特权访问:帐户

  • 项目

帐户安全性是保护特权访问的关键组件。 会话的端到端零信任安全性要求极为肯定地确认会话中正在使用的帐户实际上是由人员的所有者控制,而不是由模拟人员的攻击者来控制。

强帐户安全性从安全预配和完整的生命周期管理开始,再取消预配,并且每个会话都必须根据所有可用数据(包括历史行为模式、可用的威胁情报和当前会话中的使用情况)而极为肯定地确认该帐户当前没有泄露。

帐户安全性

本指南为帐户安全定义了三种安全级别,用于不同敏感度级别的资产:

Protecting accounts end to end

这些级别将建立适用于每个敏感度级别的清晰且可实施的安全配置文件,你可以为角色分配这些安全配置文件并可以快速地横向扩展。 所有这些帐户安全级别旨在通过限制或消除对用户和管理工作流的干扰,从而保持或提高人员的工作效率。

规划帐户安全性

本指南概述了满足每个级别所需的技术控件。 实现指南位于特权访问路线图中。

帐户安全控件

要为接口实现安全性,需要组合使用两种技术控件,以便既能保护帐户,又能提供要在零信任策略决策中使用的信号(参阅“保护接口”以了解策略配置参考)。

这些配置文件中使用的控件包括:

  • 多重身份验证 - 提供不同的证明源(设计为尽可能对用户简单,但难以使敌人模拟)。
  • 帐户风险 - 威胁和异常监视 - 使用 UEBA 和威胁情报识别有风险的方案
  • 自定义监视 - 对于更敏感的帐户,显式定义允许/接受的行为/模式将允许及早检测异常活动。 此控件不适用于企业中的常规用途帐户,因为这些帐户需要为其角色提供灵活性。

组合使用控件还使你能够提高安全性和可用性 - 例如,对于停留在正常模式下的用户(每天都在同一位置使用同一设备),无需在每次进行身份验证时提示其在 MFA 外部。

Comparing each account tier and cost benefit

企业安全帐户

企业帐户的安全控件旨在为所有用户创建安全基准,并为专用和特权安全提供安全基础:

  • 强制执行强多重身份验证 (MFA) - 确保使用企业托管标识系统提供的强 MFA 对用户进行身份验证(下图中显示了详细信息)。 有关多重身份验证的详细信息,请参阅 Azure 安全最佳做法 6

    注意

    尽管你的组织可以选择在转换期间使用现有的较弱 MFA 形式,但攻击者越来越能巧妙规避较弱的 MFA 保护,因此,MFA 中的所有新投资都应该是最强的形式。

  • 强制执行帐户/会话风险 - 确保只有低风险(或者中风险?)级别的帐户才能进行身份验证。 有关条件性企业帐户安全的详细信息,请参阅接口安全级别。

  • 监视和响应警报 - 安全运营部门应集成帐户安全警报,并获得足够的培训来了解这些协议和系统如何工作,确保它们能够快速理解警报的含义并做出相应的响应。

下图提供了不同形式的 MFA 和无密码身份验证的比较。 最佳方案中的每个选项都被视为高安全性和高可用性。 每种方案都有不同的硬件要求,因此你可能需要混合并匹配哪些应用程序适用于不同的角色或个人。 所有 Microsoft 无密码解决方案都被条件访问识别为多重身份验证,因为这些解决方案需要将你获得的内容与生物识别特征和/或你知道的内容相结合。

Comparison of authentication methods good, better, best

注意

要详细了解为何要对短信身份验证和其他基于手机的身份验证进行限制,请参阅博客文章 It's Time to Hang Up on Phone Transports for Authentication(是时候放弃电话传输进行身份验证了)。

专用帐户

专用帐户是适用于敏感用户的更高的保护级别。 由于业务影响更高,因此在安全警报、事件调查和威胁搜寻过程中,专用帐户将保证额外的监视和优先顺序。

专门的安全性依托企业安全的强大 MFA 基础,可识别最敏感的帐户并确保确定警报和响应过程的优先级:

  1. 标识敏感帐户 - 请参阅用于标识这些帐户的专用安全级别指南。
  2. 标记专用帐户 - 确保标记每个敏感帐户
    1. 配置 Microsoft Sentinel 监视列表来识别这些敏感帐户
    2. 在 Microsoft Defender For Office 365 中配置优先级帐户保护,并指定专用和特权帐户作为优先级帐户 -
  3. 更新安全操作过程 - 确保为这些警报给予最高优先级
  4. 设置管理 - 更新或创建治理过程,以确保
    1. 所有新角色在创建或更改时,都将针对专用或特权分类进行评估
    2. 所有新帐户在创建后都将被标记
    3. 连续或定期进行带外检查,以确保在正常监管过程中不会错过角色和帐户。

特权帐户

特权帐户具有最高级别的保护,因为这些帐户可能会对组织的运营造成重要或实质性的影响。

特权帐户始终包含 IT 管理员,可以访问大多数或所有企业系统,包括大多数或所有业务关键系统。 能够对业务产生巨大影响的其他帐户也可能保证这一额外的保护级别。 有关应在哪个级别保护哪些角色和帐户的详细信息,请参阅特权安全性一文。

除了专用安全性外,特权帐户安全性还增加了:

  • 预防 - 添加控件以将这些帐户的使用限制为指定的设备、工作站和中介。
  • 响应 - 密切监视这些帐户是否存在异常活动,并快速调查和修正风险。

配置特权帐户安全性

按照安全快速现代化计划中的指导,提高特权帐户的安全性并降低管理成本。

后续步骤