметр "Все яйца в одной корзине" с повышенным значением злоумышленника и устранением рисков безопасности:
  • Решения PIM и PAM обычно хранят учетные данные для большинства или даже всех привилегированных ролей в организации, что делает их крайне перспективной мишенью для компрометации или использования в качестве оружия.
  • Microsoft Entra PIM не предлагает злоумышленникам возможность кражи учетных данных, так как она разблокирует привилегии, уже назначенные учетной записи с помощью MFA или других рабочих процессов, но плохо разработанный рабочий процесс может позволить злоумышленнику повысить привилегии.
  • Удаленный рабочий стол или серверы переходов, используемые администраторами, предоставляют узел, через который проходят многие или все конфиденциальные сеансы, что позволяет злоумышленникам использовать стандартные средства для кражи и повторного использования учетных данных.
  • Виртуальные сети могут хранить учетные данные в решении, предоставляя злоумышленникам потенциальную кладовую эскалацию привилегий, что приводит к строгой рекомендации по использованию идентификатора Microsoft Entra для проверки подлинности для устранения этого риска.

Профили безопасности посредников

Для обеспечения такого контроля требуется сочетание элементов управления безопасностью. Одни из них являются общими для многих посредников, а другие предназначены для конкретного типа посредника.

Посредник — это звено цепочки "Никому не доверяй", которая представляет интерфейс для пользователей/устройств, а затем предоставляет доступ к следующему интерфейсу. Элементы управления безопасностью должны обращаться к входящим подключениям, обеспечивать безопасность самого промежуточного устройства, приложения или службы, а также (если применимо) передавать сигналы безопасности "Никому не доверяй" следующему интерфейсу.

Общие элементы управления безопасностью

Цель общих элементов обеспечения безопасности для посредников — поддержание гигиены безопасности для корпоративных и специализированных уровней с дополнительными ограничениями для безопасности использования привилегий.

Эти элементы управления безопасностью должны применяться ко всем типам посредников:

• Принудительное применение безопасности входящего подключения. Используйте идентификатор Microsoft Entra и условный доступ, чтобы гарантировать, что все входящие подключения с устройств и учетных записей известны, надежны и разрешены. Дополнительные сведения см. в статье "Защита привилегированных интерфейсов " для подробных определений требований к устройству и учетной записи для предприятий и специализированных.
• Надлежащее обслуживание системы . Все посредники должны соблюдать хорошие методики гигиены безопасности, включая:
  • Безопасная конфигурация — следуйте базовым показателям конфигурации производителя или отраслевым стандартам безопасности и рекомендациям как для приложения, так и для всех базовых операционных систем, облачных служб или других зависимостей. Применимые руководства корпорации Майкрософт включают базовые показатели безопасности Azure и базовые планы Windows.
  • Быстрое обновление путем частичной замены — обновления системы безопасности и исправления от поставщиков должны применяться быстро после выпуска.
• Модели управления доступом на основе ролей (RBAC) могут быть нарушены злоумышленниками для повышения привилегий. Модель RBAC посредника должна тщательно проверяться, чтобы обеспечить предоставление административных привилегий только авторизованным сотрудникам, защищенным на специализированном или привилегированном уровне. Эта модель должна включать в себя любые базовые операционные системы или облачные службы (пароль учетной записи root, пользователи или группы локального администратора, администраторы клиента и т. д.).
• Обнаружение конечных точек и ответ (EDR) и сигнал доверия исходящего трафика — устройства, включающие полную операционную систему, должны отслеживаться и защищаться с помощью EDR, например Microsoft Defender для конечной точки. Этот элемент управления должен быть настроен для предоставления сигналов соответствия устройств условному доступу, чтобы политика может применить это требование для интерфейсов.

Привилегированным посредникам требуются дополнительные элементы управления безопасностью:

• Управление доступом на основе ролей (RBAC) — права администратора должны ограничиваться только привилегированными ролями, которые соответствуют этому стандарту для рабочих станций и учетных записей.
• Выделенные устройства (необязательно) — из-за крайней конфиденциальности привилегированных сеансов организации могут выбрать реализацию выделенных экземпляров промежуточных функций для привилегированных ролей. Этот элемент управления обеспечивает дополнительные ограничения по безопасности для этих привилегированных посредников и более подробный мониторинг активности привилегированных ролей.

Руководство по безопасности для каждого типа посредника

Этот раздел содержит конкретные рекомендации по обеспечению безопасности, специальные для каждого типа посредника.

Privileged Access Management / управление привилегированными удостоверениями

Одним из типов посредников, предназначенных специально для использования в системе безопасности, являются решения по управлению привилегированными удостоверениями и управлению привилегированным доступом (PIM/PAM).

Варианты использования и сценарии для PIM/PAM

Решения PIM/PAM предназначены для повышения безопасности конфиденциальных учетных записей в рамках специализированных или привилегированных профилей и, как правило, сосредоточены в первую очередь у администраторов ИТ.

Несмотря на то, что функции поставщиков PIM/PAM различны, многие решения предоставляют следующие возможности обеспечения безопасности:

• Упрощенное управление учетными записями служб и сменой паролей (критическая функция)

• Предоставление расширенных рабочих процессов для JIT-доступа

• Запись и мониторинг сеансов администрирования

  Внимание

  Возможности PIM/PAM обеспечивают отличные способы устранения рисков для некоторых атак, но не устраняют многие риски привилегированного доступа, особенно риск компрометации устройств. Хотя некоторые поставщики и думают, что их решение PIM/PAM является "идеальным", позволяющим снизить риск для устройств, наш опыт, основанный на инцидентах, произошедших у клиентов, однозначно показал, что на практике эти решения не работают.

  Злоумышленник с контролем над рабочей станцией или устройством может использовать эти учетные данные (и привилегии, назначенные им), пока пользователь находится в системе, и часто может украсть учетные данные для последующего использования. Отдельное решение PIM/PAM не может постоянно и надежно контролировать и устранять эти риски, поэтому необходимо иметь отдельные средства защиты устройств и учетных записей, дополняющие друг друга.

Риски и рекомендации по безопасности для PIM/PAM

Возможности каждого поставщика PIM/PAM зависят от метода защиты, ознакомьтесь с наилучшими методиками и рекомендациями по настройке безопасности конкретного поставщика.

Примечание.

Убедитесь, что вы настроили второго пользователя в рабочих процессах, критически важных для бизнеса, чтобы снизить внутренний риск (это увеличивает затраты и замедление работы из-за потенциальной совокупности действий внутренних угроз).

Виртуальные частные сети конечных пользователей

Виртуальные частные сети (VPN) — это посредники, обеспечивающие полный сетевой доступ к удаленным конечным точкам. Как правило, требуется проверка подлинности конечного пользователя и возможность локального хранения учетных данных для проверки подлинности входящих сеансов пользователей.

Примечание.

Настоящее руководство относится только к виртуальным частным сетям, используемым пользователями, типа "точка — сайт", а не виртуальным частным сетям типа "сайт — сайт", которые обычно используются для подключения центра обработки данных и (или) приложений.

Варианты использования и сценарии для виртуальных частных сетей

Виртуальные частные сети устанавливают удаленное подключение к корпоративной сети, чтобы обеспечить доступ к ресурсам для пользователей и администраторов.

Риски и рекомендации по безопасности для виртуальных частных сетей

Самыми критическими рисками для посредников виртуальных частных сетей являются невнимательность при проведении технического обслуживания, проблемы конфигурации и локальное хранение учетных данных.

Корпорация Майкрософт рекомендует использовать для посредников виртуальных частных сетей комбинацию элементов управления:

• Интеграция проверки подлинности Microsoft Entra — для уменьшения или устранения риска локально хранимых учетных данных (и любых накладных расходов для их обслуживания) и применения политик нулевого доверия для входящих учетных записей или устройств с условным доступом. Рекомендации по интеграции см. в разделе
  • Интеграция Azure VPN Microsoft Entra
  • Включение проверки подлинности Microsoft Entra в VPN-шлюзе
  • Интеграция сторонних виртуальных сетей
    • Cisco Any Подключение
    • Портал авторизацииGlobalProtect и Palo Alto Networks
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • и другие
• Быстрое исправление . Убедитесь, что все организационные элементы поддерживают быстрое исправление, включая:
  • Спонсорское предложение организации и поддержка руководства по требованию
  • Стандартные технические процессы для обновления виртуальных частных сетей с минимальным или нулевым временем простоя. Этот процесс должен включать программное обеспечение VPN, устройства и все базовые операционные системы или встроенное ПО
  • Аварийные процессы для быстрого развертывания критически важных обновлений для системы безопасности
  • Управление для постоянного обнаружения и исправления любых пропущенных элементов
• Безопасная конфигурация — возможности каждого поставщика VPN зависят от метода защиты, ознакомьтесь с наилучшими методиками и рекомендациями по настройке безопасности конкретного поставщика
• Перейдите за рамки VPN . Замените виртуальные сети с течением времени более безопасными параметрами, такими как прокси приложения Microsoft Entra или Бастион Azure, так как они обеспечивают только прямой доступ к приложению или серверу, а не полный сетевой доступ. Кроме того, прокси приложения Microsoft Entra позволяет отслеживать сеансы для дополнительной безопасности с помощью приложений Microsoft Defender для облака.

Прокси приложения Microsoft Entra

Прокси приложения Microsoft Entra и аналогичные сторонние возможности обеспечивают удаленный доступ к устаревшим и другим приложениям, размещенным локально или на виртуальных машинах IaaS в облаке.

Варианты использования и сценарии для прокси приложения Microsoft Entra

Это решение подходит для публикации устаревших приложений для работы конечных пользователей в Интернете. Кроме того, решение можно использовать для публикации некоторых административных приложений.

Риски безопасности и рекомендации для прокси приложения Microsoft Entra

Прокси приложения Microsoft Entra эффективно перенастройки современных политик нулевого доверия к существующим приложениям. Дополнительные сведения см. в разделе "Вопросы безопасности" для прокси приложения Microsoft Entra

Прокси приложения Microsoft Entra также может интегрироваться с Microsoft Defender для облака Apps для добавления безопасности сеанса управления условным доступом к следующим параметрам:

• Предотвращение кражи данных
• Защита при скачивании
• Запрещение отправки файлов без метки
• Мониторинг пользовательских сеансов на соответствие
• Заблокировать доступ
• Блокирование действий пользователя

Дополнительные сведения см. в статье "Развертывание Defender для облака Приложения с условным доступом для приложений Microsoft Entra"

При публикации приложений с помощью прокси приложения Microsoft Entra корпорация Майкрософт рекомендует, чтобы владельцы приложений работали с командами безопасности, чтобы следовать минимальным привилегиям и обеспечить доступ к каждому приложению доступен только пользователям, которым он требуется. При развертывании дополнительных приложений таким образом вы можете смещать некоторые конечные пользователи, указывающие на использование VPN сайта.

Удаленный рабочий стол/сервер перехода

Этот сценарий предоставляет полноценную среду выполнения рабочего стола, в которой работает одно или несколько приложений. Это решение имеет несколько различных вариантов, в том числе:

• Интерфейсы — полный рабочий стол в окне или в проецируемом интерфейсе одного приложения
• Удаленный узел— может быть общей виртуальной машиной или выделенной виртуальной машиной рабочего стола с помощью виртуального рабочего стола Windows (WVD) или другого решения инфраструктура виртуальных рабочих столов (VDI).
• Локальное устройство — может быть мобильным устройством, управляемой рабочей станцией или личной или партнерской управляемой рабочей станцией.
• Сценарий . Ориентировано на приложения для повышения производительности пользователей или на административные сценарии, часто называемые "сервером перехода"

Варианты использования и рекомендации по безопасности для удаленного рабочего стола/сервера перехода

Самые распространенные конфигурации:

• Протокол прямого удаленного рабочего стола (RDP) — эта конфигурация не рекомендуется использовать для подключений к Интернету, так как протокол RDP является протоколом, который имеет ограниченную защиту от современных атак, таких как распыление паролей. Прямой RDP должен быть преобразован в любой из следующих вариантов:
  • RDP через шлюз, опубликованный прокси приложения Microsoft Entra
  • Бастион Azure
• RDP через шлюз с помощью
  • Служб удаленного рабочего стола (RDS), включенных в сервер Windows. Публикация с помощью прокси приложения Microsoft Entra.
  • Виртуальный рабочий стол Windows (WVD) — следуйте рекомендациям по обеспечению безопасности виртуальных рабочих столов Windows.
  • Сторонние решения VDI — следуйте рекомендациям производителя или отрасли или примените инструкции руководства WVD к своему решению
• Сервер Secure Shell (SSH) — предоставление удаленной оболочки и сценариев для технологических отделов технологий и владельцев рабочих нагрузок. Защита этой конфигурации должна включать:
  • Соблюдайте рекомендации производителя и отраслевые рекомендации по безопасной настройке, измените все пароли, заданные по умолчанию (если применимо), используйте ключи SSH вместо паролей, организуйте безопасное хранение ключей SSH и обращение ими.
  • Использование Бастиона Azure для удаленного доступа к ресурсами по SSH, размещенными в Azure — подключение к виртуальной машине Linux с помощью Бастиона Azure

Бастион Azure

Бастион Azure — это посредник, который предназначен для обеспечения безопасного доступа к ресурсам Azure с помощью браузера и портала Azure. Бастион Azure предоставляет доступ к ресурсам в Azure, поддерживающий протокол удаленного рабочего стола (RDP) и протокол Secure Shell (SSH).

Варианты использования и сценарии для Бастиона Azure

Бастион Azure эффективно предоставляет гибкое решение, которое может использоваться операторским персоналом ИТ и администраторами рабочих нагрузок за пределами ИТ для управления ресурсами, размещенными в Azure, без полного VPN-подключения к среде.

Риски и рекомендации по безопасности для Бастиона Azure

Доступ к Бастиону Azure осуществляется с помощью портала Azure, поэтому необходимо убедиться, что интерфейс портала Azure требует соответствующего уровня безопасности для ресурсов в нем и ролей, использующих его; как правило, это привилегированный или специализированный уровень.

Дополнительные рекомендации доступны в документации по Бастиону Azure

Следующие шаги

• Общие сведения о защите привилегированного доступа
• Стратегия привилегированного доступа
• Измерение успеха
• Уровни безопасности
• Учетные записи привилегированного доступа
• Интерфейсы
• Устройства с привилегированным доступом
• Корпоративная модель доступа