通过零信任保护标识
在大多数组织开始零信任之旅之前,他们的标识方法可能因标识提供商的不同而变得分散,云和本地应用程序之间缺少单一登录 (SSO),并且对标识风险的辨别能力较差。
在安全性方面,云应用程序和移动工作者需要一种新的思维方式。 许多员工自带设备并以混合方式工作。 数据经常在传统企业网络边界之外被访问,并与合作伙伴和供应商等外部合作者共享。 传统企业应用程序和数据正从本地迁移到混合环境和云环境。
传统的安全网络控制已经不足以应对需求。
标识代表不同网络、终结点和应用程序中的人员、服务或设备。 在零信任安全模型中,标识可用作一种强大、灵活且精细的资源访问权限控制方式。
在标识尝试访问资源之前,组织必须:
- 借助强身份验证验证标识。
- 确保对该标识的访问合规且典型。
- 遵循最低访问权限原则。
验证标识后,我们可以根据组织策略、持续的风险分析和其他工具来控制对资源的访问。
标识零信任部署目标
在实施标识端到端零信任框架时,建议首先关注以下初始部署目标:
解决上述问题后,重点关注以下部署目标:
I. 云标识与本地标识系统联合
Microsoft Entra ID 支持强身份验证、终结点安全集成点和以用户为中心的策略核心,以保障能够以最低特权进行访问。 Microsoft Entra 条件访问是一种策略引擎,用于根据访问时经显式验证的用户标识、环境、设备运行状况以及风险来做出针对资源访问权限的决策。 可以使用 Microsoft Entra ID 实现零信任标识策略。
将所有用户连接到 Microsoft Entra ID 并联合本地标识系统
维持健康的员工标识和必要安全项目(包括用于授权的组和进行访问策略控制的终结点)管道,便可在云中充分利用一致的标识和控制。
执行以下步骤:
- 选择一种身份验证方法。 Microsoft Entra ID 可提供应对暴力破解、DDoS 和密码喷洒的最佳保护措施,但请做出适合织以及满足合规性需求的决策。
- 仅使用你确实需要的标识。 将迁移到云视作一个消除只在本地有用的服务帐户的机会。 将本地特权角色保留在本地。
- 根据组织的规模,确保满足 Microsoft Entra Connect Sync 的硬件要求。
使用 Microsoft Entra ID 建立标识基础
零信任策略需要显式验证、使用最低特权访问原则并设想安全漏洞。 Microsoft Entra ID 可以充当策略决策点,以根据用户、终结点、目标资源和环境方面的见解来强制实施访问策略。
将 Microsoft Entra ID 置于每个访问请求的路径中。 此过程通过通用标识控制平面连接每个用户、应用程序和资源,并为 Microsoft Entra ID 提供信号,以便做出最佳身份验证/授权风险决策。 此外,单一登录 (SSO) 和一致的策略防护机制可以带来更好的用户体验,并且有助于提高工作效率。
将所有应用程序与 Microsoft Entra ID 集成
单一登录可防止用户在各种应用中保留其凭据的副本,并且有助于避免由于出现过多提示而导致网络钓鱼攻击或 MFA 疲劳。
请确保环境中没有多个标识和访问管理 (IAM) 解决方案。 这种重复会减少 Microsoft Entra ID 看到的信号,使不良行为者能够在两个 IAM 引擎之间悄无声息地操作,并导致糟糕的用户体验。 这种复杂性可能会导致业务合作伙伴对你的零信任策略产生怀疑。
执行以下步骤:
- 与采用 OAuth2.0 或 SAML 的新式企业应用程序集成。
- 对于基于 Kerberos 和窗体的身份验证应用程序,请使用 Microsoft Entra 应用程序代理集成它们。
- 如果使用应用程序传送网络/控制器发布旧版应用程序,请使用 Microsoft Entra ID 与大多数主要应用程序(如 Citrix、Akamai 和 F5)集成。
- 若要更高效地探索你的应用并将其迁移出 ADFS 和现有/旧 IAM 引擎,请查看用于将应用程序迁移到 Microsoft Entra ID 的资源。
- 自动化用户配置。
借助强身份验证进行显式验证
执行以下步骤:
- 推出 Microsoft Entra 多重身份验证。 这项工作是降低用户会话风险的基础操作。 当用户在新设备上以及从新位置出现时,能够响应 MFA 质询是用户在身处世界各地时可以告诉我们这些是熟悉的设备/地点的最直接方式之一(无需管理员分析各个信号)。
- 阻止旧式身份验证。 对于恶意行为者而言,最常见的攻击途径之一是针对无法应对新式安全质询的旧版协议(如 SMTP)使用盗用/重播的凭据。
II. 条件访问策略授予访问权限并提供修正活动
Microsoft Entra 条件访问可分析各种信号(如用户、设备和位置)以自动做出决策,并强制实施组织的资源访问策略。 你可以使用条件访问策略来应用访问控制,例如多重身份验证 (MFA)。 通过条件访问策略,你可以在有安全性需要时提示用户进行 MFA,并在不需要时避免用户进入。
Microsoft 提供了标准的条件策略(称为安全默认值)可确保基本安全级别。 但是,安全默认值能提供的灵活性不足以满足组织的需求。 你可以使用条件访问更精细地自定义安全默认值,并配置满足需求的新策略。
提前规划条件访问策略和制定一组积极的回退策略,是在零信任部署中强制实施访问策略的基础要素。 请花些时间在环境中配置已知的网络位置。 即使未在条件访问策略中使用这些网络位置,配置这些 IP 也会带来 Microsoft Entra ID 保护的风险。
执行此步骤:
使用 Microsoft Entra ID 注册设备,限制从易受攻击和遭到入侵的设备进行访问
执行以下步骤:
- 启用 Microsoft Entra 混合联接或 Microsoft Entra 联接。 如需管理用户的便携式计算机/计算机,请将该信息添加到 Microsoft Entra ID,并将其用于协助做出更好的决策。 例如,如果你知道用户来自组织控制和管理的机器,则允许在计算机上具有离线副本的富客户端访问数据。
- 在 Microsoft Endpoint Manager (EMS) 中启用 Intune 服务,以便管理用户的移动设备和注册设备。 就像便携式计算机一样,用户移动设备也是如此:你对它们的了解越多(补丁级别、越狱、取得根权限等),你就越能够提供阻止/允许访问的理由。
III. 借助分析提高可见性
当你借助身份验证、授权和预配在 Microsoft Entra ID 中构建资产时,请务必对目录中发生的情况有深刻的操作见解。
配置记录和报告,以提高可见性
执行此步骤:
- 规划 Microsoft Entra 报告和监视部署,以便能够在 Azure 中或使用所选的 SIEM 系统保存和分析 Microsoft Entra ID 中的日志。
IV. 使用标识治理管理标识和访问特权
完成初始目标后,请专注于其他目标,例如更可靠的标识治理。
使用 Privileged Identity Management 保护特权访问
控制用户用于访问特权操作/角色的终结点、条件和凭据。
执行以下步骤:
- 控制特权标识。 特权访问不仅是管理访问权限,还可以是可以更改任务关键应用程序运行和处理数据的方式的应用程序所有者或开发者访问权限。
- 使用 Privileged Identity Management 保护特权标识。
限制用户对应用程序的许可
用户对应用程序的许可是新式应用程序获取组织资源访问权限的一种常见方式,但有一些最佳做法需要牢记。
执行以下步骤:
- 限制用户同意并管理同意请求,以确保组织的应用程序数据不会出现不必要的泄露。
- 评审组织中的先前/现有同意,了解任何过度或恶意同意情况。
如需详细了解用于防范敏感信息访问技巧的工具,请参阅标识零信任策略实施指南中的“增强对网络威胁和恶意应用的防护”。
管理权利
借助集中进行身份验证并由 Microsoft Entra ID 驱动的应用程序,你现在可以简化访问请求、审批和重新认证过程,以确保正确的人员拥有正确的访问权限,并且了解你所在组织中的用户拥有当前访问权限的原因。
执行以下步骤:
- 使用“权利管理”创建访问包,用户可以在加入不同的团队/项目时请求这些访问包,并且这些访问包可以向用户分配关联资源(如应用程序、SharePoint 站点、组成员资格)的访问权限。
- 如果此时无法为组织部署“权利管理”,则至少应通过部署自助服务组管理和自助应用程序访问来在组织中启用自助服务范例。
使用无密码身份验证,降低网络钓鱼和密码攻击的风险
借助支持 FIDO 2.0 和无密码手机登录的 Azure AD,可以移动用户(尤其是敏感/特权用户)日常所用凭据上的针。 这些凭据不仅是强身份验证因素,还可以降低风险。
执行此步骤:
- 开始在你的组织中采用无密码凭据。
V. 对用户、设备、位置和行为进行实时分析,以便确定风险并提供持续保护
实时分析对于确定风险和保护措施至关重要。
部署 Microsoft Entra 密码保护
在启用其他方法来显式验证用户的同时,切勿忽略弱密码、密码喷射和安全漏洞重播攻击。 并且,经典而复杂的密码策略无法防止最常见的密码攻击。
执行此步骤:
启用 Microsoft Entra ID 保护
通过“Microsoft Entra ID 保护”获取更精准的会话/用户风险信号。 可以根据组织不断变化的安全需求启用风险调查和修正选项。
执行此步骤:
启用 Microsoft Defender for Cloud Apps 与 Microsoft Entra ID 保护的集成
Microsoft Defender for Cloud Apps 监视 SaaS 和新式应用程序中的用户行为。 该信号会告知 Microsoft Entra ID 用户在完成身份验证并收到令牌后遇到的情况。 如果用户模式开始看起来可疑,则可以向 Microsoft Entra ID 保护和条件访问发送信号,通知其用户似乎受到了损害或面临高风险。 此用户发出下一次访问请求时,Microsoft Entra ID 可以正确地采取措施来验证或阻止该用户。
执行此步骤:
- 启用 Defender for Cloud Apps 监控以扩充 Microsoft Entra ID Protection 信号。
启用条件访问与 Microsoft Defender for Cloud Apps 的集成
使用在身份验证后发出的信号并借助对应用程序的 Defender for Cloud Apps 代理请求,你将能够监视转到 SaaS 应用程序的会话并强制实施限制。
执行以下步骤:
启用条件访问集成。
启用受限会话,以便在访问决策中使用
当用户的风险较低但他们从未知终结点登录时,你可能希望允许他们访问资源,但不允许他们执行使你的组织面临危险的行为。 你可以配置 Exchange Online 和 SharePoint Online,为用户提供受限会话,以便他们可以阅读电子邮件或查看文件,但无法下载相关内容并将其保存到不受信任的设备上。
执行此步骤:
- 启用对 SharePoint Online 和 Exchange Online 的有限访问权限。
VI. 整合其他安全解决方案的威胁信号,以改善检测、保护和响应
最后,可以整合其他安全解决方案,以提高效率。
将 Microsoft Defender for Identity 与 Microsoft Defender for Cloud Apps 进行集成
与 Microsoft Defender for Identity 集成使 Microsoft Entra ID 可以知道用户在访问本地、非新式资源(如文件共享)时是否陷入危险行为。 此信号可以纳入总体风险,可能会阻止云中的进一步访问。
执行以下步骤:
- 启用 Microsoft Defender for Identity 与 Microsoft Defender for Cloud Apps 的集成,将本地信号纳入我们知道的与用户相关的风险信号。
- 检查每个风险用户的综合调查优先级分数,以便整体了解你的 SOC 应重点关注哪些用户。
启用 Microsoft Defender for Endpoint
Microsoft Defender for Endpoint 让你可以证明 Windows 计算机的运行状况,并确定这些计算机是否遭到入侵。 然后,你可以在运行时将馈送该信息,以便降低风险。 虽然域加入会带来控制感,但 Defender for Endpoint 使你能够以近乎实时的方式响应恶意软件攻击,方法是检测多个用户设备攻击不受信任站点的模式,并通过在运行时提高其设备/用户风险来做出反应。
执行此步骤:
根据网络安全方面的第 14028 号行政命令和 OMB 备忘录 22-09 保护标识
第 14028 号行政命令《改善国家网络安全》和 OMB 备忘录 22-09 包括零信任具体举措。 标识行动包括采用集中式标识管理系统、使用强大的抗网络钓鱼 MFA、以及在授权决策中整合至少一个设备级信号。 有关使用 Microsoft Entra ID 实现这些操作的详细指导,请参阅使用 Microsoft Entra ID 满足备忘录 22-09 的标识要求。
本指南中涵盖的产品
- Microsoft Entra ID
- Microsoft Defender for Identity
- Microsoft Endpoint Manager(包括 Microsoft Intune)
- Microsoft Defender for Endpoint
- SharePoint Online
- Exchange Online
结束语
标识是零信任策略取得成功的核心。 有关实施的详细信息或帮助,请联系你的客户成功团队,或通读本指南中的其他章节,其内容涵盖所有零信任要素。
零信任部署指南系列
