編輯

共用方式為


Microsoft安全性作業中的 Entra IDaaS

Microsoft Entra ID
Microsoft Sentinel

此架構示範安全性作業中心 (SOC) 小組如何將Microsoft Entra 身分識別和存取功能納入整體整合且分層 的零信任 安全性策略。

當組織內受控網路上包含所有服務和裝置時,網路安全性主導了SOC作業。 不過, Gb 預測,到 2022 年,雲端服務的市場規模將以整體 IT 服務的近三倍的速度增長。 隨著更多公司接受雲端運算,將使用者身分識別視為主要安全性界限的轉變。

保護雲端中的身分識別是高優先順序。

  • Verizon 的 2020 年數據外洩調查報告 指出,37% 涉及使用遭竊認證,22% 的數據外洩涉及網路釣魚。

  • 2019年 IBM 對數據外泄事件 的研究報告說,數據外泄的平均全球成本為390萬美元,美國平均成本接近820萬美元。

  • Microsoft 2019 年安全情報報告 報告報告說,2018 年 1 月至 12 月之間的網路釣魚攻擊增長了 250%。

零信任安全性模型會將所有主機視為因特網對向,並認為整個網路可能會遭到入侵和敵意。 此方法著重於建置強式驗證 (AuthN)、授權和加密,同時提供分隔式存取和更佳的作業靈活性。

Blob 會提升調適型安全性架構,以預防偵測-回應-預測模型取代事件回應型策略。 自適性安全性結合了訪問控制、行為監視、使用量管理和探索與持續監視和分析。

Microsoft網路安全性參考架構 (MCRA) 說明Microsoft的網路安全性功能,以及它們如何與現有的安全性架構整合,包括雲端和混合式環境,這些架構會針對身分識別即服務 (IDaaS) 使用 Microsoft Entra ID

本文將零信任彈性安全性方法提升至 IDaaS,強調 Microsoft Entra 平臺上可用的元件。

潛在使用案例

  • 設計新的安全性解決方案
  • 增強或整合現有的實作
  • 教育SOC小組

架構

Microsoft Entra 相關安全性功能

下載此架構的 Visio 檔案

工作流程

  1. 認證管理 會控制驗證。
  2. 布建權利管理 會定義存取套件、將使用者指派給資源,以及推送數據以進行 證明
  3. 授權 引擎評估存取原則 以判斷存取權。 引擎也會評估 風險偵測,包括 使用者/實體行為分析 (UEBA) 數據,以及檢查裝置合規性以進行 端點管理
  4. 如果獲得授權,用戶或裝置會取得每個 條件式存取原則和控制的存取權。
  5. 如果授權失敗,用戶可以進行 即時補救 ,以自行解除封鎖。
  6. 記錄所有工作階段數據以供分析和報告。
  7. SOC 小組 的安全性資訊和事件管理 (SIEM) 系統(安全性資訊和事件管理 (SIEM)會 從雲端和內部部署身分識別接收所有記錄、風險偵測和 UEBA 數據。

元件

下列安全性程式和元件會參與此Microsoft Entra IDaaS 架構。

認證管理

認證管理 包括發出、追蹤及更新資源或服務存取權的服務、原則和做法。 Microsoft Entra 認證管理包含下列功能:

應用程式布建和權利

條件式存取原則和控件

條件式存取原則是指派和訪問控制的 if-then 語句。 您可以定義觸發原則的原因回應 (“如果發生這種情況),讓 授權引擎 做出強制執行組織原則的決策。 透過 Microsoft Entra 條件式存取,您可以控制授權使用者如何存取您的應用程式。 Microsoft Entra ID What If 工具 可協助您了解條件式存取原則為何或未套用,或原則在特定情況下會套用至使用者。

條件式訪問控制 可與條件式存取原則搭配運作,以協助強制執行組織原則。 Microsoft Entra 條件式訪問控制可讓您根據存取要求時偵測到的因素來實作安全性,而不是符合所有方法的大小。 藉由結合條件式訪問控制與存取條件,您可以減少建立其他安全性控件的需求。 一般範例是,您可以允許已加入網域的裝置上的使用者使用 SSO 存取資源,但需要使用者從網路外或使用自己的裝置使用 MFA。

Microsoft Entra ID 可以搭配條件式存取原則使用下列條件式存取控制:

風險偵測

Azure Identity Protection 包含數個原則,可協助您的組織管理對可疑用戶動作的回應。 用戶風險 是使用者身分識別遭到入侵的機率。 登入風險 是登入要求不是來自用戶的機率。 Microsoft Entra ID 會根據源自實際使用者登入要求的機率,根據行為分析計算登入風險分數。

  • Microsoft Entra 風險偵測 會使用調適型機器學習演算法和啟發學習法來偵測與用戶帳戶相關的可疑動作。 所偵測到的每個可疑動作都會儲存在名為風險偵測的記錄中。 Microsoft Entra ID 會使用此資料來計算使用者和登入風險機率,並透過Microsoft的內部和外部威脅情報來源和訊號來增強。

  • 您可以使用 Microsoft Graph 中的 Identity Protection 風險偵測 API 來公開有風險的使用者和登入的相關信息。

  • 即時補救 可讓使用者使用 SSPR 和 MFA 自行修復某些風險偵測來解除封鎖。

考量

當您使用此解決方案時,請記住這些要點。

記錄

Microsoft Entra 稽核報告 提供 Azure 活動的可追蹤性,其中包含稽核記錄、登入記錄,以及有風險的登入和有風險的用戶報告。 您可以根據數個參數來篩選和搜尋記錄數據,包括服務、類別、活動和狀態。

您可以將Microsoft Entra ID 記錄資料路由傳送至端點,例如:

您也可以使用 Microsoft Graph 報告 API ,在您自己的腳本中擷取及取用Microsoft Entra ID 記錄數據。

內部部署和混合式考慮

驗證方法是保護混合式案例中組織身分識別的關鍵。 Microsoft提供 選擇混合式驗證方法與Microsoft Entra ID 的特定指引

適用於身分識別的 Microsoft Defender 可以使用您的 內部部署的 Active Directory 訊號來識別、偵測及調查進階威脅、遭入侵的身分識別和惡意測試人員動作。 適用於身分識別的 Defender 會使用 UEBA 來識別內部威脅並標幟風險。 即使身分識別遭到入侵,適用於身分識別的 Defender 仍可協助根據不尋常的使用者行為來識別入侵。

適用於身分識別的Defender與 適用於雲端的 Defender Apps 整合,以將保護延伸至雲端應用程式。 您可以使用 適用於雲端的 Defender Apps 來建立會話原則,以保護下載時的檔。 例如,您可以自動設定特定使用者類型所下載之任何檔案的僅限檢視許可權。

您可以在 Microsoft Entra ID 中設定內部部署應用程式,以使用 適用於雲端的 Defender Apps 進行即時監視。 適用於雲端的 Defender 應用程式會使用條件式存取應用程式控制,根據條件式存取原則即時監視和控制工作階段。 您可以將這些原則套用到在 Microsoft Entra ID 中使用應用程式 Proxy 的內部部署應用程式。

Microsoft Entra 應用程式 Proxy 可讓使用者從遠端用戶端存取內部部署 Web 應用程式。 透過 應用程式 Proxy,您可以在單一位置監視應用程式的所有登入活動。

您可以使用適用於身分識別的Defender搭配 Microsoft Entra ID Protection ,協助保護與 Microsoft Entra Connect 同步處理至 Azure 的使用者身分識別。

如果您的部分應用程式已經使用現有的 傳遞控制器或網路控制站 來提供離網路存取,您可以將它們與Microsoft Entra 識別元整合。 數個合作夥伴,包括 AkamaiCitrixF5 NetworksZscaler ,提供與 Microsoft Entra ID 整合的解決方案和指引。

成本最佳化

Microsoft Entra 定價範圍從 SSO 和 MFA 等功能到進階 P2,例如 PIM 和權利管理等功能。 如需定價詳細數據,請參閱 Microsoft Entra 定價

下一步