Osvědčené postupy správy identit a zabezpečení řízení přístupu v Azure

V tomto článku probereme kolekci osvědčených postupů pro správu identit a zabezpečení řízení přístupu v Azure. Tyto osvědčené postupy jsou odvozené od našich zkušeností s Azure AD a zkušeností zákazníků, jako jste vy.

U každého osvědčeného postupu vysvětlíme:

  • Jaký je osvědčený postup
  • Proč chcete povolit tento osvědčený postup
  • Jaký by mohl být výsledek, pokud nepovedete povolit osvědčený postup?
  • Možné alternativy k osvědčeným postupům
  • Jak se naučit, jak povolit osvědčený postup

Tento článek s osvědčenými postupy pro správu identit a řízení přístupu v Azure je založený na názoru na konsensus a možnostech a sadách funkcí platformy Azure, které existují v době, kdy byl tento článek napsán.

Záměrem při psaní tohoto článku je poskytnout obecný plán robustnějšího zabezpečení po nasazení podle našich5kroků pro zabezpečení infrastruktury identit, který vás provede některými našimi základními funkcemi a službami.

Názory a technologie se v průběhu času mění a tento článek se bude pravidelně aktualizovat, aby odrážel tyto změny.

Mezi osvědčené postupy správy identit a zabezpečení řízení přístupu v Azure, které jsou popsané v tomto článku, patří:

  • Zacházení s identitou jako s primární bezpečnostní perimetrem
  • Centralizace správy identit
  • Správa připojených tenantů
  • Povolení jednotného přihlašování
  • Zapnutí podmíněného přístupu
  • Plánování rutinních vylepšení zabezpečení
  • Povolení správy hesel
  • Vynucení vícefaktorového ověřování pro uživatele
  • Použití řízení přístupu na základě rolí
  • Nižší vystavení privilegovaných účtů
  • Řízení umístění, kde se nacházejí prostředky
  • Použití Azure AD pro ověřování úložiště

Zacházení s identitou jako s primární bezpečnostní perimetrem

Řada z nich považuje identitu za primární hranici zabezpečení. Jedná se o posun od tradičního zaměření na zabezpečení sítě. Hraniční sítě jsou stále pohotnější a tato obrana perimetrů nemůže být tak efektivní jako před explozí zařízení BYOD a cloudových aplikací.

Azure Active Directory (Azure AD) je řešení Azure pro správu identit a přístupu. Azure AD je vícetenantová cloudová adresářová služba a služba pro správu identit od Microsoftu. Kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jednoho řešení.

V následujících částech jsou uvedené osvědčené postupy pro zabezpečení identit a přístupu pomocí Azure AD.

Osvědčený postup: Center security controls and detections around user and service identityies. Podrobnosti: K umístění ovládacích prvků a identit použijte Azure AD.

Centralizace správy identit

Ve scénáři hybridní identity doporučujeme integrovat místní a cloudové adresáře. Integrace umožňuje vašemu IT týmu spravovat účty z jednoho místa bez ohledu na to, kde je účet vytvořený. Integrace také pomáhá vašim uživatelům zvýšit produktivitu tím, že poskytuje společnou identitu pro přístup ke cloudovým i místním prostředkům.

Osvědčený postup: Vytvoření jedné instance Azure AD. Konzistence a jediné autoritativní zdroje zvýší přehlednost a sníží rizika zabezpečení z chyb lidského faktoru a složitosti konfigurace. Podrobnosti: Určete jeden adresář Azure AD jako autoritativní zdroj pro podnikové a organizační účty.

Osvědčený postup: Integrace místních adresářů se službou Azure AD.
Podrobnosti: Pomocí služby Azure AD Připojení synchronizovat místní adresář s cloudovým adresářem.

Poznámka

Existují faktory, které ovlivňují výkon služby Azure AD Připojení. Ujistěte se, Připojení služba Azure AD má dostatek kapacity, aby podceňoval výkon systémů před překážkami zabezpečení a produktivity. Velké nebo složité organizace (organizace, které zřizují více než 100 000 objektů) by měly postupovat podle doporučení pro optimalizaci azure AD Připojení implementaci.

Osvědčený postup: Nesynchronhronujte účty do Azure AD s vysokými oprávněními ve vaší stávající instanci Active Directory. Podrobnosti: Neměňte výchozí konfiguraci služby Azure AD Připojení, která tyto účty odfiltruje. Tato konfigurace snižuje riziko, že nežádoucíci přechádnou z cloudu na místní prostředky (což by mohlo vytvořit velký incident).

Osvědčený postup: Zapněte synchronizaci hodnot hash hesel.
Podrobnosti: Synchronizace hodnot hash hesel je funkce, která slouží k synchronizaci hodnot hash hesel uživatelů z místní Active Directory do cloudové instance Azure AD. Tato synchronizace pomáhá chránit před únikem přihlašovacích údajů, které se přehrály před předchozími útoky.

I když se rozhodnete používat federaci se službou Active Directory Federation Services (AD FS) (AD FS) nebo jinými zprostředkovateli identity, můžete volitelně nastavit synchronizaci hodnot hash hesel jako zálohu pro případ, že místní servery selžou nebo budou dočasně nedostupné. Tato synchronizace umožňuje uživatelům přihlásit se ke službě pomocí stejného hesla, které používají pro přihlášení k místní Active Directory instanci. Umožňuje také službě Identity Protection detekovat ohrožené přihlašovací údaje porovnáním synchronizovaných hodnot hash hesel s hesly, o kterých je známo, že jsou ohrožená, pokud uživatel použil stejnou e-mailovou adresu a heslo v jiných službách, které nejsou připojené ke službě Azure AD.

Další informace najdete v tématu Implementace synchronizace hodnot hash hesel pomocí synchronizace Připojení Azure AD.

Osvědčený postup: Pro vývoj nových aplikací použijte k ověřování Azure AD. Podrobnosti: Použijte správné možnosti pro podporu ověřování:

  • Azure AD pro zaměstnance
  • Azure AD B2B pro uživatele hosta a externí partnery
  • Azure AD B2C, jak se zákazníci registrují, přihlašují a spravují své profily, když používají vaše aplikace

Organizace, které ne integrují svou místní identitu se svou cloudovou identitou, mohou mít větší režii při správě účtů. Tato režie zvyšuje pravděpodobnost chyb a porušení zabezpečení.

Poznámka

Musíte zvolit, ve kterých adresářích se budou nacházet důležité účty a jestli je použitá pracovní stanice správce spravovaná novými cloudovými službami nebo existujícími procesy. Použití stávajících procesů správy a zřizování identit může snížit některá rizika, ale může také vytvořit riziko, že útočník prozkouší místní účet a překlopí se do cloudu. Pro různé role můžete použít jinou strategii (například správci IT a správci obchodních jednotek). Máte dvě možnosti. První možností je vytvořit účty Azure AD, které nejsou synchronizované s vaší místní Active Directory instancí. Připojte pracovní stanici správce k Azure AD, kterou můžete spravovat a opravovat pomocí Microsoft Intune. Druhou možností je použít existující účty správců prostřednictvím synchronizace do místní Active Directory instance. Pro správu a zabezpečení použijte existující pracovní stanice ve vaší doméně služby Active Directory.

Správa připojených tenantů

Vaše organizace zabezpečení potřebuje přehled, aby posoudila rizika a určila, jestli se dodržují zásady vaší organizace a případné zákonné požadavky. Měli byste zajistit, aby vaše organizace zabezpečení měla přehled o všech předplatných připojených k produkčnímu prostředí a síti (prostřednictvím Azure ExpressRoute nebo site-to-site VPN). Globální správce v Azure AD může zvýšit svůj přístup na roli Správce uživatelských přístupů a zobrazit všechna předplatná a spravované skupiny připojené k vašemu prostředí.

Pokud chcete zajistit, abyste vy a vaše skupina zabezpečení mohli zobrazit všechna předplatná nebo skupiny pro správu připojené k vašemu prostředí, podívejte se na zvýšení přístupu pro správu všech předplatných a skupin pro správu. Po posouzení rizik byste měli tento přístup se zvýšenými oprávněními odebrat.

Povolení jednotného přihlašování

V mobilním cloudovém světě chcete povolit jednotné přihlašování k zařízením, aplikacím a službám odkudkoli, aby vaši uživatelé mohli být produktivní odkudkoli a kdykoli. Pokud máte více řešení identit, která můžete spravovat, stává se to problémem správy nejen pro IT, ale také pro uživatele, kteří si musí zapamatovat více hesel.

Díky použití stejného řešení identit pro všechny vaše aplikace a prostředky můžete dosáhnout jednotného přihlašování. A vaši uživatelé mohou používat stejnou sadu přihlašovacích údajů pro přihlášení a přístup k prostředkům, které potřebují, ať už jsou prostředky umístěné místně nebo v cloudu.

Osvědčený postup: Povolení jednotného přihlašování
Podrobnosti: Azure AD rozšiřuje místní Active Directory do cloudu. Uživatelé mohou používat svůj primární pracovní nebo školní účet pro zařízení připojená k doméně, prostředky společnosti a všechny webové aplikace a aplikace SaaS, které potřebují k práci. Uživatelé si nemusí pamatovat více sad uživatelských jmen a hesel a jejich přístup k aplikacím je možné automaticky zřídit (nebo zrušte zřízení) na základě členství ve skupinách organizace a jejich stavu zaměstnance. Přístup můžete řídit u aplikací z galerie i u vlastních místních aplikací, které jste nasadili a publikovali přes Proxy aplikací služby Azure AD.

Pomocí jednotného přihlašování můžete uživatelům povolit přístup ke svým aplikacím SaaS na základě jejich pracovního nebo školního účtu v Azure AD. To platí nejen pro aplikace Microsoft SaaS, ale také pro další aplikace, jako jsou Google Apps a Salesforce. Aplikaci můžete nakonfigurovat tak, aby jako zprostředkovatele identity založeného na SAML používat Azure AD. Jako bezpečnostní prvek nevydá Azure AD token, který uživatelům umožní přihlásit se k aplikaci, pokud jim nebyl udělen přístup prostřednictvím Azure AD. Přístup můžete udělit přímo nebo prostřednictvím skupiny, do které jsou uživatelé členem.

Organizace, které nevytvářejí společnou identitu pro vytvoření jednotného přihlašování pro své uživatele a aplikace, jsou více vystavené scénářům, kdy uživatelé mají více hesel. Tyto scénáře zvyšují pravděpodobnost, že uživatelé znovu používají hesla nebo slabá hesla.

Zapnutí podmíněného přístupu

Uživatelé mají přístup k prostředkům vaší organizace pomocí různých zařízení a aplikací odkudkoli. Jako správce IT chcete zajistit, aby tato zařízení splňovala vaše standardy zabezpečení a dodržování předpisů. Jenom se zaměřením na to, kdo má přístup k prostředku, už není dost.

Aby bylo možné zajistit rovnováhu mezi zabezpečením a produktivitou, je třeba zvážit, jak je prostředek přístupný, než můžete učinit rozhodnutí o řízení přístupu. Pomocí podmíněného přístupu Azure AD můžete tento požadavek vyřešit. S podmíněným přístupem můžete provádět automatizované rozhodování o řízení přístupu na základě podmínek pro přístup k vašim cloudovým aplikacím.

Osvědčený postup: Správa a řízení přístupu k podnikovým prostředkům.
Podrobnosti: Konfigurace běžných zásad podmíněného přístupu Azure AD na základě skupin, umístění a citlivosti aplikací pro aplikace SaaS a aplikace připojené k Azure AD.

Osvědčený postup: blokování starších protokolů ověřování. Podrobnosti: útočníci zneužije slabé stránky ve starších protokolech každý den, zejména pro útoky prostřednictvím spreje hesla. Nakonfigurujte podmíněný přístup k blokování starších protokolů.

Plánování běžných vylepšení zabezpečení

Zabezpečení je vždy vyvíjené a je důležité vytvořit do svého cloudu a architektury správy identit způsob, jak pravidelně zobrazovat růst a zjišťovat nové způsoby zabezpečení vašeho prostředí.

Identita Secure identity je sada doporučených kontrolních mechanismů zabezpečení, které společnost Microsoft zveřejňuje za účelem poskytnutí číselného skóre pro objektivní měření stav zabezpečení a snazšího plánování budoucích vylepšení zabezpečení. Skóre můžete zobrazit také v porovnání s ostatními odvětvími a také s vlastními trendy v průběhu času.

Osvědčené postupy: plánování rutin zabezpečení a vylepšení v závislosti na osvědčených postupech ve vašem odvětví. Podrobnosti: k hodnocení vylepšení v průběhu času použijte funkci skóre Secure identity.

Povolení správy hesel

Pokud máte více tenantů nebo chcete uživatelům umožnit, aby obnovili vlastní hesla, je důležité použít příslušné zásady zabezpečení, abyste zabránili zneužití.

Osvědčený postup: nastavte Samoobslužné resetování hesla (SSPR) pro vaše uživatele.
Podrobnosti: použijte funkci samoobslužného resetování hesla služby Azure AD.

Osvědčený postup: Sledujte, jak nebo jestli se SSPR skutečně používá.
Podrobnosti: monitorování uživatelů, kteří se registrují, pomocí sestavy aktivity registrace pro resetování heselslužby Azure AD. Funkce vytváření sestav, kterou poskytuje Azure AD, pomáhá odpovídat na otázky pomocí předem vytvořených sestav. Pokud máte patřičnou licenci, můžete také vytvořit vlastní dotazy.

Osvědčený postup: rozšíříte cloudové zásady hesel do místní infrastruktury. Podrobnosti: Vylepšete zásady hesel ve vaší organizaci tak, že provedete stejné kontroly pro místní změny hesel, jako u cloudových změn hesel. nainstalujte službu Azure AD password protection pro Windows Server Active Directory agenty do místního prostředí pro rozšiřování seznamu zakázaných hesel na stávající infrastrukturu. Uživatelé a správci, kteří budou měnit, nastavovat nebo resetovat hesla v místním prostředí, se musí shodovat se stejnými zásadami hesel jako jenom uživatelé s pouze cloudy.

Vymáhat vícefaktorové ověřování pro uživatele

Doporučujeme, abyste pro všechny uživatele vyžadovali dvoustupňové ověřování. To zahrnuje správce a jiné ve vaší organizaci, kteří můžou mít významný dopad na to, jestli je jejich účet ohrožený (například finanční důstojníci).

K dispozici je více možností pro Vyžadování dvoustupňového ověřování. Nejlepší možnost závisí na vašich cílech, edici Azure AD, kterou používáte, a na licenčním programu. Podívejte se, jak vyžadovat dvoustupňové ověřování pro uživatele , abyste mohli určit nejlepší možnost pro vás. Další informace o licencích a cenách najdete na stránce s cenami Azure AD a Azure AD Multi-Factor Authentication .

Níže jsou uvedené možnosti a výhody pro povolení dvoustupňové ověřování:

Možnost 1: Povolte vícefaktorové ověřování pro všechny uživatele a metody přihlašování s využitím služby Azure AD Security Defaults: Tato možnost umožňuje snadno a rychle vymáhat MFA pro všechny uživatele ve vašem prostředí s přísnou zásadou:

  • Účty pro správu a mechanismy přihlášení pro správce
  • vyžadovat vícefaktorové ověřování pomocí Microsoft Authenticator pro všechny uživatele
  • Omezte starší verze ověřovacích protokolů.

Tato metoda je dostupná pro všechny úrovně licencování, ale nemůže být smíšená se stávajícími zásadami podmíněného přístupu. Další informace najdete ve výchozím nastavení zabezpečení Azure AD .

Možnost 2: Povolení Multi-Factor Authentication změnou stavu uživatele.
Zvýhodnění: Jedná se o tradiční metodu pro Vyžadování dvoustupňového ověřování. Funguje s Azure AD Multi-Factor Authentication v cloudu i v azure Multi-Factor Authentication Server. Použití této metody vyžaduje, aby uživatelé prováděli dvoustupňové ověřování pokaždé, když se přihlásí, a přepíše zásady podmíněného přístupu.

Pokud chcete zjistit, kde Multi-Factor Authentication musí být povolený, podívejte se, která verze Azure AD MFA je pro moji organizaci pravá?.

Možnost 3: Povolení Multi-Factor Authentication s využitím zásad podmíněného přístupu Zvýhodnění: Tato možnost vám umožní zobrazit dotaz na dvoustupňové ověřování za určitých podmínek pomocí podmíněného přístupu. Konkrétní podmínky se můžou přihlašovat uživateli z různých umístění, nedůvěryhodných zařízení nebo aplikací, které považujete za rizikové. Definování specifických podmínek, které vyžadují dvoustupňové ověřování, vám umožní vyhnout se tak neustálým dotazům pro uživatele, což může být nepříjemný zážitek uživatele.

Toto je nejpružnější způsob, jak povolit dvoustupňové ověřování pro vaše uživatele. Povolení zásad podmíněného přístupu funguje jenom pro Azure AD Multi-Factor Authentication v cloudu a je funkcí Premium služby Azure AD. Další informace o této metodě najdete v nasazení cloudové Multi-Factor Authentication Azure AD na základě služby.

Možnost 4: povolení Multi-Factor Authentication se zásadami podmíněného přístupu vyhodnocením zásad podmíněného přístupu na základě rizika.
Výhody: Tato možnost umožňuje:

  • Detekuje potenciální ohrožení zabezpečení, která ovlivňují identity vaší organizace.
  • Konfigurace automatizovaných odpovědí na zjištěné podezřelé akce, které se vztahují k identitám vaší organizace.
  • Prozkoumejte podezřelé incidenty a proveďte odpovídající opatření k jejich vyřešení.

Tato metoda používá Azure AD Identity Protection hodnocení rizik k určení, jestli se vyžaduje dvoustupňové ověřování na základě rizika uživatele a přihlašování pro všechny cloudové aplikace. tato metoda vyžaduje licencování Azure Active Directory P2. další informace o této metodě najdete v Azure Active Directory Identity Protection.

Poznámka

Možnost 2, povolení Multi-Factor Authentication změnou stavu uživatele, Přepisuje zásady podmíněného přístupu. Protože možnosti 3 a 4 používají zásady podmíněného přístupu, nemůžete s nimi použít parametr 2.

Organizace, které neposkytují další vrstvy ochrany identity, jako je například dvoustupňové ověřování, jsou náchylnější k útoku prostřednictvím krádeže přihlašovacích údajů. Útok krádeže přihlašovacích údajů může vést k ohrožení bezpečnosti dat.

Použití řízení přístupu na základě rolí

Správa přístupu pro cloudové prostředky je kritická pro všechny organizace, které využívají cloud. Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure, co s těmito prostředky může dělat a k jakým oblastem mají přístup.

Označení skupin nebo jednotlivých rolí zodpovědných za konkrétní funkce v Azure pomáhá zabránit nejasnostem, které mohou vést k chybám lidského a automatizace, které vytvářejí bezpečnostní rizika. Omezení přístupu na základě potřebných znalostí a minimálních principů zabezpečení oprávnění je nezbytné pro organizace, které chtějí vynutilit zásady zabezpečení pro přístup k datům.

Aby mohl váš tým zabezpečení vyhodnocovat a napravovat riziko, musí mít přehled o vašich prostředcích Azure. Pokud má tým zabezpečení provozní zodpovědnost, potřebuje další oprávnění ke své práci.

Pomocí služby Azure RBAC můžete přiřadit oprávnění uživatelům, skupinám a aplikacím v určitém oboru. Role se dají přidělovat na úrovni předplatného, skupiny prostředků nebo konkrétního prostředku.

Osvědčené postupy: oddělení funkcí v rámci týmu a udělení přístupu pouze uživatelům, kteří potřebují k provádění svých úloh. Místo udělení všech neomezených oprávnění v rámci předplatného Azure nebo prostředků Povolte jenom určité akce v konkrétním oboru. Podrobnosti: k přiřazení oprávnění uživatelům použijte předdefinované role Azure v Azure.

Poznámka

Konkrétní oprávnění vytvářejí nepotřebnou složitost a nejasnost a nahromadění do konfigurace starší verze, která je obtížné opravit, aniž by došlo k obavám. Vyhněte se oprávněním pro konkrétní prostředky. Místo toho použijte pro oprávnění v rámci předplatných skupiny pro správu oprávnění a skupin prostředků pro podnikové úrovni. Vyhněte se konkrétním uživatelským oprávněním. Místo toho přiřaďte přístup ke skupinám v Azure AD.

Osvědčený postup: poskytnutím bezpečnostních týmů s použitím povinností Azure získáte přístup k prostředkům Azure, aby mohli vyhodnotit a opravit rizika. Podrobnosti: udělení zabezpečení týmům roli Čtenář zabezpečení služby Azure RBAC. Můžete použít kořenovou skupinu pro správu nebo skupinu pro správu segmentů v závislosti na rozsahu zodpovědnosti:

  • Kořenová skupina pro správu pro týmy zodpovědné za všechny podnikové prostředky
  • Skupina pro správu segmentů pro týmy s omezeným rozsahem (obvykle z důvodu zákonných nebo jiných organizačních hranic)

Osvědčený postup: Udělte patřičným oprávněním bezpečnostním týmům, které mají přímé provozní zodpovědnosti. Podrobnosti: Přečtěte si předdefinované role Azure pro příslušné přiřazení role. Pokud předdefinované role nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role Azure. Stejně jako u integrovaných rolí můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v předplatném, skupině prostředků a oborech prostředků.

Osvědčené postupy: Udělte Azure Security Center přístup k rolím zabezpečení, které ho potřebují. Security Center umožňuje týmům zabezpečení rychle identifikovat a opravit rizika. Podrobnosti: přidejte bezpečnostní týmy s těmito požadavky do role Správce zabezpečení služby Azure RBAC, aby mohli zobrazit zásady zabezpečení, zobrazit stavy zabezpečení, upravit zásady zabezpečení, zobrazit výstrahy a doporučení a zrušit výstrahy a doporučení. To můžete provést pomocí kořenové skupiny pro správu nebo skupiny pro správu segmentu v závislosti na rozsahu zodpovědnosti.

Organizace, které vynutily řízení přístupu k datům pomocí možností, jako je Azure RBAC, můžou udělit větší oprávnění, než je potřeba pro své uživatele. To může vést k ohrožení dat tím, že uživatelům umožní získat přístup k typům dat (například vysoký dopad na firmu), které by neměli mít.

Nižší vystavení privilegovaných účtů

Zabezpečení privilegovaného přístupu je důležitým prvním krokem k ochraně obchodních prostředků. Minimalizace počtu uživatelů, kteří mají přístup k zabezpečeným informacím nebo prostředkům, snižuje riziko, že uživatel se zlými úmysly získává přístup, nebo autorizovaný uživatel neúmyslně ovlivnil citlivý prostředek.

Privilegované účty jsou účty, které spravují a spravují SYSTÉMY IT. Kybernetickí útočníci cílí na tyto účty, aby získali přístup k datům a systémům organizace. Pokud chcete zabezpečit privilegovaný přístup, měli byste účty a systémy izolovat od rizika vystavení uživateli se zlými úmysly.

Doporučujeme vyvinout plán a postupovat podle plánu pro zabezpečení privilegovaného přístupu proti kybernetickým útočníkům. Informace o vytvoření podrobného plánu zabezpečení identit a přístupu spravovaných nebo hlášených v Azure AD, Microsoft Azure, Microsoft 365 a dalších cloudových službách najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD.

Následující článek shrnuje osvědčené postupy, které najdete v článku Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení ve službě Azure AD:

Osvědčený postup: Správa, řízení a monitorování přístupu k privilegovaných účtům.
Podrobnosti: Zapněte Azure AD Privileged Identity Management. Po zapnutí Privileged Identity Management obdržíte e-mailové zprávy s oznámením o změnách role privilegovaného přístupu. Tato oznámení poskytují včasné upozornění, když se do vysoce privilegovaných rolí ve vašem adresáři přidávají další uživatelé.

Osvědčený postup: Ujistěte se, že všechny důležité účty správců jsou spravované účty Azure AD. Podrobnosti: Odeberte všechny uživatelské účty z kritických rolí správce (například účty Microsoft, jako jsou hotmail.com, live.com a outlook.com).

Osvědčený postup: Zajistěte, aby všechny kritické role správce měly samostatný účet pro úlohy správy, aby se zabránilo útokům phishing a dalším útokům za účelem ohrožení oprávnění správce. Podrobnosti: Vytvořte samostatný účet správce, který má přiřazená oprávnění potřebná k provádění úloh správy. Zablokujte používání těchto účtů pro správu pro nástroje pro každodenní produktivitu, jako je Microsoft 365 e-mail nebo libovolné procházení webu.

Osvědčený postup: Identifikujte a kategorizujte účty, které jsou ve vysoce privilegovaných rolích.
Podrobnosti: Po zapnutí služby Azure AD Privileged Identity Management zobrazit uživatele, kteří jsou v globálním správci, správci privilegovaných rolí a dalších vysoce privilegovaných rolích. Odeberte všechny účty, které už v těchto rolích nepotřebujete, a zařazovat zbývající účty přiřazené k rolím správce:

  • Jednotlivě přiřazovány administrativním uživatelům a lze je použít pro jiné účely než pro účely správy (například osobní e-mail).
  • Jednotlivě přiřazované administrativním uživatelům a určené pouze pro účely správy
  • Sdíleno mezi více uživateli
  • Scénáře nouzového přístupu
  • Pro automatizované skripty
  • Pro externí uživatele

Osvědčený postup: Implementujte přístup podle "za běhu" (JIT), abyste dále zkráceli dobu vystavení oprávnění a zvýšili viditelnost používání privilegovaných účtů.
Podrobnosti: Azure AD Privileged Identity Management umožňuje:

  • Omezte uživatele tak, aby přijímaly jenom svá oprávnění JIT.
  • Přiřaďte role na zkrácenou dobu s jistotou, že se oprávnění automaticky odvolala.

Osvědčený postup: Definujte alespoň dva účty pro nouzový přístup.
Podrobnosti: Účty pro nouzový přístup pomáhají organizacím omezit privilegovaný přístup v existujícím Azure Active Directory prostředí. Tyto účty jsou vysoce privilegované a nejsou přiřazeny konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na scénáře, kdy není možné používat běžné účty pro správu. Organizace musí omezit využití nouzového účtu pouze na potřebnou dobu.

Vyhodnoťte účty, které jsou přiřazené nebo které mají nárok na roli globálního správce. Pokud nevidíte žádné účty jen pro cloud pomocí *.onmicrosoft.com domény (určené pro nouzový přístup), vytvořte je. Další informace najdete v tématu Správa účtů pro správu pro nouzový přístup v Azure AD.

Osvědčený postup: Pro případ nouze je k dispozici "pohotovostní" proces. Podrobnosti: Postupujte podle kroků v článku Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení ve službě Azure AD.

Osvědčený postup: Vyžaduje, aby všechny důležité účty správců bez hesla (upřednostňované) nebo vyžadovaly vícefaktorové ověřování. Podrobnosti: Pomocí Microsoft Authenticator se přihlaste k libovolnému účtu Azure AD bez použití hesla. Podobně Windows Hello profirmy používá Microsoft Authenticator ověřování na základě klíčů k povolení přihlašovacích údajů uživatele vázaných na zařízení a použití biometrického ověřování nebo KÓDU PIN.

Při přihlášení vyžadovat službu Azure AD Multi-Factor Authentication pro všechny jednotlivé uživatele, kteří jsou trvale přiřazení k jedné nebo několika rolím správce Azure AD: globální správce, správce privilegovaných rolí, správce Exchange Online a SharePoint Online správce. Povolte vícefaktorové ověřování pro účty správců a ujistěte se, že se uživatelé účtu správce zaregistrovali.

Osvědčený postup: Pro důležité účty správců musí mít pracovní stanici správce, kde nejsou povolené produkční úlohy (například procházení a e-mail). Tím se vaše účty správců ochrání před vektory útoku, které používají procházení a e-mail, a výrazně se sníží riziko závažného incidentu. Podrobnosti: Použijte pracovní stanici správce. Zvolte úroveň zabezpečení pracovní stanice:

  • Vysoce zabezpečená zařízení zvyšující produktivitu poskytují pokročilé zabezpečení pro procházení a další úlohy související s produktivitou.
  • Pracovní stanice s privilegovaný přístup (PAWs) poskytují vyhrazený operační systém, který je chráněný před útoky na internet a vektory hrozeb pro citlivé úlohy.

Osvědčený postup: Zrušte zřízení účtů správců, když zaměstnanci opustí vaši organizaci. Podrobnosti: Máte k dispozici proces, který zakáže nebo odstraní účty správců, když zaměstnanci opustí vaši organizaci.

Osvědčený postup: Pravidelně testujte účty správců pomocí aktuálních technik útoku. Podrobnosti: Použijte Microsoft 365 útoku nebo nabídku třetí strany ke spouštění scénářů realistického útoku ve vaší organizaci. To vám může pomoct najít ohrožené uživatele dříve, než dojde ke skutečnému útoku.

Osvědčený postup: Podniknou kroky ke zmírnění nejčastěji používaných útoků.
Podrobnosti: Identifikujte účty Microsoft v rolích pro správu, které je potřeba přepnout na pracovní nebo školní účty.

Zajištění samostatných uživatelských účtů a předávání e-mailů pro účty globálního správce

Ujistěte se, že se nedávno změnila hesla účtů pro správu.

Zapnutí synchronizace hodnot hash hesel

Vyžadovat vícefaktorové ověřování pro uživatele ve všech privilegovaných rolích i zveřejněných uživatelích

Získání skóre Microsoft 365 zabezpečení (pokud používáte Microsoft 365)

Prohlédněte si Microsoft 365 zabezpečení (pokud používáte Microsoft 365)

Konfigurace Microsoft 365 aktivit (pokud používáte Microsoft 365)

Vytvoření vlastníků plánu reakcí na incidenty a nouzové reakce

Zabezpečení místních privilegovaných účtů pro správu

Pokud privilegovaný přístup nezabezpečíte, můžete zjistit, že máte příliš mnoho uživatelů s vysoce privilegovanými rolemi a jsou zranitelnější vůči útokům. Aktéři se zlými úmysly, včetně kybernetických útočníků, často cílí na účty správců a další prvky privilegovaného přístupu, aby získali přístup k citlivým datům a systémům pomocí krádeže přihlašovacích údajů.

Řízení umístění, kde se vytvářejí prostředky

Je velmi důležité umožnit operátorům cloudu provádět úkoly a zároveň jim zabránit v porušení konvencí potřebných ke správě prostředků vaší organizace. Organizace, které chtějí řídit umístění, kde se prostředky vytvářejí, by měly tato umístění pevným kódem.

Pomocí nástroje Azure Resource Manager zásady zabezpečení, jejichž definice popisují akce nebo prostředky, které jsou výslovně odepřeny. Tyto definice zásad přiřadíte v požadovaném oboru, jako je předplatné, skupina prostředků nebo jednotlivý prostředek.

Poznámka

Zásady zabezpečení nejsou stejné jako Azure RBAC. K autorizaci uživatelů k vytváření těchto prostředků ve skutečnosti používají Azure RBAC.

Organizace, které nekontroluje způsob vytváření prostředků, jsou náchylnější k uživatelům, kteří můžou službu zneužít vytvořením více prostředků, než potřebují. Důležitým krokem k zabezpečení vícetenantového scénáře je zabezpečení procesu vytváření prostředků.

Aktivní monitorování podezřelých aktivit

Aktivní systém pro monitorování identit dokáže rychle detekovat podezřelé chování a aktivovat výstrahu pro další šetření. Následující tabulka uvádí dvě funkce Azure AD, které organizacím můžou pomoct monitorovat jejich identity:

Osvědčený postup: Metodu k identifikaci:

Podrobnosti: Použijte Azure AD Premium sestav anomálií. Mít zavedené procesy a postupy, aby správci IT spouštěly tyto sestavy každý den nebo na vyžádání (obvykle ve scénáři reakce na incidenty).

Osvědčený postup: Máte aktivní monitorovací systém, který vás upozorní na rizika a může upravit úroveň rizika (vysokou, střední nebo nízkou) podle vašich obchodních požadavků.
Podrobnosti: Použijte Azure AD Identity Protection, který označuje aktuální rizika na vlastním řídicím panelu a odesílá denní souhrnná oznámení e-mailem. Abyste pomohli chránit identity vaší organizace, můžete nakonfigurovat zásady založené na riziku, které automaticky reagují na zjištěné problémy při dosažení zadané úrovně rizika.

Organizacím, které aktivně ne monitorují své systémy identit, hrozí ohrožení přihlašovacích údajů uživatelů. Bez vědomí, že prostřednictvím těchto přihlašovacích údajů prochází podezřelé aktivity, organizace tento typ hrozby nezmírní.

Použití Azure AD pro ověřování úložiště

Azure Storage podporuje ověřování a autorizaci pomocí Azure AD pro úložiště objektů blob a Queue Storage. S ověřováním Azure AD můžete pomocí řízení přístupu na základě role v Azure udělit konkrétní oprávnění uživatelům, skupinám a aplikacím až do rozsahu jednotlivých kontejnerů objektů blob nebo fronty.

K ověřování přístupu k úložišti doporučujeme použít Azure AD.

Další krok

V tématu Osvědčené postupy a vzory zabezpečení Azure najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.