Az Azure-beli identitáskezelés és hozzáférés-vezérlés ajánlott biztonsági eljárásai

  • Cikk

Ebben a cikkben az Azure identity management és a hozzáférés-vezérlés biztonsági ajánlott eljárásainak gyűjteményét tárgyaljuk. Ezek az ajánlott eljárások a Microsoft Entra ID-val és az önhöz hasonló ügyfelek tapasztalataiból származnak.

Minden ajánlott eljárás esetében a következőt ismertetjük:

  • Mi az ajánlott eljárás?
  • Miért szeretné engedélyezni ezt az ajánlott eljárást?
  • Mi lehet az eredmény, ha nem engedélyezi az ajánlott eljárásokat?
  • Az ajánlott eljárás lehetséges alternatívái
  • Útmutató az ajánlott eljárások engedélyezéséhez

Ez az Azure-identitáskezelési és hozzáférés-vezérlési biztonsági ajánlott eljárásokról szóló cikk egy konszenzusos véleményen és az Azure-platform képességein és funkciókészletén alapul, mivel ezek a cikk írásakor léteznek.

A cikk írásakor az a szándékunk, hogy az üzembe helyezés után általános ütemtervet biztosítsunk egy robusztusabb biztonsági helyzethez, amelyet az "5 lépés az identitásinfrastruktúra biztonságossá tételéhez" ellenőrzőlistánk vezet, amely végigvezeti néhány alapvető funkciónkon és szolgáltatásunkon.

A vélemények és a technológiák idővel változnak, és ez a cikk rendszeresen frissül, hogy tükrözze ezeket a változásokat.

Az Azure Identity Management és a hozzáférés-vezérlés biztonsági ajánlott eljárásai a cikkben tárgyaltak:

  • Identitás kezelése elsődleges biztonsági szegélyként
  • Identitáskezelés központosítása
  • Csatlakoztatott bérlők kezelése
  • Egyszeri bejelentkezés engedélyezése
  • A feltételes hozzáférés bekapcsolása
  • Rendszeres biztonsági fejlesztések tervezése
  • Jelszókezelés engedélyezése
  • Többtényezős ellenőrzés kényszerítése a felhasználók számára
  • Szerepköralapú hozzáférés-vezérlés alkalmazása
  • A kiemelt fiókok alacsonyabb kitettsége
  • Az erőforrások helyének szabályozása
  • A Microsoft Entra ID használata tárhitelesítéshez

Identitás kezelése elsődleges biztonsági szegélyként

Sokan az identitást tartják a biztonság elsődleges szegélyének. Ez a hálózati biztonságra összpontosító hagyományos szemléletváltás. A hálózati szegélyek egyre porózusabbak, és a szegélyvédelem nem lehet olyan hatékony, mint a BYOD-eszközök és a felhőalkalmazások robbanása előtt volt.

A Microsoft Entra ID az identitás- és hozzáférés-kezelés Azure-megoldása. A Microsoft Entra ID a Microsoft több-bérlős, felhőalapú címtár- és identitáskezelési szolgáltatása. Egyetlen megoldásban egyesíti az alapvető címtárszolgáltatásokat, az alkalmazáshozzáférés-kezelést és az identitásvédelmet.

Az alábbi szakaszok a Microsoft Entra ID használatával történő identitás- és hozzáférésbiztonsági ajánlott eljárásokat sorolják fel.

Ajánlott eljárás: A felhasználói és szolgáltatásidentitások biztonsági vezérlőinek és észleléseinek központba igazítása. Részletek: Vezérlők és identitások összeválogatásához használja a Microsoft Entra ID azonosítót.

Identitáskezelés központosítása

Hibrid identitás esetén javasoljuk, hogy integrálja a helyszíni és a felhőbeli címtárakat. Az integráció lehetővé teszi, hogy az informatikai csapat egy helyről kezelje a fiókokat, függetlenül a fiók létrehozásának helyétől. Az integráció azzal is segíti a felhasználókat, hogy közös identitást biztosítanak a felhőbeli és a helyszíni erőforrások eléréséhez.

Ajánlott eljárás: Egyetlen Microsoft Entra-példány létrehozása. A konzisztencia és egyetlen mérvadó forrás növeli az egyértelműséget, és csökkenti az emberi hibák és a konfiguráció összetettsége által jelentkező biztonsági kockázatokat.
Részletek: Jelöljön ki egyetlen Microsoft Entra-címtárat a vállalati és szervezeti fiókok mérvadó forrásaként.

Ajánlott eljárás: Integrálja helyszíni címtárait a Microsoft Entra ID azonosítójával.
Részletek: A Microsoft Entra Csatlakozás használatával szinkronizálhatja a helyszíni címtárat a felhőbeli címtárával.

Megjegyzés:

Vannak olyan tényezők, amelyek befolyásolják a Microsoft Entra Csatlakozás teljesítményét. Győződjön meg arról, hogy a Microsoft Entra Csatlakozás elegendő kapacitással rendelkezik ahhoz, hogy az alulteljesítő rendszerek ne akadályozzák a biztonságot és a termelékenységet. A nagy vagy összetett szervezeteknek (a több mint 100 000 objektumot kiépítő szervezeteknek) követniük kell a Microsoft Entra Csatlakozás implementáció optimalizálására vonatkozó javaslatokat.

Ajánlott eljárás: Ne szinkronizálja a meglévő Active Directory-példányban magas jogosultságokkal rendelkező Microsoft Entra-azonosítóval rendelkező fiókokat.
Részletek: Ne módosítsa az alapértelmezett Microsoft Entra Csatlakozás konfigurációt, amely kiszűri ezeket a fiókokat. Ez a konfiguráció csökkenti annak a kockázatát, hogy a támadók a felhőből a helyszíni eszközökre fordulnak (ami jelentős incidenst okozhat).

Ajánlott eljárás: A jelszókivonat-szinkronizálás bekapcsolása.
Részletek: A jelszókivonat-szinkronizálás a felhasználói jelszókivonatok helyi Active Directory-példányról felhőalapú Microsoft Entra-példányra való szinkronizálására szolgáló szolgáltatás. Ez a szinkronizálás segít megvédeni a kiszivárgott hitelesítő adatokat a korábbi támadásoktól.

Ha úgy dönt, hogy összevonást használ Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy más identitásszolgáltatókkal, akkor is beállíthat jelszókivonat-szinkronizálást biztonsági mentésként, ha a helyszíni kiszolgálók meghibásodnak vagy átmenetileg elérhetetlenné válnak. Ez a szinkronizálás lehetővé teszi, hogy a felhasználók ugyanazzal a jelszóval jelentkezzenek be a szolgáltatásba, amelyet a helyi Active Directory-példányba való bejelentkezéshez használnak. Az Identity Protection emellett lehetővé teszi a sérült hitelesítő adatok észlelését a szinkronizált jelszókivonatok és az ismerten feltört jelszavak összehasonlításával, ha a felhasználó ugyanazt az e-mail-címet és jelszót használta a Microsoft Entra-azonosítóhoz nem csatlakozó egyéb szolgáltatásokban.

További információ: Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás Synctel.

Ajánlott eljárás: Új alkalmazásfejlesztéshez használja a Microsoft Entra ID azonosítót a hitelesítéshez.
Részlet: A hitelesítés támogatásához használja a megfelelő képességeket:

  • Microsoft Entra-azonosító alkalmazottaknak
  • Microsoft Entra B2B vendégfelhasználóknak és külső partnereknek
  • Az Azure AD B2C-vel szabályozhatja, hogy az ügyfelek hogyan regisztráljanak, jelentkezzenek be és kezelhessék a profiljukat az alkalmazások használatakor

Azok a szervezetek, amelyek nem integrálják helyszíni identitásukat a felhőbeli identitásukkal, nagyobb terhelést jelenthetnek a fiókok kezelése során. Ez a többletterhelés növeli a hibák és a biztonsági incidensek valószínűségét.

Megjegyzés:

Meg kell adnia, hogy mely címtárakban találhatók kritikus fiókok, és hogy a használt rendszergazdai munkaállomást új felhőszolgáltatások vagy meglévő folyamatok felügyelik-e. A meglévő felügyeleti és identitáskiépítési folyamatok használata csökkentheti a kockázatokat, de azt is okozhatja, hogy egy támadó veszélyeztet egy helyszíni fiókot, és a felhőbe fordít. Érdemes lehet más stratégiát használni a különböző szerepkörökhöz (például az informatikai rendszergazdákhoz és a vállalati egységek rendszergazdáihoz). Két lehetősége van. Első lépésként olyan Microsoft Entra-fiókokat hozhat létre, amelyek nincsenek szinkronizálva a helyi Active Directory-példányával. Csatlakozzon a rendszergazdai munkaállomáshoz a Microsoft Entra-azonosítóhoz, amelyet a Microsoft Intune-tal kezelhet és javíthat. A második lehetőség a meglévő rendszergazdai fiókok használata a helyi Active Directory-példányra való szinkronizálással. Az Active Directory-tartományban meglévő munkaállomások használata a felügyelethez és a biztonsághoz.

Csatlakoztatott bérlők kezelése

A biztonsági szervezetnek láthatóságra van szüksége a kockázatok felméréséhez és annak megállapításához, hogy a szervezet szabályzatai és a szabályozási követelmények teljesülnek-e. Győződjön meg arról, hogy a biztonsági szervezet minden, az éles környezethez és hálózathoz csatlakoztatott előfizetéshez rendelkezik láthatóságtal (az Azure ExpressRoute-on vagy a helyek közötti VPN-en keresztül). A Microsoft Entra ID globális Rendszergazda istratora emelheti a Felhasználói hozzáférés Rendszergazda istrator szerepkörhöz való hozzáférésüket, és megtekintheti a környezethez csatlakoztatott összes előfizetést és felügyelt csoportot.

Tekintse meg az összes Azure-előfizetés és felügyeleti csoport kezelésének hozzáférését, hogy Ön és a biztonsági csoport megtekinthesse a környezethez csatlakoztatott összes előfizetést vagy felügyeleti csoportot. A kockázatok felmérése után el kell távolítania ezt az emelt szintű hozzáférést.

Egyszeri bejelentkezés engedélyezése

A mobil első, felhőbeli világban bárhonnan engedélyezni szeretné az egyszeri bejelentkezést (SSO) az eszközökre, alkalmazásokra és szolgáltatásokra, hogy a felhasználók bárhol és bármikor hatékonyan tudjanak dolgozni. Ha több identitáskezelési megoldással rendelkezik, ez nem csak az informatikai, hanem a több jelszót megemlékeztető felhasználók számára is adminisztratív problémát jelent.

Ha ugyanazt az identitásmegoldást használja az összes alkalmazáshoz és erőforráshoz, SSO-t érhet el. A felhasználók ugyanazokkal a hitelesítő adatokkal jelentkezhetnek be és férhetnek hozzá a szükséges erőforrásokhoz, függetlenül attól, hogy az erőforrások a helyszínen vagy a felhőben találhatók.

Ajánlott eljárás: Egyszeri bejelentkezés engedélyezése.
Részletek: A Microsoft Entra ID helyi Active Directory bővíti a felhőre. A felhasználók használhatják az elsődleges munkahelyi vagy iskolai fiókjukat a tartományhoz csatlakoztatott eszközeikhez, vállalati erőforrásaikhoz, valamint az összes olyan webes és SaaS-alkalmazáshoz, amelyet el kell végezniük. A felhasználóknak nem kell több felhasználónevet és jelszót megjegyezniük, és alkalmazásuk hozzáférése automatikusan kiépíthető (vagy megszüntethető) a szervezeti csoporttagságuk és alkalmazotti állapotuk alapján. Ezt a hozzáférést a katalógusalkalmazásokhoz vagy a Microsoft Entra alkalmazásproxyn keresztül kifejlesztett és közzétett saját helyszíni alkalmazásokhoz is szabályozhatja.

Az egyszeri bejelentkezéssel engedélyezheti a felhasználók számára, hogy a Microsoft Entra-azonosítóban lévő munkahelyi vagy iskolai fiókjuk alapján elérhessék SaaS-alkalmazásaikat . Ez nem csak a Microsoft SaaS-alkalmazásokra vonatkozik, hanem más alkalmazásokra is, például a Google Appsre és a Salesforce-ra. Az alkalmazást konfigurálhatja úgy, hogy a Microsoft Entra ID-t SAML-alapú identitásszolgáltatóként használja. Biztonsági vezérlőként a Microsoft Entra ID nem ad ki olyan jogkivonatot, amely lehetővé teszi a felhasználók számára, hogy jelentkezzenek be az alkalmazásba, hacsak nem kaptak hozzáférést a Microsoft Entra-azonosítón keresztül. Hozzáférést adhat közvetlenül, vagy olyan csoporton keresztül, amelynek a felhasználók tagjai.

Azok a szervezetek, amelyek nem hoznak létre közös identitást az egyszeri bejelentkezés létrehozásához a felhasználók és az alkalmazások számára, jobban ki vannak téve azoknak a forgatókönyveknek, amelyekben a felhasználók több jelszóval rendelkeznek. Ezek a forgatókönyvek növelik annak a valószínűségét, hogy a felhasználók újra felhasználják a jelszavakat, vagy gyenge jelszavakat használnak.

A feltételes hozzáférés bekapcsolása

A felhasználók bárhonnan különböző eszközökkel és alkalmazásokkal férhetnek hozzá a szervezet erőforrásaihoz. Rendszergazdaként meg szeretné győződni arról, hogy ezek az eszközök megfelelnek a biztonsági és megfelelőségi szabványoknak. Már nem elegendő arra koncentrálni, hogy ki férhet hozzá egy erőforráshoz.

A biztonság és a termelékenység egyensúlyának érdekében át kell gondolnia, hogyan fér hozzá egy erőforráshoz, mielőtt döntést hozhat a hozzáférés-vezérlésről. A Microsoft Entra feltételes hozzáféréssel kezelheti ezt a követelményt. A feltételes hozzáféréssel automatikus hozzáférés-vezérlési döntéseket hozhat a felhőalkalmazások elérésének feltételei alapján.

Ajánlott eljárás: Vállalati erőforrásokhoz való hozzáférés kezelése és szabályozása.
Részletek: Általános Microsoft Entra feltételes hozzáférési szabályzatok konfigurálása az SaaS-alkalmazások és a Microsoft Entra ID-hoz csatlakoztatott alkalmazások csoport-, hely- és alkalmazásérzékenysége alapján.

Ajánlott eljárás: Az örökölt hitelesítési protokollok letiltása.
Részletek: A támadók nap mint nap kihasználják a régebbi protokollok gyengeségeit, különösen a jelszóspray-támadások esetén. Konfigurálja a feltételes hozzáférést az örökölt protokollok letiltásához.

Rendszeres biztonsági fejlesztések tervezése

A biztonság mindig fejlődik, és fontos, hogy a felhőbeli és identitáskezelési keretrendszerbe építsünk egy módszert, a növekedés rendszeres bemutatására és a környezet védelmének új módjainak felfedezésére.

Az Identity Secure Score a Microsoft által közzétett ajánlott biztonsági vezérlők készlete, amelyek numerikus pontszámot biztosítanak a biztonsági helyzet objektív méréséhez és a jövőbeli biztonsági fejlesztések megtervezéséhez. A pontszámot a más iparágakban lévőkhöz és a saját trendjeihez képest is megtekintheti az idő függvényében.

Ajánlott eljárás: Tervezze meg a rutinalapú biztonsági felülvizsgálatokat és fejlesztéseket az iparág ajánlott eljárásai alapján.
Részletek: Az Identity Secure Score funkcióval rangsorolhatja a fejlesztéseket az idő függvényében.

Jelszókezelés engedélyezése

Ha több bérlője van, vagy engedélyezni szeretné a felhasználók számára a saját jelszavaik visszaállítását, fontos, hogy a visszaélések megelőzése érdekében megfelelő biztonsági szabályzatokat használjon.

Ajánlott eljárás: Önkiszolgáló jelszó-visszaállítás (SSPR) beállítása a felhasználók számára.
Részletek: Használja a Microsoft Entra ID önkiszolgáló jelszó-visszaállítási funkcióját.

Ajánlott eljárás: Figyelje meg, hogy az SSPR valóban használatban van-e.
Részletek: Monitorozza a regisztráló felhasználókat a Microsoft Entra ID jelszó-visszaállítási tevékenység jelentésével. A Microsoft Entra ID által biztosított jelentéskészítési funkció előre összeállított jelentések használatával segít megválaszolni a kérdéseket. Ha megfelelő licenccel rendelkezik, egyéni lekérdezéseket is létrehozhat.

Ajánlott eljárás: Felhőalapú jelszóházirendek kiterjesztése a helyszíni infrastruktúrára.
Részletek: A jelszóházirendek továbbfejlesztése a szervezeten belül a helyszíni jelszómódosítások ellenőrzésével, mint a felhőalapú jelszómódosítások esetében. Telepítse a Microsoft Entra jelszóvédelmet a helyszíni Windows Server Active Directory-ügynökökhöz a tiltott jelszólisták meglévő infrastruktúrára való kiterjesztéséhez. A jelszavak helyszíni módosítását, beállítását vagy alaphelyzetbe állítását végző felhasználóknak és rendszergazdáknak ugyanazzal a jelszóházirenddel kell rendelkezniük, mint a csak felhőalapú felhasználóknak.

Többtényezős ellenőrzés kényszerítése a felhasználók számára

Javasoljuk, hogy kétlépéses ellenőrzést igényeljön az összes felhasználó számára. Ide tartoznak a rendszergazdák és a szervezet más tagjai, akik jelentős hatással lehetnek a fiókjuk (például pénzügyi tisztviselők) feltörése esetén.

Több lehetőség is van a kétlépéses ellenőrzésre. A legjobb megoldás a céloktól, a futtatott Microsoft Entra kiadástól és a licencelési programtól függ. Tekintse meg , hogyan igényelhet kétlépéses ellenőrzést egy felhasználó számára a legjobb megoldás meghatározásához. A licencekről és a díjszabásról további információt a Microsoft Entra ID és a Microsoft Entra többtényezős hitelesítés díjszabási oldalán talál.

A kétlépéses ellenőrzés engedélyezésének lehetőségei és előnyei a következők:

1. lehetőség: Az MFA engedélyezése az összes felhasználó és bejelentkezési módszer számára a Microsoft Entra biztonsági alapértelmezett beállításaival
Előny: Ez a beállítás lehetővé teszi az MFA egyszerű és gyors kikényszerítését a környezet összes felhasználója számára szigorú szabályzattal a következő célokra:

  • Rendszergazdai fiókok és felügyeleti bejelentkezési mechanizmusok megtámadása
  • MFA-feladat megkövetelése a Microsoft Authenticatoron keresztül minden felhasználó számára
  • Az örökölt hitelesítési protokollok korlátozása.

Ez a módszer az összes licencelési szint számára elérhető, de nem keverhető össze a meglévő feltételes hozzáférési szabályzatokkal. További információt a Microsoft Entra biztonsági alapértelmezett beállításai között talál

2. lehetőség: Többtényezős hitelesítés engedélyezése a felhasználói állapot módosításával.
Előny: Ez a kétlépéses ellenőrzés hagyományos módszere. A felhőbeli Microsoft Entra többtényezős hitelesítéssel és az Azure Multi-Factor Authentication Serverrel is működik. A módszer használatához a felhasználóknak minden bejelentkezéskor kétlépéses ellenőrzést kell végezniük, és felül kell bírálniuk a feltételes hozzáférési szabályzatokat.

Annak megállapításához, hogy hol kell engedélyezni a többtényezős hitelesítést, olvassa el a Microsoft Entra többtényezős hitelesítés melyik verziója megfelelő a szervezet számára?.

3. lehetőség: Többtényezős hitelesítés engedélyezése feltételes hozzáférési szabályzattal.
Előny: Ez a beállítás lehetővé teszi, hogy kétlépéses ellenőrzést kérhessen meghatározott feltételek mellett a feltételes hozzáférés használatával. Bizonyos feltételek lehetnek a felhasználók bejelentkezése különböző helyekről, nem megbízható eszközökről vagy olyan alkalmazásokból, amelyeket kockázatosnak tart. Ha olyan konkrét feltételeket határoz meg, ahol kétlépéses ellenőrzésre van szükség, elkerülheti a felhasználók folyamatos kérését, ami kellemetlen felhasználói élmény lehet.

Ez a legrugalmasabb módszer a kétlépéses ellenőrzés engedélyezésére a felhasználók számára. A feltételes hozzáférési szabályzatok engedélyezése csak a Microsoft Entra többtényezős hitelesítéséhez működik a felhőben, és a Microsoft Entra ID prémium funkciója. Erről a módszerről további információt a felhőalapú Microsoft Entra többtényezős hitelesítés üzembe helyezésében talál.

4. lehetőség: Többtényezős hitelesítés engedélyezése feltételes hozzáférési szabályzatokkal kockázatalapú feltételes hozzáférési szabályzatok kiértékelésével.
Előny: Ez a beállítás lehetővé teszi a következőket:

  • Észlelheti a szervezet identitásait érintő lehetséges biztonsági réseket.
  • Automatikus válaszokat konfigurálhat a szervezet identitásaihoz kapcsolódó gyanús műveletek észleléséhez.
  • Vizsgálja meg a gyanús incidenseket, és tegyen megfelelő lépéseket a megoldásuk érdekében.

Ez a módszer a Microsoft Entra ID-védelem kockázatelemzést használja annak megállapítására, hogy szükség van-e kétlépéses ellenőrzésre az összes felhőalkalmazás felhasználói és bejelentkezési kockázata alapján. Ehhez a módszerhez a Microsoft Entra ID P2 licencelése szükséges. Erről a módszerről a Microsoft Entra ID-védelem talál további információt.

Megjegyzés:

A 2. lehetőség, amely engedélyezi a többtényezős hitelesítést a felhasználói állapot módosításával, felülbírálja a feltételes hozzáférési szabályzatokat. Mivel a 3. és a 4. lehetőség feltételes hozzáférési szabályzatokat használ, nem használhatja velük a 2. lehetőséget.

Azok a szervezetek, amelyek nem adnak hozzá további identitásvédelmi rétegeket, például kétlépéses ellenőrzést, érzékenyebbek a hitelesítő adatok ellopásával kapcsolatos támadásokra. A hitelesítő adatokkal kapcsolatos lopási támadások adatmegsértéshez vezethetnek.

Szerepköralapú hozzáférés-vezérlés alkalmazása

A felhőbeli erőforrások hozzáférés-kezelése kritikus fontosságú minden olyan szervezet számára, amely a felhőt használja. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével kezelheti, hogy kinek van hozzáférése az Azure-erőforrásokhoz, mit tehetnek ezekkel az erőforrásokkal, és milyen területekhez férhetnek hozzá.

Az Egyes Azure-függvényekért felelős csoportok vagy egyéni szerepkörök tervezése segít elkerülni azokat a félreértéseket, amelyek biztonsági kockázatokat okozó emberi és automatizálási hibákhoz vezethetnek. A hozzáférés ismerete és a minimális jogosultsági biztonsági alapelvek alapján történő korlátozása elengedhetetlen azon szervezetek számára, amelyek biztonsági szabályzatokat szeretnének kikényszeríteni az adathozzáféréshez.

A biztonsági csapatnak átláthatóságra van szüksége az Azure-erőforrásokban a kockázatok felméréséhez és elhárításához. Ha a biztonsági csapat üzemeltetési feladatokkal rendelkezik, további engedélyekre van szükségük a munkájuk elvégzéséhez.

Az Azure RBAC használatával engedélyeket rendelhet felhasználókhoz, csoportokhoz és alkalmazásokhoz egy adott hatókörben. A szerepkörkiosztás hatóköre előfizetés, erőforráscsoport vagy egyetlen erőforrás is lehet.

Ajánlott eljárás: Különítse el a feladatokat a csapaton belül, és csak annyi hozzáférést biztosítson a felhasználóknak, hogy el tudják végezni a munkájukat. Ahelyett, hogy mindenki számára korlátlan engedélyeket adnának az Azure-előfizetésben vagy -erőforrásokban, csak bizonyos műveleteket engedélyezhet egy adott hatókörben.
Részletek: Az Azure beépített szerepköreivel jogosultságokat rendelhet a felhasználókhoz.

Megjegyzés:

Az egyes engedélyek szükségtelen összetettséghez és zavart okoznak, és olyan "örökölt" konfigurációba halmozódik fel, amelyet nehéz kijavítani anélkül, hogy félne valami feltörésétől. Kerülje az erőforrás-specifikus engedélyeket. Ehelyett használjon felügyeleti csoportokat a nagyvállalati szintű engedélyekhez és az erőforráscsoportokhoz az előfizetéseken belüli engedélyekhez. Kerülje a felhasználóspecifikus engedélyeket. Ehelyett rendeljen hozzá hozzáférést a csoportokhoz a Microsoft Entra-azonosítóban.

Ajánlott eljárás: Az Azure-feladatokkal rendelkező biztonsági csapatok számára hozzáférést biztosít az Azure-erőforrások megtekintéséhez, hogy felmérhessék és orvosolhassák a kockázatokat.
Részlet: Adja meg a biztonsági csapatoknak az Azure RBAC Biztonsági olvasó szerepkört. A felelősségi köröktől függően használhatja a gyökérszintű felügyeleti csoportot vagy a szegmenskezelési csoportot:

  • Az összes vállalati erőforrásért felelős csoportok gyökérszintű felügyeleti csoportja
  • Szegmenskezelési csoport korlátozott hatókörű csapatok számára (általában a szabályozási vagy egyéb szervezeti határok miatt)

Ajánlott eljárás: Adja meg a megfelelő engedélyeket a közvetlen üzemeltetési feladatokkal rendelkező biztonsági csapatoknak.
Részletek: Tekintse át az Azure beépített szerepköröket a megfelelő szerepkör-hozzárendeléshez. Ha a beépített szerepkörök nem felelnek meg a szervezet adott igényeinek, létrehozhat azure-beli egyéni szerepköröket. A beépített szerepkörökhöz hasonlóan egyéni szerepköröket is hozzárendelhet a felhasználókhoz, csoportokhoz és szolgáltatásnevekhez az előfizetés, az erőforráscsoport és az erőforrás-hatókörök esetében.

Ajánlott eljárások: Hozzáférést biztosít Felhőhöz készült Microsoft Defender a szükséges biztonsági szerepkörökhöz. Felhőhöz készült Defender lehetővé teszi a biztonsági csapatok számára a kockázatok gyors azonosítását és elhárítását.
Részletek: Az ilyen igényekkel rendelkező biztonsági csapatok hozzáadása az Azure RBAC Security Rendszergazda szerepkörhöz, így megtekinthetik a biztonsági szabályzatokat, megtekinthetik a biztonsági állapotokat, szerkeszthetik a biztonsági szabályzatokat, megtekinthetik a riasztásokat és a javaslatokat, valamint elutasíthatják a riasztásokat és a javaslatokat. Ezt a gyökérszintű felügyeleti csoport vagy a szegmenskezelési csoport használatával teheti meg, a felelősségi köröktől függően.

Azok a szervezetek, amelyek nem kényszerítik ki az adathozzáférés-vezérlést olyan képességek használatával, mint az Azure RBAC, a szükségesnél több jogosultságot adhatnak a felhasználóiknak. Ez adatmegsemmisítéshez vezethet azáltal, hogy lehetővé teszi a felhasználóknak, hogy olyan adattípusokat férjenek hozzá (például nagy üzleti hatást), amelyekkel nem kellene rendelkezniük.

A kiemelt fiókok alacsonyabb kitettsége

A kiemelt hozzáférés biztosítása kritikus fontosságú első lépés az üzleti eszközök védelme szempontjából. A biztonságos információkhoz vagy erőforrásokhoz hozzáféréssel rendelkező személyek számának minimalizálása csökkenti annak az esélyét, hogy egy rosszindulatú felhasználó hozzáférést kap, vagy ha egy jogosult felhasználó véletlenül érint egy bizalmas erőforrást.

A kiemelt fiókok olyan fiókok, amelyek informatikai rendszereket felügyelnek és kezelnek. A kibertámadások célja, hogy hozzáférjenek a szervezet adataihoz és rendszereihez. A kiemelt hozzáférés biztosítása érdekében el kell különítenie a fiókokat és rendszereket a rosszindulatú felhasználók számára való kitettség kockázatától.

Javasoljuk, hogy dolgozzon ki és kövesse az ütemtervet a kibertámadások elleni emelt szintű hozzáférés biztosítása érdekében. A Microsoft Entra ID, a Microsoft Azure, a Microsoft 365 és más felhőszolgáltatások által felügyelt vagy jelentett identitások és hozzáférések biztonságossá tételéhez szükséges részletes ütemterv létrehozásával kapcsolatos információkért tekintse át a Hibrid és felhőbeli környezetek kiemelt hozzáférésének biztonságossá tételét a Microsoft Entra ID-ban.

Az alábbiakban a Microsoft Entra ID-ban a hibrid és felhőbeli üzemelő példányok kiemelt hozzáférésének biztonságossá tételével kapcsolatos ajánlott eljárásokat foglalja össze:

Ajánlott eljárás: A kiemelt fiókokhoz való hozzáférés kezelése, szabályozása és monitorozása.
Részletek: A Microsoft Entra Privileged Identity Management bekapcsolása. A Privileged Identity Management bekapcsolása után értesítő e-maileket fog kapni a kiemelt hozzáférési szerepkör változásairól. Ezek az értesítések korai figyelmeztetést nyújtanak, ha a címtárban további felhasználókat adnak hozzá a magas jogosultsági szintű szerepkörökhöz.

Ajánlott eljárás: Győződjön meg arról, hogy minden kritikus rendszergazdai fiók felügyelt Microsoft Entra-fiók. Részletek: Távolítsa el a fogyasztói fiókokat a kritikus rendszergazdai szerepkörökből (például Microsoft-fiókok, például hotmail.com, live.com és outlook.com).

Ajánlott eljárás: Győződjön meg arról, hogy minden kritikus rendszergazdai szerepkör külön fiókkal rendelkezik a felügyeleti feladatokhoz, hogy elkerülje az adathalászatot és az egyéb támadásokat a rendszergazdai jogosultságok veszélyeztetése érdekében.
Részlet: Hozzon létre egy külön rendszergazdai fiókot, amely hozzárendelte a rendszergazdai feladatok elvégzéséhez szükséges jogosultságokat. Tiltsa le ezeknek a felügyeleti fiókoknak a használatát a napi hatékonyságnövelő eszközökhöz, például a Microsoft 365 e-mailjeihez vagy tetszőleges webböngészéshez.

Ajánlott eljárás: A magas jogosultsági szintű szerepkörökben lévő fiókok azonosítása és kategorizálása.
Részletek: A Microsoft Entra Privileged Identity Management bekapcsolása után tekintse meg a globális rendszergazda, a kiemelt szerepkör-rendszergazda és más kiemelt szerepkörök felhasználóit. Távolítsa el azokat a fiókokat, amelyekre már nincs szükség ezekben a szerepkörökben, és kategorizálja a rendszergazdai szerepkörökhöz rendelt többi fiókot:

  • Egyénileg hozzárendelve rendszergazdai felhasználókhoz, és nem adminisztratív célokra (például személyes e-mailekhez) használható.
  • Egyénileg hozzárendelve a rendszergazdai felhasználókhoz, és csak rendszergazdai célokra van kijelölve
  • Több felhasználó között megosztva
  • Vészhelyzeti hozzáférési forgatókönyvek esetén
  • Automatizált szkriptek esetén
  • Külső felhasználók számára

Ajánlott eljárás: A "just in time" (JIT) hozzáférés implementálása a jogosultságok expozíciós idejének további csökkentése és a kiemelt fiókok használatának láthatóságának növelése érdekében.
Részletek: A Microsoft Entra Privileged Identity Management a következőket teszi lehetővé:

  • Korlátozza a felhasználókat, hogy csak a jogosultságaikat használják a JIT-re.
  • Rövidített időtartamú szerepköröket rendelhet hozzá úgy, hogy a jogosultságok automatikusan vissza lesznek vonva.

Ajánlott eljárás: Definiáljon legalább két segélyhívási fiókot.
Részlet: A vészhelyzeti hozzáférési fiókok segítségével a szervezetek korlátozhatják a kiemelt hozzáférést egy meglévő Microsoft Entra-környezetben. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nem adott személyekhez vannak hozzárendelve. A vészhozzáférési fiókok olyan esetekre korlátozódnak, ahol a normál rendszergazdai fiókok nem használhatók. A szervezeteknek csak a szükséges időre kell korlátozniuk a segélyhívási fiók használatát.

Értékelje ki a globális rendszergazdai szerepkörhöz hozzárendelt vagy jogosult fiókokat. Ha nem lát csak felhőbeli fiókokat a *.onmicrosoft.com tartomány használatával (vészhelyzeti hozzáférésre szánt), hozza létre őket. További információ: Segélyhívási hozzáférés felügyeleti fiókok kezelése a Microsoft Entra-azonosítóban.

Ajánlott eljárás: Vészhelyzet esetén "üvegtörést" kell elvégezni.
Részletek: Kövesse a hibrid és felhőbeli üzemelő példányok kiemelt hozzáférésének biztonságossá tételével kapcsolatos lépéseket a Microsoft Entra ID-ban.

Ajánlott eljárás: Az összes kritikus rendszergazdai fiók jelszó nélküli (előnyben részesített) vagy többtényezős hitelesítés megkövetelése.
Részletek: A Microsoft Authenticator alkalmazássaljelszó nélkül jelentkezhet be bármely Microsoft Entra-fiókba. Az Vállalati Windows Hello-hez hasonlóan a Microsoft Authenticator kulcsalapú hitelesítéssel engedélyezi az eszközhöz kötött felhasználói hitelesítő adatokat, és biometrikus hitelesítést vagy PIN-kódot használ.

Többtényezős Microsoft Entra-hitelesítés megkövetelése bejelentkezéskor minden olyan egyéni felhasználó számára, aki véglegesen hozzárendelt egy vagy több Microsoft Entra-rendszergazdai szerepkörhöz: Globális Rendszergazda istrator, Privileged Role Rendszergazda istrator, Exchange Online Rendszergazda istrator és SharePoint Online Rendszergazda istrator. Engedélyezze a többtényezős hitelesítést a rendszergazdai fiókokhoz , és győződjön meg arról, hogy a rendszergazdai fiók felhasználói regisztráltak.

Ajánlott eljárás: Kritikus rendszergazdai fiókok esetén rendelkeznie kell egy rendszergazdai munkaállomással, ahol az éles feladatok nem engedélyezettek (például böngészés és e-mailezés). Ez megvédi a rendszergazdai fiókokat a böngészést és az e-maileket használó támadási vektoroktól, és jelentősen csökkenti a nagyobb incidensek kockázatát.
Részletek: Rendszergazdai munkaállomás használata. Válassza ki a munkaállomás biztonságának szintjét:

  • A rendkívül biztonságos hatékonyságnövelő eszközök fokozott biztonságot nyújtanak a böngészéshez és az egyéb termelékenységi feladatokhoz.
  • A privileged Access-munkaállomások (PAW-k) dedikált operációs rendszert biztosítanak, amely védett az internetes támadásoktól és a bizalmas feladatok fenyegetésvektoraitól.

Ajánlott eljárás: Rendszergazdai fiókok megszüntetése, amikor az alkalmazottak elhagyják a szervezetet.
Részletek: Olyan folyamattal rendelkezik, amely letiltja vagy törli a rendszergazdai fiókokat, amikor az alkalmazottak kilépnek a szervezetből.

Ajánlott eljárás: A rendszergazdai fiókok rendszeres tesztelése az aktuális támadási technikák használatával.
Részletek: A Microsoft 365 támadásszimulátor vagy egy külső ajánlat használatával valós támadási forgatókönyveket futtathat a szervezetben. Ez segít megtalálni a sebezhető felhasználókat, mielőtt valódi támadás történik.

Ajánlott eljárás: Lépéseket kell tennie a leggyakrabban használt támadási technikák enyhítésére.
Részlet: A munkahelyi vagy iskolai fiókokra átállítandó rendszergazdai szerepkörökben lévő Microsoft-fiókok azonosítása

Külön felhasználói fiókok és levelezési továbbítás biztosítása a globális rendszergazdai fiókokhoz

Győződjön meg arról, hogy a rendszergazdai fiókok jelszavai nemrég megváltoztak

Jelszókivonat-szinkronizálás bekapcsolása

Többtényezős hitelesítés megkövetelése az összes kiemelt szerepkörben lévő felhasználók, valamint a közzétett felhasználók számára

Szerezze be a Microsoft 365 biztonságos pontszámát (ha a Microsoft 365-öt használja)

Tekintse át a Microsoft 365 biztonsági útmutatóját (ha a Microsoft 365-öt használja)

A Microsoft 365 tevékenységfigyelésének konfigurálása (Ha a Microsoft 365-öt használja)

Incidens-/vészhelyzet-elhárítási terv tulajdonosainak létrehozása

Helyszíni emelt szintű rendszergazdai fiókok biztonságossá tétele

Ha nem biztosít kiemelt hozzáférést, előfordulhat, hogy túl sok felhasználója van magas jogosultsági szintű szerepkörökben, és sebezhetőbb a támadásokkal szemben. A rosszindulatú szereplők, beleértve a kiber támadókat is, gyakran a rendszergazdai fiókokat és a kiemelt hozzáférés egyéb elemeit célják meg, hogy hitelesítő adatok ellopásával hozzáférjenek a bizalmas adatokhoz és rendszerekhez.

Az erőforrások létrehozásának helyeinek szabályozása

Nagyon fontos, hogy a felhőüzemeltetők elvégezhessék a feladatokat, és megakadályozzák, hogy megszegjék a szervezet erőforrásainak kezeléséhez szükséges konvenciók megszegését. Azoknak a szervezeteknek, amelyek szabályozni szeretnék az erőforrások létrehozásának helyét, szigorúan kódolniuk kell ezeket a helyeket.

Az Azure Resource Manager használatával olyan biztonsági szabályzatokat hozhat létre, amelyek definíciói a kifejezetten elutasított műveleteket vagy erőforrásokat írják le. Ezeket a szabályzatdefiníciókat a kívánt hatókörhöz rendelheti, például az előfizetéshez, az erőforráscsoporthoz vagy egy egyéni erőforráshoz.

Megjegyzés:

A biztonsági szabályzatok nem azonosak az Azure RBAC-vel. Valójában az Azure RBAC használatával engedélyezik a felhasználók számára ezen erőforrások létrehozását.

Azok a szervezetek, amelyek nem szabályozzák az erőforrások létrehozásának módját, érzékenyebbek azokra a felhasználókra, akik a szükségesnél több erőforrás létrehozásával visszaélhetnek a szolgáltatással. Az erőforrás-létrehozási folyamat megkeményedése fontos lépés a több-bérlős forgatókönyvek biztonságossá tételéhez.

Gyanús tevékenységek aktív figyelése

Az aktív identitásfigyelő rendszer gyorsan észleli a gyanús viselkedést, és riasztást indít el a további vizsgálathoz. Az alábbi táblázat a Microsoft Entra azon képességeit sorolja fel, amelyek segíthetnek a szervezeteknek az identitásaik monitorozásában:

Ajánlott eljárás: Legyen egy módszer, amellyel azonosíthatja a következőt:

  • Nyomkövetés nélkül próbál bejelentkezni.
  • Találgatásos támadás egy adott fiók ellen.
  • Több helyről próbál bejelentkezni.
  • Bejelentkezés fertőzött eszközökről.
  • Gyanús IP-címek.

Részletek: A Microsoft Entra ID P1 vagy P2 anomáliajelentések használata. Az informatikai rendszergazdáknak napi szinten vagy igény szerint kell futtatniuk ezeket a jelentéseket (általában incidenskezelési forgatókönyvekben).

Ajánlott eljárás: Olyan aktív monitorozási rendszerrel rendelkezik, amely értesíti Önt a kockázatokról, és a kockázati szintet (magas, közepes vagy alacsony) az üzleti igényeihez igazíthatja.
Részletek: Használja a Microsoft Entra ID-védelem, amely megjelöli az aktuális kockázatokat a saját irányítópultján, és napi összefoglaló értesítéseket küld e-mailben. A szervezet identitásainak védelme érdekében olyan kockázatalapú szabályzatokat konfigurálhat, amelyek automatikusan reagálnak az észlelt problémákra egy adott kockázati szint elérésekor.

Azok a szervezetek, amelyek nem figyelik aktívan az identitásrendszerüket, fennáll a veszélye annak, hogy a felhasználói hitelesítő adatok sérülnek. Anélkül, hogy a gyanús tevékenységek ezeken a hitelesítő adatokon keresztül történnek, a szervezetek nem tudják enyhíteni az ilyen típusú fenyegetéseket.

A Microsoft Entra ID használata tárhitelesítéshez

Az Azure Storage a Blob Storage és a Queue Storage Microsoft Entra-azonosítójával támogatja a hitelesítést és az engedélyezést. A Microsoft Entra-hitelesítéssel az Azure szerepköralapú hozzáférés-vezérlésével adott engedélyeket adhat a felhasználóknak, csoportoknak és alkalmazásoknak egy adott blobtároló vagy üzenetsor hatókörébe.

Javasoljuk, hogy a Microsoft Entra-azonosítót használja a tárterülethez való hozzáférés hitelesítéséhez.

Következő lépés

Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használandó ajánlott biztonsági eljárásokért.