Идентификация в практикуме Microsoft "Никому не доверяй"

В модели "Никому не доверяй" идентичность является базовой плоскостью управления. Каждое решение о предоставлении доступа к устройству, приложению или ресурсу данных начинается с проверки того, кто такой пользователь, какими привилегиями он обладает и соответствует ли его контекст политике.

Аспект Identity в семинаре "Никому не доверяй" гарантирует, что организации следуют принципам "Никому не доверяй" (явно проверять, соблюдать принцип минимально необходимых привилегий и исходить из возможности компрометации) в отношении всех удостоверений. Он предоставляет приоритизированный список задач по внедрению с конкретными действиями для модернизации средств управления идентификацией.

Руководство по проведению семинара по компоненту Identity посвящено оценке текущего состояния системы управления идентификацией, выявлению пробелов и определению приоритетных действий для модернизации средств контроля идентификации, снижения рисков и обеспечения безопасного, бесперебойного доступа во всей вашей среде.

Реализация семинаров

Семинар по идентификации охватывает области реализации, приведенные в таблице.

Area Сведения
Проведите инвентаризацию активов идентификации и изучите их Составьте полный перечень пользователей, приложений, субъектов-служб, групп и атрибутов идентификации.

Назначьте владельцев, определите ответственность и классифицируйте критически важные идентификационные активы, чтобы обеспечить управление и прозрачность во всей идентификационной среде.
Создание надежной основы условного доступа Реализуйте комплексную стратегию условного доступа, которая постоянно оценивает удостоверение, состояние устройства, сигналы риска и контекст сеанса.

Определите и примените согласованные политики доступа для пользователей, приложений и сценариев, включая рабочую силу, гостей и устаревшие пути доступа.
Модернизация проверки подлинности и устранение устаревших протоколов Стандартизируйте современную проверку подлинности во всех приложениях и службах.

Исключите устаревшие методы проверки подлинности и перенесите существующие системы в безопасные протоколы проверки подлинности на основе стандартов, чтобы снизить уязвимость к атакам на основе учетных данных.
Преобразование инфраструктуры приложений и удостоверений Уменьшите зависимость от локальных систем идентификации за счет переноса приложений на аутентификацию на основе Microsoft Entra ID и единый вход (SSO).

Выведите из эксплуатации устаревшую инфраструктуру федерации и управления веб-доступом.

Модернизация шаблонов доступа к приложениям для поддержки "Никому не доверяй".
Обеспечьте принцип наименьших привилегий и ролевое управление доступом Назначайте доступ в соответствии с должностными функциями с помощью ролевого управления доступом (RBAC) и пакетов доступа.

Определите модели ролей, примените минимальные привилегии и непрерывно проверяйте доступ с помощью проверок доступа и управления на основе политик, чтобы гарантировать, что у пользователей есть только необходимые разрешения.
Защитите привилегированные идентификационные данные и идентификационные данные рабочих нагрузок Защитите административные учетные записи и учетные записи с высоким уровнем риска с помощью доступа точно в срок (JIT), управление привилегированными пользователями (PIM), надежной аутентификации и усиленно защищенных путей доступа.

Расширьте управление и меры защиты для удостоверений рабочих нагрузок и субъектов-службы, чтобы снизить риск, связанный с избыточно привилегированными или неуправляемыми удостоверениями.
Настройте управление идентификационными данными и процессы их подготовки Определите авторитетные источники данных об идентичности, схемы атрибутов и потоки данных между системами.

Реализуйте процессы подготовки учетных записей и коннекторы, чтобы идентификационные данные оставались согласованными, точными и надежно синхронизировались между приложениями и службами.
Автоматизируйте жизненный цикл учетных записей и их предоставление Реализуйте автоматизированные процессы предоставления и управления жизненным циклом (прием, перевод, увольнение) в системах-источниках данных, таких как HR-платформы.

Убедитесь, что доступ предоставляется, обновляется и удаляется автоматически на основе событий жизненного цикла с мониторингом и проверкой процессов подготовки.
Повышение безопасности учетных данных с помощью проверки подлинности без пароля Сократите зависимость от паролей, внедрив защиту паролей и развернув устойчивые к фишингу методы беспарольной аутентификации, такие как FIDO2, Windows Hello for Business и Microsoft Authenticator.

Внедрение надежных методов проверки подлинности в организации.
Управление внешними и партнерскими удостоверениями Установите контролируемые процессы подключения, назначения доступа и жизненного цикла для внешних пользователей и партнерских организаций.

Реализуйте пакеты доступа, механизмы спонсорства и мониторинг, чтобы обеспечить надлежащее управление внешними удостоверениями в соответствии с политиками организации.
Очистка и исправление существующего доступа Выявите и устраните учетные записи с избыточными правами, неиспользуемые цифровые удостоверения и устаревшие членства в группах.

Проводите проверки доступа и реализуйте текущие процессы управления, чтобы обеспечить минимальные привилегии и снизить накопленный риск идентификации с течением времени.
Включение мониторинга безопасности идентификации и реагирования (SecOps) Интеграция сигналов идентификации в операции безопасности путем включения защиты идентификации, обнаружения угроз и централизованного ведения журнала.

Отслеживайте состояние безопасности учетных записей, обнаруживайте подозрительные действия, а также расследуйте угрозы, связанные с учетными записями, и реагируйте на них с помощью аналитики безопасности и операционных сценариев.

Проверка личности

Инструмент оценки "Никому не доверяй" позволяет оценить конфигурацию системы управления идентификацией на соответствие ряду рекомендаций по обеспечению безопасности. Подробнее.

Дальнейшие действия

Запустите оценку и начните семинар по вопросам идентификации.