أفضل ممارسات أمان Azure لإدارة الهوية والتحكم في الوصول

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

في هذه المقالة، نناقش مجموعة من أفضل ممارسات إدارة الهوية والتحكم في الوصول في Azure. تستمد أفضل الممارسات هذه من تجربتنا مع Azure AD وتجارب العملاء مثلك.

لكل ممارسة من أفضل الممارسات، نوضح:

• ما هي أفضل الممارسات
• لماذا تريد تمكين أفضل الممارسات هذه
• ماذا قد تكون النتيجة إذا فشلت في تمكين أفضل الممارسات
• البدائل الممكنة لأفضل الممارسات
• كيف يمكنك تعلم كيفية تمكين أفضل الممارسات

تستند مقالة أفضل ممارسات إدارة الهوية والتحكم في الوصول في Azure هذه إلى رأي توافقي وإمكانات النظام الأساسي ل Azure ومجموعات الميزات، كما كانت موجودة وقت كتابة هذه المقالة.

القصد من كتابة هذه المقالة هو توفير خارطة طريق عامة لوضع أمني أكثر قوة بعد النشر مسترشدا بقائمة التحقق "5 خطوات لتأمين البنية التحتية لهويتك" ، والتي ترشدك عبر بعض ميزاتنا وخدماتنا الأساسية.

تتغير الآراء والتقنيات بمرور الوقت وسيتم تحديث هذه المقالة على أساس منتظم لتعكس هذه التغييرات.

تتضمن أفضل ممارسات إدارة الهوية وأمان التحكم في الوصول في Azure التي تمت مناقشتها في هذه المقالة ما يلي:

• التعامل مع الهوية باعتبارها محيط الأمان الأساسي
• مركزية إدارة الهوية
• إدارة المستأجرين المتصلين
• تمكين تسجيل الدخول الأحادي
• تفعيل الوصول المشروط
• التخطيط للتحسينات الأمنية الروتينية
• تمكين إدارة كلمات المرور
• فرض التحقق متعدد العوامل للمستخدمين
• استخدام التحكم في الوصول المستند إلى الدور
• انخفاض التعرض للحسابات المميزة
• التحكم في المواقع التي توجد فيها الموارد
• استخدام Azure AD لمصادقة التخزين

التعامل مع الهوية باعتبارها محيط الأمان الأساسي

يعتبر الكثيرون الهوية هي المحيط الأساسي للأمن. هذا هو التحول من التركيز التقليدي على أمن الشبكات. تستمر محيطات الشبكة في الحصول على المزيد من المسامية ، ولا يمكن أن يكون هذا الدفاع المحيطي فعالا كما كان قبل انفجار أجهزة BYOD والتطبيقات السحابية.

Azure Active Directory (Azure AD) هو حل Azure لإدارة الهوية والوصول. Azure AD هي خدمة متعددة المستأجرين ومستندة إلى مجموعة النظراء وإدارة الهوية من Microsoft. فهو يجمع بين خدمات الدليل الأساسية وإدارة الوصول إلى التطبيقات وحماية الهوية في حل واحد.

تسرد الأقسام التالية أفضل الممارسات لأمان الهوية والوصول باستخدام Azure AD.

أفضل الممارسات: مركز عناصر التحكم في الأمان والاكتشافات حول هويات المستخدمين والخدمات. التفاصيل: استخدم Azure AD لتجميع عناصر التحكم والهويات.

مركزية إدارة الهوية

في سيناريو الهوية المختلطة، نوصي بدمج الدلائل المحلية والسحابية. يمكن التكامل فريق تكنولوجيا المعلومات لديك من إدارة الحسابات من موقع واحد، بغض النظر عن مكان إنشاء الحساب. يساعد التكامل أيضاً المستخدمين على أن يكونوا أكثر إنتاجية من خلال توفير هوية مشتركة للوصول إلى كل من الموارد السحابية والداخلية.

أفضل الممارسات: إنشاء مثيل Azure AD واحد. سيؤدي الاتساق والمصادر الموثوقة الوحيدة إلى زيادة الوضوح وتقليل المخاطر الأمنية الناجمة عن الأخطاء البشرية وتعقيد التكوين. التفاصيل: قم بتعيين دليل Azure AD واحد كمصدر موثوق به لحسابات الشركات والمؤسسات.

أفضل الممارسات: يمكنك دمج الدلائل المحلية مع Azure AD.
التفاصيل: استخدم Azure AD الاتصال لمزامنة الدليل المحلي مع دليل السحابة.

ملاحظة

هناك عوامل تؤثر على أداء Azure AD الاتصال. تأكد من أن Azure AD Connect لديه سعة كافية للحفاظ على الأنظمة ضعيفة الأداء من إعاقة الأمان والإنتاجية. يجب أن تتبع المؤسسات الكبيرة أو المعقدة (المؤسسات التي توفر أكثر من 100000 عنصر) التوصيات لتحسين تنفيذ Azure AD Connect.

أفضل الممارسات: لا تقم بمزامنة الحسابات مع Azure AD التي تتمتع بامتيازات عالية في مثيل Active Directory الحالي. التفاصيل: لا تقم بتغيير تكوين Azure AD الافتراضي الاتصال الذي يقوم بتصفية هذه الحسابات. يخفف هذا التكوين من خطر تمحور الخصوم من الأصول السحابية إلى الأصول المحلية (ما قد يخلق حادثاً كبيراً).

أفضل الممارسات: قم بتشغيل مزامنة تجزئة كلمة المرور.
التفاصيل: مزامنة تجزئة كلمة المرور هي ميزة تستخدم لمزامنة تجزئات كلمة مرور المستخدم من مثيل Active Directory محلي إلى مثيل Azure AD المستند إلى مجموعة النظراء. تساعد هذه المزامنة على الحماية من إعادة تشغيل بيانات الاعتماد المسربة من الهجمات السابقة.

حتى إذا قررت استخدام الاتحاد مع خدمات الأمان المشترك لـ Active Directory (AD FS) أو موفري الهوية الآخرين، فيمكنك اختياريا إعداد مزامنة تجزئة كلمة المرور كنسخة احتياطية في حالة فشل خوادمك المحلية أو عدم توفرها مؤقتا. تمكن هذه المزامنة المستخدمين من تسجيل الدخول إلى الخدمة باستخدام نفس كلمة المرور التي يستخدمونها لتسجيل الدخول إلى مثيل Active Directory محلي الخاص بهم. كما يسمح ل Identity Protection باكتشاف بيانات الاعتماد المخترقة من خلال مقارنة تجزئات كلمات المرور المتزامنة بكلمات المرور المعروفة بأنها مخترقة، إذا كان المستخدم قد استخدم نفس عنوان البريد الإلكتروني وكلمة المرور على خدمات أخرى غير متصلة ب Azure AD.

للحصول على مزيدٍ من المعلومات، راجع تنفيذ أداة مزامنة تجزئة كلمة المرور مع مزامنة Microsoft Azure Active Directory Connect.

أفضل الممارسات: لتطوير التطبيقات الجديدة، استخدم Azure AD للمصادقة. التفاصيل: استخدم الإمكانات الصحيحة لدعم المصادقة:

• Azure AD للموظفين
• Azure AD B2B للمستخدمين الضيوف والشركاء الخارجيين
• Azure AD B2C للتحكم في كيفية تسجيل العملاء وتسجيل الدخول وإدارة ملفاتهم الشخصية عند استخدام تطبيقاتك

يمكن للمؤسسات التي لا تدمج هويتها الداخلية مع هويتها السحابية أن يكون لديها المزيد من النفقات العامة في إدارة الحسابات. ويزيد هذا الحِمل من احتمال وقوع أخطاء وثغرات أمنية.

ملاحظة

تحتاج إلى اختيار الدلائل التي ستوجد فيها الحسابات الهامة وما إذا كانت محطة عمل المسؤول المستخدمة تدار بواسطة خدمات سحابية جديدة أو عمليات موجودة. يمكن أن يؤدي استخدام عمليات الإدارة الحالية وتوفير الهوية إلى تقليل بعض المخاطر ولكن يمكن أن يؤدي أيضا إلى خطر قيام مهاجم بتعريض حساب محلي للخطر والتحول إلى السحابة. قد ترغب في استخدام استراتيجية مختلفة لأدوار مختلفة (على سبيل المثال، مسؤولو تكنولوجيا المعلومات مقابل مسؤولي وحدة الأعمال). لديك اختياران. الخيار الأول هو إنشاء حسابات Azure AD التي لم تتم مزامنتها مع مثيل Active Directory محلي. انضم إلى محطة عمل المسؤول إلى Azure AD، والتي يمكنك إدارتها وتصحيحها باستخدام Microsoft Intune. الخيار الثاني هو استخدام حسابات المسؤول الحالية عن طريق المزامنة مع Active Directory محلي المثال. استخدم محطات العمل الموجودة في مجال Active Directory للإدارة والأمان.

إدارة المستأجرين المتصلين

تحتاج مؤسسة الأمان الخاصة بك إلى الرؤية لتقييم المخاطر وتحديد ما إذا كان يتم اتباع سياسات مؤسستك وأي متطلبات تنظيمية. يجب عليك التأكد من أن مؤسسة الأمان لديك لديها رؤية لجميع الاشتراكات المتصلة ببيئة الإنتاج والشبكة (عبر Azure ExpressRoute أو VPN من موقع إلى موقع). يمكن للمسؤول العمومي في Azure AD رفع مستوى وصوله إلى دور مسؤول وصول المستخدم والاطلاع على جميع الاشتراكات والمجموعات المدارة المتصلة ببيئتك.

راجع رفع مستوى الوصول لإدارة جميع اشتراكات Azure ومجموعات الإدارة للتأكد من أنه يمكنك أنت ومجموعة الأمان عرض جميع الاشتراكات أو مجموعات الإدارة المتصلة ببيئتك. يجب إزالة هذا الوصول المرتفع بعد تقييم المخاطر.

تمكين تسجيل الدخول الأحادي

في عالم الجوال أولا والسحابة أولا، تريد تمكين الدخول الموحد (SSO) إلى الأجهزة والتطبيقات والخدمات من أي مكان حتى يتمكن المستخدمون من تحقيق الإنتاجية في أي مكان وزمان. عندما يكون لديك حلول هوية متعددة لإدارتها ، تصبح هذه مشكلة إدارية ليس فقط لتكنولوجيا المعلومات ولكن أيضا للمستخدمين الذين يتعين عليهم تذكر كلمات مرور متعددة.

باستخدام نفس حل الهوية لجميع تطبيقاتك ومواردك، يمكنك تحقيق الدخول الموحد (SSO). ويمكن للمستخدمين استخدام نفس مجموعة بيانات الاعتماد لتسجيل الدخول والوصول إلى الموارد التي يحتاجون إليها، سواء كانت الموارد موجودة محليا أو في السحابة.

أفضل الممارسات: تمكين الدخول الموحد (SSO).
التفاصيل: يمتد Azure AD Active Directory محلي إلى السحابة. يمكن للمستخدمين استخدام حساب العمل الأساسي أو المؤسسة التعليمية الخاص بهم لأجهزتهم المرتبطة بالنطاق وموارد الشركة وجميع تطبيقات الويب و SaaS التي يحتاجونها لإنجاز مهامهم. لا يتعين على المستخدمين تذكر مجموعات متعددة من أسماء المستخدمين وكلمات المرور، ويمكن توفير الوصول إلى تطبيقاتهم تلقائيا (أو إلغاء توفيرها) استنادا إلى عضوياتهم في مجموعة المؤسسة وحالتهم كموظفين. ويمكنك التحكم في هذا الوصول لتطبيقات المعرض أو للتطبيقات المحلية الخاصة بك التي قمت بتطويرها ونشرها من خلال وكيل تطبيقات Azure AD.

استخدم الدخول الموحد (SSO) لتمكين المستخدمين من الوصول إلى تطبيقات SaaS الخاصة بهم استنادا إلى حساب العمل أو المؤسسة التعليمية الخاص بهم في Azure AD. ينطبق هذا ليس فقط على تطبيقات Microsoft SaaS ، ولكن أيضا على التطبيقات الأخرى ، مثل Google Apps و Salesforce. يمكنك تكوين تطبيقك لاستخدام Azure AD كموفر هوية يستند إلى SAML . كعنصر تحكم أمان، لا يصدر Azure AD رمزا مميزا يسمح للمستخدمين بتسجيل الدخول إلى التطبيق ما لم يتم منحهم حق الوصول من خلال Azure AD. يمكنك منح حق الوصول مباشرة، أو من خلال مجموعة يكون المستخدمون أعضاء فيها.

المؤسسات التي لا تنشئ هوية مشتركة لإنشاء الدخول الموحد (SSO) لمستخدميها وتطبيقاتها تكون أكثر عرضة للسيناريوهات التي يكون فيها للمستخدمين كلمات مرور متعددة. تزيد هذه السيناريوهات من احتمال قيام المستخدمين بإعادة استخدام كلمات المرور أو استخدام كلمات مرور ضعيفة.

تفعيل الوصول المشروط

يمكن للمستخدمين الوصول إلى موارد مؤسستك باستخدام مجموعة متنوعة من الأجهزة والتطبيقات من أي مكان. بصفتك مسؤول تكنولوجيا المعلومات، فأنت تريد التأكد من أن هذه الأجهزة تفي بمعايير الأمان والامتثال. مجرد التركيز على من يمكنه الوصول إلى مورد لم يعد كافيا.

لتحقيق التوازن بين الأمان والإنتاجية ، تحتاج إلى التفكير في كيفية الوصول إلى مورد قبل أن تتمكن من اتخاذ قرار بشأن التحكم في الوصول. باستخدام Azure AD Conditional Access، يمكنك معالجة هذا المطلب. باستخدام الوصول المشروط، يمكنك اتخاذ قرارات التحكم التلقائي في الوصول استنادا إلى شروط الوصول إلى تطبيقاتك السحابية.

أفضل الممارسات: إدارة ومراقبة الوصول إلى موارد الشركة.
التفاصيل: تكوين نهج الوصول المشروط Azure AD الشائعة استنادا إلى حساسية المجموعة والموقع والتطبيق لتطبيقات SaaS والتطبيقات المتصلة ب Azure AD.

أفضل الممارسات: حظر بروتوكولات المصادقة القديمة. التفاصيل: يستغل المهاجمون نقاط الضعف في البروتوكولات القديمة كل يوم ، خاصة بالنسبة لهجمات رش كلمة المرور. تكوين الوصول المشروط لحظر البروتوكولات القديمة.

التخطيط للتحسينات الأمنية الروتينية

يتطور الأمان دائما، ومن المهم أن تبني في إطار عمل إدارة السحابة والهوية طريقة لإظهار النمو بانتظام واكتشاف طرق جديدة لتأمين بيئتك.

Identity Secure Score عبارة عن مجموعة من عناصر التحكم الأمنية الموصى بها التي تنشرها Microsoft والتي تعمل على تزويدك بدرجة رقمية لقياس وضع الأمان الخاص بك بشكل موضوعي والمساعدة في التخطيط لتحسينات الأمان المستقبلية. يمكنك أيضا عرض درجاتك مقارنة بتلك الموجودة في الصناعات الأخرى بالإضافة إلى اتجاهاتك الخاصة بمرور الوقت.

أفضل الممارسات: خطط لمراجعات وتحسينات الأمان الروتينية استنادا إلى أفضل الممارسات في مجال عملك. التفاصيل: استخدم ميزة Identity Secure Score لترتيب التحسينات التي أجريتها بمرور الوقت.

تمكين إدارة كلمات المرور

إذا كان لديك مستأجرون متعددون أو كنت تريد تمكين المستخدمين من إعادة تعيين كلمات المرور الخاصة بهم، فمن المهم أن تستخدم سياسات الأمان المناسبة لمنع إساءة الاستخدام.

أفضل الممارسات: قم بإعداد إعادة تعيين كلمة مرور الخدمة الذاتية (SSPR) للمستخدمين.
التفاصيل: استخدم ميزة إعادة تعيين كلمة مرور الخدمة الذاتية في Azure AD.

أفضل الممارسات: راقب كيف أو إذا كان SSPR يستخدم بالفعل.
التفاصيل: راقب المستخدمين الذين يقومون بالتسجيل باستخدام تقرير نشاط إعادة تعيين كلمة مرور Azure AD. تساعدك ميزة إعداد التقارير التي يوفرها Azure AD في الإجابة على الأسئلة باستخدام التقارير المعدة مسبقا. في حالة إذا كنت مرخصًا بشكل مناسب، يمكنك أيضًا إنشاء استعلامات مخصصة.

أفضل الممارسات: يمكنك توسيع نطاق سياسات كلمات المرور المستندة إلى السحابة لتشمل البنية الأساسية المحلية. التفاصيل: يمكنك تحسين سياسات كلمات المرور في مؤسستك من خلال إجراء نفس عمليات التحقق من تغييرات كلمة المرور المحلية كما تفعل مع تغييرات كلمة المرور المستندة إلى مجموعة النظراء. قم بتثبيت حماية كلمة مرور Azure AD لوكلاء Active Directory Windows Server المحليين لتوسيع قوائم كلمات المرور المحظورة إلى البنية الأساسية الموجودة لديك. يتعين على المستخدمين والمسؤولين الذين يقومون بتغيير كلمات المرور أو تعيينها أو إعادة تعيينها محليا الامتثال لسياسة كلمة المرور نفسها التي يتبعها المستخدمون السحابيون فقط.

فرض التحقق متعدد العوامل للمستخدمين

نوصي بأن تطلب التحقق على خطوتين لجميع المستخدمين. ويشمل ذلك المسؤولين وغيرهم في مؤسستك الذين يمكن أن يكون لهم تأثير كبير إذا تم اختراق حساباتهم (على سبيل المثال، المسؤولون الماليون).

هناك خيارات متعددة لطلب التحقق على خطوتين. يعتمد الخيار الأفضل لك على أهدافك وإصدار Azure AD الذي تقوم بتشغيله وبرنامج الترخيص. راجع كيفية طلب التحقق على خطوتين للمستخدم لتحديد الخيار الأفضل لك. راجع صفحات تسعير المصادقة متعددة العوامل في Azure AD وAzure AD للحصول على مزيد من المعلومات حول التراخيص والتسعير.

فيما يلي الخيارات والفوائد لتمكين التحقق على خطوتين:

الخيار 1: تمكين MFA لجميع المستخدمين وطرق تسجيل الدخول باستخدام ميزة افتراضيات أمان Azure AD: يتيح لك هذا الخيار فرض MFA بسهولة وسرعة لجميع المستخدمين في بيئتك من خلال سياسة صارمة من أجل:

• تحدي الحسابات الإدارية وآليات تسجيل الدخول الإدارية
• تتطلب تحدي MFA عبر Microsoft Authenticator لجميع المستخدمين
• تقييد بروتوكولات المصادقة القديمة.

تتوفر هذه الطريقة لجميع مستويات الترخيص ولكن لا يمكن خلطها مع سياسات الوصول المشروط الحالية. يمكنك العثور على مزيد من المعلومات في الإعدادات الافتراضية لأمان Azure AD

الخيار 2: تمكين المصادقة متعددة العوامل عن طريق تغيير حالة المستخدم.
الفائدة: هذه هي الطريقة التقليدية لطلب التحقق من خطوتين. وهو يعمل مع كل من مصادقة Azure AD متعددة العوامل في السحابة وخادم مصادقة Azure متعدد العوامل. يتطلب استخدام هذه الطريقة من المستخدمين إجراء التحقق على خطوتين في كل مرة يقومون فيها بتسجيل الدخول وتجاوز سياسات الوصول المشروط.

لتحديد المكان الذي يجب فيه تمكين المصادقة متعددة العوامل، راجع أي إصدار من Azure AD MFA مناسب لمؤسستي؟.

الخيار 3: تمكين المصادقة متعددة العوامل باستخدام نهج الوصول المشروط. الفائدة: يتيح لك هذا الخيار المطالبة بالتحقق على خطوتين في ظل ظروف محددة باستخدام الوصول المشروط. يمكن أن تكون الشروط المحددة هي تسجيل دخول المستخدم من مواقع مختلفة أو أجهزة غير موثوق بها أو تطبيقات تعتبرها محفوفة بالمخاطر. يتيح لك تحديد ظروف معينة تحتاج فيها إلى التحقق على خطوتين تجنب المطالبة المستمرة للمستخدمين ، والتي يمكن أن تكون تجربة مستخدم غير سارة.

هذه هي الطريقة الأكثر مرونة لتمكين التحقق على خطوتين للمستخدمين. يعمل تمكين نهج الوصول المشروط فقط مع مصادقة Azure AD متعددة العوامل في السحابة وهو ميزة متميزة في Azure AD. يمكنك العثور على مزيد من المعلومات حول هذه الطريقة في نشر مصادقة Azure AD متعددة العوامل المستندة إلى مجموعة النظراء.

الخيار 4: تمكين المصادقة متعددة العوامل باستخدام سياسات الوصول المشروط من خلال تقييم سياسات الوصول المشروط القائمة على المخاطر.
الفائدة: يتيح لك هذا الخيار ما يلي:

• اكتشف الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك.
• تكوين الاستجابات التلقائية للإجراءات المشبوهة المكتشفة المرتبطة بهويات مؤسستك.
• التحقيق في الحوادث المشبوهة واتخاذ الإجراءات المناسبة لحلها.

تستخدم هذه الطريقة تقييم مخاطر حماية هوية Azure AD لتحديد ما إذا كان التحقق على خطوتين مطلوبا استنادا إلى مخاطر المستخدم وتسجيل الدخول لجميع التطبيقات السحابية. تتطلب هذه الطريقة ترخيص Azure Active Directory P2. يمكنك العثور على مزيد من المعلومات حول هذه الطريقة في حماية هوية Azure Active Directory.

ملاحظة

الخيار 2، تمكين المصادقة متعددة العوامل عن طريق تغيير حالة المستخدم، يتجاوز سياسات الوصول المشروط. نظرا لأن الخيارين 3 و4 يستخدمان نهج الوصول المشروط، فلا يمكنك استخدام الخيار 2 معهما.

المؤسسات التي لا تضيف طبقات إضافية من حماية الهوية، مثل التحقق على خطوتين، تكون أكثر عرضة لهجوم سرقة بيانات الاعتماد. يمكن أن يؤدي هجوم سرقة بيانات الاعتماد إلى اختراق البيانات.

استخدام التحكم في الوصول المستند إلى الدور

تعد إدارة الوصول إلى الموارد السحابية أمرا بالغ الأهمية لأي مؤسسة تستخدم السحابة. يساعدك التحكم في الوصول المستند إلى دور Azure (Azure RBAC) على إدارة الأشخاص الذين لديهم حق الوصول إلى موارد Azure، وما يمكنهم فعله بهذه الموارد، والمناطق التي يمكنهم الوصول إليها.

يساعد تعيين المجموعات أو الأدوار الفردية المسؤولة عن وظائف محددة في Azure على تجنب الارتباك الذي يمكن أن يؤدي إلى أخطاء بشرية وتلقائية تؤدي إلى مخاطر أمنية. يعد تقييد الوصول استنادا إلى الحاجة إلى المعرفة ومبادئ الأمان الأقل امتيازا أمرا ضروريا للمؤسسات التي ترغب في فرض سياسات الأمان للوصول إلى البيانات.

يحتاج فريق الأمان لديك إلى رؤية موارد Azure الخاصة بك من أجل تقييم المخاطر ومعالجتها. إذا كان فريق الأمن يتحمل مسؤوليات تشغيلية، فإنهم يحتاجون إلى أذونات إضافية للقيام بعملهم.

يمكنك استخدام Azure RBAC لتعيين أذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين. يمكن أن يكون نطاق تعيين الدور اشتراك أو مجموعة موارد أو مورد واحد.

أفضل الممارسات: افصل بين الواجبات داخل فريقك وامنح فقط مقدار الوصول إلى المستخدمين الذين يحتاجون إليهم لأداء وظائفهم. بدلا من منح الجميع أذونات غير مقيدة في اشتراكك أو مواردك في Azure، لا تسمح إلا بإجراءات معينة في نطاق معين. التفاصيل: استخدم أدوار Azure المضمنة في Azure لتعيين امتيازات للمستخدمين.

ملاحظة

تخلق الأذونات المحددة تعقيدا وارتباكا لا لزوم لهما ، وتتراكم في تكوين "قديم" يصعب إصلاحه دون خوف من كسر شيء ما. تجنب الأذونات الخاصة بالموارد. بدلا من ذلك، استخدم مجموعات الإدارة للأذونات على مستوى المؤسسة ومجموعات الموارد للأذونات داخل الاشتراكات. تجنب الأذونات الخاصة بالمستخدم. بدلا من ذلك، قم بتعيين حق الوصول إلى المجموعات في Azure AD.

أفضل الممارسات: منح فرق الأمان التي تتحمل مسؤوليات Azure حق الوصول لرؤية موارد Azure حتى يتمكنوا من تقييم المخاطر ومعالجتها. التفاصيل: منح فرق الأمان دور قارئ أمان Azure RBAC. يمكنك استخدام مجموعة إدارة الجذر أو مجموعة إدارة الشرائح، بناء على نطاق المسؤوليات:

• مجموعة إدارة الجذر للفرق المسؤولة عن جميع موارد المؤسسة
• مجموعة إدارة القطاعات للفرق ذات النطاق المحدود (عادة بسبب الحدود التنظيمية أو التنظيمية الأخرى)

أفضل الممارسات: منح الأذونات المناسبة لفرق الأمن التي تتحمل مسؤوليات تشغيلية مباشرة. التفاصيل: راجع أدوار Azure المضمنة لتعيين الدور المناسب. إذا كانت الأدوار المضمنة لا تلبي الاحتياجات المحددة لمؤسستك، فيمكنك إنشاء أدوار Azure مخصصة. كما هو الحال مع الأدوار المضمنة، يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات ومديري الخدمات في نطاقات الاشتراك ومجموعة الموارد والموارد.

أفضل الممارسات: امنح Microsoft Defender إمكانية الوصول إلى السحابة إلى أدوار الأمان التي تحتاج إليها. يسمح Defender for Cloud لفرق الأمان بتحديد المخاطر ومعالجتها بسرعة. التفاصيل: أضف فرق الأمان التي لديها هذه الاحتياجات إلى دور مسؤول أمان Azure RBAC حتى يتمكنوا من عرض سياسات الأمان وعرض حالات الأمان وتحرير سياسات الأمان وعرض التنبيهات والتوصيات ورفض التنبيهات والتوصيات. يمكنك القيام بذلك باستخدام مجموعة إدارة الجذر أو مجموعة إدارة الشرائح، اعتمادا على نطاق المسؤوليات.

قد تمنح المؤسسات التي لا تفرض التحكم في الوصول إلى البيانات باستخدام إمكانات مثل Azure RBAC امتيازات أكثر من اللازم لمستخدميها. يمكن أن يؤدي ذلك إلى اختراق البيانات من خلال السماح للمستخدمين بالوصول إلى أنواع البيانات (على سبيل المثال ، التأثير التجاري العالي) التي لا ينبغي أن تكون لديهم.

انخفاض التعرض للحسابات المميزة

يعد تأمين الوصول المميز خطوة أولى حاسمة لحماية أصول الأعمال. إن تقليل عدد الأشخاص الذين لديهم حق الوصول إلى معلومات أو موارد آمنة يقلل من فرصة وصول مستخدم ضار أو مستخدم مصرح له يؤثر عن غير قصد على مورد حساس.

الحسابات المميزة هي الحسابات التي تدير أنظمة تكنولوجيا المعلومات وتديرها. يستهدف المهاجمون الإلكترونيون هذه الحسابات للوصول إلى بيانات المؤسسة وأنظمتها. لتأمين الوصول المميز، يجب عزل الحسابات والأنظمة عن خطر التعرض لمستخدم ضار.

نوصي بتطوير خريطة طريق واتباعها لتأمين الوصول المميز ضد المهاجمين الإلكترونيين. للحصول على معلومات حول إنشاء خريطة طريق مفصلة لتأمين الهويات والوصول التي تتم إدارتها أو الإبلاغ عنها في Azure AD وMicrosoft Azure Microsoft 365 والخدمات السحابية الأخرى، راجع تأمين الوصول المميز لعمليات النشر المختلطة والسحابية في Azure AD.

يلخص ما يلي أفضل الممارسات الموجودة في تأمين الوصول المميز لعمليات النشر المختلطة والسحابية في Azure AD:

أفضل الممارسات: إدارة الوصول إلى الحسابات المميزة والتحكم فيه ومراقبته.
التفاصيل: قم بتشغيل Azure AD إدارة الهويات المتميزة. بعد تشغيل إدارة الهويات المتميزة، ستتلقى إشعارات برسائل البريد الإلكتروني لتغييرات دور الوصول المميز. توفر هذه الإعلامات تحذيرا مبكرا عند إضافة مستخدمين إضافيين إلى أدوار ذات امتيازات عالية في دليلك.

أفضل الممارسات: تأكد من إدارة جميع حسابات المسؤولين الهامة على حسابات Azure AD. التفاصيل: إزالة أي حسابات مستهلكين من أدوار المسؤول الهامة (على سبيل المثال، حسابات Microsoft مثل hotmail.com live.com outlook.com).

أفضل الممارسات: تأكد من أن جميع أدوار المسؤول الهامة لديها حساب منفصل للمهام الإدارية لتجنب التصيد الاحتيالي والهجمات الأخرى لاختراق الامتيازات الإدارية. التفاصيل: أنشئ حساب مسؤول منفصل تم تعيين الامتيازات اللازمة لتنفيذ المهام الإدارية. حظر استخدام هذه الحسابات الإدارية لأدوات الإنتاجية اليومية مثل البريد الإلكتروني Microsoft 365 أو تصفح الويب التعسفي.

أفضل الممارسات: تحديد وتصنيف الحسابات التي تلعب أدوارا ذات امتيازات عالية.
التفاصيل: بعد تشغيل Azure AD إدارة الهويات المتميزة، يمكنك عرض المستخدمين الموجودين في المسؤول العمومي ومسؤول الدور المميز والأدوار الأخرى ذات الامتيازات العالية. أزل أي حسابات لم تعد هناك حاجة إليها في هذه الأدوار، وقم بتصنيف الحسابات المتبقية التي تم تعيينها لأدوار المسؤول:

• يتم تعيينها بشكل فردي للمستخدمين الإداريين ، ويمكن استخدامها لأغراض غير إدارية (على سبيل المثال ، البريد الإلكتروني الشخصي)
• يتم تعيينها بشكل فردي للمستخدمين الإداريين وتعيينها لأغراض إدارية فقط
• تم مشاركته عبر عدة مستخدمين
• لسيناريوهات الوصول في حالات الطوارئ
• بالنسبة للبرامج النصية التلقائية
• للمستخدمين الخارجيين

أفضل الممارسات: يمكنك تنفيذ إمكانية الوصول "في الوقت المناسب" (JIT) لتقليل وقت التعرض للامتيازات وزيادة ظهورك في استخدام الحسابات المميزة.
التفاصيل: يتيح لك Azure AD إدارة الهويات المتميزة ما يلي:

• قصر المستخدمين على الحصول على امتيازاتهم فقط JIT.
• قم بتعيين الأدوار لمدة قصيرة مع الثقة في إلغاء الامتيازات تلقائيا.

أفضل الممارسات: حدد حسابين على الأقل للوصول في حالات الطوارئ.
التفاصيل: تساعد حسابات الوصول في حالات الطوارئ المؤسسات على تقييد الوصول المميز في بيئة Azure Active Directory موجودة. هذه الحسابات ذات امتيازات عالية ولا يتم تعيينها لأفراد محددين. تقتصر حسابات الوصول في حالات الطوارئ على السيناريوهات التي يتعذر فيها استخدام الحسابات الإدارية العادية. يجب على المؤسسات قصر استخدام حساب الطوارئ على الوقت اللازم فقط.

تقييم الحسابات التي تم تعيينها أو المؤهلة لدور المسؤول العمومي. إذا كنت لا ترى أي حسابات سحابية فقط باستخدام النطاق (المخصص للوصول في *.onmicrosoft.com حالات الطوارئ)، فقم بإنشائها. لمزيد من المعلومات، راجع إدارة الحسابات الإدارية للوصول في حالات الطوارئ في Microsoft Azure Active Directory.

أفضل الممارسات: ضع عملية "كسر الزجاج" في حالة الطوارئ. التفاصيل: اتبع الخطوات الواردة في تأمين الوصول المميز لعمليات النشر المختلطة والسحابية في Azure AD.

أفضل الممارسات: اطلب من جميع حسابات المسؤولين الهامة أن تكون بدون كلمة مرور (مفضلة)، أو تتطلب مصادقة متعددة العوامل. التفاصيل: استخدم تطبيق Microsoft Authenticator لتسجيل الدخول إلى أي حساب Azure AD بدون استخدام كلمة مرور. مثل Windows Hello للأعمال، يستخدم Microsoft Authenticator المصادقة المستندة إلى المفتاح لتمكين بيانات اعتماد المستخدم المرتبطة بجهاز ويستخدم المصادقة البيومترية أو رقم التعريف الشخصي.

طلب مصادقة Azure AD متعددة العوامل عند تسجيل الدخول لجميع المستخدمين الفرديين الذين تم تعيينهم بشكل دائم لواحد أو أكثر من أدوار مسؤول Azure AD: المسؤول العمومي ومسؤول الدور المميز ومسؤول Exchange Online ومسؤول SharePoint عبر الإنترنت. قم بتمكين المصادقة متعددة العوامل لحسابات المشرف الخاصة بك وتأكد من تسجيل مستخدمي حساب المسؤول.

أفضل الممارسات: بالنسبة إلى حسابات المسؤولين الهامة، اجعل لديك محطة عمل مسؤول لا يسمح فيها بمهام الإنتاج (على سبيل المثال، الاستعراض والبريد الإلكتروني). سيؤدي ذلك إلى حماية حسابات المشرف الخاصة بك من ناقلات الهجوم التي تستخدم التصفح والبريد الإلكتروني ويقلل بشكل كبير من خطر وقوع حادث كبير. التفاصيل: استخدم محطة عمل مسؤول. اختر مستوى أمان محطة العمل:

• توفر الأجهزة الإنتاجية عالية الأمان أمانا متقدما للتصفح ومهام الإنتاجية الأخرى.
• توفر محطات عمل الوصول المميز (PAWs) نظام تشغيل مخصص محمي من هجمات الإنترنت وناقلات التهديدات للمهام الحساسة.

أفضل الممارسات: إلغاء توفير حسابات المشرف عندما يغادر الموظفون مؤسستك. التفاصيل: يمكنك تنفيذ عملية تعطل حسابات المسؤولين أو تحذفها عندما يغادر الموظفون مؤسستك.

أفضل الممارسات: يمكنك اختبار حسابات المسؤولين بانتظام باستخدام تقنيات الهجوم الحالية. التفاصيل: استخدم Microsoft 365 Attack Simulator أو عرض جهة خارجية لتشغيل سيناريوهات هجوم واقعية في مؤسستك. يمكن أن يساعدك ذلك في العثور على المستخدمين الضعفاء قبل حدوث هجوم حقيقي.

أفضل الممارسات: اتخذ خطوات للتخفيف من التقنيات الهجومية الأكثر استخداما.
التفاصيل: تحديد حسابات Microsoft في الأدوار الإدارية التي تحتاج إلى التبديل إلى حسابات العمل أو المؤسسة التعليمية

ضمان حسابات المستخدمين المنفصلة وإعادة توجيه البريد لحسابات المسؤول العمومي

تأكد من تغيير كلمات مرور الحسابات الإدارية مؤخرا

قم بتشغيل مزامنة تجزئة كلمة المرور

تتطلب مصادقة متعددة العوامل للمستخدمين في جميع الأدوار المميزة بالإضافة إلى المستخدمين المكشوفين

احصل على «درجة أمان» Microsoft 365 (إذا كنت تستخدم Microsoft 365)

مراجعة إرشادات أمان Microsoft 365 (في حالة استخدام Microsoft 365)

قم بتكوين مراقبة نشاط Microsoft 365 (إذا كنت تستخدم Microsoft 365)

قم بتأسيس مالكي خطة الاستجابة للحوادث/الطوارئ

تأمين الحسابات الإدارية المميزة المحلية

إذا لم تقم بتأمين الوصول المميز، فقد تجد أن لديك عددا كبيرا جدا من المستخدمين في أدوار ذات امتيازات عالية وأنهم أكثر عرضة للهجمات. غالبا ما تستهدف الجهات الفاعلة الضارة، بما في ذلك المهاجمون الإلكترونيون، حسابات المسؤولين والعناصر الأخرى للوصول المميز للوصول إلى البيانات والأنظمة الحساسة باستخدام سرقة بيانات الاعتماد.

التحكم في المواقع التي يتم فيها إنشاء الموارد

يعد تمكين مشغلي السحابة من أداء المهام مع منعهم من خرق الاتفاقيات اللازمة لإدارة موارد مؤسستك أمرا مهما للغاية. يجب على المؤسسات التي ترغب في التحكم في المواقع التي يتم فيها إنشاء الموارد ترميز هذه المواقع بشكل ثابت.

يمكنك استخدام Azure Resource Manager لإنشاء نهج أمان تصف تعريفاتها الإجراءات أو الموارد التي تم رفضها على وجه التحديد. يمكنك تعيين تعريفات النهج هذه في النطاق المطلوب، مثل الاشتراك أو مجموعة الموارد أو مورد فردي.

ملاحظة

سياسات الأمان ليست هي نفسها مثل Azure RBAC. يستخدمون بالفعل Azure RBAC لتفويض المستخدمين بإنشاء هذه الموارد.

المؤسسات التي لا تتحكم في كيفية إنشاء الموارد تكون أكثر عرضة للمستخدمين الذين قد يسيئون استخدام الخدمة من خلال إنشاء موارد أكثر مما يحتاجون إليه. يعد تعزيز عملية إنشاء الموارد خطوة مهمة لتأمين سيناريو متعدد المستأجرين.

مراقبة الأنشطة المشبوهة بنشاط

يمكن لنظام مراقبة الهوية النشط اكتشاف السلوك المشبوه بسرعة وإطلاق تنبيه لمزيد من التحقيق. يسرد الجدول التالي قدرتين من إمكانات Azure AD يمكنهما مساعدة المؤسسات على مراقبة هوياتها:

أفضل الممارسات: لديك طريقة لتحديد:

• محاولات تسجيل الدخول دون تعقبها.
• هجمات القوة الغاشمة ضد حساب معين.
• محاولات تسجيل الدخول من مواقع متعددة.
• تسجيل الدخول من الأجهزة المصابة.
• عناوين IP مشبوهة.

التفاصيل: استخدم Azure AD Premium تقارير الشذوذ. لديك عمليات وإجراءات معمول بها لمسؤولي تكنولوجيا المعلومات لتشغيل هذه التقارير على أساس يومي أو عند الطلب (عادة في سيناريو الاستجابة للحوادث).

أفضل الممارسات: لديك نظام مراقبة نشط يخطرك بالمخاطر ويمكنه ضبط مستوى المخاطر (مرتفع أو متوسط أو منخفض) وفقا لمتطلبات عملك.
التفاصيل: استخدم Azure AD Identity Protection، الذي يضع علامة على المخاطر الحالية على لوحة المعلومات الخاصة به ويرسل إشعارات ملخص يومية عبر البريد الإلكتروني. للمساعدة في حماية هويات مؤسستك، يمكنك تكوين النهج المستندة إلى المخاطر التي تستجيب تلقائيا للمشكلات المكتشفة عند الوصول إلى مستوى مخاطر محدد.

تتعرض المؤسسات التي لا تراقب أنظمة الهوية الخاصة بها بشكل نشط لخطر اختراق بيانات اعتماد المستخدم. وبدون معرفة أن الأنشطة المشبوهة تحدث من خلال بيانات الاعتماد هذه، لا يمكن للمؤسسات التخفيف من هذا النوع من التهديدات.

استخدام Azure AD لمصادقة التخزين

يدعم Azure Storage المصادقة والتخويل باستخدام Azure AD لتخزين Blob وتخزين قائمة الانتظار. باستخدام مصادقة Azure AD، يمكنك استخدام عنصر التحكم في الوصول المستند إلى دور Azure لمنح أذونات محددة للمستخدمين والمجموعات والتطبيقات وصولا إلى نطاق حاوية أو قائمة انتظار فردية من النقاط.

نوصي باستخدام Azure AD لمصادقة الوصول إلى التخزين.

الخطوة التالية

راجع أفضل ممارسات وأنماط أمان Azure للحصول على المزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة ونشرها وإدارتها باستخدام Azure .