Zabezpečení identity pomocí nulová důvěra (Zero Trust)

Pozadí

Cloudové aplikace a mobilní pracovníci předefinovali hranici zabezpečení. Zaměstnanci si přinášejí vlastní zařízení a pracují vzdáleně. Data se přistupují mimo podnikovou síť a sdílejí se s externími spolupracovníky, jako jsou partneři a dodavatelé. Podnikové aplikace a data se přesouvají z místního prostředí do hybridního a cloudového prostředí. Organizace už nemůžou při zabezpečení spoléhat na tradiční síťové ovládací prvky. Ovládací prvky se musí přesunout tam, kde jsou data: na zařízeních, v aplikacích a s partnery.

Identity, které představují lidi, služby nebo zařízení IoT, jsou běžným dominantním prvkem v dnešních sítích, koncových bodech a aplikacích. V modelu zabezpečení nulová důvěra (Zero Trust) fungují jako výkonný, flexibilní a podrobný způsob řízení přístupu k datům.

Než se identita pokusí o přístup k prostředku, musí organizace:

  • Ověřte identitu pomocí silného ověřování.

  • Zajistěte, aby přístup byl kompatibilní a typický pro danou identitu.

  • Dodržuje principy přístupu s nejnižšími oprávněními.

Po ověření identity můžeme řídit přístup identity k prostředkům na základě zásad organizace, průběžných analýz rizik a dalších nástrojů.

Cíle nasazení nulová důvěra (Zero Trust) identit

Než většina organizací zahájí nulová důvěra (Zero Trust) cestu, jejich přístup k identitě je problematický v tom, že se používá místní zprostředkovatel identity, mezi cloudovými a místními aplikacemi není žádné jednotné přihlašování a viditelnost rizika identity je velmi omezená.

Při implementaci komplexní nulová důvěra (Zero Trust) architektury pro identitu doporučujeme, abyste se nejprve zaměřili na tyto cíle počátečního nasazení:

List icon with one checkmark.

Identita I.Cloudse federuje s místními systémy identit.

II.Zásady podmíněného přístupu zajišťují přístup a poskytují nápravné aktivity.

III.Analýzy zlepšují viditelnost.

Po dokončení se zaměřte na tyto další cíle nasazení:

List icon with two checkmarks.

IV.Identity a přístupová oprávnění se spravují pomocí zásad správného řízení identit.

V.User, device, location, and behavior is analyzed in real time to determine risk and deliver ongoing protection.

VI.Integrujte signály hrozeb z jiných řešení zabezpečení, abyste zlepšili detekci, ochranu a reakci.

Průvodce nasazením nulová důvěra (Zero Trust) identit

Tato příručka vás provede kroky potřebnými ke správě identit podle principů nulová důvěra (Zero Trust) architektury zabezpečení.




Checklist icon with one checkmark.

Cíle počátečního nasazení

I. Cloudová identita se federuje s místními systémy identit

Azure Active Directory (AD) umožňuje silné ověřování, bod integrace pro zabezpečení koncových bodů a základní zásady zaměřené na uživatele, které zaručují přístup s nejnižšími oprávněními. Možnosti podmíněného přístupu azure AD jsou rozhodovacím bodem zásad pro přístup k prostředkům na základě identity uživatele, prostředí, stavu zařízení a rizika – ověřeného explicitně v místě přístupu. Ukážeme vám, jak můžete implementovat strategii nulová důvěra (Zero Trust) identit pomocí Azure AD.

Diagram of the steps within phase 1 of the initial deployment objectives.

Připojení všechny uživatele do Azure AD a federovat s místními systémy identit

Udržování dobrého kanálu identit zaměstnanců a nezbytných artefaktů zabezpečení (skupin pro autorizaci a koncových bodů pro dodatečné řízení zásad přístupu) vás umístí na nejlepší místo pro použití konzistentních identit a ovládacích prvků v cloudu.

Postupujte:

  1. Zvolte možnost ověřování. Azure AD poskytuje nejlepší hrubou sílu, ochranu před útoky DDoS a heslem, ale rozhodnete se, že je to správné pro vaši organizaci a vaše potřeby dodržování předpisů.

  2. Přineste si jenom identity, které naprosto potřebujete. Použijte například přechod do cloudu jako příležitost k opuštění účtů služeb, které mají smysl jenom místně. Ponechte místní privilegované role za sebou.

  3. Pokud má váš podnik více než 100 000 uživatelů, skupin a zařízení dohromady, sestaví se vysoce výkonný synchronizační box , který zajistí aktuálnější životní cyklus.

Vytvoření služby Identity Foundation s využitím Azure AD

Strategie nulová důvěra (Zero Trust) vyžaduje explicitní ověření, použití principů přístupu s nejnižšími oprávněními a předpoklad porušení zabezpečení. Azure AD může fungovat jako bod rozhodování o zásadách, který vynucuje zásady přístupu na základě přehledů o uživateli, koncovém bodu, cílovém prostředku a prostředí.

Proveďte tento krok:

  • Umístěte Azure AD do cesty ke každé žádosti o přístup. Tím propojíte každého uživatele a každou aplikaci nebo prostředek prostřednictvím jedné roviny řízení identity a poskytnete službě Azure AD signál, abyste se mohli co nejlépe rozhodnout o riziku ověřování/autorizace. Jednotné přihlašování a konzistentní mantinely zásad navíc poskytují lepší uživatelské prostředí a přispívají k vyšší produktivitě.

Integrace všech vašich aplikací s Azure AD

Jednotné přihlašování brání uživatelům v opuštění kopií svých přihlašovacích údajů v různých aplikacích a pomáhá zabránit tomu, aby si uživatelé zvykli na předání přihlašovacích údajů kvůli nadměrnému zobrazení výzvy.

Ujistěte se také, že ve svém prostředí nemáte více modulů IAM. Nejenže to snižuje množství signálu, který Azure AD vidí, a umožňuje tak špatným aktérům žít ve švách mezi dvěma moduly IAM, ale může také vést ke špatnému uživatelskému prostředí a vašim obchodním partnerům, kteří se stávají prvními pochybovači vaší strategie nulová důvěra (Zero Trust).

Postupujte:

  1. Integrujte moderní podnikové aplikace , které mluví o OAuth2.0 nebo SAML.

  2. V případě aplikací kerberos a ověřování založených na formuláři je integrujte pomocí proxy aplikací Azure AD.

  3. Pokud publikujete starší verze aplikací pomocí sítí nebo kontrolerů pro doručování aplikací, použijte Azure AD k integraci s většinou hlavních aplikací (například Citrix, Akamai a F5).

  4. Pokud chcete pomoct zjistit a migrovat aplikace z ADFS a stávajících nebo starších modulů IAM, projděte si prostředky a nástroje.

  5. Nasdílejte identity do různých cloudových aplikací. Díky tomu získáte v těchto aplikacích užší integraci životního cyklu identit.

Explicitní ověření pomocí silného ověřování

Postupujte:

  1. Zavedení Azure AD MFA (P1) Jedná se o základní část snížení rizika uživatelské relace. Vzhledem k tomu, že se uživatelé zobrazují na nových zařízeních a z nových umístění, je schopnost reagovat na výzvu vícefaktorového ověřování jedním z nejpřímějších způsobů, jak nás uživatelé mohou naučit, že se jedná o známá zařízení a umístění při pohybu po světě (aniž by správci museli analyzovat jednotlivé signály).

  2. Blokování starší verze ověřování Jedním z nejběžnějších vektorů útoku pro útočníky je použití odcizených nebo přehraných přihlašovacích údajů proti starším protokolům, jako je smtp, které nemohou řešit moderní bezpečnostní výzvy.

II. Zásady podmíněného přístupu zajišťují přístup a poskytují nápravné aktivity.

Podmíněný přístup Azure AD analyzuje signály, jako je uživatel, zařízení a umístění, a automatizuje tak rozhodování a vynucuje zásady přístupu organizace pro prostředek. Zásady podmíněného přístupu můžete použít k použití řízení přístupu, jako je vícefaktorové ověřování (MFA). Zásady podmíněného přístupu umožňují vyzvat uživatele k vícefaktorové ověřování, pokud je to potřeba k zabezpečení, a v případě potřeby se uživatelům vyhnete.

Diagram of Conditional Access policies in Zero Trust.

Microsoft poskytuje standardní podmíněné zásady označované jako výchozí nastavení zabezpečení , které zajišťují základní úroveň zabezpečení. Vaše organizace ale může potřebovat větší flexibilitu, než nabízí výchozí nastavení zabezpečení. Podmíněný přístup můžete použít k přizpůsobení výchozích hodnot zabezpečení s větší členitostí a ke konfiguraci nových zásad, které splňují vaše požadavky.

Plánování zásad podmíněného přístupu předem a sada aktivních a záložních zásad je základním pilířem vynucování zásad přístupu v nulová důvěra (Zero Trust) nasazení. Věnujte čas konfiguraci důvěryhodných umístění IP adres ve vašem prostředí. I když je nepoužijete v zásadách podmíněného přístupu, konfigurace těchto IP adres informuje o riziku služby Identity Protection uvedené výše.

Proveďte tento krok:

Registrace zařízení v Azure AD za účelem omezení přístupu z ohrožených a ohrožených zařízení

Postupujte:

  1. Povolte připojení k hybridní službě Azure AD nebo připojení ke službě Azure AD. Pokud spravujete přenosný počítač nebo počítač uživatele, přeneste je do Azure AD a použijte je k lepšímu rozhodování. Pokud například víte, že uživatel pochází z počítače, který řídí a spravuje vaše organizace, můžete povolit bohatý klientský přístup k datům (klientům, kteří mají v počítači offline kopie). Pokud ho nepřivedete, pravděpodobně se rozhodnete zablokovat přístup od bohatých klientů, což může vést k tomu, že uživatelé budou pracovat s vaším zabezpečením nebo budou používat stínové IT.

  2. Povolte službu Intune v rámci Microsoft Endpoint Manager (EMS) pro správu mobilních zařízení uživatelů a registraci zařízení. Totéž lze říci o mobilních zařízeních uživatelů jako o přenosných počítačích: Čím více o nich víte (úroveň opravy, jailbreak, root, atd.), tím více jste schopni důvěřovat nebo nedůvěřovat jim a poskytnout odůvodnění, proč blokovat / povolit přístup.

III. Analýzy zlepšují viditelnost

Při sestavování majetku v Azure AD s ověřováním, autorizací a zřizováním je důležité mít silné provozní přehledy o tom, co se v adresáři děje.

Konfigurace protokolování a vytváření sestav za účelem zlepšení viditelnosti

Proveďte tento krok:




Checklist icon with two checkmarks.

Další cíle nasazení

IV. Identity a přístupová oprávnění se spravují pomocí zásad správného řízení identit.

Jakmile dosáhnete svých počátečních tří cílů, můžete se zaměřit na další cíle, jako jsou robustnější zásady správného řízení identit.

Diagram of the steps within phase 4 of the additional deployment objectives.

Zabezpečení privilegovaného přístupu pomocí Privileged Identity Management

Řídí koncové body, podmínky a přihlašovací údaje, které uživatelé používají pro přístup k privilegovaným operacím nebo rolím.

Postupujte:

  1. Převezmou kontrolu nad privilegovanými identitami. Mějte na paměti, že v digitálně transformované organizaci je privilegovaným přístupem nejen přístup pro správu, ale také vlastník aplikace nebo přístup pro vývojáře, který může změnit způsob, jakým vaše klíčové aplikace běží a zpracovávají data.

  2. K zabezpečení privilegovaných identit použijte Privileged Identity Management.

Souhlas uživatele s aplikacemi je velmi běžný způsob, jak moderní aplikace získat přístup k prostředkům organizace, ale je potřeba mít na paměti některé osvědčené postupy.

Postupujte:

  1. Omezte souhlas uživatele a spravujte žádosti o vyjádření souhlasu , abyste zajistili, že nedojde ke zbytečnému vystavení dat vaší organizace aplikacím.

  2. Projděte si předchozí/stávající souhlas ve vaší organizaci a zopakujte případný nadměrný nebo škodlivý souhlas.

Další informace o nástrojích pro ochranu před taktikou přístupu k citlivým informacím najdete v části "Posílení ochrany před kybernetickými hrozbami a podvodnými aplikacemi" v našem průvodci implementací strategie nulová důvěra (Zero Trust) identit.

Správa nároku

Díky centrálnímu ověřování a řízení aplikací ze služby Azure AD teď můžete zjednodušit proces žádosti o přístup, schválení a recertifikace, abyste měli jistotu, že uživatelé mají správný přístup a že máte přehled o tom, proč mají uživatelé ve vaší organizaci přístup k nim.

Postupujte:

  1. Pomocí správy nároků můžete vytvářet přístupové balíčky, o které mohou uživatelé požádat při připojování k různým týmům nebo projektům a které jim přiřazují přístup k přidruženým prostředkům (jako jsou aplikace, SharePoint weby, členství ve skupinách).

  2. Pokud nasazení správy nároků není pro vaši organizaci v tuto chvíli možné, povolte alespoň samoobslužná paradigmata ve vaší organizaci nasazením samoobslužné správy skupin a samoobslužného přístupu k aplikacím.

Použití ověřování bez hesla ke snížení rizika útoků phishing a hesel

Azure AD podporuje FIDO 2.0 a přihlašování telefonem bez hesla a umožňuje přesunout jehlu na přihlašovací údaje, které vaši uživatelé (zejména citliví a privilegní uživatelé) používají každodenní práci. Tyto přihlašovací údaje jsou silnými faktory ověřování, které také mohou zmírnit riziko.

Proveďte tento krok:

V. Uživatel, zařízení, umístění a chování se analyzují v reálném čase, aby bylo možné určit riziko a zajistit trvalou ochranu.

Analýza v reálném čase je nezbytná pro určení rizika a ochrany.

Diagram of the steps within phase 5 of the additional deployment objectives.

Nasazení služby Azure AD Password Protection

Při explicitním ověřování uživatelů povolte jiné metody, neignorujte slabá hesla, útoky na útoky typu postříkaní hesla a porušení zabezpečení. A klasické složité zásady hesel nezabrání převládajícím útokům na hesla.

Proveďte tento krok:

Povolení služby Identity Protection

Získejte podrobnější signál o riziku relace nebo uživatele pomocí služby Identity Protection. Budete schopni prozkoumat rizika a potvrdit ohrožení zabezpečení nebo signál zavřít, což motoru pomůže lépe pochopit, jak vypadá riziko ve vašem prostředí.

Proveďte tento krok:

Povolení integrace Microsoft Defender for Cloud Apps se službou Identity Protection

Microsoft Defender for Cloud Apps monitoruje chování uživatelů v SaaS a moderních aplikacích. To informuje Azure AD o tom, co se uživateli stalo po ověření a přijetí tokenu. Pokud vzor uživatele začne vypadat podezřele (např. uživatel začne stahovat gigabajty dat z OneDrive nebo začne posílat spamové e-maily v Exchange Online), může se do Azure AD dostat signál s oznámením, že se zdá, že je uživatel ohrožený nebo vysoce rizikový. Při další žádosti o přístup od tohoto uživatele může Služba Azure AD správně provést akci, která uživatele ověří nebo zablokuje.

Proveďte tento krok:

Povolení integrace podmíněného přístupu s Microsoft Defender for Cloud Apps

Pomocí signálů vysílaných po ověření a s Defender for Cloud Apps, které proxyují požadavky aplikací, budete moct monitorovat relace směřující do aplikací SaaS a vynucovat omezení.

Postupujte:

  1. Povolte integraci podmíněného přístupu.

  2. Rozšíření podmíněného přístupu k místním aplikacím

Povolení omezené relace pro použití při rozhodování o přístupu

Pokud je riziko uživatele nízké, ale přihlašuje se z neznámého koncového bodu, můžete mu povolit přístup k důležitým prostředkům, ale neumožníte mu dělat věci, které opustí vaši organizaci v nevyhovujícím stavu. Teď můžete Exchange Online a SharePoint Online nakonfigurovat tak, aby uživateli nabídli relaci s omezeným přístupem, která jim umožní číst e-maily nebo zobrazovat soubory, ale ne je stahovat a ukládat na nedůvěryhodné zařízení.

Proveďte tento krok:

VI. Integrace signálů hrozeb z jiných řešení zabezpečení za účelem zlepšení detekce, ochrany a reakce

Nakonec je možné integrovat další řešení zabezpečení pro zajištění vyšší efektivity.

Integrace programu Microsoft Defender for Identity s Microsoft Defender for Cloud Apps

Integrace s Programem Microsoft Defender for Identity umožňuje službě Azure AD vědět, že uživatel se při přístupu k místním ne moderným prostředkům (například sdíleným složkám) zabývá rizikovým chováním. To je pak možné zohlednit v celkovém uživatelském riziku, aby se zablokoval další přístup v cloudu.

Postupujte:

  1. Povolte Microsoft Defender for Identity s Microsoft Defender for Cloud Apps, aby se místní signály dostaly do signálu rizika, který o uživateli víme.

  2. Zkontrolujte kombinované skóre priority šetření pro každého ohroženého uživatele, abyste získali ucelený přehled o tom, na které z nich by se měl soc zaměřit.

Povolení Microsoft Defender for Endpoint

Microsoft Defender for Endpoint umožňuje ověřit stav Windows počítačů a určit, jestli procházejí ohrožením zabezpečení. Pak můžete informace předejte ke zmírnění rizika za běhu. Zatímco připojení k doméně vám dává smysl pro kontrolu, Defender for Endpoint umožňuje reagovat na útok malwaru téměř v reálném čase tím, že zjistí vzory, ve kterých více uživatelských zařízení dosahuje nedůvěryhodných webů, a reaguje zvýšením rizika zařízení nebo uživatele za běhu.

Proveďte tento krok:

Produkty zahrnuté v této příručce

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (včetně Microsoft Intune)

Microsoft Defender for Endpoint

SharePoint Online

Exchange Online

Závěr

Identita je základem úspěšné strategie nulová důvěra (Zero Trust). Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým pro úspěch zákazníka nebo si přečtěte další kapitoly této příručky, které zahrnují všechny nulová důvěra (Zero Trust) pilíře.



Série průvodce nasazením nulová důvěra (Zero Trust)

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration