Zabezpečení identity pomocí nulového vztahu důvěryhodnosti

Pozadí

Cloudové aplikace a mobilní pracovní síly znovu definovaly obvod zabezpečení. Zaměstnanci si vezou vlastní zařízení a pracují na dálku. K datům se přistupuje mimo podnikovou síť a sdílí se s externími spolupracovníky, jako jsou partneři a dodavatelé. Podnikové aplikace a data se přesunou z místního do hybridního a cloudového prostředí. Organizace už se kvůli zabezpečení nebudou moci spoléhat na tradiční ovládací prvky sítě. Ovládací prvky se musí přesunout tam, kde jsou data: na zařízeních, v aplikacích a s partnery.

Identity, které zastupují lidi, služby nebo zařízení IoT, jsou běžné v mnoha dnešních sítích, koncovýchbodech a aplikacích. V modelu zabezpečení Zero Trust fungují jako výkonný, flexibilní a granulární způsob řízení přístupu k datům.

Než se identita pokusí o přístup k prostředku, musí organizace:

• Ověřte identitu pomocí silného ověřování.

• Zajistěte, aby přístup byl kompatibilní a typický pro vaši identitu.

• Dodržuje zásady přístupu k nejmenším oprávněním.

Po ověření identity můžeme řídit přístup této identity k prostředkům na základě zásad organizace, analýzy rizik a dalších nástrojů.

Cíle nasazení Identity Zero Trust

Průvodce nasazením Identity Zero Trust

Tento průvodce vás provede kroky potřebnými ke správě identit podle zásad rámce zabezpečení Zero Trust.

I. Cloudová identita federuje s místními systémy identit

Azure Active Directory (AD) umožňuje silné ověřování, bod integrace zabezpečení koncových bodů a základní zásady zaměřené na uživatele, které zaručí přístup s nejméně privilegovanými oprávněními. Funkce podmíněného přístupu Azure AD jsou bodem rozhodnutí o zásadách pro přístup k prostředkům založeným na identitě uživatele, prostředí, stavu zařízení a riziku – výslovně ověřené v místě přístupu. Ukážeme si, jak můžete implementovat strategii identity Nulové důvěryhodnosti s Azure AD.

Připojení všechny uživatele do Azure AD a federovat s místními systémy identit

Udržování zdravého kanálu identit vašich zaměstnanců a potřebných artefaktů zabezpečení (skupin pro autorizaci a koncových bodů pro dodatečné kontroly zásad přístupu) vás na nejlepší místo pro použití konzistentních identit a ovládacích prvků v cloudu.

Postupujte takto:

1. Zvolte možnost ověřování. Azure AD vám poskytuje nejlepší hrubou sílu, ochranu před útoky DDoS a ochranu heslem, ale rozhodnutí, které je pro vaši organizaci správné, a vaše požadavky na dodržování předpisů.

2. Používejte jenom identity, které potřebujete. Třeba když se chcete dostat do cloudu, můžete za sebou nechat účty služeb, které mají smysl jenom místně. Nechte za sebou místní privilegované role.

3. Pokud má váš podnik dohromady víc než 100 000 uživatelů, skupin a zařízení, vytvořte synchronizační pole s vysokým výkonem, které bude udržovat váš životní cyklus aktuální.

Vytvoření služby Identity Foundation pomocí Azure AD

Strategie nulové důvěryhodnosti vyžaduje výslovné ověření, použití zásad přístupu s nejnižším oprávněním a za předpokladu porušení. Azure AD může fungovat jako bod rozhodnutí o zásadách k vynucení zásad přístupu na základě přehledů o uživateli, koncovém bodu, cílovém prostředku a prostředí.

Udělejte tento krok:

• Dejte Azure AD do cesty ke každé žádosti o přístup. Tím se spojí každý uživatel a každá aplikace nebo zdroj prostřednictvím jedné roviny řízení identity a poskytne Azure AD signál, který umožní co nejlepší rozhodnutí o riziku ověřování a autorizace. Jednotné přihlašování a konzistentní svodidla zásad navíc poskytují lepší uživatelské prostředí a přispívají k vyšší produktivitě.

Integrace všech aplikací s Azure AD

Jednotné přihlašování brání uživatelům v opuštění kopií svých přihlašovacích údajů v různých aplikacích a pomáhá uživatelům zabránit tomu, aby si zvykli na odevzdání přihlašovacích údajů kvůli nadměrné výzvě.

Také se ujistěte, že ve svém prostředí nemáte více modulů IAM. To nejen zmenšuje množství signálu, který Azure AD vidí, a umožňuje tak špatným aktérům žít ve švech mezi oběma moduly IAM, ale může také vést ke špatnému uživatelskému prostředí a k tomu, aby se vaši obchodní partneři stali prvními pochybnostmi o strategii Zero Trust.

Postupujte takto:

1. Integrujte moderní podnikové aplikace, které hovoří o OAuth2.0 nebo SAML.

2. V aplikacích Kerberos a auth založených na formulářech je integrujte pomocí Proxyaplikací Azure AD.

3. Pokud publikujete starší aplikace pomocí sítí nebo řadičů pro doručování aplikací, integrujte azure AD s většinou hlavních aplikací (jako je Citrix, Akamai a F5).

4. Pokud chcete pomoct najít a migrovat aplikace mimo ADFS a stávající nebo starší moduly IAM, podívejte se na zdroje informací a nástroje.

5. Power push identity do různých cloudových aplikací. Díky tomu budete mít v těchto aplikacích užší integraci životního cyklu identity.

Výslovné ověření pomocí silného ověřování

Postupujte takto:

1. Nasazení Azure AD MFA (P1). Toto je základní část, která snižuje riziko relace uživatele. Vzhledem k tomu, že se uživatelé zobrazují na nových zařízeních a z nových míst, je možnost reagovat na výzvu MFA jedním z nejsměrnějších způsobů, jak nás můžou vaši uživatelé naučit, že se jedná o známá zařízení nebo umístění, která se pohybují po celém světě (aniž by správci museli analyzovat jednotlivé signály).

2. Blokování staršího ověřování Jedním z nejběžnějších vektorů útoku pro škodlivé aktéry je použití odcizených/přehráných přihlašovacích údajů proti starším protokolům, jako je SMTP, které nemohou dělat moderní bezpečnostní problémy.

II. Přístup k bráně zásad podmíněného přístupu a poskytování nápravných aktivit

Azure AD Conditional Access (CA) analyzuje signály, jako je uživatel, zařízení a umístění, a automatizuje rozhodování a vynucuje zásady přístupu organizace k prostředkům. Pomocí zásad certifikační autority můžete použít ovládací prvky přístupu, jako je vícefaktorové ověřování (MFA). Zásady certifikační autority umožňují vyzvat uživatele k zadání MFA v případě, že je to potřeba pro zabezpečení, a v případě potřeby se držte mimo cestu uživatelů.

Microsoft poskytuje standardní podmíněné zásady, které se nazývají výchozí nastavení zabezpečení, které zajišťují základní úroveň zabezpečení. Vaše organizace ale může potřebovat větší flexibilitu, než nabízí výchozí nastavení zabezpečení. Pomocí podmíněného přístupu můžete přizpůsobit výchozí nastavení zabezpečení s větší rozlišovací schopnostmi a nakonfigurovat nové zásady, které splňují vaše požadavky.

Plánování zásad podmíněného přístupu předem a sada aktivních a záložních zásad je základním pilířem vynucení zásad přístupu v nasazení nulové důvěryhodnosti. Udělejte si čas na konfiguraci důvěryhodných umístění IP adres ve vašem prostředí. I když je v zásadách podmíněného přístupu nepoužívejte, konfigurace těchto IP adresy informuje o riziku ochrany identity, které jsme zmínili výše.

Udělejte tento krok:

• Podívejte se na naše pokyny k nasazení a doporučené postupy pro pružné zásady podmíněného přístupu.

Registrace zařízení pomocí Azure AD a omezení přístupu z ohrožených a ohrožených zařízení

Postupujte takto:

1. Povolte hybridní připojení k Azure AD nebo Připojení ke službě Azure AD. Pokud spravujete přenosný počítač uživatele, přenést tyto informace do Azure AD a použít je k lepšímu rozhodování. Pokud například víte, že uživatel pochází z počítače, který řídí a spravuje vaše organizace, můžete povolit bohatý klientský přístup k datům (klienti, kteří mají offline kopie na počítači). Pokud to nepřinesete, pravděpodobně se rozhodnete blokovat přístup od bohatých klientů, což může vést k tomu, že vaši uživatelé pracují na zabezpečení nebo používají stínové IT.

2. Povolte službu Intune v Microsoft Endpoint Manager (EMS) pro správu mobilních zařízení uživatelů a registrace zařízení. Totéž se říká o mobilních zařízeních uživatelů jako u přenosných počítačů: Čím víc o nich víte (úroveň oprav, jailbroken, rooted atd.), tím víc jim můžete důvěřovat nebo nedůvěřovat a poskytnout odůvodnění, proč zablokovat nebo povolit přístup.

III. Analýza zlepšuje viditelnost

Při vytváření svého sídla v Azure AD s ověřováním, autorizací a zřizováním je důležité mít silné provozní přehledy o tom, co se děje v adresáři.

Konfigurace protokolování a vytváření sestav tak, aby se zlepšila viditelnost

Udělejte tento krok:

• Naplánujte si vytváření sestav a monitorování Azure AD tak, aby bylo možné protokoly z Azure AD zachovat a analyzovat, a to buď v Azure, nebo pomocí systému SIEM, který si můžete vybrat.

IV. Identity a přístupová oprávnění se spravují pomocí zásad správného řízení identity.

Jakmile dosáhnete svých prvních tří cílů, můžete se zaměřit na další cíle, jako je robustnější řízení identity.

Zabezpečený privilegovaný přístup pomocí Privileged Identity Management

Řídí koncové body, podmínky a přihlašovací údaje, které uživatelé používají pro přístup k privilegovaných operacím/rolím.

Postupujte takto:

1. Převzít kontrolu nad vašimi privilegované identity. Mějte na paměti, že v digitálně transformované organizaci je privilegovaný přístup nejen přístup správce, ale taky přístup vlastníka aplikace nebo vývojáře, který může změnit způsob, jakým vaše důležité aplikace běží a zachytává data.

2. Pomocí Privileged Identity Management zabezpečení privilegovaných identit.

Omezení souhlasu uživatelů s aplikacemi

Souhlas uživatelů s aplikacemi je velmi běžný způsob, jak moderní aplikace získat přístup k prostředkům organizace, ale je třeba mít na paměti některé osvědčené postupy.

Postupujte takto:

1. Omezte souhlas uživatelů a spravujte žádosti o souhlas, abyste zajistili, že data vaší organizace nebude zbytečně vystavena aplikacím.

2. Zkontrolujte předchozí/existující souhlas ve vaší organizaci, zda se neschováte s žádným nadměrným nebo škodlivým souhlasem.

Další informace o nástrojích pro ochranu před takty pro přístup k citlivým informacím najdete v našem průvodci implementací strategie nulové důvěryhodnosti identity v tématu "Posílit ochranu před kybernetickými hrozbami a podvodnými aplikacemi".

Správa nároku

Díky centralizovanému ověřování aplikací a řízení z Azure AD teď můžete zjednodušit proces žádosti o přístup, schválení a recertifikace, abyste měli jistotu, že správný přístup mají ti správný lidé a že máte přehled o tom, proč mají uživatelé ve vaší organizaci přístup, který mají.

Postupujte takto:

1. Pomocí správy oprávnění můžete vytvářet balíčky přístupu, o které žádají uživatelé při připojování k různým týmům nebo projektům a které jim přidělí přístup k přidruženým zdrojům (jako jsou aplikace, SharePoint weby, členství ve skupinách).

2. Pokud v tuto chvíli není pro vaši organizaci nasazení správy nároků možné, povolte ve vaší organizaci aspoň samoobslužná paradigmata nasazením samoobslužné správy skupin a samoobslužných přístupů k aplikacím.

Použití ověřování bez hesla ke snížení rizika útoků phishing a hesel

S podporou Azure AD fido 2.0 a přihlašováním přes telefon bez hesla můžete přesouvat jehlu na přihlašovací údaje, které vaši uživatelé (hlavně citliví/privilegované uživatele) používají každý den. Tyto přihlašovací údaje jsou silné faktory ověřování, které mohou také zmírnit rizika.

Udělejte tento krok:

• Začněte ve své organizaci zařařovat přihlašovací údaje bez hesla.

V. Uživatel, zařízení, umístění a chování se analyzuje v reálném čase, aby bylo možné určit rizika a zajistit průběžnou ochranu.

Analýza v reálném čase je důležitá pro určení rizik a ochrany.

Nasazení ochrany heslem Azure AD

Při povolování jiných metod výslovně ověřovat uživatele neignorujte slabá hesla, hesla a útoky na porušení pravidel. A klasické složité zásady hesel nezabraňují nejčastějším útokům heslem.

Udělejte tento krok:

• Povolte Ochranu heslem Azure AD pro uživatele v cloudu a místně.

Povolení ochrany identity

Získejte přesnější signál rizika relace/uživatele pomocí ochrany identity. Budete moct zkoumat rizika a potvrdit kompromis nebo zavřít signál, což motoru pomůže lépe pochopit, jak bude riziko ve vašem prostředí vypadat.

Udělejte tento krok:

• Povolte ochranu identity.

Povolení integrace cloudových aplikací v programu Microsoft Defender s aplikací Identity Protection

Microsoft Defender pro cloudové aplikace sleduje chování uživatelů v SaaS a moderních aplikacích. To informuje Azure AD o tom, co se stalo uživateli po ověření a přijetí tokenu. Pokud se uživatelský vzor začne zdát podezřelý (například uživatel začne stahovat gigabajty dat z OneDrive nebo začne posílat spamové e-maily v Exchange Online), může být do Azure AD přiváděn signál s upozorněním, že se zdá, že je uživatel ohrožený nebo je ohrožený vysokým rizikem. Při další žádosti o přístup od tohoto uživatele může Azure AD správně provést akci, která uživatele ověří nebo zablokuje.

Udělejte tento krok:

• Povolte sledování cloudových aplikací Defenderu a obohaťte tak signál ochrany identity.

Povolení integrace podmíněného přístupu s aplikací Microsoft Defender pro cloudové aplikace

Když budete používat signály vysílané po ověření a s požadavky proxy serveru Defender for Cloud Apps na aplikace, budete moct sledovat relace, které se budou v aplikacích SaaS používat, a vynucovat omezení.

Postupujte takto:

1. Povolte integraci podmíněného přístupu.

2. Rozšíření podmíněného přístupu na místní aplikace

Povolení omezené relace pro použití při rozhodování o přístupu

Pokud je riziko uživatele nízké, ale přihlašuje se z neznámého koncového bodu, můžete jim povolit přístup k důležitým prostředkům, ale neumožňují jim dělat věci, které vaší organizaci umožňují opustit v nekompatibilním stavu. Teď můžete nakonfigurovat Exchange Online a SharePoint Online tak, aby uživateli nabídl omezenou relaci, která jim umožní číst e-maily nebo prohlížet soubory, ale ne je stahovat a ukládat na nedůvěryhodné zařízení.

Udělejte tento krok:

• Povolení omezeného přístupu k SharePoint Online a Exchange Online

VI. Integrace signálů hrozeb z jiných řešení zabezpečení s cílem zlepšit zjišťování, ochranu a odezvu

A konečně, další bezpečnostní řešení je možné integrovat pro větší efektivitu.

Integrace programu Microsoft Defender pro identitu s aplikací Microsoft Defender pro cloudové aplikace

Integrace s Microsoft Defenderem pro identitu umožňuje Azure AD vědět, že uživatel má rizikové chování při přístupu k místním, ne moderním prostředkům (jako jsou sdílené složky). To se pak může váit do celkového uživatelského rizika, aby se blokoval další přístup v cloudu.

Postupujte takto:

1. Povolte v programu Microsoft Defender for Identity v aplikaci Microsoft Defender for Cloud Apps místní signály do signálu rizika, který o uživateli víme.

2. Zkontrolujte kombinované skóre priority vyšetřování pro každého ohroženého uživatele, abyste měli holistický přehled o tom, na které z nich by se měl váš soc zaměřit.

Povolení programu Microsoft Defender pro koncový bod

Microsoft Defender for Endpoint vám umožňuje dosučovat stav Windows počítačů a určit, jestli procházejí kompromisem. Tyto informace pak můžete za běhu nasytovat do zmírňujícího rizika. Zatímco domain join vám dává smysl pro kontrolu, Defender for Endpoint umožňuje reagovat na útok malwaru v reálném čase tak, že zjistíte vzory, ve kterých několik uživatelských zařízení zasahuje do nedůvěryhodných webů, a reagovat tak, že zvýšíte jejich riziko pro zařízení/uživatele za běhu.

Udělejte tento krok:

• Konfigurace podmíněného přístupu v programu Microsoft Defender pro koncový bod

Produkty, na které se vztahuje tato příručka

Microsoft Azure

Azure Active Directory

Microsoft Defender pro identitu

Microsoft 365

Microsoft Endpoint Manager (včetně Microsoft Intune)

Microsoft Defender pro koncový bod

SharePoint Online

Exchange Online

Závěr

Identita je ústřední součástí úspěšné strategie Nulové důvěryhodnosti. Pokud chcete získat další informace nebo pomoct s implementací, kontaktujte prosím tým zákaznického úspěchu nebo si dál přečtěte další kapitoly této příručky, které zahrnují všechny pilíře Zero Trust.

Série průvodce nasazením Nulové důvěryhodnosti