A Microsoft identitás- és hozzáférés-kezelési ajánlott biztonsági eljárásai

A felhőalapú architektúrában az identitás a biztonsági biztosítékok nagy százalékának alapját biztosítja. Bár a régi informatikai infrastruktúra gyakran nagy mértékben támaszkodik a tűzfalakra és a hálózati biztonsági megoldásokra az internetes kimenő pontokon a külső fenyegetések elleni védelem érdekében, ezek a vezérlők kevésbé hatékonyak a felhőarchitektúrákban, ha a megosztott szolgáltatások a felhőszolgáltató hálózatokon vagy az interneten keresztül érhetők el.

Nehéz vagy lehetetlen tömör tűzfalszabályokat írni, ha nem szabályozza azokat a hálózatokat, ahol ezek a szolgáltatások futnak, a különböző felhőerőforrások dinamikusan lépnek fel és lépnek fel, a felhőbeli ügyfelek megoszthatják a közös infrastruktúrát, és az alkalmazottak és a felhasználók elvárják, hogy bárhonnan hozzáférhessenek az adatokhoz és szolgáltatásokhoz. Ezeknek a képességeknek az engedélyezéséhez a felhőszolgáltatások identitáshitelesítési és engedélyezési vezérlői alapján kell kezelnie a hozzáférést az adatok és erőforrások védelme, valamint annak eldöntése érdekében, hogy mely kérések legyenek engedélyezve.

Emellett egy felhőalapú identitáskezelési megoldás, például az Azure Active Directory (Azure AD) olyan további biztonsági funkciókat is kínál, amelyeket a régi identitásszolgáltatások nem tudnak, mert a fenyegetésfelderítést a láthatóságukból számos ügyfél nagy mennyiségű hozzáférési kérésébe és fenyegetésébe alkalmazhatják.

Egyetlen vállalati címtár

Ajánlott eljárás: Egyetlen vállalati címtár létrehozása a teljes munkaidős alkalmazottak és a vállalati erőforrások identitásainak kezeléséhez.

Az identitások egyetlen mérvadó forrása növeli az informatikai és biztonsági szerepkörök átláthatóságát és konzisztenciáját. Ez csökkenti az összetettségből eredő emberi hibák és automatizálási hibák biztonsági kockázatát. Egyetlen mérvadó forrással rendelkező csapatok, amelyeknek módosítaniuk kell a címtárat, egy helyen tehetik meg, és biztosak lehetnek abban, hogy a módosításuk mindenhol érvénybe lép.

Az Azure-ban jelöljön ki egyetlen Azure AD bérlőt a szervezeti fiókok mérvadó forrásaként.

További információ: Mi a hibrid identitás?

Szinkronizált identitásrendszerek

Ajánlott eljárás: Szinkronizálja a felhőbeli identitást a meglévő identitásrendszerekkel.

Az identitások felhőbeli és helyszíni konzisztenciája csökkenti az emberi hibákat és az ebből eredő biztonsági kockázatokat. Az erőforrásokat mindkét környezetben kezelő csapatoknak egységes mérvadó forrásra van szükségük a biztonsági garanciák eléréséhez.

Az Azure-ban szinkronizálja a Azure AD a meglévő mérvadó helyszíni Active Directory tartományi szolgáltatások (AD DS) hibrid identitással.

Ez a Office 365 migráláshoz is szükséges, ezért gyakran már az Azure-beli migrálási és fejlesztési projektek megkezdése előtt megtörténik.

Felhőszolgáltatói identitásforrás harmadik felek számára

Ajánlott eljárás: A felhőalapú identitásszolgáltatások használatával nem alkalmazotti fiókokat, például szállítókat, partnereket és ügyfeleket üzemeltethet ahelyett, hogy belevenni őket a helyszíni címtárba.

Ez csökkenti a kockázatot azáltal, hogy a teljes munkaidős alkalmazottaknak biztosított teljes alapértelmezett engedélyek helyett megfelelő szintű hozzáférést ad a külső entitásokhoz. Ez a legalacsonyabb jogosultsági szintű megközelítés és a külső fiókok egyértelműen megkülönböztetése a vállalati alkalmazottaktól megkönnyíti az ilyen vektorokból érkező támadások megelőzését és észlelését. Ezen kívül az identitások kezelését a külső végzi, és növeli a felek termelékenységét is, csökkentve a vállalati HR- és informatikai csapatok által igényelt erőfeszítéseket.

Ezek a képességek például natív módon integrálhatók ugyanabba a Azure AD identitás- és engedélymodellbe, amelyet az Azure és Office 365 használnak:

További információ: Azure AD összevonási kompatibilitási lista.

Jelszó nélküli vagy többtényezős hitelesítés rendszergazdai fiókokhoz

Ajánlott eljárás: Minden felhasználót át kell alakítani jelszó nélküli hitelesítésre vagy többtényezős hitelesítésre (MFA) az idő múlásával.

A javaslat részletei a rendszergazdai szakaszban találhatók jelszó nélküli vagy többtényezős hitelesítéssel

Ugyanez a javaslat minden felhasználóra vonatkozik, de először és a legerősebben kell alkalmazni a rendszergazdai jogosultságokkal rendelkező fiókokra.

A felügyelt identitásokat használó alkalmazások is csökkenthetik a jelszavak használatát, hogy hozzáférést biztosítsanak az Azure-beli erőforrásokhoz.

Régi hitelesítési folyamat letiltása

Ajánlott eljárás: Tiltsa le az internetkapcsolattal rendelkező szolgáltatások nem biztonságos örökölt protokolljait.

Az örökölt hitelesítési módszerek a felhőben üzemeltetett szolgáltatások leggyakoribb támadási vektorai közé tartoznak. A többtényezős hitelesítés előtt létrehozott örökölt protokollok nem támogatják a jelszavakon túli további tényezőket, ezért elsődleges célpontjai a jelszószórásnak, a szótárnak vagy a találgatásos támadásoknak. Példaként az Office 365 ügyfelek elleni jelszópermetes támadások közel 100%-a régi protokollokat használ. Emellett ezek a régebbi protokollok gyakran nem használnak más támadási ellenintézkedéseket, például fiókzárolásokat vagy visszatartási időzítőket. A Microsoft felhőjében futó, örökölt protokollokat blokkoló szolgáltatások 66%-kal csökkentették a sikeres fiók-biztonsági réseket.

Az Azure-beli és más Azure AD-alapú fiókok esetében konfigurálja a feltételes hozzáférést az örökölt protokollok blokkolásához.

A régi hitelesítés letiltása nehéz lehet, mivel egyes felhasználók nem feltétlenül szeretnének a modern hitelesítési módszereket támogató új ügyfélszoftverre váltani. Az örökölt hitelesítéstől való eltávolodás azonban fokozatosan elvégezhető. Első lépésként használja a metrikákat és a hitelesítésszolgáltatótól származó naplózást annak megállapításához, hogy hány felhasználó hitelesít még a régi ügyfelekkel. Ezután tiltsa le a nem használt alacsonyabb szintű protokollokat, és állítsa be a feltételes hozzáférést minden olyan felhasználó számára, aki nem használ örökölt protokollokat. Végül adjon sok értesítést és útmutatást a felhasználóknak arról, hogyan frissíthet, mielőtt blokkolná az örökölt hitelesítést az összes szolgáltatás minden felhasználója számára protokollszinten.

Nincs helyszíni rendszergazdai fiók a felhőbeli identitásszolgáltatókban

Ajánlott eljárás: Ne szinkronizálja a kiemelt jogosultságú Active Directory tartományi szolgáltatások-fiókokat (például tartomány-, vállalati és sémaadminisztrátorokat) a Azure AD.

Ez csökkenti annak kockázatát, hogy egy támadó a felhőalapú fiók sikeres feltörése után teljes körű ellenőrzést hajt végre a helyszíni eszközök felett. Ez segít az incidens hatókörének jelentős növekedésében.

Ez a kritikus hatású fiókfüggőségekre vonatkozó útmutatóhoz kapcsolódik, amely csökkenti a helyszíni és a felhőbeli eszközök közötti kimutatás inverz kockázatát.

Modern jelszóvédelem

Ajánlott eljárás: Modern és hatékony védelmet biztosít a jelszó nélküli fiókokhoz (rendszergazdai jelszó nélküli vagy többtényezős hitelesítés).

Az örökölt identitásszolgáltatók többnyire ellenőrizték, hogy a jelszavak karaktertípusai és minimális hossza jó-e, de megtanultuk, hogy ezek a vezérlők a gyakorlatban kevesebb entrópiával rendelkező jelszavakat eredményeztek, amelyek könnyebben feltörhetők:

Az identitáskezelési megoldásoknak képesnek kell lenniük reagálni azokra a támadásokra, amelyek egy-két évtizeddel ezelőtt még nem léteztek, mint például a jelszófelfújások, a biztonsági rések visszajátszásai (más néven "hitelesítő adatok kitömése"), amelyek más webhelyek feltöréseiből származó felhasználónév-jelszó párokat tesztelnek, valamint adathalászati támadások. A felhőbeli identitásszolgáltatók egyedi helyzetben vannak, hogy védelmet nyújtsanak ezekkel a támadásokkal szemben. Mivel ilyen nagy mennyiségű bejelentkezést kezelnek, jobb anomáliadetektálást alkalmazhatnak, és különböző adatforrások használatával proaktív módon értesíthetik a vállalatokat, ha a felhasználói jelszavukat más incidensekben találták meg, valamint ellenőrizhetik, hogy az adott bejelentkezések jogszerűnek tűnnek-e, és nem egy váratlan vagy ismert kártékony gazdagépről származnak-e.

Emellett a jelszavak felhőbe történő szinkronizálása ezen ellenőrzések támogatása érdekében bizonyos támadások során rugalmasságot is biztosít. A (nem)Petya-támadások által érintett ügyfelek folytathatták az üzleti műveleteket, amikor a jelszókivonatok szinkronizálva lettek Azure AD (szemben a közel nulla kommunikációval és az ügyfelek informatikai szolgáltatásaival, amelyek olyan szervezeteket érintettek, amelyek nem szinkronizálták a jelszavakat).

Az Azure-ban engedélyezze a modern védelmet Azure AD az alábbi lépésekkel:

  1. A jelszókivonat-szinkronizálás implementálása Azure AD Connect-szinkronizálással

  2. Adja meg, hogy automatikusan orvosolja-e ezeket a problémákat, vagy manuálisan orvosolja őket egy jelentés alapján:

    a. Automatikus kényszerítés – Magas kockázatú jelszavak automatikus szervizelése feltételes hozzáféréssel Azure AD Identity Protection-kockázatértékelések használatával

    b. Jelentés & Manuális szervizelés – Jelentések megtekintése és fiókok manuális szervizelése

Az Identity Protection kockázati események API-jának használatával programozott hozzáférést kaphat a biztonsági észlelésekhez a Microsoft Graph használatával.

Platformfüggetlen hitelesítő adatok kezelése

Ajánlott eljárás: Egyetlen identitásszolgáltatót használhat az összes platform (Windows, Linux és egyéb) és felhőszolgáltatás hitelesítéséhez.

Az összes vállalati eszköz egyetlen identitásszolgáltatója leegyszerűsíti a felügyeletet és a biztonságot, minimalizálva a felügyelet vagy az emberi hibák kockázatát. Több identitáskezelési megoldás (vagy egy hiányos megoldás) üzembe helyezése végrehajthatatlan jelszószabályzatokat eredményezhet, a jelszavak nem állíthatók alaphelyzetbe a biztonsági incidensek után, a jelszavak elterjedése (gyakran nem biztonságosan tárolva), valamint a korábbi alkalmazottak a megszüntetés után megőrzik a jelszavakat.

A hitelesítéshez például Azure AD használható:

Feltételes hozzáférés Teljes felügyelet

Ajánlott eljárás: Az összes felhasználó hitelesítésének tartalmaznia kell a kulcsbiztonsági attribútumok mérését és érvényesítését egy Teljes felügyelet stratégia támogatásához.

A javaslat részletei a Common Teljes felügyelet identitás- és eszközhozzáférés-szabályzatokban találhatók. Ugyanez a javaslat minden felhasználóra vonatkozik, de először a rendszergazdai jogosultságokkal rendelkező fiókokra kell alkalmazni.

A felügyelt identitásokat használó alkalmazások is csökkenthetik a jelszavak használatát, hogy hozzáférést biztosítsanak az Azure-beli erőforrásokhoz.

Támadásszimuláció

Ajánlott eljárás: Rendszeresen szimulálja a felhasználók elleni támadásokat, hogy megtanítsa és felkészítse őket.

Az emberek kritikus fontosságú részét képezik a védelemnek, ezért győződjön meg arról, hogy rendelkeznek a támadások elkerüléséhez és az ellenük való védekezéshez szükséges tudással és képességekkel, csökkentik az általános szervezeti kockázatot.

A támadásszimulátort használhatja Office 365-höz készült Microsoft Defender vagy tetszőleges számú külső ajánlatban.

Következő lépés

Tekintse át az identitás- és eszközhozzáférési képességeket.

Lásd még

Teljes felügyelet biztonsági modell és keretrendszer

A Microsoft biztonsági dokumentációi