Osvědčené postupy zabezpečení Microsoftu pro správu identit a přístupu

V cloudové architektuře poskytuje identita základ velkého procenta záruk zabezpečení. Starší infrastruktura IT se často často spoléhá na brány firewall a řešení zabezpečení sítě na internetových výchozích bodech pro ochranu před vnějšími hrozbami, ale tyto kontroly jsou méně efektivní v cloudových architekturách se sdílenými službami, ke kterým se přistupuje napříč sítěmi poskytovatelů cloudu nebo internetem.

Je náročné nebo nemožné psát stručná pravidla brány firewall, když neřídíte sítě, kde jsou tyto služby hostované, různé cloudové prostředky se dynamicky aktivují, můžou zákazníci cloudu sdílet společnou infrastrukturu a zaměstnanci a uživatelé očekávají, že budou mít přístup k datům a službám odkudkoli. Pokud chcete povolit všechny tyto možnosti, musíte spravovat přístup na základě řízení ověřování identit a autorizace v cloudových službách, abyste mohli chránit data a prostředky a rozhodnout, které požadavky by měly být povolené.

Kromě toho použití cloudového řešení identit, jako je Azure Active Directory (Azure AD), nabízí další funkce zabezpečení, které starší služby identit nemůžou používat, protože můžou využít analýzu hrozeb z jejich přehledu o velkém objemu žádostí o přístup a hrozeb napříč mnoha zákazníky.

Jeden podnikový adresář

Osvědčených: Vytvořte jeden podnikový adresář pro správu identit zaměstnanců na plný úvazek a podnikových zdrojů.

Jeden autoritativní zdroj identit zvyšuje srozumitelnost a konzistenci pro všechny role v OBLASTI IT a zabezpečení. Tím se snižuje riziko zabezpečení z lidských chyb a selhání automatizace vyplývajících ze složitosti. Díky jedinému autoritativnímu zdroji můžou týmy, které potřebují provést změny adresáře, provádět na jednom místě a mít jistotu, že se jejich změna projeví všude.

Pro Azure určete jednoho tenanta Azure AD jako autoritativní zdroj pro účty vaší organizace.

Další informace najdete v tématu Co je hybridní identita?

Synchronizované systémy identit

Osvědčených: Synchronizujte svou cloudovou identitu se stávajícími systémy identit.

Konzistence identit napříč cloudem a místním prostředím sníží lidské chyby a výsledné bezpečnostní riziko. Týmy, které spravují prostředky v obou prostředích, potřebují k zajištění zabezpečení konzistentní autoritativní zdroj.

V případě Azure synchronizujte Azure AD s existující autoritativní místní Active Directory Domain Services (AD DS) pomocí hybridní identity.

To je také nutné pro migraci Office 365, takže se to často provádí před zahájením migrace a vývoje projektů Azure.

Zdroj identity zprostředkovatele cloudu pro třetí strany

Osvědčených: Pomocí služeb cloudových identit můžete hostovat účty, které nejsou zaměstnanci, jako jsou dodavatelé, partneři a zákazníci, a ne zahrnout je do místního adresáře.

To snižuje riziko tím, že udělíte odpovídající úroveň přístupu k externím entitám místo úplných výchozích oprávnění udělených zaměstnancům na plný úvazek. Tento přístup s nejnižšími oprávněními a jasné rozlišení externích účtů od zaměstnanců společnosti usnadňuje prevenci a detekci útoků přicházejících z těchto vektorů. Kromě toho správa těchto identit provádí externí také produktivitu stran, což snižuje úsilí vyžadované personálními a IT týmy společnosti.

Tyto funkce se například nativně integrují do stejného modelu identit a oprávnění Azure AD, který používá Azure a Office 365:

  • Azure AD pro zaměstnance a podnikové zdroje.
  • Azure AD B2B pro obchodní partnery.
  • Azure AD zákazníky nebo občany B2C.

Další informace najdete v seznamu kompatibility federace Azure AD.

Ověřování bez hesla nebo vícefaktorového ověřování pro účty pro správu

Osvědčených: Všichni uživatelé by měli být v průběhu času převedeni tak, aby používali ověřování bez hesla nebo vícefaktorové ověřování (MFA).

Podrobnosti o tomto doporučení najdete v části pro správu bez hesla nebo vícefaktorového ověřování pro správce.

Stejné doporučení platí pro všechny uživatele, ale mělo by se použít jako první a nejsilnější u účtů s oprávněními správce.

Můžete také omezit používání hesel aplikacemi pomocí spravovaných identit a udělit tak přístup k prostředkům v Azure.

Blokování starší verze ověřování

Osvědčených: Zakažte nezabezpečené starší protokoly pro internetové služby.

Starší metody ověřování patří mezi vektory útoku pro služby hostované v cloudu. Vytvořené před vícefaktorovým ověřováním nepodporují starší protokoly další faktory nad rámec hesel, a proto jsou hlavními cíli pro útoky hrubou silou, slovník nebo útok hrubou silou. Například téměř 100 % všech útoků heslem na Office 365 zákazníci používají starší protokoly. Kromě toho tyto starší protokoly často nemají další protiopatření útoku, jako jsou uzamčení účtu nebo časovače zpětného vypnutí. Služby spuštěné v cloudu Microsoftu, které blokují starší protokoly, zaznamenaly 66% snížení úspěšných ohrožení účtů.

Pro účty Azure a další Azure AD nakonfigurujte podmíněný přístup tak, aby blokoval starší protokoly.

Zakázání starší verze ověřování může být obtížné, protože někteří uživatelé nemusí chtít přejít na nový klientský software, který podporuje moderní metody ověřování. Přechod od starší verze ověřování se ale dá provést postupně. Začněte pomocí metrik a protokolování od poskytovatele ověřování, abyste zjistili, kolik uživatelů se stále ověřuje u starých klientů. Dále zakažte všechny protokoly nižší úrovně, které se nepoužívají, a nastavte podmíněný přístup pro všechny uživatele, kteří nepoužívají starší protokoly. Nakonec poskytněte uživatelům spoustu oznámení a pokynů, jak upgradovat před blokováním starší verze ověřování pro všechny uživatele na všech službách na úrovni protokolu.

Žádné místní účty správců ve zprostředkovatelích cloudových identit

Osvědčených: Nesynchronizovat vysoce privilegované účty Active Directory Domain Services (jako jsou domain, Enterprise a Schema admins) do Azure AD.

Tím se zmírní riziko, že nežádoucí osoba přechádí na úplnou kontrolu nad místními prostředky po úspěšném ohrožení cloudového účtu. To pomáhá obsahovat rozsah incidentu, který výrazně roste.

To souvisí s pokyny ke závislostem účtu kritického dopadu , které snižují riziko inverzního přechodu z místního prostředí na cloudové prostředky.

Moderní ochrana heslem

Osvědčených: Poskytuje moderní a efektivní ochranu účtů, které nemůžou bez hesla (bez hesla nebo vícefaktorové ověřování pro správce).

Starší zprostředkovatelé identity většinou zkontrolovali, že hesla mají dobrou kombinaci typů znaků a minimální délky, ale zjistili jsme, že tyto ovládací prvky v praxi vedly k heslům s méně entropií, které by mohly být prolomené:

Řešení identit dnes musí být schopná reagovat na typy útoků, které ještě před jednou nebo dvěma desetiletími neexistovaly, jako jsou například spreje hesel, přehrání porušení zabezpečení (označované také jako "obsah přihlašovacích údajů"), které testují páry uživatelských jmen a hesel z porušení zabezpečení jiných webů a útoky phishing typu man-in-the-middle. Poskytovatelé cloudových identit jsou jedinečně umístěni tak, aby nabízeli ochranu proti těmto útokům. Vzhledem k tomu, že zpracovávají takové velké objemy přihlašování, mohou použít lepší detekci anomálií a používat různé zdroje dat k proaktivnímu informování společností, pokud se hesla uživatelů nacházejí v jiných porušeních, a také ověřit, že jakékoli dané přihlášení vypadá legitimní a že nepřichází z neočekávaného nebo známého škodlivého hostitele.

Kromě toho synchronizace hesel do cloudu za účelem podpory těchto kontrol také při některých útocích přidává odolnost. Zákazníci ovlivnění útoky (ne)Petya dokázali pokračovat v obchodních operacích, když se hodnoty hash hesel synchronizovaly s Azure AD (vs. téměř nulovou komunikací a IT službami pro zákazníky, kteří neměli synchronizovaná hesla).

V případě Azure povolte moderní ochranu v Azure AD pomocí následujícího postupu:

  1. Implementace synchronizace hodnot hash hesel pomocí synchronizace Azure AD Connect

  2. Zvolte, jestli chcete tyto problémy automaticky opravit, nebo je ručně opravit na základě sestavy:

    a. Automatické vynucení – Automatická náprava vysoce rizikových hesel pomocí podmíněného přístupu s využitím posouzení rizik služby Identity Protection Azure AD

    b. Zpráva & Ruční náprava – Zobrazení sestav a ruční náprava účtů

Rozhraní API rizikových událostí služby Identity Protection slouží k získání programového přístupu k detekci zabezpečení pomocí Microsoft Graphu.

Správa přihlašovacích údajů napříč platformami

Osvědčených: Pro ověřování všech platforem (Windows, Linux a dalších) a cloudových služeb použijte jednoho zprostředkovatele identity.

Jeden zprostředkovatel identity pro všechny podnikové prostředky zjednoduší správu a zabezpečení a minimalizuje riziko dohledu nebo lidských chyb. Nasazení více řešení identit (nebo neúplného řešení) může vést k nevynucitelné zásadám hesel, k resetování hesel po porušení zabezpečení, šíření hesel (často nezabezpečených) a bývalým zaměstnancům, kteří si po ukončení zachovají hesla.

Například Azure AD lze použít k ověření:

Podmíněný přístup pro uživatele s nulová důvěra (Zero Trust)

Osvědčených: Ověřování pro všechny uživatele by mělo zahrnovat měření a vynucování klíčových atributů zabezpečení pro podporu strategie nulová důvěra (Zero Trust).

Podrobnosti o tomto doporučení najdete v běžných zásadách nulová důvěra (Zero Trust) identit a přístupu zařízení. Stejné doporučení platí pro všechny uživatele, ale mělo by se použít jako první u účtů s oprávněními správce.

Můžete také omezit používání hesel aplikacemi pomocí spravovaných identit a udělit tak přístup k prostředkům v Azure.

Simulace útoků

Osvědčených: Pravidelně simulovat útoky na uživatele, aby je mohli informovat a posílit.

Lidé jsou důležitou součástí vaší obrany, takže zajistěte, aby měli znalosti a dovednosti, které se mají vyhnout útokům a odolat útokům, sníží celkové organizační riziko.

Simulátor útoku můžete použít v Microsoft Defender pro Office 365 nebo libovolném počtu nabídek třetích stran.

Další krok

Zkontrolujte možnosti přístupu k identitám a zařízením.

Viz také

nulová důvěra (Zero Trust) model zabezpečení a architektura

Dokumentace zabezpečení od Microsoftu