特权访问:接口

保护特权访问的关键组成部分是应用零信任策略,以确保在提供访问权限之前设备、帐户和中介满足安全要求。

此策略可确保启动入站会话的用户和设备为已知、受信任且获准访问资源(通过接口)。 策略强制措施由 Microsoft Entra 条件访问策略引擎执行,该引擎会评估分配给特定应用程序接口(例如 Azure 门户、Salesforce、Office 365、AWS 和 Workday 等)的策略。

通过保护接口来保护资源

本指南为接口安全定义了三种安全级别,可用于具有不同敏感度级别的资产。 这些级别在保护特权访问快速现代化计划 (RAMP) 中进行配置,并对应于帐户和设备的安全级别

无论直接连接源自物理设备还是远程桌面/跳转服务器中介,接口的入站会话安全要求都适用于帐户和源设备。 中介可以接受来自个人设备的会话以提供企业安全级别(适用于某些方案),但专业或特权级别中介不应允许来自更低级别的连接,因为其角色具有安全敏感性。

注意

这些技术可为应用程序接口提供强大的端到端访问控制,但还必须保护资源本身免受针对应用程序代码/功能的带外攻击,以及基础操作系统或固件中针对静态数据或传输中数据、供应链或其他方法的未修补漏洞或配置错误。

请确保评估并发现资产本身所面临的风险,以实现完整的保护。 Microsoft 提供了一些工具和指南来帮助你实现该目的,其中包括 Microsoft Defender for CloudMicrosoft 安全功能分数威胁建模指南

接口示例

接口具有不同的形式,通常为:

  • 云服务/应用程序网站,例如 Azure 门户、AWS 和 Office 365
  • 管理本地应用程序的桌面控制台(Microsoft 管理控制台 (MMC) 或自定义应用程序)
  • 脚本/控制台接口,例如安全外壳 (SSH) 或 PowerShell

其中一些接口直接支持通过 Microsoft Entra 条件访问策略引擎的零信任强制措施,而另一些接口需要通过中介(例如 Microsoft Entra 应用程序代理或远程桌面/跳转服务器)进行发布。

接口安全

接口安全的最终目标是确保接口的每个入站会话都为已知、受信任且获允许:

  • 已知 - 用户已使用强身份验证进行身份验证,并且设备已通过身份验证(使用远程桌面或 VDI 解决方案进行企业访问的个人设备除外)
  • 受信任 - 使用零信任策略引擎为帐户设备显式验证并强制实施了安全运行状况
  • 允许 - 对资源的访问遵循最低特权原则,并使用一组控制来确保只能采用以下方式访问资源
    • 正确的用户
    • 在正确的时间(实时访问,而不是永久访问)
    • 通过适当的审批工作流(根据需要)
    • 处于可接受的风险级别/信任级别

接口安全控制

建立接口安全保障所需的一组安全控制包括:

  • 零信任策略强制措施 - 使用条件访问来确保入站会话满足以下要求:
    • 设备信任,以确保设备至少满足以下条件:
    • 用户信任足够高,具体取决于以下信号:
      • 初次登录时使用多重身份验证(或稍后添加以提高信任)
      • 该会话是否与历史行为模式匹配
      • 帐户或当前会话是否触发基于威胁情报的任何警报
      • Microsoft Entra ID 保护风险
  • 基于角色的访问控制 (RBAC) 模型,该模型结合了企业目录组/权限和特定于应用程序的角色、组和权限
  • 实时访问工作流,用于确保在允许帐户获得特权之前强制实施针对特权的特定要求(对等审批、审核线索和特权过期等)。

接口安全级别

本指南定义了三种安全级别。 有关这些级别的详细信息,请参阅“保持简单 - 角色和配置文件”。 有关实现指南,请参阅快速现代化计划

控制对特定接口安全级别的资源访问

企业接口

企业接口安全适用于所有企业用户和生产力方案。 对于敏感度更高的工作负载,企业级别还可以作为一个起点,你可以基于该级别进行增量构建,以达到专业和特权访问级别保障。

  • 零信任策略强制措施 - 在入站会话上使用条件访问确保以企业级别或更高级别保护用户和设备
    • 为了提供支持,如果自带设备 (BYOD) 方案、个人设备以及由合作伙伴管理的设备使用专用 Windows 虚拟桌面 (WVD) 或类似的远程桌面/跳转服务器解决方案,则可以允许它们建立连接。
  • 基于角色的访问控制 (RBAC) 模型应确保应用程序仅由专业或特权安全级别的角色管理

专业接口

专业接口的安全控制应包括:

  • 对入站会话强制实施零信任策略,使用条件访问确保以专业或特权级别保护用户和设备
  • 基于角色的访问控制 (RBAC) 模型应确保应用程序仅由专业或特权安全级别的角色管理
  • 强制实施最低特权的实时访问工作流(可选),确保授权用户仅在需要时使用特权。

特权接口

特权接口的安全控制应包括

  • 对入站会话强制实施零信任策略,使用条件访问确保以特权级别保护用户和设备
  • 基于角色的访问控制 (RBAC) 模型应确保应用程序仅由特权安全级别的角色管理
  • 强制实施最低特权的实时访问工作流(必需),确保授权用户仅在需要时使用特权。

后续步骤