Ověřování pomocí Azure AD
Ověřování je proces, který uděluje nebo odepírá přístup k systému ověřením identity přístupového objekt. Použijte spravovanou službu identit pro všechny prostředky, abyste zjednodušili celkovou správu (například zásady hesel) a minimalizovali riziko dohledu nebo lidských chyb. Azure Active Directory (Azure AD) je jediné řešení pro správu identit a přístupu pro Azure.
Klíčové body
- Použití spravovaných identit pro přístup k prostředkům v Azure
- Udržujte cloudové a místní adresáře synchronizované s výjimkou účtů s vysokými oprávněními.
- Pokud možno používejte metody bez hesla nebo volte moderní metody hesel.
- Při ověřování všech uživatelů povolte podmíněný přístup Azure AD na základě klíčových atributů zabezpečení, zejména u účtů s vysokými oprávněními.
Použití ověřování na základě identit
Jak se aplikace ověřuje při komunikaci se službami platformy Azure?
Spravované identity umožňují službám Azure, aby se navzájem ověřují, aniž by prostřednictvím kódu prezentují explicitní přihlašovací údaje a zvýšily zabezpečení.
Spravované identity pro prostředky Azure jsou funkcí služby Azure Active Directory. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy. Tato funkce poskytuje službám Azure automaticky spravovanou identitu v Azure AD. Tuto identitu můžete použít k ověření u jakékoli služby, která podporuje ověřování Azure AD, včetně služby Key Vault, aniž byste ve vašem kódu museli mít přihlašovací údaje. Funkce spravovaných identit pro prostředky Azure je bezplatná s Azure AD pro předplatná Azure, žádné další poplatky.
Existují dva typy spravovaných identit:
- Spravovaná identita přiřazená systémem se povoluje přímo v instanci služby Azure. Když je tato identita povolená, Azure vytvoří identitu pro instanci v tenantovi Azure AD důvěryhodném pro předplatné instance. Po vytvoření identity se přihlašovací údaje zřídí do instance. Životní cyklus identity přiřazené systémem je přímo spojený s instancí služby Azure, pro kterou je povolená. Pokud se instance odstraní, Azure automaticky vyčistí přihlašovací údaje a identitu v Azure AD.
- Spravovaná identita přiřazená uživatelem se vytváří jako samostatný prostředek Azure. Prostřednictvím procesu vytvoření Azure vytvoří identitu v tenantovi Azure AD důvěryhodném pro použité předplatné. Po vytvoření identity je možné ji přiřadit k jedné nebo několika instancím služeb Azure. Životní cyklus identity přiřazené uživatelem se spravuje odděleně od životního cyklu instancí služeb Azure, ke kterým je přiřazená.
Ověřování pomocí služeb identit místo kryptografických klíčů Spravované identity v Azure eliminují potřebu ukládat přihlašovací údaje, které by mohly neúmyslně proniknou. Když je pro prostředek Azure povolená spravovaná identita, přiřadí se jí identita, kterou můžete použít k získání tokenů Azure AD. Další informace najdete v tématu Identity spravované službou Azure AD pro prostředky Azure.
Například cluster Azure Kubernetes Service (AKS) potřebuje natahovat image z Azure Container Registry (ACR). Aby cluster měl k ibitové kopii přístup, musí znát přihlašovací údaje ACR. Doporučeným způsobem je povolit spravované identity během konfigurace clusteru. Tato konfigurace přiřadí identitu ke clusteru a umožní mu získat tokeny Azure AD.
Tento přístup je bezpečný, protože Azure se stará o správu podkladových přihlašovacích údajů za vás.
- Identita je svázaná s životním cyklem prostředku v příkladu s clusterem AKS. Po odstranění prostředku Azure identitu automaticky odstraní.
- Azure AD za vás spravuje včasnou rotaci tajných kódů.
Tip
Tady jsou zdroje informací pro předchozí příklad:
loga GitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation .
Aspekty návrhu jsou popsány v Azure Kubernetes Service (AKS) produkčního směrného plánu.
Navrhované akce
- Zkontrolujte ověřování úloh a identifikujte příležitosti k převodu explicitních přihlašovacích údajů (například připojovacího řetězce a klíče rozhraní API) na používání spravovaných identit.
- Pro všechny nové úlohy Azure standardizujte používání spravovaných identit, pokud je to k dispozici.
Další informace
Co jsou spravované identity pro prostředky Azure?
Jaký druh ověřování rozhraní API aplikací vyžaduje?
Nepřepokládejte, že adresy URL rozhraní API používané úlohou jsou skryté a útočníkům se neschová. Můžete si například prohlédnout kód JavaScriptu na webu. Mobilní aplikaci je možné dekompilovat a zkontrolovat. I v případě interních rozhraní API používaných pouze na back-endu může požadavek na ověření zvýšit náročnost laterálního pohybu, pokud útočník získá přístup k síti. Mezi typické mechanismy patří klíče rozhraní API, autorizační tokeny a omezení IP adres.
Spravovaná identita může pomoct s vyšším zabezpečením rozhraní API, protože nahrazuje použití objektů služby spravovaných lidmi a může žádat o autorizační tokeny.
Jak se v aplikaci zpracovává ověřování uživatelů?
Nepoužívejte vlastní implementace ke správě přihlašovacích údajů uživatele. Místo toho použijte Azure AD nebo jiné zprostředkovatele spravovaných identit, jako je účet Microsoft Azure B2C. Poskytovatelé spravovaných identit poskytují další funkce zabezpečení, jako je moderní ochrana hesel, vícefaktorové ověřování (MFA) a resetování. Obecně se upřednostňuje ochrana bez hesla. Moderní protokoly, jako je OAuth 2.0, také používají ověřování na základě tokenů s omezeným časovém intervalem.
Jsou ověřovací tokeny bezpečně uložené v mezipaměti a šifrované při sdílení mezi webovými servery?
Kód aplikace by se měl nejprve pokusit získat z mezipaměti bezobslužné přístupové tokeny OAuth, než se pokusí získat token od zprostředkovatele identity, aby se optimalizoval výkon a maximalizovala dostupnost. Tokeny by se měly bezpečně ukládat a zpracovat jako jakékoli jiné přihlašovací údaje. Pokud je potřeba sdílet tokeny napříč aplikačními servery (místo toho, aby každý server získal vlastní server a ukládal do mezipaměti vlastní), mělo by se použít šifrování.
Informace najdete v tématu Získání tokenů a jejich ukládání do mezipaměti.
Volba systému s podporou pro více platforem
Použijte jednoho zprostředkovatele identity pro ověřování na všech platformách (operační systémy, poskytovatelé cloudu a služby třetích stran.
Azure AD je možné použít k ověřování Windows, Linuxu, Azure, Office 365, dalších poskytovatelů cloudu a služeb třetích stran jako poskytovatelů služeb.
Můžete například zlepšit zabezpečení virtuálních počítačů s Linuxem v Azure pomocí integrace Azure AD. Podrobnosti najdete v tématu Přihlášení k virtuálnímu počítači s Linuxem v Azure pomocí Azure Active Directory ověřování.
Centralizace všech systémů identit
Udržujte cloudovou identitu synchronizovanou s existujícími systémy identit, abyste zajistili konzistenci a snížili počet lidských chyb.
Konzistence identit v cloudu i v místním prostředí sníží lidské chyby a výsledné bezpečnostní riziko. Teams prostředků v obou prostředích potřebují konzistentní autoritativní zdroj k zajištění záruk zabezpečení. Pokud se při monitorování identita určí bez přechodného procesu mapování, zlepší se efektivita zabezpečení.
Synchronizace se touhou je poskytnout uživatelům identitu v cloudu na základě jejich místní identity. Bez ohledu na to, jestli budou k ověřování nebo federovanému ověřování používat synchronizovaný účet, budou uživatelé stále potřebovat identitu v cloudu. Tato identita se bude muset pravidelně udržovat a aktualizovat. Aktualizace mohou mít mnoho podob, od změn názvů až po změny hesla.
Začněte vyhodnocením místních řešení identit organizace a požadavků uživatelů. Toto vyhodnocení je důležité, protože definuje technické požadavky na vytváření a údržbu identit uživatelů v cloudu. Ve většině organizací se služba Active Directory zřídí místně a bude to místní adresář, ze kterého se uživatelé budou synchronizovat, ale to není vždy.
Zvažte použití azure AD Připojení pro synchronizaci Azure AD s vaším stávajícím místním adresářem. U projektů migrace je potřeba tento úkol dokončit před zahájením projektů migrace a vývoje do Azure.
Důležité
Nesynchronujte účty s vysokými oprávněními do místního adresáře. Pokud útočník získá plnou kontrolu nad místními prostředky, může ohrozit cloudový účet. Tato strategie omezí rozsah incidentu. Další informace najdete v tématu Závislosti účtu s kritickým dopadem.
Synchronizace se ve výchozím nastavení blokuje ve výchozí konfiguraci Připojení Azure AD. Ujistěte se, že jste tuto konfiguraci neupravili. Informace o filtrování ve službě Azure AD najdete v tématu Synchronizace Připojení Azure AD: Konfigurace filtrování.
Další informace najdete v tématu Zprostředkovatelé hybridní identity.
Tip
Tady jsou zdroje informací pro předchozí příklad:
Aspekty návrhu jsou popsané v článku Integrace místní Active Directory s Azure AD.
Další informace
Synchronizace hybridních systémů identit
Použití ověřování bez hesla
Útočníci pro otevřené porty pro správu nepřetržitě kontrolují rozsahy IP adres veřejných cloudu. Snaží se zneužít slabé přihlašovací údaje (spreje hesla) a neopravené chyby zabezpečení v protokolech pro správu, jako je SSH, nebo RDP. Zabránění přímému přístupu z Internetu k virtuálním počítačům se zastaví neszávažná konfigurace nebo se jejich dohled nestane závažnější.
Metody útoku se vyvíjely do bodu, ve kterém samotné hesla nemůžou spolehlivě chránit účet. Moderní řešení ověřování, včetně bez hesla a vícefaktorového ověřování, zvyšují zabezpečení stav prostřednictvím silného ověřování.
Pokud je to možné, odeberte použití hesel. Pro přihlášení a přístup k prostředkům místně nebo v cloudu taky vyžaduje stejnou sadu přihlašovacích údajů. Tento požadavek je rozhodující pro účty, které vyžadují hesla, jako jsou účty správců.
Díky modernímu ověřování a funkcím zabezpečení ve službě Azure AD by mělo být základní heslo doplněno nebo nahrazeno bezpečnějšími metodami ověřování. Každá organizace má při ověřování jiné požadavky. Microsoft nabízí následující tři možnosti ověřování bez hesla, které se integrují s Azure Active Directory (Azure AD):
- Windows Hello pro firmy
- Aplikace Microsoft Authenticator
- FIDO2 klíče zabezpečení
Doporučuje se dodržovat plán se čtyřmi fázemi, který se stane neplatným heslem:
- Vývoj nabídky nahrazení hesla
- Omezit oblast uživatelského hesla, která je viditelná pro uživatele
- Přechod na nasazení bez hesla
- Eliminace hesel z adresáře identity
Následující metody ověřování jsou seřazené podle nejvyšší ceny/obtížnosti útoků (nejsilnější/preferované možnosti) na nejnižší náklady/obtížně se zlými úmysly:
- Ověřování s heslem. mezi příklady této metody patří Windows Hello nebo Authenticator aplikace.
- Vícefaktorového. I když je tato metoda efektivnější než heslo, doporučujeme vyhnout se tomu, abyste se vyhnuli spoléhání na vícefaktorové ověřování pomocí textových zpráv SMS. další informace najdete v tématu povolení ověřování MFA podle uživatele Azure Active Directory pro zabezpečení přihlašovacích událostí.
- Spravované identity. Viz použití ověřování na základě identity.
Tyto metody platí pro všechny uživatele, ale měly by být použity jako první a nejsilnější pro účty s oprávněními správce.
Implementací této strategie je povolení jednotného přihlašování (SSO) k zařízením, aplikacím a službám. Když se jednou přihlásíte pomocí jediného uživatelského účtu, můžete udělit přístup ke všem aplikacím a prostředkům podle obchodních potřeb. Uživatelé nemusejí spravovat více sad uživatelských jmen a hesel. Můžete automaticky zřídit nebo zrušit přístup k aplikaci. Další informace najdete v tématu jednotné přihlašování.
Navrhované akce
- Vytvořte strategii bez hesla, která vyžaduje MFA pro všechny uživatele bez významně ovlivněných operací.
- Zajistěte, aby zásady a procesy vyžadovaly omezení a monitorování přímého připojení k Internetu pomocí virtuálních počítačů.
Další informace
Použití moderní ochrany heslem
Vyžadují moderní ochrany prostřednictvím metod, které omezují použití hesel. Moderní ověřovací protokoly podporují silné ovládací prvky, jako je MFA a měly by se používat místo starších metod ověřování. Použití starších metod zvyšuje riziko vystavení přihlašovacích údajů.
Moderní ověřování je metoda správy identit, která nabízí bezpečnější ověřování uživatelů a autorizaci. je k dispozici pro Office 365 hybridních nasazení Skype pro firmyho serveru místně a Exchangeho serveru v místním prostředí a Skype pro firmych hybridů dělených domén.
Moderní ověřování je zastřešující termín pro kombinaci metod ověřování a autorizace mezi klientem (například notebookem nebo vaším telefonem) a serverem a také některými bezpečnostními opatřeními, které se spoléhají na zásady přístupu, které už možná znáte. Obsahuje:
- Metody ověřování: MFA; ověřování pomocí čipové karty; ověřování na základě certifikátu klienta
- Autorizační metody: implementace Open Authorization (OAuth) od Microsoftu
- zásady podmíněného přístupu: správa mobilních aplikací (MAM) a Azure Active Directory (Azure AD) podmíněný přístup
Projděte si úlohy, které nevyužívají moderní protokoly pro ověřování, a převeďte tam, kde je to možné. Kromě toho můžete standardizovat použití moderních ověřovacích protokolů pro všechny budoucí úlohy.
V případě Azure povolte ochrany v Azure AD:
nakonfigurujte Azure AD Connect pro synchronizaci hodnot hash hesel. informace najdete v tématu implementace synchronizace hodnot hash hesel pomocí Azure AD Connect synchronizace.
Vyberte, zda chcete automaticky nebo ručně opravit problémy nalezené v sestavě. Další informace najdete v tématu monitorování rizik identity.
Další informace o podpoře moderních hesel v Azure AD najdete v následujících článcích:
- Co je Identity Protection?
- Vynutilit místní ochranu heslem Azure AD pro Active Directory Domain Services
- Sestava zabezpečení rizik uživatelů
- Sestava zabezpečení rizikových přihlášení
další informace o podpoře moderních hesel v Office 365 najdete v následujícím článku:
Povolení podmíněného přístupu
Moderní cloudové aplikace jsou obvykle přístupné přes Internet, což usnadňuje přístup na základě síťového umístění a neflexibilní použití hesla s jedním faktorem. Podmíněný přístup popisuje zásady ověřování pro rozhodování o přístupu. Pokud se třeba uživatel připojuje z firemního počítače spravovaného přes Intune, nemusí pokaždé vyžadovat MFA pro vícefaktorové ověřování, ale pokud se uživatel náhle odpojí z jiného zařízení v jiném geografickém prostředí, vyžaduje se MFA.
Udělte žádosti o přístup na základě úrovně vztahu důvěryhodnosti žadatelů a citlivosti cílových prostředků.
Existují pro aplikaci nějaké požadavky podmíněného přístupu?
Úlohy mohou být zpřístupněny přes veřejné síťové ovládací prvky internetu a na základě umístění nelze použít. Pokud chcete povolit podmíněný přístup, zjistěte, jaká omezení se vyžadují pro případ použití. Například MFA je nutnost pro vzdálený přístup; Filtrování na základě IP adresy se dá použít k povolení ladění ad hoc (sítě VPN jsou upřednostňovány).
Podmíněný přístup Azure AD nakonfigurujte tak, že nastavíte zásady přístupu pro správu Azure na základě vašich provozních potřeb. Informace najdete v tématu Správa přístupu ke správě Azure pomocí podmíněného přístupu.
Podmíněný přístup může být účinný způsob, jak vymezit starší verze ověřování a přidružených protokolů. Zásady musí být vynutily pro všechny správce a další účty s kritickým dopadem. Začněte použitím metrik a protokolů k určení uživatelů, kteří se pořád ověřují se starými klienty. Dále zakažte všechny protokoly nižší úrovně, které se nepoužívají, a nastavte podmíněný přístup pro všechny uživatele, kteří nepoužívají starší protokoly. Nakonec Poskytněte uživatelům upozornění a pokyny k upgradu před úplným blokováním ověřování starší verze. Další informace najdete v tématu Podpora podmíněného přístupu Azure AD pro blokování starší verze ověřování.
Navrhované akce
Implementujte zásady podmíněného přístupu pro tuto úlohu.
Přečtěte si další informace o podmíněném přístupu Azure AD.
Další
Udělte nebo odepřete přístup k systému tím, že ověříte identitu přístupového objektu.
Související odkazy
Zpět na hlavní článek: předpoklady pro správu identit a přístupu k Azure