特殊許可權存取:中繼

  • 發行項

中繼裝置的安全性是保護特殊許可權存取的重要元件

媒介會將連結新增至使用者或系統管理員端對端會話 零信任 保證鏈結,因此它們必須在會話中維持(或改善)零信任 安全性保證。 中繼的範例包括虛擬專用網(VPN)、跳躍伺服器、虛擬桌面基礎結構(VDI),以及透過存取 Proxy 發佈的應用程式。

What is an intermediary?

攻擊者可能會攻擊媒介,嘗試使用儲存在它們上的認證來提升許可權、取得公司網路的網路遠端訪問,或在用於 零信任 存取決策時惡意探索該裝置的信任。 將媒介設為目標已變得太常見,尤其是對於未嚴格維護這些裝置安全性狀態的組織而言。 例如, 從 VPN 裝置收集的認證。

Intermediary types and risks

媒介會因用途和技術而異,但通常會提供遠端訪問、會話安全性,或兩者:

  • 遠端存取 - 啟用從因特網存取企業網路上的系統
  • 會話安全性 - 提高會話的安全性保護和可見度
    • 非受控裝置案例 - 提供受控虛擬桌面供非受控裝置存取(例如,個人員工裝置)和/或合作夥伴/廠商管理的裝置。
    • 管理員 istrator 安全性案例 - 合併系統管理路徑和/或使用 Just-In Time 存取、會話監視和錄製,以及類似的功能來增加安全性。

確保從原始裝置和帳戶持續到資源介面的安全性保證需要瞭解媒介和風險降低選項的風險配置檔。

攻擊者機會和價值

不同的中繼類型會執行獨特的功能,因此它們都需要不同的安全性方法,不過有一些重要的共同點,例如快速將安全性修補程式套用至設備、韌體、操作系統和應用程式。

Comparing attacker opportunity and value for given intermediaries

攻擊者機會是由攻擊操作員可鎖定的可用攻擊面所代表:

  • Microsoft Entra PIM、Azure Bastion 和 Microsoft Entra 應用程式 Proxy 等原生雲端服務 為攻擊者提供有限的攻擊面。 雖然客戶會公開到公用因特網,但客戶(和攻擊者)無法存取提供服務的基礎操作系統,而且通常會透過雲端提供者的自動化機制一致地維護及監視它們。 這個較小的受攻擊面會限制攻擊者與傳統內部部署應用程式和設備可用的選項,這些應用程式與設備必須由IT人員設定、修補及監視,而IT人員通常會因為衝突優先順序和安全性工作而不知所措,而不是有時間完成。
  • 虛擬專用網 (VPN)遠端桌面 / Jump 伺服器經常有重大攻擊者的機會,因為它們暴露在因特網上以提供遠端訪問,而且這些系統的維護經常被忽視。 雖然攻擊者只公開了幾個網路埠,但攻擊者只需要存取一個未修補的服務才能進行攻擊。
  • 第三方 PIM/PAM 服務經常裝載於內部部署或基礎結構即服務上的 VM(IaaS),通常只能供內部網路主機使用。 雖然不會直接公開因特網,但單一遭入侵的認證可能會允許攻擊者透過 VPN 或其他遠端訪問媒體存取服務。

攻擊者值 代表攻擊者可藉由危害媒介而獲得的內容。 入侵定義為攻擊者可完全控制雲端服務客戶實例的應用程式/VM和/或系統管理員。

攻擊者可以從媒介收集到其攻擊下一個階段的要素包括:

  • 取得網路連線 ,以與企業網路上大部分或所有資源通訊。 此存取通常是由 VPN 和遠端桌面/跳躍伺服器解決方案提供。 雖然 Azure Bastion 和 Microsoft Entra 應用程式 Proxy(或類似的第三方解決方案)解決方案也提供遠端訪問,但這些解決方案通常是應用程式或伺服器特定的連線,而且不提供一般網路存取
  • 模擬裝置身分識別 - 如果裝置需要驗證和/或攻擊者用來收集目標網路上的情報,則可能會失敗 零信任 機制。 安全性作業小組通常不會密切監視裝置帳戶活動,只關注用戶帳戶。
  • 竊取帳戶認證 來向資源進行驗證,這是攻擊者最有價值的資產,因為它可讓您提升許可權以存取其最終目標或攻擊的下一個階段。 遠端桌面/跳躍伺服器和第三方 PIM/PAM 是最有吸引力的目標,且具有「一個籃子中的所有雞蛋」動態,並增加攻擊者的價值和安全性風險降低:
    • PIM/PAM 解決方案通常會在組織中儲存大部分或所有特殊許可權角色的認證,使其成為危害或武器化的高度有利可圖的目標。
    • Microsoft Entra PIM 不提供攻擊者竊取認證的能力,因為它會解除鎖定已使用 MFA 或其他工作流程指派給帳戶的許可權,但設計不佳的工作流程可能會讓敵人提升許可權。
    • 系統管理員使用的遠端桌面/跳躍伺服器 提供主機,其中有許多或所有敏感性會話通過,讓攻擊者能夠使用標準認證竊取攻擊工具來竊取和重複使用這些認證。
    • VPN 可以將認證儲存在解決方案中,為攻擊者提供潛在的特權提升寶庫,導致強烈建議使用 Microsoft Entra ID 進行驗證,以降低此風險。

中繼安全性配置檔

建立這些保證需要安全性控制的組合,其中有些是許多媒介通用的,有些是中介類型特有的。

Intermediaries as a link in the Zero Trust chain

中繼是 零信任 鏈結中的連結,它會向使用者/裝置呈現介面,然後啟用下一個介面的存取權。 安全性控制必須解決輸入連線、中繼裝置/應用程式/服務本身的安全性,以及(如果適用的話)為下一個介面提供 零信任 安全性訊號。

常見的安全性控制件

中介機構的共同安全性要素著重於維護企業和特殊層級的良好安全性衛生,並額外限制特殊許可權安全性。

Common security controls for intermediaries

這些安全性控制應套用至所有類型的媒介:

  • 強制執行輸入連線安全性 - 使用 Microsoft Entra ID 和條件式存取,以確保來自裝置和帳戶的所有輸入連線都是已知、信任和允許的。 如需詳細資訊,請參閱 Secuiting 特殊許可權介面一文,以取得企業和特製化裝置和帳戶需求的詳細定義。
  • 適當的系統維護 - 所有中介機構都必須遵循良好的安全性衛生做法,包括:
    • 安全設定 - 遵循應用程式和任何基礎操作系統、雲端服務或其他相依性的製造商或產業安全性設定基準和最佳做法。 Microsoft 適用的指引包括 Azure 安全性基準和 Windows 基準。
    • 快速修補 - 發行后必須快速套用廠商的安全性更新和修補程式。
  • 攻擊者可能會濫用角色型 存取控制 (RBAC) 模型來提升許可權。 中繼的 RBAC 模型必須仔細檢閱,以確保只有特殊或特殊許可權層級所保護的授權人員會被授與系統管理許可權。 此模型必須包含任何基礎操作系統或雲端服務(根帳戶密碼、本機系統管理員使用者/群組、租用戶系統管理員等)。
  • 端點偵測和回應 (EDR) 和輸出信任訊號 - 包含完整作業系統的裝置應受到監視和保護,例如 適用於端點的 Microsoft Defender。 此控件應設定為提供裝置合規性訊號給條件式存取,讓原則可以針對介面強制執行此需求。

特殊許可權媒介需要額外的安全性控制:

  • 角色型 存取控制 (RBAC) - 管理員 許可權必須限制為僅符合工作站和帳戶標準的特殊許可權角色。
  • 專用裝置(選擇性) - 由於特殊許可權會話的極端敏感度,組織可以選擇針對特殊許可權角色實作中繼功能的專用實例。 此控制項可啟用這些特殊許可權中繼的額外安全性限制,以及更密切地監視特殊許可權角色活動。

每個中繼類型的安全性指引

本節包含每種媒介類型特有的特定安全性指引。

Privileged Access Management / Privileged Identity Management

針對安全性使用案例明確設計的一種媒介類型是特殊許可權身分識別管理/特殊許可權存取管理 (PIM/PAM) 解決方案。

PIM/PAM 的使用案例和案例

PIM/PAM 解決方案的設計目的是為特殊或特殊許可權配置文件涵蓋的敏感性帳戶增加安全性保證,且通常會先專注於IT系統管理員。

雖然 PIM/PAM 廠商之間的功能有所不同,但許多解決方案都提供下列安全性功能:

  • 簡化服務帳戶管理和密碼輪替(非常重要的功能)

  • 提供 Just-In-Time 的進階工作流程 (JIT) 存取

  • 記錄和監視系統管理會話

    重要

    PIM/PAM 功能為某些攻擊提供絕佳的防護功能,但無法解決許多預先取得的存取風險,尤其是裝置入侵的風險。 雖然一些廠商主張其 PIM/PAM 解決方案是可降低裝置風險的「銀彈」解決方案,但我們調查客戶事件的經驗一直證明這實際上無法運作。

    控制工作站或裝置的攻擊者可以在使用者登入時使用這些認證(以及指派給他們的許可權),而且通常也可以竊取認證以供稍後使用。 單靠 PIM/PAM 解決方案無法一致且可靠地查看並降低這些裝置風險,因此您必須擁有彼此互補的離散裝置和帳戶保護。

PIM/PAM 的安全性風險和建議

每個 PIM/PAM 廠商的功能會因如何保護它們而有所不同,因此請檢閱並遵循廠商的特定安全性設定建議和最佳做法。

注意

請確定您在業務關鍵工作流程中設定第二個人,以協助降低內部風險(增加內部威脅潛在勾結的成本/摩擦)。

用戶虛擬專用網

虛擬專用網(VPN)是為遠端端點提供完整網路存取的媒介,通常需要終端用戶進行驗證,而且可以在本機儲存認證來驗證輸入用戶會話。

注意

本指南僅指使用者所使用的「點對站」VPN,而不是通常用於數據中心/應用程式連線的「站對站」VPN。

VPN 的使用案例和案例

VPN 會建立與企業網路的遠端連線,以啟用使用者和系統管理員的資源存取。

VPN 的安全性風險和建議

VPN 媒介面臨的最重大風險來自維護忽視、設定問題,以及認證本機記憶體。

Microsoft 建議 VPN 媒介的控件組合:

  • 整合 Microsoft Entra 驗證 - 降低或消除本機儲存認證的風險(以及維護認證的任何負擔負擔),並在具有條件式存取的輸入帳戶/裝置上強制執行 零信任 原則。 如需整合的指引,請參閱
  • 快速修補 - 確定所有組織元素都支援快速修補,包括:
    • 需求的組織贊助 和領導支援
    • 以最少或零停機時間更新 VPN 的標準技術程式 。 此程式應包含 VPN 軟體、設備,以及任何基礎作業系統或韌體
    • 快速部署重要安全性更新的緊急程式
    • 治理 以持續探索並補救任何遺漏的專案
  • 安全設定 - 每個 VPN 廠商的功能會因如何保護它們而有所不同,因此請檢閱並遵循廠商的特定安全性設定建議和最佳做法
  • 超越 VPN - 使用更安全的選項取代 VPN,例如 Microsoft Entra 應用程式 Proxy 或 Azure Bastion,因為這些選項只提供直接的應用程式/伺服器存取,而不是完整的網路存取。 此外,Microsoft Entra 應用程式 Proxy 允許會話監視搭配 適用於雲端的 Microsoft Defender Apps 的額外安全性。

Modernize VPN authentication and move apps to modern access

Microsoft Entra 應用程式 Proxy

Microsoft Entra 應用程式 Proxy 和類似的第三方功能可遠端訪問裝載於內部部署或雲端 IaaS VM 上的舊版和其他應用程式。

Microsoft Entra 應用程式 Proxy 的使用案例和案例

此解決方案適用於透過因特網將舊版用戶生產力應用程式發佈至授權的使用者。 它也可以用來發佈某些系統管理應用程式。

Microsoft Entra 應用程式 Proxy 的安全性風險和建議

Microsoft Entra 應用程式 Proxy 可有效地將新式 零信任 原則強制執行改造為現有的應用程式。 如需詳細資訊,請參閱 Microsoft Entra 應用程式 Proxy 的安全性考慮

Microsoft Entra 應用程式 Proxy 也可以與 適用於雲端的 Microsoft Defender Apps 整合,以將條件式存取應用程控會話安全性新增至:

  • 防止數據外流
  • 下載時保護
  • 防止上傳未標記的檔案
  • 監視用戶會話以符合規範
  • 封鎖存取
  • 封鎖自定義活動

如需詳細資訊,請參閱部署適用於 Microsoft Entra 應用程式的 適用於雲端的 Defender 應用程式條件式存取應用程控

當您透過 Microsoft Entra 應用程式 Proxy 發佈應用程式時,Microsoft 建議讓應用程式擁有者與安全性小組合作,以遵循最低許可權,並確保每個應用程式的存取權只能提供給需要該應用程式的使用者使用。 當您以這種方式部署更多應用程式時,您或許能夠將一些終端使用者點位移至月臺 VPN 使用量。

遠端桌面/跳躍伺服器

此案例提供執行一或多個應用程式的完整桌面環境。 此解決方案有許多不同的變化,包括:

  • 體驗 -視窗或單一應用程式投影體驗中的完整桌面
  • 遠端主機 - 可能是使用 Windows 虛擬桌面 (WVD) 或其他虛擬桌面基礎結構 (VDI) 解決方案的共用 VM 或專用桌面 VM。
  • 本機裝置 - 可能是行動裝置 、受控工作站或個人/合作夥伴受控工作站
  • 案例 - 著重於用戶生產力應用程式或系統管理案例,通常稱為「跳躍伺服器」

遠端桌面/跳躍伺服器的使用案例和安全性建議

最常見的組態包括:

  • 直接遠端桌面通訊協定 (RDP) - 此設定不建議用於因特網連線,因為 RDP 是一種通訊協定,對密碼噴灑這類新式攻擊的保護有限。 直接 RDP 應該轉換成下列任一項:
    • 透過 Microsoft Entra 應用程式 Proxy 發佈的閘道 RDP
    • Azure Bastion
  • 透過閘道使用 RDP
    • Windows Server 中包含的遠端桌面服務 (RDS)。 使用 Microsoft Entra 應用程式 Proxy 發佈。
    • Windows 虛擬桌面 (WVD) - 遵循 Windows 虛擬桌面安全性最佳做法。
    • 第三方 VDI - 遵循製造商或產業最佳做法,或調整 WVD 指引以符合您的解決方案
  • 安全殼層 (SSH) 伺服器 - 為技術部門和工作負載擁有者提供遠端殼層和腳本。 保護此設定應包括:
    • 遵循業界/製造商最佳做法,安全地進行設定、變更任何默認密碼(如果適用),以及使用 SSH 金鑰而非密碼,以及安全地儲存和管理 SSH 金鑰。
    • 使用 Azure Bastion 將 SSH 遠端處理至 Azure 中裝載的資源 - 使用 Azure Bastion 將 連線 至 Linux VM

Azure Bastion

Azure Bastion 是一種媒介,其設計目的是使用瀏覽器和 Azure 入口網站 安全地存取 Azure 資源。 Azure Bastion 提供 Azure 中支援遠端桌面通訊協定 (RDP) 和安全殼層 (SSH) 通訊協定的存取資源。

Azure Bastion 的使用案例和案例

Azure Bastion 有效地提供彈性的解決方案,可供 IT 作業人員和 IT 外部的工作負載系統管理員用來管理裝載在 Azure 中的資源,而不需要環境的完整 VPN 連線。

Azure Bastion 的安全性風險和建議

Azure Bastion 可透過 Azure 入口網站 存取,因此請確定您的 Azure 入口網站 介面需要適當層級的安全性,才能使用資源及其角色,通常是特殊許可權或特製化層級。

Azure Bastion 檔提供其他指引

下一步