Osvědčené postupy zabezpečení správy identit a řízení přístupu v Azure

  • Článek
  • 21 min ke čtení

V tomto článku se podíváme na shromažďování osvědčených postupů zabezpečení Azure Identity Management a Access Control. Tyto osvědčené postupy se odvozují z našich zkušeností s Azure AD a zkušenostmi se zákazníky, jako je sami.

Pro každý osvědčený postup je vysvětleno:

  • Co je nejlepší postup
  • Proč je vhodné Tento osvědčený postup povolit
  • To může být způsobeno tím, že nepovolíte osvědčené postupy
  • Možné alternativy k osvědčeným postupům
  • Postup, jak se naučit, jak povolit osvědčený postup

Tento článek týkající se osvědčených postupů zabezpečení Azure Identity Management a Access Control je založený na konsensuch a funkcích platformy Azure a sadách funkcí, jak existují v době, kdy byl tento článek napsán.

Záměrem psaní tohoto článku je poskytnout obecný přehled o robustnějším stav zabezpečení po nasazení průvodcem, který provede naše "5 kroků k zabezpečení vaší infrastruktury identity", který vás provede některými základními funkcemi a službami.

Názory a technologie se v průběhu času mění a tento článek se pravidelně aktualizuje, aby odrážel tyto změny.

Osvědčené postupy zabezpečení Azure Identity Management a Access Control jsou popsané v tomto článku:

  • Považovat identitu za primární hraniční zabezpečení
  • Centralizovaná správa identit
  • Spravovat připojené klienty
  • Povolit jednotné přihlašování
  • Zapnutí podmíněného přístupu
  • Plánování běžných vylepšení zabezpečení
  • Povolení správy hesel
  • Vymáhat vícefaktorové ověřování pro uživatele
  • Použití řízení přístupu na základě rolí
  • Nižší vystavení privilegovaných účtů
  • Ovládací prvky umístění, kde jsou umístěny prostředky
  • Použití Azure AD k ověřování úložiště

Považovat identitu za primární hraniční zabezpečení

Celá řada považuje identitu za primární hraniční zabezpečení. Jedná se o posun od tradičního zaměření na zabezpečení sítě. Hraniční sítě udržují více Porous a tato ochrana hranice nemůže být tak efektivní, protože byla předtím, než dojde k rozpadu zařízení BYOD a cloudových aplikací.

Azure Active Directory (Azure AD) je řešení Azure pro správu identit a přístupu. Azure AD je víceklientské cloudová služba a služba pro správu identit od Microsoftu. Kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jednoho řešení.

V následujících oddílech jsou uvedeny osvědčené postupy pro zabezpečení identity a přístupu pomocí Azure AD.

Osvědčený postup: řízení zabezpečení centra a detekce identit uživatelů a služeb. Podrobnosti: k společné umístění řízení a identit použijte Azure AD.

Centralizovaná správa identit

Ve scénáři hybridní identity doporučujeme integrovat místní a cloudové adresáře. Integrace umožňuje vašemu IT týmu spravovat účty z jednoho místa bez ohledu na to, kde je účet vytvořený. Integrace taky pomáhá uživatelům zvýšit produktivitu tím, že poskytuje společnou identitu pro přístup k cloudovým i místním prostředkům.

Osvědčený postup: vytvoření jedné instance služby Azure AD. Konzistence a jeden autoritativní zdroj zvýší přehlednost a sníží rizika zabezpečení z lidských chyb a složitosti konfigurace. Podrobnosti: Určete jeden adresář služby Azure AD jako autoritativní zdroj pro podnikové a organizační účty.

Osvědčený postup: Integrujte své místní adresáře se službou Azure AD.
podrobnosti: použijte Azure AD Connect k synchronizaci místního adresáře s adresářem v cloudu.

Poznámka

existují faktory, které mají vliv na výkon Azure AD Connect. ujistěte se, že Azure AD Connect má dostatečnou kapacitu, aby bylo možné zabránit systémům v nedostatku zabezpečení a produktivity. velká nebo složitá organizace (organizace, které zřizování více než 100 000 objektů) by měly dodržovat doporučení k optimalizaci Azure AD Connect implementace.

Osvědčený postup: Nesynchronizujte účty do služby Azure AD s vysokými oprávněními ve stávající instanci služby Active Directory. podrobnosti: neměňte výchozí konfiguraci Azure AD Connect , která filtruje tyto účty. Tato konfigurace snižuje riziko nežádoucí osobyho překlopení z cloudu na místní prostředky (což by mohlo způsobit velký incident).

Osvědčený postup: Zapněte synchronizaci hodnot hash hesel.
Podrobnosti: synchronizace hodnot hash hesel je funkce, která se používá k synchronizaci hodnot hash hesel uživatele z místní instance služby Active Directory s instancí Azure AD založené na cloudu. Tato synchronizace pomáhá chránit proti nevráceným přihlašovacím údajům, které se přehrávají z předchozích útoků.

I když se rozhodnete použít federaci s Active Directory Federation Services (AD FS) (AD FS) nebo jinými zprostředkovateli identity, můžete volitelně nastavit synchronizaci hodnot hash hesel jako zálohu v případě, že vaše místní servery selžou nebo jsou dočasně nedostupné. Tato synchronizace umožňuje uživatelům přihlásit se ke službě pomocí stejného hesla, které používají pro přihlášení ke své místní instanci služby Active Directory. Umožňuje taky službě Identity Protection detekovat napadené přihlašovací údaje porovnáním synchronizovaných hodnot hash hesel pomocí hesel, která jsou známá k ohrožení, pokud uživatel použil stejnou e-mailovou adresu a heslo na jiných službách, které nejsou připojené ke službě Azure AD.

další informace najdete v tématu implementace synchronizace hodnot hash hesel pomocí Azure AD Connect synchronizace.

Osvědčený postup: pro vývoj nových aplikací použijte Azure AD pro ověřování. Podrobnosti: Používejte správné možnosti pro podporu ověřování:

  • Azure AD pro zaměstnance
  • Azure AD B2B pro uživatele typu Host a externí partneři
  • Azure AD B2C řídit, jak se uživatelé registrují, přihlašovat a spravovat svoje profily při používání vašich aplikací

Organizace, které neintegrují svou místní identitu s jejich cloudovou identitou, můžou mít větší režii při správě účtů. Tato režie zvyšuje pravděpodobnost chyb a porušení zabezpečení.

Poznámka

Musíte zvolit, které adresáře se budou nacházet v a jestli se používá pracovní stanice pro správu, kterou používají nové cloudové služby nebo stávající procesy. Používání stávajících procesů správy a zřizování identit může snížit některá rizika, ale může také vytvořit riziko narušení místního účtu a jeho překlopení do cloudu. Můžete chtít použít jinou strategii pro různé role (například správce IT vs. obchodní jednotky Admins). Máte dvě možnosti. První možností je vytvořit účty Azure AD, které nejsou synchronizované s vaší místní instancí Active Directory. Připojte se k pracovní stanici správce k Azure AD, kterou můžete spravovat a opravovat pomocí Microsoft Intune. Druhou možností je použít stávající účty správců synchronizací do místní instance služby Active Directory. Pro správu a zabezpečení použijte existující pracovní stanice v doméně služby Active Directory.

Spravovat připojené klienty

Vaše organizace zabezpečení potřebuje viditelnost, aby posoudila riziko a určila, jestli jsou dodržovány zásady vaší organizace a jakékoli zákonné požadavky. Měli byste zajistit, aby vaše organizace zabezpečení měla přehled o všech předplatných připojených k vašemu provoznímu prostředí a síti (prostřednictvím Azure ExpressRoute nebo VPN typu Site-to-site). Globální správce ve službě Azure AD může zvýšit přístup k roli Správce přístupu uživatele a zobrazit všechna předplatná a spravované skupiny připojené k vašemu prostředí.

Projděte si téma zvýšení přístupu ke správě všech předplatných Azure a skupin pro správu , abyste měli jistotu, že máte a vaše skupina zabezpečení budou zobrazovat všechna předplatná nebo skupiny pro správu připojené k vašemu prostředí. Tento přístup se zvýšeným oprávněním byste měli po vyhodnocení rizik odebrat.

Povolit jednotné přihlašování

V cloudovém a prvním světě chcete povolit jednotné přihlašování (SSO) k zařízením, aplikacím a službám odkudkoli, takže uživatelé můžou být produktivní kdykoli a kdykoli. Pokud máte k dispozici více řešení pro správu identit, bude se jednat o problém správce, který není pro něj k dispozici, ale také uživatelům, kteří si musí pamatovat více hesel.

Pomocí stejného řešení identity pro všechny vaše aplikace a prostředky můžete dosáhnout jednotného přihlašování. A vaši uživatelé můžou použít stejnou sadu přihlašovacích údajů pro přihlášení a přístup k prostředkům, které potřebují, a to bez ohledu na to, jestli se prostředky nacházejí místně nebo v cloudu.

Osvědčený postup: povolení jednotného přihlašování.
Podrobnosti: Azure AD rozšiřuje místní službu Active Directory do cloudu. Uživatelé můžou použít svůj primární pracovní nebo školní účet pro svá zařízení připojená k doméně, prostředky společnosti a všechny webové a SaaS aplikace, které potřebují k tomu, aby získali své úlohy. Uživatelé si nemusí pamatovat několik sad uživatelských jmen a hesel a jejich přístup k aplikacím se dá automaticky zřídit (nebo zrušit zřízení) na základě členství ve skupinách organizace a jejich stavu jako zaměstnanec. Přístup můžete řídit u aplikací z galerie i u vlastních místních aplikací, které jste nasadili a publikovali přes Proxy aplikací služby Azure AD.

Pomocí jednotného přihlašování můžete uživatelům povolit přístup k jejich SaaS aplikacím na základě svého pracovního nebo školního účtu v Azure AD. To platí nejen pro aplikace Microsoft SaaS, ale i pro jiné aplikace, jako je Google Apps nebo Salesforce. Aplikaci můžete nakonfigurovat tak, aby používala Azure AD jako zprostředkovatele identity založeného na SAML . V rámci řízení zabezpečení Azure AD nevydá token, který umožňuje uživatelům přihlásit se k aplikaci, pokud jim neudělí přístup prostřednictvím služby Azure AD. Přístup můžete udělit přímo nebo prostřednictvím skupiny, které jsou uživatelé členem.

Organizace, které nevytvářejí společnou identitu k navázání jednotného přihlašování pro svoje uživatele a aplikace, jsou k dispozici ve scénářích, kdy uživatelé mají více hesel. Tyto scénáře zvyšují pravděpodobnost, že uživatelé znovu používají hesla nebo používají slabá hesla.

Zapnutí podmíněného přístupu

Uživatelé mají přístup k prostředkům vaší organizace pomocí nejrůznějších zařízení a aplikací odkudkoli. Jako správce IT chcete zajistit, aby tato zařízení splňovala vaše standardy pro zabezpečení a dodržování předpisů. Jenom se zaměřením na to, kdo má přístup k prostředku, už není dost.

Aby bylo možné zajistit rovnováhu mezi zabezpečením a produktivitou, je třeba zvážit, jak je prostředek přístupný, než můžete učinit rozhodnutí o řízení přístupu. Pomocí podmíněného přístupu Azure AD můžete tento požadavek vyřešit. S podmíněným přístupem můžete provádět automatizované rozhodování o řízení přístupu na základě podmínek pro přístup k vašim cloudovým aplikacím.

Osvědčený postup: Správa a řízení přístupu k podnikovým prostředkům.
Podrobnosti: Konfigurace běžných zásad podmíněného přístupu Azure AD na základě skupin, umístění a citlivosti aplikací pro aplikace SaaS a aplikace připojené k Azure AD.

Osvědčený postup: blokování starších protokolů ověřování. Podrobnosti: útočníci zneužije slabé stránky ve starších protokolech každý den, zejména pro útoky prostřednictvím spreje hesla. Nakonfigurujte podmíněný přístup k blokování starších protokolů.

Plánování běžných vylepšení zabezpečení

Zabezpečení je vždy vyvíjené a je důležité vytvořit do svého cloudu a architektury správy identit způsob, jak pravidelně zobrazovat růst a zjišťovat nové způsoby zabezpečení vašeho prostředí.

Identita Secure identity je sada doporučených kontrolních mechanismů zabezpečení, které společnost Microsoft zveřejňuje za účelem poskytnutí číselného skóre pro objektivní měření stav zabezpečení a snazšího plánování budoucích vylepšení zabezpečení. Skóre můžete zobrazit také v porovnání s ostatními odvětvími a také s vlastními trendy v průběhu času.

Osvědčené postupy: plánování rutin zabezpečení a vylepšení v závislosti na osvědčených postupech ve vašem odvětví. Podrobnosti: k hodnocení vylepšení v průběhu času použijte funkci skóre Secure identity.

Povolení správy hesel

Pokud máte více tenantů nebo chcete uživatelům umožnit, aby obnovili vlastní hesla, je důležité použít příslušné zásady zabezpečení, abyste zabránili zneužití.

Osvědčený postup: nastavte Samoobslužné resetování hesla (SSPR) pro vaše uživatele.
Podrobnosti: použijte funkci samoobslužného resetování hesla služby Azure AD.

Osvědčený postup: Sledujte, jak nebo jestli se SSPR skutečně používá.
Podrobnosti: monitorování uživatelů, kteří se registrují, pomocí sestavy aktivity registrace pro resetování heselslužby Azure AD. Funkce vytváření sestav, kterou poskytuje Azure AD, pomáhá odpovídat na otázky pomocí předem vytvořených sestav. Pokud máte patřičnou licenci, můžete také vytvořit vlastní dotazy.

Osvědčený postup: rozšíříte cloudové zásady hesel do místní infrastruktury. Podrobnosti: Vylepšete zásady hesel ve vaší organizaci tak, že provedete stejné kontroly pro místní změny hesel, jako u cloudových změn hesel. nainstalujte službu Azure AD password protection pro Windows Server Active Directory agenty do místního prostředí pro rozšiřování seznamu zakázaných hesel na stávající infrastrukturu. Uživatelé a správci, kteří budou měnit, nastavovat nebo resetovat hesla v místním prostředí, se musí shodovat se stejnými zásadami hesel jako jenom uživatelé s pouze cloudy.

Vymáhat vícefaktorové ověřování pro uživatele

Doporučujeme, abyste pro všechny uživatele vyžadovali dvoustupňové ověřování. To zahrnuje správce a jiné ve vaší organizaci, kteří můžou mít významný dopad na to, jestli je jejich účet ohrožený (například finanční důstojníci).

K dispozici je více možností pro Vyžadování dvoustupňového ověřování. Nejlepší možnost závisí na vašich cílech, edici Azure AD, kterou používáte, a na licenčním programu. Podívejte se, jak vyžadovat dvoustupňové ověřování pro uživatele , abyste mohli určit nejlepší možnost pro vás. Další informace o licencích a cenách najdete na stránce s cenami Azure AD a Azure AD Multi-Factor Authentication .

Níže jsou uvedené možnosti a výhody pro povolení dvoustupňové ověřování:

Možnost 1: Povolte vícefaktorové ověřování pro všechny uživatele a metody přihlašování s využitím služby Azure AD Security Defaults: Tato možnost umožňuje snadno a rychle vymáhat MFA pro všechny uživatele ve vašem prostředí s přísnou zásadou:

  • Účty pro správu a mechanismy přihlášení pro správce
  • vyžadovat vícefaktorové ověřování pomocí Microsoft Authenticator pro všechny uživatele
  • Omezte starší verze ověřovacích protokolů.

Tato metoda je dostupná pro všechny úrovně licencování, ale nemůže být smíšená se stávajícími zásadami podmíněného přístupu. Další informace najdete ve výchozím nastavení zabezpečení Azure AD .

Možnost 2: Povolení Multi-Factor Authentication změnou stavu uživatele.
Zvýhodnění: Jedná se o tradiční metodu pro Vyžadování dvoustupňového ověřování. Funguje s Azure AD Multi-Factor Authentication v cloudu i v azure Multi-Factor Authentication Server. Použití této metody vyžaduje, aby uživatelé prováděli dvoustupňové ověřování pokaždé, když se přihlásí, a přepíše zásady podmíněného přístupu.

Pokud chcete zjistit, kde Multi-Factor Authentication musí být povolený, podívejte se, která verze Azure AD MFA je pro moji organizaci pravá?.

Možnost 3: Povolení Multi-Factor Authentication s využitím zásad podmíněného přístupu Zvýhodnění: Tato možnost vám umožní zobrazit dotaz na dvoustupňové ověřování za určitých podmínek pomocí podmíněného přístupu. Konkrétní podmínky se můžou přihlašovat uživateli z různých umístění, nedůvěryhodných zařízení nebo aplikací, které považujete za rizikové. Definování specifických podmínek, které vyžadují dvoustupňové ověřování, vám umožní vyhnout se tak neustálým dotazům pro uživatele, což může být nepříjemný zážitek uživatele.

Toto je nejpružnější způsob, jak povolit dvoustupňové ověřování pro vaše uživatele. Povolení zásad podmíněného přístupu funguje jenom pro Azure AD Multi-Factor Authentication v cloudu a je funkcí Premium služby Azure AD. Další informace o této metodě najdete v nasazení cloudové Multi-Factor Authentication Azure AD na základě služby.

Možnost 4: povolení Multi-Factor Authentication se zásadami podmíněného přístupu vyhodnocením zásad podmíněného přístupu na základě rizika.
Výhody: Tato možnost umožňuje:

  • Detekuje potenciální ohrožení zabezpečení, která ovlivňují identity vaší organizace.
  • Konfigurace automatizovaných odpovědí na zjištěné podezřelé akce, které se vztahují k identitám vaší organizace.
  • Prozkoumejte podezřelé incidenty a proveďte odpovídající opatření k jejich vyřešení.

Tato metoda používá Azure AD Identity Protection hodnocení rizik k určení, jestli se vyžaduje dvoustupňové ověřování na základě rizika uživatele a přihlašování pro všechny cloudové aplikace. tato metoda vyžaduje licencování Azure Active Directory P2. další informace o této metodě najdete v Azure Active Directory Identity Protection.

Poznámka

Možnost 2, povolení Multi-Factor Authentication změnou stavu uživatele, Přepisuje zásady podmíněného přístupu. Protože možnosti 3 a 4 používají zásady podmíněného přístupu, nemůžete s nimi použít parametr 2.

Organizace, které neposkytují další vrstvy ochrany identity, jako je například dvoustupňové ověřování, jsou náchylnější k útoku prostřednictvím krádeže přihlašovacích údajů. Útok krádeže přihlašovacích údajů může vést k ohrožení bezpečnosti dat.

Použití řízení přístupu na základě rolí

Správa přístupu pro cloudové prostředky je kritická pro všechny organizace, které využívají cloud. Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure, co s těmito prostředky může dělat a k jakým oblastem mají přístup.

Označení skupin nebo jednotlivých rolí zodpovědných za konkrétní funkce v Azure pomáhá zabránit nejasnostem, které mohou vést k chybám lidského a automatizace, které vytvářejí bezpečnostní rizika. Omezení přístupu na základě potřebných znalostí a minimálních principů zabezpečení oprávnění je nezbytné pro organizace, které chtějí vynutilit zásady zabezpečení pro přístup k datům.

Aby mohl váš tým zabezpečení vyhodnocovat a napravovat riziko, musí mít přehled o vašich prostředcích Azure. Pokud má tým zabezpečení provozní zodpovědnost, potřebuje další oprávnění ke své práci.

Pomocí služby Azure RBAC můžete přiřadit oprávnění uživatelům, skupinám a aplikacím v určitém oboru. Role se dají přidělovat na úrovni předplatného, skupiny prostředků nebo konkrétního prostředku.

Osvědčené postupy: oddělení funkcí v rámci týmu a udělení přístupu pouze uživatelům, kteří potřebují k provádění svých úloh. Místo udělení všech neomezených oprávnění v rámci předplatného Azure nebo prostředků Povolte jenom určité akce v konkrétním oboru. Podrobnosti: k přiřazení oprávnění uživatelům použijte předdefinované role Azure v Azure.

Poznámka

Konkrétní oprávnění vytvářejí nepotřebnou složitost a nejasnost a nahromadění do konfigurace starší verze, která je obtížné opravit, aniž by došlo k obavám. Vyhněte se oprávněním pro konkrétní prostředky. Místo toho použijte pro oprávnění v rámci předplatných skupiny pro správu oprávnění a skupin prostředků pro podnikové úrovni. Vyhněte se konkrétním uživatelským oprávněním. Místo toho přiřaďte přístup ke skupinám v Azure AD.

Osvědčený postup: poskytnutím bezpečnostních týmů s použitím povinností Azure získáte přístup k prostředkům Azure, aby mohli vyhodnotit a opravit rizika. Podrobnosti: udělení zabezpečení týmům roli Čtenář zabezpečení služby Azure RBAC. Můžete použít kořenovou skupinu pro správu nebo skupinu pro správu segmentů v závislosti na rozsahu zodpovědnosti:

  • Kořenová skupina pro správu pro týmy zodpovědné za všechny podnikové prostředky
  • Skupina pro správu segmentů pro týmy s omezeným rozsahem (obvykle z důvodu zákonných nebo jiných organizačních hranic)

Osvědčený postup: Udělte patřičným oprávněním bezpečnostním týmům, které mají přímé provozní zodpovědnosti. Podrobnosti: Přečtěte si předdefinované role Azure pro příslušné přiřazení role. Pokud předdefinované role nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role Azure. Stejně jako u integrovaných rolí můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v předplatném, skupině prostředků a oborech prostředků.

Osvědčené postupy: Udělte programu Microsoft Defender přístup k rolím zabezpečení, které ho potřebují. Defender pro Cloud umožňuje týmům zabezpečení rychle identifikovat a opravit rizika. Podrobnosti: přidejte bezpečnostní týmy s těmito požadavky do role Správce zabezpečení služby Azure RBAC, aby mohli zobrazit zásady zabezpečení, zobrazit stavy zabezpečení, upravit zásady zabezpečení, zobrazit výstrahy a doporučení a zrušit výstrahy a doporučení. To můžete provést pomocí kořenové skupiny pro správu nebo skupiny pro správu segmentu v závislosti na rozsahu zodpovědnosti.

Organizace, které vynutily řízení přístupu k datům pomocí možností, jako je Azure RBAC, můžou udělit větší oprávnění, než je potřeba pro své uživatele. To může vést k ohrožení dat tím, že uživatelům umožní získat přístup k typům dat (například vysoký dopad na firmu), které by neměli mít.

Nižší vystavení privilegovaných účtů

Zabezpečení privilegovaného přístupu je důležitým prvním krokem k ochraně obchodních prostředků. Minimalizace počtu uživatelů, kteří mají přístup k zabezpečeným informacím nebo prostředkům, snižuje riziko, že uživatel se zlými úmysly získává přístup, nebo autorizovaný uživatel neúmyslně ovlivnil citlivý prostředek.

Privilegované účty jsou účty, které spravují a spravují SYSTÉMY IT. Kybernetickí útočníci cílí na tyto účty, aby získali přístup k datům a systémům organizace. Pokud chcete zabezpečit privilegovaný přístup, měli byste účty a systémy izolovat od rizika vystavení uživateli se zlými úmysly.

Doporučujeme vyvinout plán zabezpečení privilegovaného přístupu proti kybernetickým útočníkům a postupovat podle plánu. Informace o vytvoření podrobného plánu zabezpečení identit a přístupu spravovaných nebo hlášených v Azure AD, Microsoft Azure, Microsoft 365 a dalších cloudových službách najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD.

Následující článek shrnuje osvědčené postupy, které najdete v článku Zabezpečení privilegovanéhopřístupu pro hybridní a cloudová nasazení ve službě Azure AD:

Osvědčený postup: Správa, řízení a monitorování přístupu k privilegovaných účtům.
Podrobnosti: Zapněte Azure AD Privileged Identity Management. Po zapnutí Privileged Identity Management obdržíte e-mailové zprávy s oznámením o změnách role privilegovaného přístupu. Tato oznámení poskytují včasné upozornění, když se do vysoce privilegovaných rolí ve vašem adresáři přidávají další uživatelé.

Osvědčený postup: Ujistěte se, že všechny důležité účty správců jsou spravované účty Azure AD. Podrobnosti: Odeberte všechny uživatelské účty z kritických rolí správce (například účty Microsoft, jako jsou hotmail.com, live.com a outlook.com).

Osvědčený postup: Zajistěte, aby všechny kritické role správce měly samostatný účet pro úlohy správy, aby se zabránilo útokům phishing a dalším útokům za účelem ohrožení oprávnění správce. Podrobnosti: Vytvořte samostatný účet správce, který má přiřazená oprávnění potřebná k provádění úloh správy. Zablokujte používání těchto účtů pro správu pro nástroje pro každodenní produktivitu, jako je Microsoft 365 e-mail nebo libovolné procházení webu.

Osvědčený postup: Identifikujte a kategorizujte účty, které jsou ve vysoce privilegovaných rolích.
Podrobnosti: Po zapnutí služby Azure AD Privileged Identity Management uživatele, kteří jsou v globálním správci, správci privilegovaných rolí a dalších vysoce privilegovaných rolích. Odeberte všechny účty, které už v těchto rolích nejsou potřeba, a zařazovat zbývající účty přiřazené k rolím správce:

  • Jednotlivě přiřazeno administrativním uživatelům a lze ho použít pro jiné účely než pro účely správy (například osobní e-mail).
  • Jednotlivě přiřazované administrativním uživatelům a určené pouze pro účely správy
  • Sdíleno mezi více uživateli
  • Scénáře nouzového přístupu
  • Pro automatizované skripty
  • Pro externí uživatele

Osvědčený postup: Implementujte přístup podle času (JIT), abyste dále zkráceli dobu vystavení oprávnění a zvýšili přehled o používání privilegovaných účtů.
Podrobnosti: Azure AD Privileged Identity Management umožňuje:

  • Omezte uživatele tak, aby přijímaly jenom oprávnění JIT.
  • Přiřaďte role na zkrácenou dobu s jistotou, že se oprávnění automaticky odvolala.

Osvědčený postup: Definujte alespoň dva účty pro nouzový přístup.
Podrobnosti: Účty pro nouzový přístup pomáhají organizacím omezit privilegovaný přístup v existujícím Azure Active Directory prostředí. Tyto účty jsou vysoce privilegované a nejsou přiřazeny konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na scénáře, kdy není možné používat běžné účty pro správu. Organizace musí omezit využití nouzového účtu pouze na potřebnou dobu.

Vyhodnoťte účty, které jsou přiřazené nebo které mají nárok na roli globálního správce. Pokud nevidíte žádné účty jen pro cloud pomocí *.onmicrosoft.com domény (určené pro nouzový přístup), vytvořte je. Další informace najdete v tématu Správa účtů pro správu pro nouzový přístup v Azure AD.

Osvědčený postup: Pro případ nouze je k dispozici "pohotovostní" proces. Podrobnosti: Postupujte podle kroků v článku Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení ve službě Azure AD.

Osvědčený postup: Vyžaduje, aby všechny důležité účty správců bez hesla (upřednostňované) nebo vyžadovaly vícefaktorové ověřování. Podrobnosti: Pomocí Microsoft Authenticator se přihlaste k libovolnému účtu Azure AD bez použití hesla. Podobně Windows Hello profirmy používá Microsoft Authenticator ověřování založené na klíči k povolení přihlašovacích údajů uživatele, které jsou vázané na zařízení a používají biometrické ověřování nebo PIN kód.

Při přihlašování vyžadovat službu Azure AD Multi-Factor Authentication pro všechny jednotlivé uživatele, kteří jsou trvale přiřazení k jedné nebo několika rolím správce Azure AD: globální správce, správce privilegovaných rolí, správce Exchange Online a SharePoint Online správce. Povolte vícefaktorové ověřování pro účty správců a ujistěte se, že se uživatelé účtu správce zaregistrovali.

Osvědčený postup: Pro důležité účty správců máte pracovní stanici správce, kde nejsou povolené produkční úlohy (například procházení a e-mail). Tím se vaše účty správců ochrání před vektory útoku, které používají procházení a e-mail, a výrazně se sníží riziko závažného incidentu. Podrobnosti: Použijte pracovní stanici správce. Zvolte úroveň zabezpečení pracovní stanice:

  • Vysoce zabezpečená zařízení zvyšující produktivitu poskytují pokročilé zabezpečení pro procházení a další úlohy související s produktivitou.
  • Pracovní stanice s privilegovaný přístup poskytují vyhrazený operační systém, který je chráněný před internetovými útoky a vektory hrozeb pro citlivé úlohy.

Osvědčený postup: Zrušte zřízení účtů správců, když zaměstnanci opustí vaši organizaci. Podrobnosti: Máte k dispozici proces, který zakáže nebo odstraní účty správců, když zaměstnanci opustí vaši organizaci.

Osvědčený postup: Pravidelně testujte účty správců pomocí aktuálních technik útoku. Podrobnosti: Použijte Microsoft 365 útoku nebo nabídku třetí strany ke spouštění scénářů realistického útoku ve vaší organizaci. To vám může pomoct najít ohrožené uživatele dříve, než dojde ke skutečnému útoku.

Osvědčený postup: Podniknou kroky ke zmírnění nejčastěji používaných útoků.
Podrobnosti: Identifikujte účty Microsoft v rolích pro správu, které je potřeba přepnout na pracovní nebo školní účty.

Zajištění samostatných uživatelských účtů a předávání e-mailů pro účty globálního správce

Ujistěte se, že se nedávno změnila hesla účtů pro správu.

Zapnutí synchronizace hodnot hash hesel

Vyžadovat vícefaktorové ověřování pro uživatele ve všech privilegovaných rolích i zveřejněných uživatelích

Získání skóre Microsoft 365 zabezpečení (pokud používáte Microsoft 365)

Prohlédněte si Microsoft 365 zabezpečení (pokud používáte Microsoft 365)

Konfigurace Microsoft 365 aktivit (pokud používáte Microsoft 365)

Vytvoření vlastníků plánu reakcí na incidenty a nouzové reakce

Zabezpečení místních privilegovaných účtů pro správu

Pokud privilegovaný přístup nezabezpečíte, můžete zjistit, že máte příliš mnoho uživatelů s vysoce privilegovanými rolemi a jsou zranitelnější vůči útokům. Aktéři se zlými úmysly, včetně kybernetických útočníků, často cílí na účty správců a další prvky privilegovaného přístupu, aby získali přístup k citlivým datům a systémům pomocí krádeže přihlašovacích údajů.

Řízení umístění, kde se vytvářejí prostředky

Je velmi důležité umožnit operátorům cloudu provádět úkoly a zároveň jim zabránit v porušení konvencí potřebných ke správě prostředků vaší organizace. Organizace, které chtějí řídit umístění, kde se prostředky vytvářejí, by měly tato umístění pevným kódem.

Pomocí nástroje Azure Resource Manager zásady zabezpečení, jejichž definice popisují akce nebo prostředky, které jsou výslovně odepřeny. Tyto definice zásad přiřadíte v požadovaném oboru, jako je předplatné, skupina prostředků nebo jednotlivý prostředek.

Poznámka

Zásady zabezpečení nejsou stejné jako Azure RBAC. K autorizaci uživatelů k vytváření těchto prostředků ve skutečnosti používají Azure RBAC.

Organizace, které nekontroluje způsob vytváření prostředků, jsou náchylnější k uživatelům, kteří můžou službu zneužít vytvořením více prostředků, než potřebují. Důležitým krokem k zabezpečení vícetenantového scénáře je ztvrzení procesu vytváření prostředků.

Aktivní monitorování podezřelých aktivit

Aktivní systém pro monitorování identit dokáže rychle detekovat podezřelé chování a aktivovat výstrahu pro další šetření. V následující tabulce jsou uvedeny dvě funkce Azure AD, které můžou organizacím pomoct monitorovat jejich identity:

Osvědčený postup: Metodu k identifikaci:

Podrobnosti: Použijte Azure AD Premium sestav anomálií. Mít zavedené procesy a postupy, aby správci IT spouštěly tyto sestavy každý den nebo na vyžádání (obvykle ve scénáři reakce na incidenty).

Osvědčený postup: Máte aktivní systém monitorování, který vás upozorní na rizika a může upravit úroveň rizika (vysokou, střední nebo nízkou) podle vašich obchodních požadavků.
Podrobnosti: Použijte Azure AD Identity Protection, který označí aktuální rizika na vlastním řídicím panelu a odešle denní souhrnná oznámení e-mailem. Abyste pomohli chránit identity vaší organizace, můžete nakonfigurovat zásady založené na riziku, které automaticky reagují na zjištěné problémy při dosažení zadané úrovně rizika.

Organizacím, které aktivně ne monitorují své systémy identit, hrozí ohrožení přihlašovacích údajů uživatelů. Bez vědomí, že prostřednictvím těchto přihlašovacích údajů prochází podezřelé aktivity, organizace tento typ hrozby nezmírní.

Použití Azure AD pro ověřování úložiště

Azure Storage podporuje ověřování a autorizaci pomocí Azure AD pro úložiště objektů blob a Queue Storage. S ověřováním Azure AD můžete pomocí řízení přístupu na základě role v Azure udělit konkrétní oprávnění uživatelům, skupinám a aplikacím až do rozsahu jednotlivých kontejnerů objektů blob nebo fronty.

K ověřování přístupu k úložišti doporučujeme použít Azure AD.

Další krok

V tématu Osvědčené postupy a vzory zabezpečení Azure najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.