Identitás védelme Teljes felügyelet

Háttér

A felhőalkalmazások és a mobil munkaerő újradefiniálta a biztonsági határokat. Az alkalmazottak saját eszközöket hoznak létre, és távolról dolgoznak. Az adatok elérése a vállalati hálózaton kívül történik, és külső közreműködőkkel, például partnerekkel és szállítókkal van megosztva. A vállalati alkalmazások és adatok a helyszíni környezetből hibrid és felhőalapú környezetekbe kerülnek át. A szervezetek már nem támaszkodhatnak a hagyományos hálózati vezérlőkre a biztonság érdekében. A vezérlőknek oda kell lépnie, ahol az adatok találhatók: az eszközökön, az alkalmazásokon belül és a partnerekkel.

Az identitások, amelyek személyeket, szolgáltatásokat vagy IoT-eszközöket képviselnek, napjaink számos hálózatának, végpontjának és alkalmazásának közös uralmát jelentik. A Teljes felügyelet biztonsági modellben hatékony, rugalmas és részletes módon vezérelhetik az adatokhoz való hozzáférést.

Mielőtt egy identitás megpróbál hozzáférni egy erőforráshoz, a szervezeteknek a következőkkel kell rendelkeznie:

  • Ellenőrizze az identitást erős hitelesítéssel.

  • Győződjön meg arról, hogy a hozzáférés megfelelő és jellemző az identitásra.

  • A minimális jogosultság-hozzáférési alapelveket követi.

Az identitás ellenőrzése után a szervezeti szabályzatok, a folyamatos kockázatelemzés és más eszközök alapján szabályozhatjuk, hogy az identitás hozzáfér-e az erőforrásokhoz.

Identitáskezelési Teljes felügyelet üzembehelyezési célkitűzések

Mielőtt a legtöbb szervezet megkezdené a Teljes felügyelet folyamatot, az identitással kapcsolatos megközelítésük problémás, mert a helyszíni identitásszolgáltató használatban van, nincs egyszeri bejelentkezés a felhőbeli és a helyszíni alkalmazások között, és az identitáskockázatok láthatósága nagyon korlátozott.

Az identitáskezelés teljes körű Teljes felügyelet keretrendszerének implementálásakor azt javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

List icon with one checkmark.

AzI.Cloud-identitás összevonja a helyszíni identitásrendszereket.

II.A feltételes hozzáférési szabályzatok kaput biztosítanak a hozzáféréshez, és szervizelési tevékenységeket biztosítanak.

III.Az elemzés javítja a láthatóságot.

Miután ezek befejeződtek, összpontosítson a következő további üzembehelyezési célkitűzésekre:

List icon with two checkmarks.

IV.Az identitások és hozzáférési jogosultságok kezelése identitásszabályozással.

A rendszervalós időben elemzi a felhasználót, az eszközt, a helyet és a viselkedést a kockázatok meghatározása és a folyamatos védelem biztosítása érdekében.

VI.Integrálhatja a más biztonsági megoldásokból származó fenyegetésjelzéseket az észlelés, a védelem és a reagálás javítása érdekében.

Identitáskezelési Teljes felügyelet üzembe helyezési útmutatója

Ez az útmutató végigvezeti az identitások kezeléséhez szükséges lépéseken a Teljes felügyelet biztonsági keretrendszer alapelveit követve.




Checklist icon with one checkmark.

Kezdeti üzembehelyezési célkitűzések

I. A felhőalapú identitás összevonja a helyszíni identitásrendszereket

Azure Active Directory (AD) lehetővé teszi az erős hitelesítést, a végpontbiztonság integrációs pontját, valamint a felhasználóközpontú szabályzatok magját a legalacsonyabb jogosultsági szintű hozzáférés garantálása érdekében. Az Azure AD feltételes hozzáférési képességei a szabályzattal kapcsolatos döntési pontok az erőforrásokhoz való hozzáféréshez a felhasználói identitás, a környezet, az eszközállapot és a kockázat alapján – explicit módon ellenőrizve a hozzáférési ponton. Bemutatjuk, hogyan valósíthat meg Teljes felügyelet identitásstratégiát az Azure AD-vel.

Diagram of the steps within phase 1 of the initial deployment objectives.

Csatlakozás az összes felhasználót az Azure AD-be, és összevonja a helyszíni identitásrendszereket

Az alkalmazottak identitásainak és a szükséges biztonsági összetevőknek (az engedélyezési csoportoknak és a végpontoknak a további hozzáférési szabályzatok vezérlőihez) kifogástalan állapotú folyamatának fenntartása a legjobb hely a konzisztens identitások és vezérlők felhőbeli használatához.

Kövesse az alábbi lépéseket:

  1. Válasszon egy hitelesítési lehetőséget. Az Azure AD biztosítja a legjobb találgatásos támadási, DDoS- és jelszópermet-védelmet, de a szervezet és a megfelelőségi igények szempontjából megfelelő döntést kell hoznia.

  2. Csak azokat az identitásokat hozza el, amelyekre feltétlenül szüksége van. Használhatja például a felhőbe való ugrás lehetőségét, hogy olyan szolgáltatásfiókokat hagyjon hátra, amelyek csak a helyszínen értelmezhetők. A helyszíni kiemelt szerepköröket hagyja hátra.

  3. Ha a vállalat több mint 100 000 felhasználóval, csoporttal és eszközzel rendelkezik, akkor egy nagy teljesítményű szinkronizálási mezőt hozhat létre , amely naprakészen tartja az életciklusát.

Az Identity Foundation létrehozása az Azure AD-vel

A Teljes felügyelet stratégiához explicit módon kell ellenőrizni, a legalacsonyabb jogosultsági szintű hozzáférési alapelveket kell használni, és biztonsági rést kell feltételezni. Az Azure AD szabályzatdöntési pontként működhet a hozzáférési szabályzatok kényszerítéséhez a felhasználóra, a végpontra, a célerőforrásra és a környezetre vonatkozó megállapítások alapján.

Végezze el ezt a lépést:

  • Helyezze az Azure AD-t minden hozzáférési kérelem elérési útjára. Ez minden felhasználót és minden alkalmazást vagy erőforrást egy identitásvezérlő síkon keresztül köt össze, és az Azure AD-nek a lehető legjobb döntéseket hozza a hitelesítési/engedélyezési kockázattal kapcsolatban. Emellett az egyszeri bejelentkezés és a konzisztens szabályzatkorlátok jobb felhasználói élményt biztosítanak, és hozzájárulnak a termelékenység növeléséhez.

Az összes alkalmazás integrálása az Azure AD-vel

Az egyszeri bejelentkezés megakadályozza, hogy a felhasználók különböző alkalmazásokban hagyják el hitelesítő adataik másolatát, és a túlzott kérések miatt ne szokjanak meg a felhasználók a hitelesítő adataik átadásához.

Győződjön meg arról is, hogy nem rendelkezik több IAM-motorral a környezetben. Ez nem csak csökkenti az Azure AD által látott jelek mennyiségét, ami lehetővé teszi a rossz szereplők számára, hogy a két IAM-motor közötti varrásban éljenek, hanem a gyenge felhasználói élményhez is vezethet, és az üzleti partnerek lesznek a Teljes felügyelet stratégia első kételyei.

Kövesse az alábbi lépéseket:

  1. Integrálhatja az OAuth2.0-t vagy SAML-t beszélő modern vállalati alkalmazásokat.

  2. Kerberos- és űrlapalapú hitelesítési alkalmazások esetén integrálhatja őket az Azure AD alkalmazásproxy használatával.

  3. Ha az örökölt alkalmazásokat alkalmazáskézbesítési hálózatokkal/vezérlőkkel teszi közzé, az Azure AD-vel integrálhatja a főbb alkalmazásokat (például a Citrixet, az Akamai-t és az F5-öt).

  4. Az alkalmazások ADFS-ből és meglévő/régebbi IAM-motorokból való felderítéséhez és migrálásához tekintse át az erőforrásokat és eszközöket.

  5. Leküldéses identitások leküldése a különböző felhőalkalmazásokba. Ez szorosabb identitás-életciklus-integrációt biztosít ezeken az alkalmazásokon belül.

Explicit ellenőrzés erős hitelesítéssel

Kövesse az alábbi lépéseket:

  1. Az Azure AD MFA (P1) bevezetése. Ez a felhasználói munkamenet kockázatának csökkentésének alapvető része. Ahogy a felhasználók új eszközökön és új helyekről jelennek meg, az MFA-kihívásokra való reagálás az egyik legközvethetőbb módszer, amellyel a felhasználók megtaníthatják nekünk, hogy ezek ismerős eszközök/helyek, miközben mozognak a világon (anélkül, hogy a rendszergazdák elemeznék az egyes jeleket).

  2. Tiltsa le az örökölt hitelesítést. A rosszindulatú szereplők egyik leggyakoribb támadási vektora az ellopott/visszajátszott hitelesítő adatok használata olyan örökölt protokollokkal, mint az SMTP, amelyek nem tudnak modern biztonsági feladatokat elvégezni.

II. A feltételes hozzáférési szabályzatok hozzáférést biztosítanak a hozzáféréshez, és szervizelési tevékenységeket biztosítanak

Az Azure AD feltételes hozzáférés (CA) olyan jeleket elemez, mint a felhasználó, az eszköz és a hely a döntések automatizálásához és az erőforrások szervezeti hozzáférési szabályzatainak kikényszerítéséhez. A feltételes hozzáférési szabályzatokkal olyan hozzáférés-vezérléseket alkalmazhat, mint a többtényezős hitelesítés (MFA). A feltételes hozzáférési szabályzatok lehetővé teszik az MFA kérését a felhasználóknak, ha a biztonság érdekében szükség van rá, és ha nincs rá szükség, a felhasználók útjában maradhatnak.

Diagram of Conditional Access policies in Zero Trust.

A Microsoft szabványos feltételes szabályzatokat, úgynevezett biztonsági alapértelmezéseket biztosít, amelyek biztosítják az alapszintű biztonságot. Előfordulhat azonban, hogy a szervezetnek nagyobb rugalmasságra van szüksége, mint az alapértelmezett biztonsági beállítások. A feltételes hozzáféréssel részletesebben szabhatja testre a biztonsági alapértékeket, és új szabályzatokat konfigurálhat, amelyek megfelelnek a követelményeknek.

A feltételes hozzáférési szabályzatok előzetes megtervezése, valamint az aktív és tartalék szabályzatok készlete a hozzáférési szabályzatok kikényszerítésének alapvető pillére egy Teljes felügyelet telepítés során. Szánjon időt a környezetben található megbízható IP-helyek konfigurálására. Még ha nem is használja őket feltételes hozzáférési szabályzatban, ezeknek az IP-címeknek a konfigurálása tájékoztatja az Identity Protection fent említett kockázatáról.

Végezze el ezt a lépést:

Eszközök regisztrálása az Azure AD-ben a sebezhető és sérült eszközök hozzáférésének korlátozásához

Kövesse az alábbi lépéseket:

  1. Az Azure AD Hybrid Join vagy az Azure AD Join engedélyezése. Ha a felhasználó laptopját/számítógépét felügyeli, hozza ezeket az adatokat az Azure AD-be, és használja őket a jobb döntések meghozatalához. Ha például tudja, hogy a felhasználó egy olyan gépről származik, amelyet a szervezet felügyel és kezel, akkor például engedélyezheti az adatok gazdag ügyfélhozzáférését (az offline másolatokkal rendelkező ügyfeleket). Ha ezt nem teszi meg, valószínűleg úgy dönt, hogy letiltja a gazdag ügyfelek hozzáférését, ami azt eredményezheti, hogy a felhasználók a biztonság körül dolgoznak, vagy árnyék informatikát használnak.

  2. Engedélyezze a Intune szolgáltatást a Microsoft Endpoint Manager (EMS) szolgáltatáson belül a felhasználók mobileszközeinek kezeléséhez és az eszközök regisztrálásához. Ugyanez mondható el a felhasználói mobileszközökről, mint a laptopokról: Minél többet tud róluk (javításszint, jailbreakelt, rootolt stb.), annál jobban megbízhat bennük, és észszerűsítheti, hogy miért tiltja/engedélyezi a hozzáférést.

III. Az elemzés javítja a láthatóságot

Amikor hitelesítéssel, engedélyezéssel és kiépítéssel építi ki a tulajdonát az Azure AD-ben, fontos, hogy a címtárban zajló eseményekről erős üzemeltetési megállapításokat nyújtsunk.

A naplózás és a jelentéskészítés konfigurálása a láthatóság javítása érdekében

Végezze el ezt a lépést:




Checklist icon with two checkmarks.

További üzembehelyezési célkitűzések

IV. Az identitások és hozzáférési jogosultságok kezelése identitásszabályozással

Miután elérte a kezdeti három célkitűzést, további célkitűzésekre összpontosíthat, például a robusztusabb identitásszabályozásra.

Diagram of the steps within phase 4 of the additional deployment objectives.

Emelt szintű hozzáférés biztonságossá tételéhez Privileged Identity Management

Szabályozhatja azokat a végpontokat, feltételeket és hitelesítő adatokat, amelyeket a felhasználók az emelt szintű műveletek/szerepkörök eléréséhez használnak.

Kövesse az alábbi lépéseket:

  1. Vegye át az irányítást a kiemelt identitások felett. Ne feledje, hogy a digitálisan átalakított szervezetekben az emelt szintű hozzáférés nem csupán rendszergazdai hozzáférés, hanem alkalmazástulajdonosi vagy fejlesztői hozzáférés is, amely megváltoztathatja a kritikus fontosságú alkalmazások futtatásának és az adatok kezelésének módját.

  2. A Privileged Identity Management használatával biztonságossá teheti a kiemelt identitásokat.

Az alkalmazásokhoz való felhasználói hozzájárulás nagyon gyakori módja annak, hogy a modern alkalmazások hozzáférjenek a szervezeti erőforrásokhoz, de van néhány ajánlott eljárás, amelyet érdemes szem előtt tartani.

Kövesse az alábbi lépéseket:

  1. Korlátozza a felhasználói hozzájárulást, és kezelje a hozzájárulási kérelmeket annak érdekében, hogy a szervezet adatai ne legyenek feleslegesen kitéve az alkalmazásoknak.

  2. Tekintse át a szervezet korábbi/meglévő beleegyezését az esetleges túlzott vagy rosszindulatú hozzájárulásokért.

A bizalmas információkhoz való hozzáféréshez szükséges taktikák elleni védelem eszközeiről az identitáskezelési Teljes felügyelet stratégia implementálásáról szóló útmutatónk "A kiberfenyegetések és a rosszindulatú alkalmazások elleni védelem megerősítése" című témakörében olvashat bővebben.

Jogosultság kezelése

Mivel az alkalmazások központilag hitelesítik és irányítják az Azure AD-t, mostantól egyszerűbbé teheti a hozzáférési kérések, jóváhagyások és újrahitelesítési folyamatokat, hogy meggyőződjön arról, hogy a megfelelő személyek rendelkeznek a megfelelő hozzáféréssel, és hogy a szervezet felhasználói miért rendelkeznek hozzáféréssel.

Kövesse az alábbi lépéseket:

  1. A Jogosultságkezelés használatával olyan hozzáférési csomagokat hozhat létre, amelyeket a felhasználók kérhetnek, amikor különböző csapatokhoz/projektekhez csatlakoznak, és hozzáférést rendelnek a társított erőforrásokhoz (például alkalmazásokhoz, SharePoint webhelyekhez, csoporttagságokhoz).

  2. Ha a jogosultságkezelés telepítése jelenleg nem lehetséges a szervezet számára, legalább engedélyezze az önkiszolgáló paradigmákat a szervezetben az önkiszolgáló csoportkezelés és az önkiszolgáló alkalmazás-hozzáférés üzembe helyezésével.

Jelszó nélküli hitelesítés használata az adathalászat és a jelszótámadások kockázatának csökkentéséhez

A FIDO 2.0-t támogató Azure AD-vel és a jelszó nélküli telefonos bejelentkezéssel áthelyezheti a tűt azon hitelesítő adatokon, amelyeket a felhasználók (különösen az érzékeny/kiemelt jogosultsággal rendelkező felhasználók) nap mint nap használnak. Ezek a hitelesítő adatok erős hitelesítési tényezők, amelyek kockázatokat is mérsékelhetnek.

Végezze el ezt a lépést:

V. A rendszer valós időben elemzi a felhasználót, az eszközt, a helyet és a viselkedést a kockázatok meghatározása és a folyamatos védelem biztosítása érdekében

A valós idejű elemzés kritikus fontosságú a kockázatok és a védelem meghatározásához.

Diagram of the steps within phase 5 of the additional deployment objectives.

Az Azure AD Password Protection üzembe helyezése

Miközben más módszereket is engedélyez a felhasználók explicit ellenőrzéséhez, ne hagyja figyelmen kívül a gyenge jelszavakat, a jelszópermetet és a szabálysértési visszajátszásos támadásokat. A klasszikus összetett jelszóházirendek pedig nem akadályozzák meg a leggyakrabban előforduló jelszótámadásokat.

Végezze el ezt a lépést:

  • Engedélyezze az Azure AD Password Protectiont a felhőben és a helyszínen lévő felhasználók számára.

Az Identity Protection engedélyezése

Részletesebb munkamenet-/felhasználói kockázati jelzést kaphat az Identity Protection használatával. Megvizsgálhatja a kockázatot, megerősítheti a sérülést, vagy elvetheti a jelet, ami segít a motornak jobban megérteni, hogy milyen a kockázat a környezetben.

Végezze el ezt a lépést:

Microsoft Defender for Cloud Apps-integráció engedélyezése az Identity Protectionnel

Microsoft Defender for Cloud Apps figyeli a felhasználói viselkedést az SaaS-ben és a modern alkalmazásokban. Ez tájékoztatja az Azure AD-t arról, hogy mi történt a felhasználóval a hitelesítés és a jogkivonat fogadása után. Ha a felhasználói minta gyanúsnak tűnik (például egy felhasználó elkezd gigabájtnyi adatot letölteni OneDrive-ból, vagy elkezd levélszemét-e-maileket küldeni Exchange Online), akkor egy jelzést küldhet az Azure AD-nek, amely értesíti, hogy a felhasználó sérültnek vagy magas kockázatnak tűnik. A felhasználó következő hozzáférési kérése esetén az Azure AD helyesen hajthat végre lépéseket a felhasználó ellenőrzéséhez vagy letiltásához.

Végezze el ezt a lépést:

Feltételes hozzáférés és Microsoft Defender for Cloud Apps integrációjának engedélyezése

A hitelesítés után kibocsátott jeleket használva, valamint Felhőhöz készült Defender Alkalmazások alkalmazásproxy-kéréseivel figyelheti az SaaS-alkalmazásokba irányuló munkameneteket, és korlátozásokat kényszeríthet ki.

Kövesse az alábbi lépéseket:

  1. Feltételes hozzáférés integrációjának engedélyezése.

  2. Feltételes hozzáférés kiterjesztése helyszíni alkalmazásokra.

Korlátozott munkamenet engedélyezése hozzáférési döntésekhez

Ha egy felhasználó kockázata alacsony, de ismeretlen végpontról jelentkezik be, előfordulhat, hogy engedélyezni szeretné számukra a kritikus fontosságú erőforrásokhoz való hozzáférést, de nem engedélyezi számukra olyan műveletekhez való hozzáférést, amelyek nem megfelelő állapotban hagyják a szervezetet. Most konfigurálhatja Exchange Online és SharePoint Online-t, hogy korlátozott munkamenetet biztosítson a felhasználónak, amely lehetővé teszi e-mailek olvasását vagy fájlok megtekintését, de nem tölti le és nem megbízható eszközre menti őket.

Végezze el ezt a lépést:

VI. Más biztonsági megoldásokból származó fenyegetésjelzések integrálása az észlelés, a védelem és a reagálás javítása érdekében

Végül más biztonsági megoldások integrálhatók a nagyobb hatékonyság érdekében.

Microsoft Defender for Identity integrálása a Microsoft Defender for Cloud Apps

A Microsoft Defender for Identity integrációja lehetővé teszi, hogy az Azure AD tudja, hogy a felhasználó kockázatos viselkedést tapasztal a helyszíni, nem modern erőforrások (például fájlmegosztások) elérésekor. Ezt aztán figyelembe lehet venni a teljes felhasználói kockázattal a felhőben való további hozzáférés blokkolása érdekében.

Kövesse az alábbi lépéseket:

  1. Engedélyezze Microsoft Defender for Identity Microsoft Defender for Cloud Apps, hogy a helyszíni jelek bekerüljenek a felhasználóról ismert kockázati jelbe.

  2. Ellenőrizze az egyes veszélyeztetett felhasználók összesített vizsgálati prioritási pontszámát , hogy holisztikus képet kapjon az SOC-nek ezekről.

Végponthoz készült Microsoft Defender engedélyezése

Végponthoz készült Microsoft Defender lehetővé teszi, hogy igazolja Windows gépek állapotát, és megállapítsa, hogy biztonsági résen esnek-e át. Ezt az információt ezután futtatáskor a kockázat csökkentésére használhatja. Míg a Domain Join lehetővé teszi az irányítás érzését, a Defender for Endpoint lehetővé teszi, hogy közel valós időben reagáljon egy kártevő támadásra olyan minták észlelésével, amelyekben több felhasználói eszköz nem megbízható helyekre ütközik, és reagálhat az eszköz/felhasználó futásidejű kockázatának növelésével.

Végezze el ezt a lépést:

Az útmutatóban szereplő termékek

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (Microsoft Intune is)

Végponthoz készült Microsoft Defender

SharePoint Online

Exchange Online

Következtetés

Az identitás a sikeres Teljes felügyelet stratégia központi eleme. A megvalósítással kapcsolatos további információkért vagy segítségért forduljon az ügyfélsikere csapatához, vagy folytassa az útmutató további fejezeteinek elolvasását, amelyek Teljes felügyelet pillérekre terjednek ki.



A Teljes felügyelet üzembe helyezési útmutató sorozata

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration