Privilegovaný přístup: Rozhraní

  • Článek
  • 4 min ke čtení

Důležitou součástí zabezpečení privilegovaného přístupu je použití zásad nulové důvěryhodnosti, které zajistí, aby zařízení, účty a zprostředkovatelé před poskytnutím přístupu splňovaly požadavky na zabezpečení.

Tato zásada zajišťuje, aby uživatelé a zařízení, která zahájila příchozí relaci, byly známé, důvěryhodné a měly přístup k prostředku (prostřednictvím rozhraní). Vynucení zásad provádí modul zásad podmíněného přístupu Azure AD, který vyhodnocuje zásady přiřazené konkrétnímu aplikačnímu rozhraní (jako je portál Azure, Salesforce, Office 365, AWS, Workday a další).

Ochrana prostředků pomocí ochrany rozhraní

Tyto pokyny definují tři úrovně zabezpečení pro zabezpečení rozhraní, které můžete použít pro prostředky s různými úrovněmi citlivosti. Tyto úrovně jsou nakonfigurované v plánu rychlé modernizace zabezpečení privilegovaného přístupu (RAMP) a odpovídají úrovním zabezpečení účtů a zařízení.

Požadavky na zabezpečení pro příchozí relace s rozhraními se vztahují na účty a zdrojové zařízení, ať už jde o přímé připojení z fyzických zařízení nebo zprostředkovatele serveru Vzdálená plocha / Přeskakovací server. Zprostředkovatelé mohou přijímat relace z osobních zařízení, aby mohli poskytovat úroveň zabezpečení organizace (v některých situacích), ale specializovaný nebo privilegovaný zprostředkovatel by neměl povolovat připojení z nižších úrovní, protože jejich role jsou citlivé na zabezpečení.

Poznámka:

Tyto technologie poskytují silné koncové řízení přístupu k rozhraní aplikace, ale samotný prostředek musí být zabezpečen před útoky mimo pásmo na kód/funkci aplikace, nevypašované chyby zabezpečení nebo chyby konfigurace v podkladovém operačním systému nebo firmwaru, na datech v klidu nebo při přenosu, dodavatelských řetězcích nebo jiných prostředcích.

Zajistěte, aby bylo možné vyhodnotit a zjistit rizika pro aktiva sama o sobě, aby byla zajištěna úplná ochrana. Microsoft vám nabízí nástroje a pokyny, které vám pomůžou s tím, že můžete použít microsoft defender pro cloud,zabezpečené skóre Microsoftua pokyny k modelování hrozeb.

Příklady rozhraní

Rozhraní se dochová v různých formách, obvykle jako:

  • Cloudové služby/weby aplikací, jako je azure portal, AWS, Office 365
  • Desktopová konzole se správou místní aplikace (konzola Microsoft Management Console (MMC) nebo vlastní aplikace)
  • Scripting/Console Interface such as Secure Shell (SSH) or PowerShell

Některé z nich sice přímo podporují vynucení nulové důvěryhodnosti prostřednictvím modulu zásad podmíněného přístupu Azure AD, ale některé z nich budou muset být publikovány prostřednictvím zprostředkovatele, jako je Azure AD App Proxy nebo Server pro přeskakování na vzdálenou plochu nebo přeskakovací server.

Zabezpečení rozhraní

Hlavním cílem zabezpečení rozhraní je zajistit, aby byla každá příchozí relace rozhraní známá, důvěryhodná a povolená:

  • Známé : Uživatel se ověřuje pomocí silného ověřování a zařízení se ověřuje (s výjimkou osobních zařízení pomocí vzdálené plochy nebo řešení VDI pro podnikový přístup)
  • Důvěryhodné – stav zabezpečení se explicitně ověřuje a vynucuje pro účty a zařízení pomocí modulu zásad Nulové důvěryhodnosti.
  • Povoleno – Přístup k prostředkům dodržuje zásadu nejmenšího oprávnění pomocí kombinace ovládacích prvků, aby bylo možné k nim získat přístup jenom
    • Správnými uživateli
    • Ve správný čas (právě včas přístup, ne trvalý přístup)
    • Se správným pracovním postupem schválení (podle potřeby)
    • Na přijatelné úrovni rizika/důvěryhodnosti

Ovládací prvky zabezpečení rozhraní

Zajištění zabezpečení rozhraní vyžaduje kombinaci ovládacích prvků zabezpečení, mezi které patří:

  • Vynucení zásad nulové důvěryhodnosti – pomocí podmíněného přístupu zajistěte, aby příchozí relace splňovaly požadavky na:
    • Důvěryhodnost zařízení, abyste zajistili, že zařízení bude minimálně:
    • Důvěryhodnost uživatelů je dostatečně vysoká na základě signálů, včetně:
      • Použití vícefaktorového ověřování při počátečním přihlášení (nebo přidaný později, aby se zvýšila důvěryhodnost)
      • Jestli tato relace odpovídá vzorům historické chování
      • Jestli účet nebo aktuální relace spustí upozornění na základě informací o hrozbách
      • Azure AD Identity Protection risk
  • Model řízení přístupu (RBAC) založený na rolích, který kombinuje skupiny/oprávnění podnikových adresářů a role, skupiny a oprávnění specifické pro aplikaci
  • Pracovní postupy přístupu v čase, které zajišťují specifické požadavky na oprávnění (schválení vrstevníků, sledování auditů, privilegované vypršení platnosti atd.) před povolením oprávnění, pro která má účet nárok.

Úrovně zabezpečení rozhraní

Tyto pokyny definují tři úrovně zabezpečení. Další informace o těchto úrovních najdete v tématu Keep it Simple – Personas and Profiles .) Pokyny k implementaci najdete v plánu rychlé modernizace.

Řízení přístupu zdrojů k určitým úrovním zabezpečení rozhraní

Enterprise rozhraní

Enterprise rozhraní je vhodné pro všechny podnikové uživatele a scénáře produktivity. Enterprise slouží také jako výchozí bod pro úlohy s vyšší citlivostí, na které můžete postupně stavět, abyste dosáhli úrovně zajištění specializovaného a privilegovaného přístupu.

  • Vynucení zásad nulové důvěryhodnosti – u příchozích relací využívajících podmíněný přístup k zajištění zabezpečení uživatelů a zařízení na podnikové nebo vyšší úrovni
    • K podpoře můžete použít scénáře vlastního zařízení (BYOD), osobní zařízení a zařízení spravovaná partnery, pokud používají podnikového zprostředkovatele, například vyhrazeného virtuálního počítače Windows (WVD) nebo podobného serverového řešení Vzdálená plocha nebo Přeskakovací server.
  • Role-Based řízení přístupu (RBAC) – model by měl zajistit, aby aplikace byla spravována jenom rolemi na speciální nebo privilegované úrovni zabezpečení.

Specializované rozhraní

Ovládací prvky zabezpečení pro specializovaná rozhraní by měly zahrnovat

  • Vynucení zásad nulové důvěryhodnosti – u příchozích relací využívajících podmíněný přístup k zajištění zabezpečení uživatelů a zařízení na speciální nebo privilegované úrovni
  • Role-Based řízení přístupu (RBAC) – model by měl zajistit, aby aplikace byla spravována jenom rolemi na speciální nebo privilegované úrovni zabezpečení.
  • Právě včas přístup k pracovním postupům (nepovinné) – které vynucuje nejmenší oprávnění tím, že zajistí, aby oprávnění používali jenom oprávnění uživatelé v době, kdy jsou potřeba.

Privilegované rozhraní

Ovládací prvky zabezpečení pro specializovaná rozhraní by měly zahrnovat

  • Vynucení zásad nulové důvěryhodnosti – u příchozích relací využívajících podmíněný přístup k zajištění zabezpečení uživatelů a zařízení na privilegované úrovni
  • Role-Based řízení přístupu (RBAC) – model by měl zajistit, aby aplikace byla spravována jenom rolemi na privilegované úrovni zabezpečení.
  • Pracovní postupy přístupu v čase (povinné), které vynucuje nejmenší oprávnění tím, že zajistí, aby oprávnění používali jenom oprávnění uživatelé v době, kdy jsou potřeba.

Další kroky