Privilegovaný přístup: Zprostředkovatelé

Zabezpečení zprostředkovaných zařízení je důležitou součástí zabezpečení privilegovaného přístupu.

Zprostředkovatelé přidají propojení s řetězem záruk nulové důvěryhodnosti pro koncové relace uživatele nebo správce, takže musí udržovat (nebo zlepšit) záruky zabezpečení nulové důvěryhodnosti v relaci. Mezi příklady zprostředkovatelů patří virtuální privátní sítě (VPN), jump servery, infrastruktura virtuálních klientských počítačů (VDI) a publikování aplikací prostřednictvím proxy přístupů.

What is an intermediary?

Útočník může napadnout zprostředkovatele, aby se pokusil eskalovat oprávnění pomocí přihlašovacích údajů uložených v nich, získat vzdálený přístup k síti k podnikovým sítím nebo zneužít důvěryhodnost v daném zařízení, pokud se používá pro rozhodnutí o přístupu k nulové důvěryhodnosti. Cílení na zprostředkovatele se stalo příliš běžnými, zejména pro organizace, které pečlivě neudržují stav zabezpečení těchto zařízení. Například přihlašovací údaje shromážděné ze zařízení VPN.

Intermediary types and risks

Zprostředkovatelé se liší v účelu a technologii, ale obvykle poskytují vzdálený přístup, zabezpečení relací nebo obojí:

  • Vzdálený přístup – Povolení přístupu k systémům v podnikových sítích z internetu
  • Zabezpečení relace – Zvýšení ochrany zabezpečení a viditelnosti relace
    • Scénář nespravovaného zařízení – Poskytnutí spravované virtuální plochy, ke které má přistupovat nespravovaná zařízení (například osobní zařízení zaměstnanců) nebo zařízení spravovaná partnerem nebo dodavatelem.
    • Scénář zabezpečení správce – Konsolidace cest pro správu a/nebo zvýšení zabezpečení s využitím přístupu za běhu, monitorování relací a nahrávání a podobných funkcí.

Zajištění bezpečnostních záruk se udržuje od původního zařízení a účtu až po rozhraní prostředků, vyžaduje pochopení rizikového profilu zprostředkujícího a zmírnění rizik.

Příležitost a hodnota útočníka

Různé zprostředkující typy provádějí jedinečné funkce, takže každý vyžaduje jiný přístup k zabezpečení, i když existují některé kritické běžné aspekty, jako je rychlé použití oprav zabezpečení na zařízení, firmware, operační systémy a aplikace.

Comparing attacker opportunity and value for given intermediaries

Příležitost útočníka představuje dostupný operátor útoku, na který může cílit:

  • Nativní cloudové služby , jako jsou Azure AD PIM, Azure Bastion a Proxy aplikací Azure AD, nabízejí útočníkům omezený prostor pro útoky. Zatímco jsou vystaveny veřejnému internetu, zákazníci (a útočníci) nemají přístup k základním operačním systémům poskytujícím služby a obvykle se udržují a monitorují konzistentně prostřednictvím automatizovaných mechanismů u poskytovatele cloudu. Tato menší plocha útoku omezuje dostupné možnosti pro útočníky vs. klasické místní aplikace a zařízení, která musí být nakonfigurovaná, opravená a monitorovaná pracovníky IT, kteří jsou často zahlceni konfliktními prioritami a většími úlohami zabezpečení, než mají čas na dokončení.
  • Servery VPN (Virtual Private Networks) a Vzdálené plochy / často mají významnou příležitost útočníka, protože jsou vystaveny internetu, aby poskytovaly vzdálený přístup a údržba těchto systémů je často zanedbávána. I když mají přístup jenom k několika síťovým portům, útočníci potřebují přístup jenom k jedné nepatchované službě pro útok.
  • Služby PIM/PAM třetích stran jsou často hostované místně nebo jako virtuální počítač v infrastruktuře jako služba (IaaS) a obvykle jsou dostupné jenom intranetovým hostitelům. I když není přímo přístupný internet, může útočníkům umožnit přístup ke službě přes síť VPN nebo jinému médiu vzdáleného přístupu.

Hodnota útočníka představuje, co může útočník získat ohrožením zprostředkujícího. Ohrožení zabezpečení je definováno jako útočník, který získá úplnou kontrolu nad aplikací, virtuálním počítačem nebo správcem instance zákazníka cloudové služby.

Mezi složky, které útočníci můžou shromáždit od zprostředkovatele pro další fázi útoku, patří:

  • Získejte síťové připojení ke komunikaci s většinou prostředků nebo se všemi prostředky v podnikových sítích. Tento přístup obvykle poskytuje sítě VPN a vzdálená plocha / jump serverová řešení. I když řešení Azure Bastion a Proxy aplikací Azure AD (nebo podobná řešení třetích stran) poskytují také vzdálený přístup, tato řešení jsou obvykle připojení specifická pro aplikace nebo server a neposkytují obecný přístup k síti.
  • Zosobnit identitu zařízení – může porazit mechanismy nulové důvěryhodnosti v případě, že je zařízení nutné k ověřování a/nebo ho použije útočník ke shromažďování informací o cílových sítích. Týmy operací zabezpečení často nemonitorují aktivitu účtu zařízení a zaměřují se jenom na uživatelské účty.
  • Ukrást přihlašovací údaje účtu k ověření u prostředků, které jsou pro útočníky nejcennějším aktivem, protože nabízí možnost zvýšit oprávnění pro přístup ke svému konečnému cíli nebo další fázi útoku. Servery Vzdálené plochy / Jump servery a pim/PAM třetích stran jsou nejatraktivnějšími cíli a mají dynamickou "všechna vejce v jednom košíku" s vyšší hodnotou útočníka a zmírněním bezpečnostních rizik:
    • Řešení PIM/PAM obvykle ukládají přihlašovací údaje pro většinu privilegovaných rolí nebo pro všechny privilegované role v organizaci, což je vysoce lukrativní cíl na ohrožení zabezpečení nebo zbraň.
    • Azure AD PIM nenabízí útočníkům možnost ukrást přihlašovací údaje, protože odemkne oprávnění, která jsou už přiřazená k účtu pomocí MFA nebo jiných pracovních postupů, ale špatně navržený pracovní postup by mohl nežádoucímu uživateli umožnit eskalovat oprávnění.
    • Servery vzdálené plochy / jump používané správci poskytují hostitele, kde mnoho nebo všechny citlivé relace procházejí, což útočníkům umožňuje používat standardní nástroje pro krádež přihlašovacích údajů k odcizení a opětovnému použití těchto přihlašovacích údajů.
    • Sítě VPN můžou ukládat přihlašovací údaje do řešení, což útočníkům poskytuje potenciální poklad eskalace oprávnění, což vede k silnému doporučení k ověřování azure AD k omezení tohoto rizika.

Zprostředkující profily zabezpečení

Stanovení těchto záruk vyžaduje kombinaci bezpečnostních kontrol, z nichž některé jsou společné pro mnoho zprostředkovatelů a z nichž některé jsou specifické pro typ zprostředkovatele.

Intermediaries as a link in the Zero Trust chain

Zprostředkovatel je propojením v řetězci nulové důvěryhodnosti, který představuje rozhraní pro uživatele nebo zařízení a pak umožňuje přístup k dalšímu rozhraní. Kontrolní mechanismy zabezpečení musí řešit příchozí připojení, zabezpečení samotného zprostředkujícího zařízení, aplikace nebo služby a (pokud je to možné) poskytují signály zabezpečení nulové důvěryhodnosti pro další rozhraní.

Běžné bezpečnostní prvky

Společné bezpečnostní prvky pro zprostředkovatele se zaměřují na udržování dobré hygieny zabezpečení pro podniky a specializované úrovně s dalšími omezeními zabezpečení oprávnění.

Common security controls for intermediaries

Tyto bezpečnostní kontroly by měly být použity pro všechny typy zprostředkovatelů:

  • Vynucujte zabezpečení příchozího připojení – Pomocí Azure AD a podmíněného přístupu zajistěte, aby všechna příchozí připojení ze zařízení a účtů byla známá, důvěryhodná a povolená. Další informace najdete v článku Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and special.
  • Správná údržba systému - Všichni zprostředkovatelé musí dodržovat dobré postupy hygieny zabezpečení, včetně:
    • Zabezpečená konfigurace – Dodržujte standardní hodnoty konfigurace zabezpečení výrobce nebo odvětví a osvědčené postupy pro aplikaci i všechny základní operační systémy, cloudové služby nebo jiné závislosti. Příslušné pokyny od Microsoftu zahrnují standardní hodnoty zabezpečení Azure a standardní hodnoty Windows.
    • Rychlé opravy – Aktualizace zabezpečení a opravy od dodavatelů musí být po vydání použity rychle.
  • Modely řízení přístupu na základě role (RBAC) můžou zneužít útočníci k eskalaci oprávnění. Model RBAC zprostředkovatele musí být pečlivě zkontrolován, aby se zajistilo, že oprávnění pro správu budou udělena pouze autorizovaní pracovníci, kteří jsou chráněni na specializované nebo privilegované úrovni. Tento model musí zahrnovat všechny základní operační systémy nebo cloudové služby (heslo kořenového účtu, uživatele/skupiny místních správců, správce tenanta atd.).
  • Detekce koncových bodů a odezva (EDR) a signál důvěryhodnosti odchozích přenosů – Zařízení, která obsahují úplný operační systém, by se měla monitorovat a chránit pomocí EDR, jako je Microsoft Defender for Endpoint. Tento ovládací prvek by měl být nakonfigurovaný tak, aby poskytoval signály dodržování předpisů zařízením pro podmíněný přístup, aby zásady mohly vynutit tento požadavek pro rozhraní.

Privilegovaní zprostředkovatelé vyžadují další bezpečnostní mechanismy:

  • Řízení přístupu na základě role (RBAC) – Práva správce musí být omezena pouze na privilegované role, které se schovázují standardem pro pracovní stanice a účty.
  • Vyhrazená zařízení (volitelná) – z důvodu extrémní citlivosti privilegovaných relací se organizace mohou rozhodnout implementovat vyhrazené instance zprostředkujících funkcí pro privilegované role. Tato kontrola umožňuje dalším omezením zabezpečení pro tyto privilegované zprostředkovatele a bližší monitorování aktivit privilegovaných rolí.

Pokyny k zabezpečení pro každý typ zprostředkovatele

Tato část obsahuje specifické pokyny zabezpečení jedinečné pro každý typ zprostředkovatele.

Privileged Access Management / Privileged Identity Management

Jedním typem zprostředkovatele, který je explicitně navržený pro případy použití zabezpečení, je řešení pro správu privilegovaných identit / privileged access management (PIM/PAM).

Případy použití a scénáře pro PIM/PAM

Řešení PIM/PAM jsou navržená tak, aby zvýšila záruky zabezpečení citlivých účtů, na které se vztahují specializované nebo privilegované profily, a obvykle se nejprve zaměřují na správce IT.

I když se funkce mezi dodavateli PIM/PAM liší, řada řešení poskytuje možnosti zabezpečení pro:

  • Zjednodušení správy účtů služeb a obměně hesel (kriticky důležitá funkce)

  • Poskytování pokročilých pracovních postupů pro přístup podle potřeby (JIT)

  • Zaznamenávání a monitorování relací správy

    Důležité

    Funkce PIM/PAM poskytují vynikající zmírnění některých útoků, ale neřeší mnoho rizik přístupu, zejména riziko ohrožení zařízení. I když někteří dodavatelé tvrdí, že řešení PIM/PAM je "silver bullet", které může zmírnit riziko zařízení, naše zkušenosti s vyšetřováním incidentů zákazníků konzistentně prokázaly, že to v praxi nefunguje.

    Útočník, který má kontrolu nad pracovní stanicí nebo zařízením, může tyto přihlašovací údaje (a přiřazená oprávnění) použít, když je uživatel přihlášený (a může často ukrást přihlašovací údaje pro pozdější použití). Samotné řešení PIM/PAM nemůže konzistentně a spolehlivě zobrazit a zmírnit rizika těchto zařízení, takže musíte mít samostatné zařízení a ochranu účtů, které vzájemně doplňují.

Bezpečnostní rizika a doporučení pro PIM/PAM

Možnosti jednotlivých dodavatelů PIM/PAM se liší v tom, jak je zabezpečit, proto si projděte a dodržujte konkrétní doporučení a osvědčené postupy konfigurace zabezpečení od dodavatele.

Poznámka

Ujistěte se, že jste v důležitých pracovních postupech pro firmy nastavili druhou osobu, která pomáhá zmírnit vnitřní riziko (zvyšuje náklady a třecí plochy pro potenciální koluzi vnitřními hrozbami).

Virtuální privátní sítě koncového uživatele

Virtuální privátní sítě (VPN) jsou zprostředkovatelé, kteří poskytují úplný přístup k síti vzdáleným koncovým bodům, obvykle vyžadují, aby se koncový uživatel ověřil, a může ukládat přihlašovací údaje místně pro ověřování příchozích uživatelských relací.

Poznámka

Tyto pokyny odkazují jenom na sítě VPN typu point-to-site, které používají uživatelé, nikoli sítě VPN typu site-to-site, které se obvykle používají pro připojení datacentra nebo aplikace.

Případy použití a scénáře pro sítě VPN

Sítě VPN vytvářejí vzdálené připojení k podnikové síti, aby umožňovaly přístup k prostředkům uživatelům a správcům.

Rizika zabezpečení a doporučení pro sítě VPN

Nejdůležitějšími riziky pro zprostředkovatele SÍTĚ VPN jsou zanedbávání údržby, problémy s konfigurací a místní úložiště přihlašovacích údajů.

Microsoft doporučuje kombinaci ovládacích prvků pro zprostředkovatele SÍTĚ VPN:

  • Integrace ověřování Azure AD – omezení nebo eliminace rizika místně uložených přihlašovacích údajů (a jakýchkoli režijních nákladů na jejich údržbu) a vynucení zásad nulové důvěryhodnosti u příchozích účtů nebo zařízení s podmíněným přístupem. Pokyny k integraci najdete v tématu
  • Rychlé opravy – zajistěte, aby všechny organizační prvky podporovaly rychlé opravy, včetně následujících:
    • Podpora organizačního sponzorství a vedení pro požadavky
    • Standardní technické procesy pro aktualizaci sítí VPN s minimálním nebo nulovým výpadkem Tento proces by měl zahrnovat software, zařízení a všechny základní operační systémy nebo firmware SÍTĚ VPN.
    • Procesy tísňového volání pro rychlé nasazení důležitých aktualizací zabezpečení
    • Zásady správného řízení pro průběžné zjišťování a nápravu všech zmeškaných položek
  • Zabezpečená konfigurace – Možnosti jednotlivých dodavatelů sítě VPN se liší podle toho, jak je zabezpečit, proto zkontrolujte a postupujte podle konkrétních doporučení a osvědčených postupů konfigurace zabezpečení od dodavatele.
  • Přejděte mimo síť VPN – Sítě VPN v průběhu času nahraďte bezpečnějšími možnostmi, jako je Proxy aplikace Azure AD nebo Azure Bastion, protože poskytují přístup pouze přímo k aplikacím nebo serverům, a ne úplný síťový přístup. Proxy aplikací Azure AD navíc umožňuje monitorování relací pro další zabezpečení pomocí Microsoft Defenderu pro Cloud Apps.

Modernize VPN authentication and move apps to modern access

Proxy aplikace Azure AD

Proxy aplikací Azure AD a podobné funkce třetích stran poskytují vzdálený přístup ke starším verzím a dalším aplikacím hostovaným místně nebo na virtuálních počítačích IaaS v cloudu.

Případy použití a scénáře pro proxy aplikací Azure AD

Toto řešení je vhodné pro publikování starších aplikací pro produktivitu koncových uživatelů autorizovaným uživatelům přes internet. Dá se také použít k publikování některých aplikací pro správu.

Rizika zabezpečení a doporučení pro proxy aplikací Azure AD

Proxy aplikace Azure AD efektivně reaktivuje moderní vynucení zásad nulové důvěryhodnosti u stávajících aplikací. Další informace najdete v tématu Důležité informace o zabezpečení proxy aplikací Azure AD.

Proxy aplikací Azure AD se dá integrovat také s Microsoft Defenderem pro Cloud Apps a přidat zabezpečení relací řízení podmíněného přístupu k aplikacím:

  • Zabránění exfiltraci dat
  • Ochrana při stahování
  • Zabránit nahrání neoznačeného souborů
  • Monitorování uživatelských relací pro dodržování předpisů
  • Blokování přístupu
  • Blokování vlastních aktivit

Další informace najdete v tématu Nasazení programu Defender for Cloud Apps – Řízení podmíněného přístupu aplikací pro aplikace Azure AD

Když publikujete aplikace prostřednictvím proxy aplikací Azure AD, Microsoft doporučuje, aby vlastníci aplikací pracovali s týmy zabezpečení, aby dodržovali nejnižší oprávnění a zajistili, že přístup k jednotlivým aplikacím bude dostupný jenom uživatelům, kteří ji vyžadují. Když tímto způsobem nasadíte další aplikace, můžete být schopni odsazení některých koncových uživatelů na využití sítě VPN lokality.

Vzdálená plocha / jump server

Tento scénář poskytuje úplné desktopové prostředí s jednou nebo více aplikacemi. Toto řešení má řadu různých variant, mezi které patří:

  • Prostředí – úplná plocha v okně nebo v jednom prostředí s projektovanou aplikací
  • Vzdálený hostitel – může se jednat o sdílený virtuální počítač nebo vyhrazený desktopový virtuální počítač pomocí windows Virtual Desktopu (WVD) nebo jiného řešení infrastruktury virtuálních klientských počítačů (VDI).
  • Místní zařízení – může se jednat o mobilní zařízení, spravovanou pracovní stanici nebo pracovní stanici spravovanou pro jednotlivce nebo partnera.
  • Scénář – zaměřuje se na aplikace produktivity uživatelů nebo na scénáře správy, často označované jako "jump server"

Případy použití a doporučení zabezpečení pro vzdálený počítač / Jump server

Nejběžnější konfigurace jsou:

  • Direct Remote Desktop Protocol (RDP) – Tato konfigurace se nedoporučuje pro připojení k internetu, protože protokol RDP je protokol, který má omezenou ochranu proti moderním útokům, jako je třeba password spray. Přímý protokol RDP by se měl převést na jednu z těchto akcí:
    • Protokol RDP prostřednictvím brány publikované proxy aplikací Azure AD
    • Azure Bastion
  • Protokol RDP přes bránu pomocí
    • Vzdálená plocha (RDS) zahrnutá ve Windows Serveru. Publikování pomocí proxy aplikací Azure AD
    • Windows Virtual Desktop (WVD) – postupujte podle osvědčených postupů zabezpečení služby Windows Virtual Desktop.
    • VDI třetích stran – Postupujte podle osvědčených postupů výrobce nebo odvětví nebo přizpůsobte pokyny WVD k vašemu řešení.
  • Server Secure Shell (SSH) – poskytuje vzdálené prostředí a skriptování pro technologické oddělení a vlastníky úloh. Zabezpečení této konfigurace by mělo zahrnovat:
    • Pokud chcete bezpečně nakonfigurovat, změnit výchozí hesla (pokud je k dispozici) a používat klíče SSH místo hesel a bezpečně ukládat a spravovat klíče SSH, použijte následující osvědčené postupy pro odvětví nebo výrobce.
    • Použití služby Azure Bastion pro vzdálené komunikace SSH k prostředkům hostovaným v Azure – Připojení k virtuálnímu počítači s Linuxem pomocí služby Azure Bastion

Azure Bastion

Azure Bastion je zprostředkovatel, který je navržený tak, aby poskytoval zabezpečený přístup k prostředkům Azure pomocí prohlížeče a webu Azure Portal. Azure Bastion poskytuje přístupové prostředky v Azure, které podporují protokoly RDP (Remote Desktop Protocol) a Secure Shell (SSH).

Případy použití a scénáře pro Azure Bastion

Azure Bastion efektivně poskytuje flexibilní řešení, které můžou využívat pracovníci IT a správci úloh mimo IT ke správě prostředků hostovaných v Azure bez nutnosti úplného připojení VPN k prostředí.

Rizika zabezpečení a doporučení pro Azure Bastion

Azure Bastion je přístupný prostřednictvím webu Azure Portal, takže ujistěte se, že vaše rozhraní webu Azure Portal vyžaduje odpovídající úroveň zabezpečení pro prostředky v něm a role, které používají, obvykle privilegovanou nebo specializovanou úroveň.

Další pokyny jsou k dispozici v dokumentaci ke službě Azure Bastion.

Další kroky