Privilegovaný přístup: Zprostředkovatelé

Zabezpečení zprostředkovatelských zařízení je důležitou součástí zabezpečení privilegovaného přístupu.

Zprostředkovatelé přidávají odkaz na řetěz zajištění nulové důvěryhodnosti pro ukončení relace uživatele nebo správce, takže musí udržovat (nebo zlepšit) zajištění zabezpečení Nulové důvěryhodnosti v relaci. Mezi zprostředkovatele patří virtuální privátní sítě (VPN), servery pro přeskakování, infrastruktura virtuálních ploch (VDI) a publikování aplikací prostřednictvím proxy serverů pro přístup.

Útočník může napadnout zprostředkovatele, aby se pokusil o eskalování oprávnění pomocí přihlašovacích údajů uložených v nich, získat vzdálený přístup k podnikovým sítím nebo zneužít důvěru v toto zařízení, pokud se používá pro rozhodnutí o přístupu nulové důvěryhodnosti. Cílení na zprostředkovatele se stalo příliš běžným, hlavně pro organizace, které důsledně neudržují bezpečnostní pozici těchto zařízení. Například přihlašovací údaje shromažďované ze zařízení VPN.

Zprostředkovatelé se liší podle účelu a technologií, ale obvykle poskytují vzdálený přístup, zabezpečení relací nebo obojí:

• Vzdálený přístup – povolení přístupu k systémům v podnikových sítích z internetu
• Zabezpečení relace – zvýšení ochrany zabezpečení a viditelnosti relace
  • Scénář nespravovaného zařízení – poskytování spravované virtuální plochy pro přístup k nespravovaným zařízením (například zařízením pro osobní zaměstnance) a/nebo zařízením spravovaným partnerem nebo dodavatelem.
  • Scénář zabezpečení správce – sjednocení cest pro správu a/nebo zvýšení zabezpečení pomocí časového přístupu, sledování a zaznamenávání relací a podobných funkcí.

Zajištění zajištění zabezpečení z původního zařízení a účtu přes rozhraní prostředků vyžaduje pochopení rizikového profilu zprostředkujících a zmírňujících možností.

Příležitost a hodnota útočníka

Různé typy zprostředkovatelů provádějí jedinečné funkce, takže každý z nich vyžaduje jiný přístup zabezpečení, i když existují některé zásadní společné náklady, jako je rychlé použití oprav zabezpečení u zařízení, firmwaru, operačních systémů a aplikací.

Příležitost útočníka představuje dostupný povrch útoku, na který může operátor útoku zaměřit:

• Nativní cloudové služby, jako je Azure AD PIM, Azure Bašta a Proxy aplikací Azure AD, nabízejí útočníkům omezenou možnost útoku. I když jsou vystaveni veřejnému internetu, zákazníci (a útočníci) nemají přístup k základním operačním systémům poskytujícím služby a obvykle se udržují a sledují konzistentně prostřednictvím automatizovaných mechanismů u poskytovatele cloudu. Tento menší povrch útoku omezuje dostupné možnosti pro útočníky vs. klasické místní aplikace a zařízení, které musí nakonfigurovat, opravovat a monitorovat pracovníci IT, kteří jsou často zahlceni konfliktní prioritami a více úkoly zabezpečení, než mají čas na dokončení.
• Servery VPN (Virtual Private Networks) a Remote DesktopsJump mají často významnou příležitost útočníka, protože jsou vystaveny internetu, aby poskytovaly vzdálený přístup, a údržba těchto systémů je často opomíjená. I když mají vystaveno jenom několik síťových portů, útočníci potřebují k útoku přístup jenom k jedné nepatchované službě.
• Služby PIM/PAM třetích stran jsou často hostované místně nebo jako virtuální počítač v infrastruktuře jako služba (IaaS) a obvykle jsou dostupné jenom pro intranetové hostitele. I když nejsou vystaveny přímo internetu, může jedno ohrožené přihlašovací údaje umožnit útočníkům přístup ke službě přes VPN nebo jiné médium pro vzdálený přístup.

Hodnota útočníka představuje to, co může útočník získat tím, že zprostředkující osobu zprosí. Ohrožení zabezpečení je definováno jako útočník, který získá úplnou kontrolu nad aplikací/virtuálním počítačem nebo správcem instance zákazníka cloudové služby.

Mezi ingredience, které útočníci chytnou od prostředníka pro další fázi útoku, patří:

• Získejte síťové připojení ke komunikaci s většinou nebo se všemi zdroji v podnikových sítích. Tento přístup obvykle poskytují sítě VPN a serverová řešení Vzdálená plocha / Přejít. I když řešení Azure Bašta a Proxy aplikací Azure AD (nebo podobná řešení třetích stran) poskytují taky vzdálený přístup, tato řešení jsou obvykle připojení specifická pro aplikace nebo server a neposkytují obecný přístup k síti.
• Zosobnění identity zařízení – může porážet mechanismy nulové důvěryhodnosti, pokud je zařízení nutné k ověřování a/nebo ho může použít útočník ke shromažďování informací v cílových sítích. Týmy security operations často ne monitorují aktivitu účtu zařízení a zaměřují se jenom na uživatelské účty.
• Krádež přihlašovacích údajů k účtu k ověření prostředků, které jsou pro útočníky nejcennějším přínosem, protože nabízí možnost zvýšit oprávnění pro přístup k jejich konečnému cíli nebo další fázi útoku. Remote Desktop / Jump servers and third-party PIM/PAM are the most attractive targets and have the "All your eggs in one basket" dynamic with increased attacker value and security mitigations:
  • Řešení PIM/PAM obvykle ukládají přihlašovací údaje pro většinu nebo všechny privilegované role v organizaci, což z nich dělá vysoce lukrativní cíl pro ohrožení nebo zbrani.
  • Azure AD PIM nenabízí útočníkům možnost krást přihlašovací údaje, protože odemkne oprávnění, která už jsou přiřazená k účtu pomocí MFA nebo jiných pracovních postupů, ale špatně navržený pracovní postup by mohl umožnit protivným uživatelům eskalovat oprávnění.
  • Servery vzdálené plochy nebo přeskakovací servery používané správci poskytují hostitele, ve kterém prochází mnoho nebo všechny citlivé relace, což útočníkům umožňuje používat standardní nástroje pro útok na krádež přihlašovacích údajů k krádeži a opětovnému použití těchto přihlašovacích údajů.
  • Sítě VPN mohou v řešení ukládat přihlašovací údaje, které útočníkům poskytují potenciální zvýšení úrovně oprávnění, což vede k silnému doporučení používat Azure AD k ověřování ke zmírnění tohoto rizika.

Zprostředkující profily zabezpečení

Vytvoření těchto záruk vyžaduje kombinaci bezpečnostních kontrol, z nichž některé jsou společné pro mnoho zprostředkovatelů a některé z nich jsou specifické pro typ zprostředkovatele.

Zprostředkovatel je odkaz v řetězci Zero Trust, který prezentuje rozhraní uživatelům/zařízením a umožňuje přístup k dalšímu rozhraní. Ovládací prvky zabezpečení musí řešit příchozí připojení, zabezpečení samotného zprostředkujícího zařízení/aplikace/služby a (pokud je to k dispozici) poskytovat signály zabezpečení Nulové důvěryhodnosti pro další rozhraní.

Běžné ovládací prvky zabezpečení

Společné bezpečnostní prvky pro zprostředkovatele se zaměřují na udržování dobré úrovně zabezpečení pro podnikové a specializované úrovně, s dalšími omezeními zabezpečení oprávnění.

Tyto bezpečnostní kontroly by se měly použít u všech typů zprostředkovatelů:

• Vynucovat zabezpečení příchozího připojení – Pomocí Azure AD a podmíněného přístupu můžete zajistit, aby všechna příchozí připojení ze zařízení a účtů byla známá, důvěryhodná a povolená. Další informace najdete v článku Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and specialized.
• Řádná údržba systému – Všichni zprostředkovatelé musí dodržovat správné bezpečnostní postupy, včetně:
  • Zabezpečená konfigurace : Postupujte podle standardních hodnot konfigurace zabezpečení výrobce nebo odvětví a osvědčených postupů pro aplikaci i pro všechny základní operační systémy, cloudové služby nebo jiné závislosti. Příslušné pokyny od Microsoftu zahrnují standardní hodnoty zabezpečení Azure a Windows směrné plány.
  • Rychlá oprava – Aktualizace zabezpečení a opravy od dodavatelů se musí po vydání rychle použít.
• Modely řízení přístupu založeného na rolích (RBAC) mohou útočníci zneužít k eskalaci oprávnění. Model RBAC zprostředkovatele musí být pečlivě přehodnocený, aby bylo zajištěno, že oprávnění správce mají jenom oprávnění oprávnění, kteří jsou chráněni na specializované nebo privilegované úrovni. Tento model musí zahrnovat všechny základní operační systémy nebo cloudové služby (heslo kořenového účtu, uživatele/skupiny místních správců, správce tenantů atd.).
• Zjišťování koncových bodů a odezva (EDR) a signál odchozí důvěryhodnosti – zařízení, která obsahují celý operační systém, by měla být monitorována a chráněna pomocí EDR, jako je Microsoft Defender for Endpoint. Tento ovládací prvek by měl být nakonfigurovaný tak, aby v podmíněném přístupu vynucoval tento požadavek pro rozhraní signály dodržování předpisů zařízení.

Privilegované zprostředkovatelé vyžadují další ovládací prvky zabezpečení:

• Řízení přístupu založené na rolích (RBAC) – práva správce musí být omezena jenom na privilegované role, které jsou standardní pro pracovní stanice a účty.
• Vyhrazená zařízení (nepovinná) – vzhledem k extrémní citlivosti privilegovaných relací se organizace mohou rozhodnout implementovat vyhrazené instance zprostředkovatelských funkcí pro privilegované role. Tento ovládací prvek umožňuje další omezení zabezpečení pro tyto privilegované zprostředkovatele a užší sledování privilegované aktivity rolí.

Pokyny k zabezpečení pro každý typ zprostředkovatele

Tato část obsahuje specifické bezpečnostní pokyny, které jsou jedinečné pro každý typ zprostředkovatele.

Správa privilegovaného přístupu / správa privilegovaných identit

Jedním z typů zprostředkovatelů navržených výslovně pro případy použití zabezpečení je privilegovaná správa identit nebo privilegovaná správa přístupu (PIM/PAM).

Použití případů a scénářů pro PIM/PAM

Řešení PIM/PAM jsou navržená tak, aby zvýšila zabezpečení citlivých účtů, které by se týkaly specializovaných nebo privilegovaných profilů, a obvykle se zaměřují na správce IT.

Funkce se sice liší mezi dodavateli PIM/PAM, ale řada řešení nabízí možnosti zabezpečení:

• Zjednodušení správy účtu služby a otáčení hesel (kriticky důležitá funkce)

• Poskytnutí upřesňujících pracovních postupů pro přístup k funkcím JIT (Just In Time)

• Zaznamenávání a sledování relací správy

  Důležité:

  Funkce PIM/PAM poskytují vynikající zmírnění některých útoků, ale nespadají do mnoha ohrožených rizik přístupu, zejména rizik ohrožení zařízení. Někteří dodavatelé sice prosazují, že jejich řešení PIM/PAM je řešení se stříbrnou odrážkou, které může zmírnit riziko zařízení, ale naše zkušenosti se zkoumáním incidentů zákazníků soustavně prokázaly, že to v praxi nefunguje.

  Útočník s řízením pracovní stanice nebo zařízení může tyto přihlašovací údaje (a oprávnění jim přiřazená) používat, když je uživatel přihlášený (a často může ukrást přihlašovací údaje i pro pozdější použití). Samotné řešení PIM/PAM nemůže tato rizika zařízení konzistentně a spolehlivě zobrazit a zmírnit, takže musíte mít samostatné zařízení a ochranu účtu, které se vzájemně doplňují.

Bezpečnostní rizika a doporučení pro PIM/PAM

Funkce jednotlivých dodavatelů PIM/PAM se liší podle toho, jak je zabezpečit, takže si prohlédněte a sledujte konkrétní doporučení a doporučené postupy konfigurace zabezpečení vašeho dodavatele.

Virtuální privátní sítě koncových uživatelů

Virtuální privátní sítě (VPN) jsou zprostředkovatelé, kteří poskytují úplný přístup k síti vzdáleným koncovým bodům, obvykle vyžadují ověření koncovým uživatelem a místně ukládají přihlašovací údaje k ověření relací příchozích uživatelů.

Použití případů a scénářů pro sítě VPN

Sítě VPN vytvoří vzdálené připojení k podnikové síti, aby uživatelům a správcům umožnily přístup k prostředkům.

Bezpečnostní rizika a doporučení pro sítě VPN

Nejdůležitějšími riziky pro zprostředkovatele VPN jsou zanedbávání údržby, problémy s konfigurací a místní úložiště přihlašovacích údajů.

Microsoft doporučuje kombinaci ovládacích prvků pro zprostředkovatele VPN:

• Integrujte ověřování Azure AD – abyste snížili nebo eliminovali riziko místně uložených přihlašovacích údajů (a veškeré režijní zátěži při jejich udržování) a vynucujte zásady nulové důvěryhodnosti na příchozích účtech nebo zařízeních s podmíněným přístupem. Pokyny k integraci najdete v tématu
  • Integrace AAD vpn Azure
  • Povolení ověřování Azure AD na bráně VPN
  • Integrace sítí VPN třetích stran
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect and Captive Portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • a další
• Rychlé opravy – zajistěte, aby všechny organizační prvky podporovaly rychlé opravy, včetně těchto:
  • Podpora sponzorství a vedení organizace pro požadavek
  • Standardní technické procesy pro aktualizaci sítí VPN s minimálním nebo nulovým prostojem. Tento proces by měl zahrnovat software VPN, zařízení a všechny související operační systémy nebo firmware.
  • Procesy tísňového volání k rychlému nasazení důležitých aktualizací zabezpečení
  • Zásady správného řízení k neustálému zjišťování a opravám zmeškaných položek
• Zabezpečená konfigurace : Možnosti jednotlivých dodavatelů VPN se liší podle toho, jak je zabezpečit, takže si prohlédněte a dodržujte doporučení a doporučené postupy pro konfiguraci zabezpečení od dodavatele.
• Přejít nad rámec VPN – Nahraďte sítě VPN v průběhu času bezpečnějšími možnostmi, jako je Azure AD App Proxy nebo Azure Bašta, protože poskytují pouze přímý přístup k aplikacím a serverům, nikoli úplný přístup k síti. Proxy aplikace Azure AD navíc umožňuje monitorování relací pro další zabezpečení pomocí programu Microsoft Defender pro cloudové aplikace.

Proxy aplikace Azure AD

Proxy aplikace Azure AD a podobné funkce třetích stran poskytují vzdálený přístup ke starším a dalším aplikacím hostovaným místně nebo na virtuálních počítači IaaS v cloudu.

Použití případů a scénářů pro Proxy aplikací Azure AD

Toto řešení je vhodné pro publikování starších aplikací pro zvýšení produktivity koncových uživatelů oprávněným uživatelům přes internet. Můžete ho taky použít k publikování některých administrativních aplikací.

Bezpečnostní rizika a doporučení pro Proxy aplikací Azure AD

Proxy server aplikace Azure AD efektivně dovybavuje moderní vynucení zásad nulové důvěryhodnosti stávajícím aplikacím. Další informace najdete v tématu Důležité informace o zabezpečení pro Proxy aplikací Azure AD.

Proxy aplikace Azure AD se taky může integrovat s Microsoft Defenderem pro cloudové aplikace a přidat zabezpečení relace podmíněného řízení aplikací pro Access do:

• Zabránění exfiltraci dat
• Ochrana při stahování
• Zabránění nahrání neoznačených souborů
• Sledování relací uživatelů kvůli dodržování předpisů
• Blokovat přístup
• Blokování vlastních aktivit

Další informace najdete v článku Nasazení Defenderu pro cloudové aplikace – řízení aplikací podmíněného přístupu pro aplikace Azure AD

Při publikování aplikací přes Proxy aplikací Azure AD microsoft doporučuje, aby vlastníci aplikací pracovali s týmy zabezpečení, aby sledovali nejmenší oprávnění a zajistili přístup ke každé aplikaci jenom uživatelům, kteří ji vyžadují. Když tímto způsobem nasazujete víc aplikací, možná budete moct některé koncové uživatele odsadit na využití VPN webu.

Remote Desktop / jump server

V tomto scénáři je k dispozici úplné desktopové prostředí s jednou nebo více aplikacemi. Toto řešení má řadu různých variant, mezi které patří:

• Prostředí – celá plocha v okně nebo v jednom promítatelném prostředí aplikace
• Vzdálený hostitel – může to být sdílený virtuální počítač nebo vyhrazený desktopový virtuální počítač Windows Virtuální plocha (WVD) nebo jiné řešení Infrastruktura virtuálních klientských počítačů (VDI).
• Místní zařízení – může to být mobilní zařízení, spravovaná pracovní stanice nebo pracovní stanice spravovaná osobním partnerem
• Scénář – zaměřený na aplikace pro zvýšení produktivity uživatelů nebo na scénáře správy, které se často nazývají "server pro přeskakování".

Použití případů a doporučení zabezpečení pro server vzdálené plochy nebo přeskakovací plochy

Nejběžnější konfigurace jsou:

• Protokol PRV (Direct Remote Desktop Protocol) – Tato konfigurace se nedoporučuje pro připojení k internetu, protože protokol PRV je protokol, který má omezenou ochranu před moderními útoky, jako je například ochrana heslem. Přímý protokol PRV by měl být převeden na:
  • Protokol PRV prostřednictvím brány publikované proxy aplikací Azure AD
  • Azure Bašta
• PROTOKOL RDP prostřednictvím brány pomocí
  • Vzdálená plocha (RDS) zahrnutá v Windows Serveru. Publikování pomocí proxy serveru aplikací Azure AD
  • Windows Virtuální plocha (WVD) – postupujte podle Windows osvědčených postupů zabezpečení virtuální plochy.
  • VDI třetích stran – postupujte podle doporučených postupů výrobce nebo odvětví nebo přizpůsobte pokyny WVD vašemu řešení.
• Server Secure Shell (SSH) – poskytuje vzdálené prostředí a skriptování pro technologická oddělení a vlastníky úloh. Zabezpečení této konfigurace by mělo zahrnovat:
  • Podle osvědčených postupů pro odvětví a výrobce ho bezpečně nakonfigurujte, změňte výchozí hesla (pokud je to možné) a použijte místo hesel klíče SSH a bezpečně ukládat a spravovat klíče SSH.
  • Použití azure bašty pro vzdálenou správu SSH k prostředkům hostovaným v Azure – Připojení k virtuálnímu počítači s Linuxem pomocí Azure Bašta

Azure Bašta

Azure Bašta je zprostředkovatel, který je navržený tak, aby poskytoval zabezpečený přístup k prostředkům Azure pomocí prohlížeče a portálu Azure Portal. Azure Bašta poskytuje přístupové prostředky v Azure, které podporují protokoly REMOTE Desktop Protocol (RDP) a Secure Shell (SSH).

Použití případů a scénářů pro Azure Bastion

Azure Bašta efektivně poskytuje flexibilní řešení, které můžou pracovníci IT Operations a správci pracovních vytížení používat mimo IT ke správě prostředků hostovaných v Azure bez nutnosti úplného připojení VPN k prostředí.

Bezpečnostní rizika a doporučení pro Azure Bašta

Azure Bašta je přístupná prostřednictvím portálu Azure Portal, takže zajistěte, aby vaše rozhraní portálu Azure portal vyžádá odpovídající úroveň zabezpečení prostředků v ní a rolí, které ho používají, obvykle privilegované nebo specializované úrovně.

Další pokyny najdete v dokumentaci k Azure Bašta.

Další kroky

• Přehled zabezpečení privilegovaného přístupu
• Strategie privilegovaného přístupu
• Měření úspěšnosti
• Úrovně zabezpečení
• Privilegované přístupové účty
• Rozhraní
• Zařízení s privilegovaný přístup
• Enterprise přístupového modelu