Emelt szintű hozzáférés: Közvetítők

A közvetítő eszközök biztonsága a kiemelt hozzáférés biztosításának kritikus összetevője.

A közvetítők a felhasználó vagy a rendszergazda teljes körű munkamenetének teljes körű megbízhatósági garanciáira mutató hivatkozást adnak hozzá, így a munkamenetben fenn kell tartaniuk (vagy javítaniuk kell) a teljes körű megbízhatósági biztonsági garanciákat. A közvetítők közé tartoznak például a virtuális magánhálózatok (VPN-ek), a jump-kiszolgálók, a virtuális asztali infrastruktúra (VDI), valamint az alkalmazások hozzáférési proxykon keresztüli közzététele.

What is an intermediary?

A támadók támadhatnak egy közvetítőt, hogy megkísérlik eszkalálni a jogosultságokat a rajtuk tárolt hitelesítő adatokkal, hálózati távelérést kérhetnek a vállalati hálózatokhoz, vagy kihasználhatják az eszköz megbízhatóságát, ha a zéró megbízhatósági hozzáférési döntésekhez használják őket. A közvetítők megcélzása túlságosan általánossá vált, különösen az olyan szervezetek számára, amelyek nem tartják szigorúan fenn az eszközök biztonsági helyzetét. Ilyenek például a VPN-eszközökről gyűjtött hitelesítő adatok.

Intermediary types and risks

A közvetítők rendeltetése és technológiája eltérő, de általában távelérést, munkamenet-biztonságot vagy mindkettőt biztosít:

  • Távelérés – Vállalati hálózatokon lévő rendszerekhez való hozzáférés engedélyezése az internetről
  • Munkamenet-biztonság – A munkamenetek biztonsági védelmének és láthatóságának növelése
    • Nem felügyelt eszközök forgatókönyve – Felügyelt virtuális asztal biztosítása, amelyhez nem felügyelt eszközök (például személyes alkalmazottak eszközei) és/vagy egy partner/szállító által felügyelt eszközök férhetnek hozzá.
    • Rendszergazdai biztonsági forgatókönyv – Felügyeleti útvonalak konszolidálása és/vagy a biztonság növelése igény szerint hozzáféréssel, munkamenet-figyeléssel és rögzítéssel, valamint hasonló képességekkel.

Annak biztosításához, hogy a biztonsági garanciák az eredeti eszköztől és fióktól az erőforrás-interfészig fennmaradjanak, meg kell ismerni a közvetítő és a kockázatcsökkentési lehetőségek kockázati profilját.

Támadó lehetősége és értéke

A különböző köztes típusok egyedi funkciókat látnak el, így mindegyikhez más biztonsági megközelítés szükséges, bár vannak olyan kritikus közös jellemzők, mint például a biztonsági javítások gyors alkalmazása a berendezésekre, a belső vezérlőprogramra, az operációs rendszerekre és az alkalmazásokra.

Comparing attacker opportunity and value for given intermediaries

A támadói lehetőséget az elérhető támadási felület képviseli, amelyet egy támadási operátor a következő célpontként használhat:

  • Az olyan natív felhőszolgáltatások , mint az Azure AD PIM, az Azure Bastion és az Azure AD-alkalmazásproxy korlátozott támadási felületet kínálnak a támadók számára. Bár a nyilvános interneten elérhetők, az ügyfeleknek (és a támadóknak) nincs hozzáférésük a szolgáltatásokat nyújtó mögöttes operációs rendszerekhez, és általában a felhőszolgáltató automatizált mechanizmusai segítségével tartják karban és figyelik őket következetesen. Ez a kisebb támadási felület korlátozza a támadók és a klasszikus helyszíni alkalmazások és berendezések rendelkezésre álló lehetőségeit, amelyeket az informatikai személyzetnek kell konfigurálnia, javítania és figyelnie, akik gyakran túlterhelik az ütköző prioritásokat és több biztonsági feladatot, mint amennyit el kell végezniük.
  • A virtuális magánhálózatok (VPN-ek) és a távoli asztaliugrókiszolgálók / gyakran jelentős támadói lehetőségekkel rendelkeznek, mivel az interneten keresztül elérhetők a távelérés biztosításához, és ezeknek a rendszereknek a karbantartása gyakran elhanyagolt. Bár csak néhány hálózati port van elérhetővé téve, a támadóknak csak egy nem kicsomagolt szolgáltatáshoz kell hozzáférniük egy támadáshoz.
  • A külső PIM-/PAM-szolgáltatásokat gyakran üzemeltetik a helyszínen vagy virtuális gépként szolgáltatott infrastruktúrán (IaaS), és általában csak intranetes gazdagépek számára érhetők el. Bár nem érhető el közvetlenül az internet, egyetlen feltört hitelesítő adat lehetővé teheti, hogy a támadók VPN-en vagy más távelérési adathordozón keresztül férhessenek hozzá a szolgáltatáshoz.

A támadó értéke azt jelzi, hogy a támadó mit nyerhet egy közvetítő veszélyeztetésével. A biztonsági rést úgy definiáljuk, mint egy támadót, aki teljes hozzáféréssel rendelkezik az alkalmazáshoz/virtuális géphez és/vagy a felhőszolgáltatás ügyfélpéldányának rendszergazdájához.

A támadók által a támadás következő szakaszában a közvetítőtől begyűjthető összetevők a következők:

  • Hálózati kapcsolat lekérése a nagyvállalati hálózatok legtöbb erőforrásával vagy az összes erőforrással való kommunikációhoz. Ezt a hozzáférést általában VPN-ek és távoli asztali/jump kiszolgálói megoldások biztosítják. Bár az Azure Bastion és az Azure AD-alkalmazásproxy (vagy hasonló külső megoldás) is biztosít távelérést, ezek a megoldások általában alkalmazás- vagy kiszolgálóspecifikus kapcsolatok, és nem biztosítanak általános hálózati hozzáférést
  • Eszközidentitás megszemélyesítése – legyőzheti a bizalmatlanság nélküli mechanizmusokat, ha egy eszközre szükség van a hitelesítéshez, és/vagy ha a támadó arra használja, hogy intelligenciát gyűjtsön a célhálózatokon. A biztonsági üzemeltetési csapatok gyakran nem figyelik szorosan az eszközfiókok tevékenységeit, és csak a felhasználói fiókokra összpontosítanak.
  • Fiók hitelesítő adatainak ellopása az erőforrásokhoz való hitelesítéshez, amely a támadók legértékesebb adategysége, mivel lehetővé teszi jogosultságok emelését a végső cél eléréséhez vagy a támadás következő szakaszához. A távoli asztali / jump kiszolgálók és a harmadik féltől származó PIM/PAM a legvonzóbb célpontok, és a "Minden tojás egy kosárban" dinamikusan jelenik meg, nagyobb támadóértékkel és biztonsági kockázatcsökkentéssel:
    • A PIM-/PAM-megoldások általában a legtöbb vagy az összes emelt szintű szerepkör hitelesítő adatait tárolják a szervezetben, így rendkívül jövedelmező célpontok a biztonság sérüléséhez vagy fegyverezéséhez.
    • Az Azure AD PIM nem teszi lehetővé a támadók számára a hitelesítő adatok ellopásának lehetőségét, mivel feloldja az MFA-t vagy más munkafolyamatokat használó fiókhoz már hozzárendelt jogosultságokat, a rosszul megtervezett munkafolyamatok azonban lehetővé tehetik a támadók számára a jogosultságok eszkalálását.
    • A rendszergazdák által használt távoli asztali/ugrókiszolgálók olyan gazdagépet biztosítanak, amelyen számos vagy az összes bizalmas munkamenet áthalad, így a támadók szabványos hitelesítőadat-lopási támadási eszközökkel ellophatják és újra felhasználhatják ezeket a hitelesítő adatokat.
    • A VPN-ek tárolhatják a hitelesítő adatokat a megoldásban, így a támadók potenciálisan eszkalálhatják a jogosultságok tárházát, ami azt eredményezi, hogy érdemes az Azure AD-t használni a hitelesítéshez a kockázat csökkentése érdekében.

Köztes biztonsági profilok

Ezeknek a biztosítékoknak a megállapításához biztonsági ellenőrzések kombinációjára van szükség, amelyek közül néhány sok közvetítő esetében közös, mások pedig a közvetítő típusára jellemzőek.

Intermediaries as a link in the Zero Trust chain

A közvetítő egy olyan hivatkozás a teljes hozzáférésű láncban, amely egy felületet jelenít meg a felhasználók/eszközök számára, majd engedélyezi a hozzáférést a következő felülethez. A biztonsági vezérlőknek foglalkozniuk kell a bejövő kapcsolatokkal, magának a köztes eszköznek/alkalmazásnak/szolgáltatásnak a biztonságával, és (ha van ilyen) nulla megbízhatóságú biztonsági jeleket kell biztosítaniuk a következő felülethez.

Gyakori biztonsági vezérlők

A közvetítők általános biztonsági elemei a nagyvállalati és speciális szintek megfelelő biztonsági higiéniáinak fenntartására összpontosítanak, és további jogosultságbiztonsági korlátozásokat is tartalmaznak.

Common security controls for intermediaries

Ezeket a biztonsági ellenőrzéseket minden közvetítőtípusra alkalmazni kell:

  • Bejövő kapcsolatok biztonságának kényszerítése – Az Azure AD és a feltételes hozzáférés használatával biztosíthatja, hogy az eszközökről és fiókokból érkező összes bejövő kapcsolat ismert, megbízható és engedélyezett legyen. További információ: Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and special.
  • Megfelelő rendszerkarbantartás – Minden közvetítőnek be kell tartania a megfelelő biztonsági higiéniai gyakorlatokat, beleértve a következőket:
    • Biztonságos konfiguráció – Kövesse a gyártó vagy az iparág biztonsági konfigurációjának alapkonfigurációit és ajánlott eljárásait mind az alkalmazáshoz, mind az alapul szolgáló operációs rendszerekhez, felhőszolgáltatásokhoz vagy más függőségekhez. A Microsoft vonatkozó útmutatása tartalmazza az Azure biztonsági alapkonfigurációját és a Windows alapkonfigurációit.
    • Gyors javítás – A szállítóktól származó biztonsági frissítéseket és javításokat a kiadás után gyorsan kell alkalmazni.
  • A szerepköralapú hozzáférés-vezérlési (RBAC) modelleket a támadók visszaélhetik a jogosultságok eszkalálása érdekében. A közvetítő RBAC-modelljét alaposan át kell vizsgálni annak biztosítása érdekében, hogy csak a specializált vagy emelt szintű védelem alatt álló személyek kapjanak rendszergazdai jogosultságot. Ennek a modellnek tartalmaznia kell minden mögöttes operációs rendszert vagy felhőszolgáltatást (gyökérfiókjelszó, helyi rendszergazdai felhasználók/csoportok, bérlői rendszergazdák stb.).
  • Végpontészlelés és -válasz (EDR) és kimenő megbízhatósági jel – A teljes operációs rendszert tartalmazó eszközöket egy olyan EDR-vel kell figyelni és védeni, mint a Microsoft Defender for Endpoint. Ezt a vezérlőt úgy kell konfigurálni, hogy eszközmegfelelési jeleket biztosítson a feltételes hozzáférés számára, hogy a szabályzat kikényszerítse ezt a követelményt a felületeken.

A kiemelt közvetítők további biztonsági vezérlőket igényelnek:

  • Szerepköralapú hozzáférés-vezérlés (RBAC) – A rendszergazdai jogosultságokat csak olyan kiemelt szerepkörökre kell korlátozni, amelyek megfelelnek a munkaállomások és fiókok szabványának.
  • Dedikált eszközök (nem kötelező) – a kiemelt munkamenetek rendkívüli érzékenysége miatt a szervezetek dönthetnek úgy, hogy a kiemelt szerepkörökhöz tartozó köztes funkciók dedikált példányait implementálják. Ez a vezérlő további biztonsági korlátozásokat tesz lehetővé ezen kiemelt közvetítők számára, valamint a kiemelt szerepkörök tevékenységeinek szorosabb monitorozását.

Biztonsági útmutató az egyes közvetítőtípusokhoz

Ez a szakasz az egyes közvetítőtípusokra egyedi biztonsági útmutatást tartalmaz.

Privileged Access Management /Privileged Identity Management

A kifejezetten biztonsági használati esetekhez tervezett közvetítők egyik típusa a privileged identity management/privileged access management (PIM/PAM) megoldások.

Használati esetek és forgatókönyvek PIM-hez/PAM-hez

A PIM-/PAM-megoldások úgy lettek kialakítva, hogy növeljék a biztonsági garanciákat a speciális vagy emelt szintű profilok által lefedett bizalmas fiókok esetében, és általában elsősorban az informatikai rendszergazdákra összpontosítanak.

Bár a funkciók eltérőek a PIM-/PAM-szállítók között, számos megoldás nyújt biztonsági képességeket:

  • A szolgáltatásfiókok kezelésének és a jelszavak rotálásának egyszerűsítése (kritikus fontosságú képesség)

  • Speciális munkafolyamatok biztosítása igény szerinti hozzáféréshez (JIT)

  • Felügyeleti munkamenetek rögzítése és figyelése

    Fontos

    A PIM-/PAM-képességek kiváló megoldásokat biztosítanak bizonyos támadások esetén, de nem kezelik a magas hozzáférési kockázatokat, különösen az eszközök biztonságának sérülését. Míg egyes szállítók azt támogatják, hogy a PIM/PAM-megoldásuk egy "ezüstjeles" megoldás, amely mérsékelheti az eszközök kockázatát, az ügyfélesemények vizsgálatával kapcsolatos tapasztalataink következetesen bizonyították, hogy ez a gyakorlatban nem működik.

    A munkaállomás vagy eszköz vezérlésével rendelkező támadók használhatják ezeket a hitelesítő adatokat (és a hozzájuk rendelt jogosultságokat), miközben a felhasználó bejelentkezik (és gyakran ellophatják a hitelesítő adatokat későbbi használatra is). A PIM-/PAM-megoldások önmagukban nem tudják konzisztensen és megbízhatóan látni és csökkenteni ezeket az eszközkockázatokat, ezért különálló eszköz- és fiókvédelemmel kell rendelkezniük, amelyek kiegészítik egymást.

Biztonsági kockázatok és javaslatok a PIM-hez/PAM-hoz

Az egyes PIM-/PAM-szállítók képességei eltérőek a biztonságossá tétel módjától, ezért tekintse át és kövesse a gyártó konkrét biztonsági konfigurációs javaslatait és ajánlott eljárásait.

Megjegyzés

Győződjön meg arról, hogy beállít egy második személyt az üzletileg kritikus munkafolyamatokban, hogy segítsen csökkenteni a belső kockázatokat (növeli a költségeket/súrlódást a belső fenyegetések által történő lehetséges összejátszás esetén).

Végfelhasználói virtuális magánhálózatok

A virtuális magánhálózatok (VPN-ek) olyan közvetítők, amelyek teljes hálózati hozzáférést biztosítanak a távoli végpontokhoz, általában megkövetelik a végfelhasználó hitelesítését, és helyileg tárolhatják a hitelesítő adatokat a bejövő felhasználói munkamenetek hitelesítéséhez.

Megjegyzés

Ez az útmutató csak a felhasználók által használt "pont–hely" VPN-ekre vonatkozik, nem pedig a "helyek közötti" VPN-ekre, amelyeket általában az adatközpontok/alkalmazások kapcsolataihoz használnak.

Használati esetek és forgatókönyvek VPN-ekhez

A VPN-ek távoli kapcsolatot létesítenek a vállalati hálózattal, hogy lehetővé tegyék az erőforrások elérését a felhasználók és a rendszergazdák számára.

Biztonsági kockázatok és javaslatok VPN-ekre vonatkozóan

A VPN-közvetítők számára a legkritikusabb kockázatok a karbantartás elhanyagolása, a konfigurációs problémák és a hitelesítő adatok helyi tárolása.

A Microsoft a VPN-közvetítők vezérlőinek kombinációját javasolja:

  • Az Azure AD-hitelesítés integrálása – a helyileg tárolt hitelesítő adatok kockázatának csökkentése vagy kiküszöbölése (és a karbantartásukhoz szükséges többletterhelés), valamint a megbízhatósági szabályzatok kikényszerítése feltételes hozzáféréssel rendelkező bejövő fiókokon/eszközökön. Az integrációval kapcsolatos útmutatásért lásd:
  • Gyors javítás – Győződjön meg arról, hogy minden szervezeti elem támogatja a gyors javítást, beleértve a következőket:
    • Szervezeti szponzorálás és vezetői támogatás a követelményekhez
    • A VPN-ek minimális vagy nulla állásidővel történő frissítésének szabványos technikai folyamatai. Ennek a folyamatnak tartalmaznia kell a VPN-szoftvereket, a berendezéseket, valamint az alapul szolgáló operációs rendszereket vagy belső vezérlőprogramokat
    • Kritikus fontosságú biztonsági frissítések gyors üzembe helyezésének vészhelyzeti folyamatai
    • Irányítás a kihagyott elemek folyamatos felderítéséhez és szervizeléséhez
  • Biztonságos konfiguráció – Az egyes VPN-szállítók képességei eltérőek a biztonságossá tételük módjától, ezért tekintse át és kövesse a gyártó konkrét biztonsági konfigurációs javaslatait és ajánlott eljárásait
  • Tovább a VPN-en – A VPN-eket idővel biztonságosabb lehetőségekre cserélheti, például az Azure AD-alkalmazásproxyra vagy az Azure Bastionra, mivel ezek csak közvetlen alkalmazás-/kiszolgáló-hozzáférést biztosítanak a teljes hálózati hozzáférés helyett. Az Azure AD-alkalmazásproxy emellett lehetővé teszi a munkamenet-figyelést a Microsoft Defender for Cloud Apps további biztonsága érdekében.

Modernize VPN authentication and move apps to modern access

Azure AD-alkalmazásproxy

Az Azure AD-alkalmazásproxy és hasonló külső képességek távoli hozzáférést biztosítanak a helyszínen vagy a felhőben található IaaS virtuális gépeken üzemeltetett örökölt és egyéb alkalmazásokhoz.

Használati esetek és forgatókönyvek az Azure AD-alkalmazásproxyhoz

Ez a megoldás alkalmas régi végfelhasználói hatékonyságnövelő alkalmazások közzétételére a jogosult felhasználók számára az interneten keresztül. Néhány felügyeleti alkalmazás közzétételére is használható.

Biztonsági kockázatok és javaslatok az Azure AD-alkalmazásproxyhoz

Az Azure AD-alkalmazásproxy hatékonyan átalakítja a modern, megbízhatóság nélküli szabályzatkényszerítést a meglévő alkalmazásokra. További információ: Az Azure AD-alkalmazásproxy biztonsági szempontjai

Az Azure AD-alkalmazásproxy a Microsoft Defender for Cloud Apps szolgáltatással is integrálható a feltételes hozzáférésű alkalmazásvezérlés munkamenet-biztonságának hozzáadásához a következő szolgáltatásokhoz:

  • Adatkiszivárgás megakadályozása
  • Védelem letöltés után
  • Címkézetlen fájlok feltöltésének megakadályozása
  • Felhasználói munkamenetek figyelése a megfelelőség érdekében
  • Hozzáférés letiltása
  • Egyéni tevékenységek letiltása

További információ: A Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlésének üzembe helyezése Azure AD-alkalmazásokhoz

Amikor alkalmazásokat tesz közzé az Azure AD-alkalmazásproxyn keresztül, a Microsoft azt javasolja, hogy az alkalmazástulajdonosok a biztonsági csapatokkal együttműködve kövessék a legalacsonyabb jogosultsági szintű jogosultságokat, és biztosítják, hogy az egyes alkalmazásokhoz való hozzáférés csak az azt igénylő felhasználók számára legyen elérhető. Ha így több alkalmazást telepít, előfordulhat, hogy el tudja ellensúlyozni a végfelhasználói pont–hely VPN-használatot.

Távoli asztal/ugrókiszolgáló

Ez a forgatókönyv egy vagy több alkalmazást futtató teljes asztali környezetet biztosít. Ez a megoldás számos különböző változattal rendelkezik, például:

  • Szolgáltatások – Teljes asztal egy ablakban vagy egyetlen alkalmazás által előre jelzett felületen
  • Távoli gazdagép – lehet megosztott virtuális gép vagy dedikált asztali virtuális gép a Windows Virtual Desktop (WVD) vagy más VDI-megoldás használatával.
  • Helyi eszköz – lehet mobileszköz, felügyelt munkaállomás vagy személyes/partner által felügyelt munkaállomás
  • Forgatókönyv – a felhasználói hatékonyságnövelő alkalmazásokra vagy a felügyeleti forgatókönyvekre összpontosít, amelyet gyakran "jump servernek" is neveznek

Használati esetek és biztonsági javaslatok távoli asztalhoz/jump kiszolgálóhoz

A leggyakoribb konfigurációk a következők:

  • Közvetlen távoli asztali protokoll (RDP) – Ez a konfiguráció nem ajánlott internetkapcsolatokhoz, mert az RDP egy olyan protokoll, amely korlátozott védelmet nyújt a modern támadások, például a jelszófeltörés ellen. A közvetlen RDP-t a következőre kell konvertálni:
    • RDP az Azure AD-alkalmazásproxy által közzétett átjárón keresztül
    • Azure Bastion
  • RDP átjárón keresztül a következő használatával:
    • A Windows Server részét képező távoli asztali szolgáltatások (RDS). Közzététel az Azure AD-alkalmazásproxyval.
    • Windows Virtual Desktop (WVD) – Kövesse a Windows Virtual Desktop ajánlott biztonsági eljárásait.
    • Külső VDI – A gyártó vagy az iparág ajánlott eljárásainak követése, vagy a WVD útmutatójának adaptálása a megoldáshoz
  • Secure Shell- (SSH-) kiszolgáló – távoli rendszerhéj és szkriptelés biztosítása a technológiai részlegek és számítási feladatok tulajdonosai számára. A konfiguráció biztonságossá tételének a következőket kell tartalmaznia:
    • Az iparág/gyártó ajánlott eljárásait követve biztonságosan konfigurálhatja, módosíthatja az alapértelmezett jelszavakat (ha vannak), és jelszavak helyett SSH-kulcsokat használhat, valamint biztonságosan tárolhatja és kezelheti az SSH-kulcsokat.
    • Az Azure Bastion használata az Azure-ban üzemeltetett erőforrások SSH-remotálásához – Csatlakozás Linux rendszerű virtuális géphez az Azure Bastion használatával

Azure Bastion

Az Azure Bastion egy közvetítő, amely úgy lett kialakítva, hogy biztonságos hozzáférést biztosítson az Azure-erőforrásokhoz egy böngésző és az Azure Portal használatával. Az Azure Bastion olyan hozzáférési erőforrásokat biztosít az Azure-ban, amelyek támogatják a Remote Desktop Protocol (RDP) és a Secure Shell (SSH) protokollokat.

Használati esetek és forgatókönyvek az Azure Bastionhoz

Az Azure Bastion hatékonyan biztosít egy rugalmas megoldást, amelyet az informatikai üzemeltetési személyzet és a számítási feladatok rendszergazdái az it-on kívül használhatnak az Azure-ban üzemeltetett erőforrások kezeléséhez anélkül, hogy teljes VPN-kapcsolatot kellene létesítenie a környezettel.

Biztonsági kockázatok és javaslatok az Azure Bastionhoz

Az Azure Bastion az Azure Portalon keresztül érhető el, ezért győződjön meg arról, hogy az Azure Portal felülete megfelelő szintű biztonságot igényel a benne lévő erőforrásokhoz és az azt használó szerepkörökhöz, általában emelt szintű vagy speciális szinten.

További útmutatás az Azure Bastion dokumentációjában érhető el

Következő lépések