使用零信任保護身分識別
背景
雲端應用程式和行動員工已重新定義安全界限。 員工攜帶自己的裝置在遠端工作。 數據是在公司網路外部存取,並與外部共同作業者共用,例如合作夥伴和廠商。 公司應用程式和資料從內部部署移至混合式和雲端環境。 組織無法再仰賴傳統網路控制來確保安全性。 控制必須移至資料所在位置:裝置、應用程式內及合作夥伴本身。
代表人員、服務或IoT裝置的身分識別,是現今許多 網路、 端點和 應用程式的共同主導者。 在零信任安全性模型中,身分識別有強大、靈活又細微的方式來控制對資料的存取。
在身分識別嘗試存取資源之前,組織必須:
使用增強式驗證來驗證身分識別。
確定存取符合規範且能代表該身分識別。
遵循最低權限存取原則。
驗證身分識別之後,我們可以根據組織原則、持續的風險分析和其他工具,控制該身分識別對資源的存取。
身分識別零信任部署目標
在大部分組織開始 零信任 旅程之前,其身分識別方法在內部部署身分識別提供者正在使用中,雲端與內部部署應用程式之間沒有 SSO,且身分識別風險的可見度非常有限。
|
實作身分識別的端對端 零信任 架構時,建議您先專注於這些初始部署目標: |
|
|
|
第三。分析可改善可見度。 |
|
達成以上目標之後,專注於下列額外的部署目標: |
|
|
|
|
身分識別零信任部署指南
本指南將逐步引導您完成遵循 零信任 安全性架構原則來管理身分識別所需的步驟。
|
|
初始部署目標 |
I. 雲端身分識別與內部部署身分識別系統結合
Microsoft Entra ID 可啟用強身份驗證、端點安全性整合點,以及以使用者為中心的原則核心,以確保最低許可權的存取。 Microsoft Entra 條件式存取功能是根據使用者身分識別、環境、裝置健康情況和風險存取資源的原則決策點,在存取點明確驗證。 我們將示範如何使用 Microsoft Entra ID 實作 零信任 身分識別策略。
連線 所有使用者到 Microsoft Entra ID,並與內部部署身分識別系統同盟
維護員工身分識別的健康管線,以及必要的安全性成品(用於授權和端點的額外存取控制群組)可讓您在雲端中使用一致的身分識別和控件。
執行下列步驟:
選擇驗證選項。 Microsoft Entra ID 提供您最佳的暴力密碼破解、DDoS 和密碼噴灑保護,但做出適合貴組織與合規性需求的決策。
只帶來您絕對需要的身分識別。 例如,使用移至雲端作為只讓內部部署有意義的服務帳戶留下的機會。 保留內部部署特殊許可權角色。
如果您的企業有超過 100,000 個使用者、群組和裝置結合, 會建置高效能同步處理方塊 ,讓您的生命週期保持在最新狀態。
使用 Microsoft Entra 識別符建立 Identity Foundation
零信任 策略需要明確驗證、使用最低許可權的存取原則,並假設有缺口。 Microsoft Entra ID 可以做為原則決策點,根據使用者、端點、目標資源和環境的深入解析來強制執行存取原則。
請採取此步驟:
- 將 Microsoft Entra ID 放在每個存取要求的路徑中。 這會透過一個身分識別控制平面連接每位使用者和每個應用程式或資源,並提供 Microsoft Entra ID 與訊號,以做出關於驗證/授權風險的最佳決策。 此外,單一登錄和一致的原則護欄可提供更佳的用戶體驗,並有助於提高生產力。
將所有應用程式與 Microsoft Entra ID 整合
單一登錄可防止用戶在各種應用程式中留下其認證複本,並協助避免使用者因過度提示而習慣交出其認證。
此外,請確定您的環境中沒有多個 IAM 引擎。 這不僅會減少 Microsoft Entra ID 所見的訊號量,讓不良執行者生活在兩個 IAM 引擎之間的接縫中,也可能導致用戶體驗不佳,而您的商務夥伴成為您 零信任 策略的第一個懷疑者。
執行下列步驟:
針對 Kerberos 和表單型驗證應用程式, 請使用 Microsoft Entra 應用程式 Proxy 加以整合。
如果您使用應用程式傳遞網路/控制器發佈舊版應用程式,請使用 Microsoft Entra ID 與 大部分主要應用程式整合 (例如 Citrix、Akamai 和 F5)。
若要協助探索和移轉 ADFS 和現有/較舊的 IAM 引擎的應用程式,請檢閱 資源和工具。
將身分識別Power Push身分識別推送至各種雲端應用程式。 這可讓您在這些應用程式中進行更緊密的身分識別生命週期整合。
提示
瞭解如何實作應用程式的端對端 零信任 策略。
使用強身份驗證明確驗證進行驗證
執行下列步驟:
推出 Microsoft Entra 多重要素驗證 (P1)。 這是降低用戶會話風險的基礎部分。 當使用者出現在新的裝置和新位置時,能夠回應 MFA 挑戰是使用者教我們這些熟悉的裝置/位置,因為他們在世界各地行動時,最直接的方式之一(沒有系統管理員剖析個別訊號)。
封鎖舊版驗證。 惡意執行者最常見的攻擊媒介之一是針對舊版通訊協定使用遭竊/重新執行的認證,例如 SMTP,無法對新式安全性挑戰執行。
II. 條件式存取原則管制存取並提供補救活動
Microsoft Entra 條件式存取 (CA) 會分析使用者、裝置和位置等訊號,以自動化決策並強制執行資源的組織存取原則。 您可以使用 CA 原則套用存取控制,例如多重要素驗證 (MFA)。 CA 原則可讓您在需要時提示使用者輸入 MFA,並在需要時遠離使用者的方式。
Microsoft 提供稱為 安全性預設值 的標準條件式原則,以確保基本層級的安全性。 但是,貴組織所需的靈活性,可能比安全性預設值所能提供的還要多。 您可以使用條件式存取,以更細微的方式自訂安全性預設值,以及設定符合您需求的新原則。
事先規劃條件式存取原則,並備妥一組作用中和遞補原則,是在零信任部署中強制執行存取原則的基本要素。 花些時間在環境中設定信任的 IP 位置。 即使您未在條件式存取原則中使用它們,設定這些IP也會通知上述Identity Protection的風險。
請採取此步驟:
- 請參閱我們的 部署指引 和 復原條件式存取原則的最佳做法 。
使用 Microsoft Entra 識別子註冊裝置,以限制來自易受攻擊和遭入侵裝置的存取
執行下列步驟:
啟用 Microsoft Entra 混合式聯結 或 Microsoft Entra Join。 如果您要管理使用者的膝上型計算機/計算機,請將該資訊帶入 Microsoft Entra ID,並用它來協助做出更好的決策。 例如,如果您知道使用者來自組織所控制和管理的計算機,您可以選擇允許豐富的用戶端存取數據(計算機上有離線複本的用戶端)。 如果您未將此專案帶入,您可能會選擇封鎖來自豐富用戶端的存取,這可能會導致使用者因應安全性或使用影子 IT。
啟用 Microsoft 端點管理員 (EMS) 內的 Intune 服務,以管理使用者的行動裝置和註冊裝置。 與膝上型計算機用戶行動裝置相同:您越了解這些裝置(修補程式等級、越獄、破解等),就越能夠信任或不信任它們,並提供您封鎖/允許存取的理由。
III. 分析改善可見度
當您使用驗證、授權和布建在 Microsoft Entra ID 中建置資產時,請務必深入瞭解目錄中發生的情況。
設定記錄和報告以改善可見度
請採取此步驟:
- 規劃 Microsoft Entra 報告和監視部署 ,以在 Azure 中保存和分析來自 Microsoft Entra 識別符的記錄,或使用所選擇的 SIEM 系統。
|
|
其他部署目標 |
IV. 使用身分識別治理來管理身分識別和存取權限
完成初始三個目標之後,您可以專注於其他目標,例如更健全的身分識別治理。
使用 Privileged Identity Management 保護特殊許可權存取
控制使用者用來存取特殊許可權作業/角色的端點、條件和認證。
執行下列步驟:
控制特殊許可權身分識別。 請記住,在經過數位轉換的組織中,特殊許可權存取不僅是系統管理存取權,也是應用程式擁有者或開發人員存取權,可以變更任務關鍵性應用程式執行及處理數據的方式。
限制使用者同意應用程式
使用者同意應用程式是新式應用程式取得組織資源存取權的常見方式,但有一些最佳做法要牢記在心。
執行下列步驟:
限制使用者同意及管理同意要求 ,以確保組織的數據不會對應用程式造成不必要的暴露。
檢閱組織中 先前/現有的同意,以取得任何過度或惡意的同意。
如需防止策略存取敏感性資訊的工具詳細資訊,請參閱我們實作身分識別 零信任 策略的指南中的。
驗證權利
透過集中驗證和驅動來自 Microsoft Entra 識別符的應用程式,您現在可以簡化存取要求、核准和重新認證程式,以確保正確的人員具有正確的存取權,而且您有組織使用者存取權的原因。
執行下列步驟:
使用權利管理建立 存取套件,用戶可以在加入不同的小組/專案時要求這些存取套件 ,並將其存取權指派給相關聯的資源(例如應用程式、SharePoint 網站、群組成員資格)。
如果目前無法為組織部署權利管理,請至少藉由部署自助式群組管理和自助應用程式存取,在您的組織中啟用自助架構。
使用無密碼驗證來降低網路釣魚和密碼攻擊的風險
透過支援 FIDO 2.0 和無密碼手機登入的 Microsoft Entra ID,您可以移動使用者(尤其是敏感性/特殊許可權使用者)每天採用的認證指標。 這些認證是可降低風險的強式驗證因素。
請採取此步驟:
V. 即時分析使用者、裝置、位置和行為,以判斷風險並持續提供保護
即時分析攸關如何判斷風險和保護。
部署 Microsoft Entra 密碼保護
啟用其他方法來明確驗證使用者時,請勿忽略弱式密碼、密碼噴洒和缺口重新執行攻擊。 傳統 複雜密碼原則不會防止最普遍的密碼攻擊。
請採取此步驟:
啟用 Identity Protection
使用 Identity Protection 取得更細微的會話/用戶風險訊號。 您將能夠調查風險並確認入侵或關閉訊號,這可協助引擎進一步了解環境中的風險。
請採取此步驟:
啟用 適用於雲端的 Microsoft Defender Apps 與 Identity Protection 整合
適用於雲端的 Microsoft Defender 應用程式會監視 SaaS 和新式應用程式內的用戶行為。 這會通知 Microsoft Entra 識別碼在用戶驗證並收到令牌之後所發生的情況。 如果使用者模式開始看起來可疑(例如,用戶開始從 OneDrive 下載 GB 的數據,或開始在 Exchange Online 中傳送垃圾郵件),則可以將訊號傳送給 Microsoft Entra ID,通知使用者似乎遭到入侵或高風險。 在此使用者的下一個存取要求上,Microsoft Entra ID 可以正確地採取動作來驗證使用者或封鎖使用者。
請採取此步驟:
- 啟用 適用於雲端的 Defender 應用程式監視以擴充 Identity Protection 訊號。
啟用條件式存取與 適用於雲端的 Microsoft Defender Apps 整合
使用驗證之後發出的訊號,以及搭配 適用於雲端的 Defender Apps 將要求 Proxy 處理至應用程式,您將能夠監視前往 SaaS 應用程式的會話,並強制執行限制。
執行下列步驟:
啟用受限制的會話以用於存取決策
當用戶的風險很低,但他們從未知的端點登入時,您可能會想要允許他們存取重要資源,但不允許他們執行讓組織處於不符合規範狀態的動作。 現在,您可以設定 Exchange Online 和 SharePoint Online,為使用者提供受限制的會話,讓他們讀取電子郵件或檢視檔案,但無法下載電子郵件,並將其儲存在不受信任的裝置上。
請採取此步驟:
- 啟用對 SharePoint Online 和 Exchange Online 的有限存取
VI. 整合來自其他安全性解決方案的威脅訊號,以改善偵測、保護和反應
最後,可以整合其他安全性解決方案,以提高成效。
整合 適用於身分識別的 Microsoft Defender 與 適用於雲端的 Microsoft Defender Apps
與 適用於身分識別的 Microsoft Defender 整合可讓 Microsoft Entra ID 知道使用者在存取內部部署、非新式資源(例如檔案共用)時沉溺於有風險的行為。 然後,這可納入整體用戶風險,以封鎖雲端中的進一步存取。
執行下列步驟:
使用 適用於雲端的 Microsoft Defender Apps 啟用 適用於身分識別的 Microsoft Defender,以將內部部署訊號帶入我們所瞭解的用戶風險訊號。
檢查每位有風險的使用者合併調查優先順序分數,以全面檢視SOC應該關注哪些使用者。
啟用 適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 可讓您證明 Windows 機器的健康情況,並判斷它們是否正在遭到入侵。 然後,您可以將該資訊饋送至降低運行時間的風險。 雖然 Domain Join 提供您控制的感覺,適用於端點的 Defender 可讓您近乎即時地回應惡意代碼攻擊,方法是偵測多個使用者裝置點擊不受信任的網站的模式,並在運行時間提高其裝置/用戶風險來做出反應。
請採取此步驟:
- 在 適用於端點的 Microsoft Defender 中設定條件式存取。
根據有關網路安全性與 OMB 備忘錄 22-09 的行政命令 14028 保護身分識別
關於改善國家網路安全和 OMB 備忘錄 22-09 的行政命令 14028 包括 零信任 的具體行動。 身分識別動作包括採用集中式身分識別管理系統、使用強式網路釣魚 MFA,以及在授權決策中納入至少一個裝置層級訊號。 如需使用 Microsoft Entra ID 實作這些動作的詳細指引,請參閱 使用 Microsoft Entra ID 符合備忘錄 22-09 的身分識別需求。
本指南涵蓋的產品
Microsoft Azure
Microsoft 365
Microsoft 端點管理員 (包括 Microsoft Intune)
結論
身分識別是成功 零信任 策略的核心。 如需實作的進一步資訊或協助,請連絡您的客戶成功小組,或繼續閱讀本指南的其他章節,其涵蓋所有 零信任 要素。
零信任 部署指南系列
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應