安全性控制:身分識別管理
身分識別管理涵蓋使用身分識別和存取管理系統建立安全身分識別和存取控制的控制項,包括使用單一登入、增強式驗證、受控識別 (和服務主體,) 應用程式、條件式存取和帳戶異常監視。
IM-1:使用集中式身分識別和驗證系統
CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
---|---|---|
6.7, 12.5 | AC-2、AC-3、IA-2、IA-8 | 7.2, 8.3 |
安全性準則:使用集中式身分識別與驗證系統來管理貴組織的雲端和非雲端資源的身分識別與驗證。
Azure 指引:Azure Active Directory (Azure AD) 是 Azure 的身分識別和驗證管理服務。 您應該在 Azure AD 上標準化,以控管貴組織的身分識別和驗證:
- Microsoft 雲端資源,例如 Azure 儲存體、Azure 虛擬機器 (Linux 和 Windows) 、Azure 金鑰保存庫、PaaS 和 SaaS 應用程式。
- 貴組織的資源,例如 Azure 上的應用程式、在您的公司網路資源上執行的協力廠商應用程式,以及協力廠商 SaaS 應用程式。
- 透過同步處理至 Azure AD,在 Active Directory 中的企業身分識別,以確保一致且集中受控的身分識別策略。
針對適用的 Azure 服務,請避免使用本機驗證方法,並改用 Azure Active Directory 來集中您的服務驗證。
注意:一旦技術上可行,您應該內部部署的 Active Directory型應用程式移轉至 Azure AD。 這可能是 Azure AD Enterprise Directory、Business to Business 設定,或商務對取用者設定。
Azure 實作和其他內容:
AWS 指引:AWS IAM (身分識別和存取管理) 是 AWS 的預設身分識別和驗證管理服務。 使用 AWS IAM 來管理 AWS 身分識別和存取管理。 或者,透過 AWS 和 Azure Single Sign-On (SSO) ,您也可以使用 Azure AD 來管理 AWS 的身分識別和存取控制,以避免在兩個雲端平臺中個別管理重複的帳戶。
AWS 支援單一 Sign-On,可讓您橋接公司的協力廠商身分識別 (,例如 Windows Active Directory,或使用 AWS 身分識別) 其他身分識別存放區,以避免建立重複的帳戶來存取 AWS 資源。
AWS 實作和其他內容:
GCP 指引:Google Cloud 的身分識別與存取管理 (IAM) 系統是 Google Cloud 的預設身分識別和驗證管理服務,用於 Google Cloud 身分識別帳戶。 使用 Google Cloud IAM 來管理您的 GCP 身分識別和存取管理。 或者,透過 Google Cloud Identity 和 Azure Sigle Sign-On (SSO) ,您也可以使用 Azure AD 來管理 GCP 的身分識別和存取控制,以避免在 mutli-cloud 環境中個別管理重複的帳戶。
Google Cloud Identity 是所有 Google 服務的識別提供者。 它支援單一 Sign-On,可讓您橋接公司的協力廠商身分識別 (,例如 Windows Active Directory 或其他身分識別存放區,) Google Cloud 身分識別,以避免建立重複帳戶來存取 GCP 資源。
注意:使用 Google Cloud Directory Sync。Google 提供連接器工具,可與大部分的企業 LDAP 管理系統整合,並依排程同步處理身分識別。 藉由設定雲端身分識別帳戶和 Sing Google Cloud Directory Sync,您可以設定哪一個使用者帳戶,包括使用者、群組和使用者設定檔、別名等等,將會依本機身分識別管理系統和 GCP 系統之間的排程同步處理。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-2:保護身分識別和驗證系統
CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
---|---|---|
5.4, 6.5 | AC-2、AC-3、IA-2、IA-8、SI-4 | 8.2, 8.3 |
安全性準則:保護您的身分識別和驗證系統,作為組織雲端安全性實務的高優先順序。 常見的安全性控制項包括:
- 限制特殊許可權角色和帳戶
- 需要所有特殊許可權存取的增強式驗證
- 監視和稽核高風險活動
Azure 指引:使用 Azure AD 安全性基準和 Azure AD 身分識別安全分數來評估您的 Azure AD 身分識別安全性狀態,並補救安全性和設定差距。 Azure AD Identity Secure Score 會針對下列設定評估 Azure AD:
- 使用有限的系統管理角色
- 開啟使用者風險原則
- 指定一個以上的全域管理員
- 啟用原則來封鎖舊版驗證
- 確定所有使用者都可以完成多重要素驗證,以進行安全存取
- 需要管理角色的 MFA
- 啟用自助式密碼重設
- 不要過期密碼
- 開啟登入風險原則
- 不允許使用者授與非受控應用程式的同意
使用 Azure AD Identity Protection 來偵測、調查和補救以身分識別為基礎的風險。 若要同樣地保護您的內部部署的 Active Directory網域,請使用適用于身分識別的 Defender。
注意:遵循所有其他身分識別元件的已發佈最佳做法,包括您的內部部署的 Active Directory和任何協力廠商功能,以及作業系統、網路、資料庫) 裝載它們的基礎結構 (。
Azure 實作和其他內容:
- 什麼是 Azure AD 中的身分識別安全分數
- 保護 Active Directory 的最佳做法
- 什麼是 Identity Protection?
- 什麼是適用於身分識別的 Microsoft Defender?
AWS 指引:使用下列安全性最佳做法來保護 AWS IAM:
- 設定 AWS 帳戶根使用者存取金鑰以進行緊急存取,如 PA-5 (設定緊急存取)
- 遵循存取指派的最低許可權原則
- 利用 IAM 群組來套用原則,而不是個別使用者 () 。
- 遵循 IM-6 (針對所有使用者使用增強式驗證控制) 中的增強式驗證指導方針
- 使用 AWS 組織 SCP (服務控制原則) 和許可權界限
- 使用 IAM 存取建議程式稽核服務存取
- 使用 IAM 認證報告來追蹤使用者帳戶和認證狀態
注意:如果您有其他身分識別和驗證系統,請遵循已發佈的最佳做法,例如,如果您使用 Azure AD 來管理 AWS 身分識別和存取,請遵循 Azure AD 安全性基準。
AWS 實作和其他內容:
GCP 指引:使用下列安全性最佳做法來保護貴組織的 Google Cloud IAM 和雲端身分識別服務:
- 依照 PA-5 (「設定緊急存取」) 中的建議,設定緊急存取的進階系統管理員帳戶。
- 建立超級系統管理員電子郵件地址 (作為 Google 工作區或雲端身分識別進階系統管理員帳戶) ,而且在需要緊急復原時,此帳戶不應專屬於特定使用者。
- 遵循最低許可權和職責區分原則
- 避免對每日活動使用進階系統管理員帳戶
- 利用 Google Cloud Identity 群組來套用原則,而不是將原則套用至個別使用者 () 。
- 請依照 IM-6 (「使用增強式驗證控制」) ,針對具有更高許可權的所有使用者遵循增強式驗證指導方針。
- 使用 IAM 原則來限制資源的存取
- 使用組織原則服務來控制和設定資源的條件約束
- 使用雲端稽核記錄內的 IAM 稽核記錄來檢閱特殊許可權活動
注意:如果您有其他身分識別和驗證系統,請遵循已發佈的最佳做法,例如,如果您使用 Azure AD 來管理 GCP 身分識別和存取,請遵循 Azure AD 安全性基準。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-3:安全地且自動管理應用程式身分識別
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
N/A | AC-2、AC-3、IA-4、IA-5、IA-9 | N/A |
安全性準則:使用受控應用程式身分識別,而不是為應用程式建立人為帳戶,以存取資源和執行程式碼。 受控應用程式識別提供優點,例如減少認證曝光。 自動輪替認證,以確保身分識別的安全性。
Azure 指引:使用 Azure 受控識別,可向支援 Azure AD 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平臺管理、輪替及保護,避免原始程式碼或組態檔中的硬式編碼認證。
對於不支援受控識別的服務,請使用 Azure AD 建立具有資源層級限制許可權的服務主體。 建議使用憑證認證來設定服務主體,並回復至用戶端密碼以進行驗證。
Azure 實作和其他內容:
AWS 指引:使用 AWS IAM 角色,而不是針對支援此功能的資源建立使用者帳戶。 IAM 角色是由後端的平臺所管理,認證會自動暫存並輪替。 這可避免在原始程式碼或組態檔中為應用程式和硬式編碼認證建立長期存取金鑰或使用者名稱/密碼。
您可以使用服務連結的角色,附加預先定義的許可權原則,在 AWS 服務之間存取,而不是自訂 IAM 角色的專屬角色許可權。
注意:對於不支援 IAM 角色的服務,請使用存取金鑰,但遵循安全性最佳做法,例如 IM-8 限制公開認證和秘密來保護金鑰。
AWS 實作和其他內容:
GCP 指引:使用 Google 管理的服務帳戶,而不是針對支援此功能的資源建立使用者管理的帳戶。 Google 管理的服務帳戶是由後端的平臺所管理,而服務帳戶金鑰是暫時的,且會自動輪替。 這可避免在原始程式碼或組態檔中為應用程式和硬式編碼硬式編碼認證建立長期存取金鑰或使用者名稱/密碼。
使用原則智慧來瞭解及辨識服務帳戶的可疑活動。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-4:驗證服務器和服務
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
N/A | IA-9 | N/A |
安全性準則:從用戶端驗證遠端伺服器和服務,以確保您連線到受信任的伺服器和服務。 最常見的伺服器驗證通訊協定是傳輸層安全性 (TLS) ,其中用戶端 (通常是瀏覽器或用戶端裝置,) 驗證服務器的憑證是由受信任的憑證授權單位單位所簽發。
注意:當伺服器和用戶端同時驗證彼此時,可以使用相互驗證。
Azure 指引:許多 Azure 服務預設都支援 TLS 驗證。 對於預設不支援 TLS 驗證的服務,或支援停用 TLS,請確定一律啟用它以支援伺服器/用戶端驗證。 用戶端應用程式也應該設計為驗證服務器/用戶端身分識別 (,方法是驗證交握階段中受信任憑證授權單位單位所簽發的伺服器憑證) 。
注意:API 管理和 API 閘道等服務支援 TLS 相互驗證。
Azure 實作和其他內容:
AWS 指引:許多 AWS 服務預設都支援 TLS 驗證。 對於預設不支援 TLS 驗證的服務,或支援停用 TLS,請確定一律啟用它以支援伺服器/用戶端驗證。 用戶端應用程式也應該設計為驗證服務器/用戶端身分識別 (,方法是驗證交握階段中受信任憑證授權單位單位所簽發的伺服器憑證) 。
注意:API 閘道等服務支援 TLS 相互驗證。
AWS 實作和其他內容:
GCP 指引:許多 GCP 服務預設支援 TLS 驗證。 對於預設不支援此功能的服務或支援停用 TLS,請確定一律啟用以支援伺服器/用戶端驗證。 用戶端應用程式也應該設計為驗證服務器/用戶端身分識別 (,方法是驗證交握階段中受信任憑證授權單位單位所簽發的伺服器憑證) 。
注意:雲端負載平衡等服務支援 TLS 相互驗證。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-5:使用單一登入 (SSO) 進行應用程式存取
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
12.5 | IA-4、IA-2、IA-8 | N/A |
安全性準則:使用單一登入 (SSO) ,簡化對資源進行驗證的使用者體驗,包括跨雲端服務和內部部署環境的應用程式和資料。
Azure 指引:使用 Azure AD 進行工作負載應用程式存取, (客戶) 透過 Azure AD 單一登入 (SSO) 存取,減少重複帳戶的需求。 Azure AD 提供管理平面中 Azure 資源的身分識別和存取管理 (,包括 CLI、PowerShell、入口網站) 、雲端應用程式和內部部署應用程式。
Azure AD 也支援企業身分識別的 SSO,例如公司使用者身分識別,以及來自受信任協力廠商和公用使用者的外部使用者身分識別。
Azure 實作和其他內容:
AWS 指引:使用 AWS Cognito 透過單一登入 (SSO) 來管理客戶面向應用程式工作負載的存取權,以讓客戶從不同的身分識別提供者橋接其協力廠商身分識別。
若要讓 SSO 存取 AWS 原生資源 (包括 AWS 主控台存取或服務管理和資料平面層級存取) ,請使用 AWS Sigle Sign-On 來減少重複帳戶的需求。
AWS SSO 也可讓您透過 AWS 身分識別來橋接公司身分識別 (,例如來自 Azure Active Directory 的身分識別) ,以及來自受信任協力廠商和公用使用者的外部使用者身分識別。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Identity 透過 Google Cloud Identity 單一登入來管理客戶面向工作負載應用程式的存取權,以減少重複帳戶的需求。 Google Cloud Identity 提供管理平面中 GCP (的身分識別和存取管理,包括 Google Cloud CLI、主控台存取) 、雲端應用程式和內部部署應用程式。
Google Cloud Identity 也支援企業身分識別的 SSO,例如來自 Azure AD 或 Active Directory 的公司使用者身分識別,以及來自受信任協力廠商和公用使用者的外部使用者身分識別。 GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-6:使用強式驗證控制項
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
6.3, 6.4 | AC-2、AC-3、IA-2、IA-5、IA-8 | 7.2, 8.2, 8.3, 8.4 |
安全性準則:使用集中式身分識別和驗證管理系統,強制執行強式驗證控制 (強式無密碼驗證或多重要素驗證) ,以取得所有資源的存取權。 根據密碼認證的驗證會單獨視為舊版,因為它不安全,而且無法支援熱門的攻擊方法。
部署增強式驗證時,請先設定系統管理員和特殊許可權使用者,以確保增強式驗證方法的最高層級,然後快速向所有使用者推出適當的強式驗證原則。
注意:如果繼承應用程式和案例需要舊版密碼型驗證,請確定遵循密碼安全性最佳做法,例如複雜度需求。
Azure 指引:Azure AD 透過無密碼方法和多重要素驗證 (MFA) 支援增強式驗證控制。
- 無密碼驗證:使用無密碼驗證作為預設驗證方法。 無密碼驗證有三個選項:Windows Hello 企業版、Microsoft Authenticator 應用程式電話登入和 FIDO2 安全性金鑰。 此外,客戶可以使用內部部署驗證方法,例如智慧卡。
- 多重要素驗證:您可以針對所有使用者強制執行 Azure MFA、選取使用者,或根據登入條件和風險因素,在每個使用者層級強制執行。 啟用 Azure MFA,並遵循雲端身分識別的Microsoft Defender,以及 MFA 設定的存取管理建議。
如果舊版密碼型驗證仍用於 Azure AD 驗證,請注意,僅限雲端帳戶 (直接在 Azure 中建立的使用者帳戶,) 具有預設基準密碼原則。 而混合式帳戶 (來自內部部署的 Active Directory) 的使用者帳戶遵循內部部署密碼原則。
對於可能有預設識別碼和密碼的協力廠商應用程式和服務,您應該在初始服務設定期間停用或變更它們。
Azure 實作和其他內容:
AWS 指引:AWS IAM 透過多重要素驗證支援增強式驗證控制, (MFA) 。 您可以針對所有使用者強制執行 MFA、選取使用者,或根據定義的條件,在每個使用者層級強制執行 MFA。
如果您使用來自協力廠商目錄的公司帳戶 (,例如 Windows Active Directory) 搭配 AWS 身分識別,請遵循個別的安全性指引來強制執行強式驗證。 如果您使用 Azure AD 來管理 AWS 存取,請參閱此控制項的 Azure 指引。
注意:對於可能有預設識別碼和密碼的協力廠商應用程式和 AWS 服務,您應該在初始服務設定期間停用或變更它們。
AWS 實作和其他內容:
GCP 指引:Google Cloud Identity 透過多重要素驗證支援增強式驗證控制, (MFA) 。 您可以針對所有使用者強制執行 MFA、選取使用者,或根據定義的條件,在每個使用者層級強制執行 MFA。 若要保護雲端身分識別 (和工作區) 進階系統管理員帳戶,請考慮使用安全性金鑰和 Google 進階保護計劃來達到最大安全性。
如果您使用來自協力廠商目錄的公司帳戶 (,例如 Windows Active Directory) 搭配 Google Cloud 身分識別,請遵循個別的安全性指引來強制執行強式驗證。 如果您使用 Azure AD 來管理 Google Cloud 存取,請參閱此控制項的 Azure 指引。
使用 Identity-Aware Proxy 為 HTTPS 存取的應用程式建立中央授權層,因此您可以使用應用層級存取控制模型,而不是依賴網路層級防火牆。
注意:對於可能有預設識別碼和密碼的協力廠商應用程式和 GCP 服務,您應該在初始服務設定期間停用或變更它們。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-7:根據條件限制資源存取
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
3.3, 6.4, 13.5 | AC-2、AC-3、AC-6 | 7.2 |
安全性準則:明確驗證信任的訊號,以允許或拒絕使用者存取資源,作為零信任存取模型的一部分。 要驗證的訊號應包括使用者帳戶的強式驗證、使用者帳戶的行為分析、裝置信任度、使用者或群組成員資格、位置等等。
Azure 指引:使用 Azure AD 條件式存取,根據使用者定義的條件進行更細微的存取控制,例如要求特定 IP 範圍的使用者登入 (或裝置) 使用 MFA。 Azure AD 條件式存取可讓您根據特定條件,對貴組織的應用程式強制執行存取控制。
在工作負載中定義 Azure AD 條件式存取適用的條件和準則。 請考慮下列常見的使用案例:
- 針對具有系統管理角色的使用者,要求執行多重要素驗證
- Azure 管理工作需要多重要素驗證
- 封鎖嘗試使用舊版驗證通訊協定的使用者登入
- 需要適用於 Azure AD Multi-Factor Authentication 註冊的信任位置
- 封鎖或授與特定位置的存取權
- 封鎖有風險的登入行為
- 需要由組織管理的裝置來使用特定應用程式
注意:細微的驗證會話管理控制項也可以透過 Azure AD 條件式存取原則來實作,例如登入頻率和持續性瀏覽器會話。
Azure 實作和其他內容:
AWS 指引:建立 IAM 原則,並根據使用者定義的條件來定義更細微的存取控制條件,例如要求特定 IP 範圍的使用者登入 (或裝置) 使用多重要素驗證。 條件設定可能包含單一或多個條件以及邏輯。
原則可從六個不同的維度定義:身分識別型原則、資源型原則、許可權界限、AWS 組織服務控制原則 (SCP) 、存取控制清單 (ACL) 和會話原則。
AWS 實作和其他內容:
GCP 指引:根據使用者定義的條件,建立及定義更細微屬性型存取控制的 IAM 條件,例如要求特定 IP 範圍的使用者登入 (或裝置) 使用多重要素驗證。 條件設定可能包含單一或多個條件以及邏輯。
條件是在資源允許原則的角色系結中指定。 條件屬性是以要求的資源為基礎,例如其類型或名稱,或要求的詳細資料,例如其時間戳記或目的地 IP 位址。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-8:限制認證和秘密的公開
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
安全性準則:確保應用程式開發人員安全地處理認證和秘密:
- 避免將認證和秘密內嵌至程式碼和組態檔
- 使用金鑰保存庫或安全的金鑰存放區服務來儲存認證和秘密
- 掃描原始程式碼中的認證。
注意:這通常是透過安全軟體發展生命週期來管理並強制執行, (SDLC) 和 DevOps 安全性程式。
Azure 指引:使用受控識別不是選項時,請確定秘密和認證會儲存在安全的位置,例如 Azure 金鑰保存庫,而不是將它們內嵌到程式碼和組態檔中。
如果您使用 Azure DevOps 和 GitHub 進行程式碼管理平臺:
- 實作 Azure DevOps 認證掃描器,以識別程式碼內的認證。
- 針對 GitHub,使用原生密碼掃描功能來識別程式碼中的認證或其他形式的秘密。
Azure Functions、Azure Apps 服務和 VM 等用戶端可以使用受控識別安全地存取 Azure 金鑰保存庫。 請參閱與使用 Azure 金鑰保存庫進行秘密管理相關的資料保護控制項。
注意:Azure 金鑰保存庫會為支援的服務提供自動輪替。 對於無法自動輪替的秘密,請確定它們會在不再使用時定期手動輪替並清除。
Azure 實作和其他內容:
- 如何設定認證掃描器
- GitHub 祕密掃描 (英文)
AWS 指引:使用 IAM 角色進行應用程式存取不是選項時,請確定秘密和認證會儲存在安全的位置,例如 AWS 秘密管理員或系統管理員參數存放區,而不是將它們內嵌到程式碼和組態檔中。
使用 CodeGuru Reviewer 進行靜態程式碼分析,以偵測原始程式碼中硬式編碼的秘密。
如果您針對程式碼管理平臺使用 Azure DevOps 和 GitHub:
- 實作 Azure DevOps 認證掃描器,以識別程式碼內的認證。
- 針對 GitHub,請使用原生密碼掃描功能來識別程式碼中的認證或其他形式的秘密。
注意:秘密管理員會為支援的服務提供自動秘密輪替。 對於無法自動輪替的秘密,請確定它們會在不再使用時定期手動輪替並清除。
AWS 實作和其他內容:
GCP 指引:使用 Google 管理的服務帳戶進行應用程式存取不是選項時,請確定秘密和認證會儲存在安全的位置,例如 Google Cloud 的秘密管理員,而不是將它們內嵌到程式碼和組態檔中。
在 IDE 的 (整合式開發環境上使用 Google Cloud Code 擴充功能,例如) ,例如Visual Studio Code,將秘密管理員所管理的秘密整合到您的程式碼中。
如果您針對程式碼管理平臺使用 Azure DevOps 或 GitHub:
- 實作 Azure DevOps 認證掃描器,以識別程式碼內的認證。
- 針對 GitHub,請使用原生密碼掃描功能來識別程式碼中的認證或其他形式的秘密。
注意:最佳做法是設定秘密管理員中所儲存秘密的輪替排程。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IM-9:保護使用者對現有應用程式的存取
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
6.7, 12.5 | AC-2、AC-3、SC-11 | N/A |
安全性準則:在混合式環境中,使用舊版驗證擁有內部部署應用程式或非原生雲端應用程式,請考慮雲端存取安全性代理程式 (CASB) 、應用程式 Proxy、單一登入 (SSO) ,以控管這些應用程式的存取,以取得下列優點:
- 強制執行集中式增強式驗證
- 監視和控制有風險的使用者活動
- 監視和補救有風險的繼承應用程式活動
- 偵測並防止敏感性資料傳輸
Azure 指引:使用舊版驗證保護您的內部部署和非原生雲端應用程式,方法是將其連線至:
- Azure AD 應用程式 Proxy並設定標頭型驗證,以允許對遠端使用者的應用程式進行單一登入 (SSO) 存取,同時明確驗證具有 Azure AD 條件式存取之遠端使用者和裝置的可信任性。 如有需要,請使用協力廠商 Software-Defined 周邊 (SDP) 解決方案,以提供類似的功能。
- Microsoft Defender for Cloud Apps,其提供雲端存取安全性代理程式 (CASB) 服務,以監視和封鎖使用者存取未經核准的協力廠商 SaaS 應用程式。
- 您現有的協力廠商應用程式傳遞控制器和網路。
注意:VPN 通常用來存取繼承應用程式,而且通常只有基本的存取控制和有限的會話監視。
Azure 實作和其他內容:
AWS 指引:遵循 Azure 的指引,藉由將內部部署和非原生雲端應用程式連線至下列專案來保護內部部署和非原生雲端應用程式:
- Azure AD 應用程式 Proxy,並設定標頭型,以允許對遠端使用者的應用程式進行單一登入 (SSO) 存取,同時使用 Azure AD 條件式存取明確驗證遠端使用者和裝置的可信任性。 如有需要,請使用協力廠商 Software-Defined 周邊 (SDP) 解決方案,以提供類似的功能。
- Microsoft Defender for Cloud Apps,其可作為雲端存取安全性代理程式 (CASB) 服務,以監視和封鎖使用者存取未經核准的協力廠商 SaaS 應用程式。
- 您現有的協力廠商應用程式傳遞控制器和網路
注意:VPN 通常用來存取繼承應用程式,而且通常只有基本的存取控制和有限的會話監視。
AWS 實作和其他內容:
GCP 指引:使用 Google Cloud Identity-Aware Proxy (IAP) 來管理對 Google Cloud 外部 HTTP 型應用程式的存取,包括內部部署應用程式。 IAP 可在 App Engine 標準環境中使用已簽署的標頭或使用者 API。 如有需要,請使用協力廠商 Software-Defined 周邊 (SDP) 解決方案,以提供類似的功能。
您也可以選擇使用Microsoft Defender for Cloud Apps作為雲端存取安全性代理程式, (CASB) 服務來監視和封鎖使用者存取未核准的協力廠商 SaaS 應用程式。
注意:VPN 通常用來存取繼承應用程式,而且通常只有基本的存取控制和有限的會話監視。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :