Praktik terbaik keamanan Microsoft untuk manajemen identitas dan akses

Dalam arsitektur berbasis cloud, identitas memberikan dasar persentase besar jaminan keamanan. Meskipun infrastruktur IT warisan sering kali sangat bergantung pada firewall dan solusi keamanan jaringan di titik keluar internet untuk perlindungan terhadap ancaman luar, kontrol ini kurang efektif dalam arsitektur cloud dengan layanan bersama diakses di seluruh jaringan penyedia cloud atau internet.

Sulit atau tidak mungkin untuk menulis aturan firewall ringkas ketika Anda tidak mengontrol jaringan tempat layanan ini dihosting, sumber daya cloud yang berbeda berputar naik dan turun secara dinamis, pelanggan cloud dapat berbagi infrastruktur umum, dan karyawan dan pengguna mengharapkan untuk dapat mengakses data dan layanan dari mana saja. Untuk mengaktifkan semua kemampuan ini, Anda harus mengelola akses berdasarkan autentikasi identitas dan kontrol otorisasi di layanan cloud untuk melindungi data dan sumber daya dan memutuskan permintaan mana yang harus diizinkan.

Selain itu, menggunakan solusi identitas berbasis cloud seperti Azure Active Directory (Azure AD) menawarkan fitur keamanan tambahan yang tidak dapat dilakukan layanan identitas warisan karena dapat menerapkan inteligensi ancaman dari visibilitas mereka ke dalam permintaan akses dan ancaman dalam jumlah besar di banyak pelanggan.

Satu direktori perusahaan

Praktik terbaik: Tetapkan satu direktori perusahaan untuk mengelola identitas karyawan penuh waktu dan sumber daya perusahaan.

Satu sumber otoritatif untuk identitas meningkatkan kejelasan dan konsistensi untuk semua peran dalam IT dan Keamanan. Ini mengurangi risiko keamanan dari kesalahan manusia dan kegagalan otomatisasi yang dihasilkan dari kompleksitas. Dengan memiliki satu sumber otoritatif, tim yang perlu membuat perubahan pada direktori dapat melakukannya di satu tempat dan memiliki keyakinan bahwa perubahan mereka akan berlaku di mana-mana.

Untuk Azure, tetapkan satu penyewa Azure AD sebagai sumber otoritatif untuk akun organisasi Anda.

Untuk informasi selengkapnya, lihat Apa itu identitas hibrid?

Sistem identitas yang disinkronkan

Praktik terbaik: Sinkronkan identitas cloud Anda dengan sistem identitas yang ada.

Konsistensi identitas di seluruh cloud dan lokal akan mengurangi kesalahan manusia dan risiko keamanan yang ditimbulkan. Tim yang mengelola sumber daya di kedua lingkungan membutuhkan sumber otoritatif yang konsisten untuk mencapai jaminan keamanan.

Untuk Azure, sinkronkan Azure AD dengan Active Directory Domain Services lokal (AD DS) yang sudah ada menggunakan identitas hibrid.

Ini juga diperlukan untuk migrasi Office 365, sehingga sering kali sudah dilakukan sebelum proyek migrasi dan pengembangan Azure dimulai.

Sumber identitas penyedia cloud untuk pihak ketiga

Praktik terbaik: Gunakan layanan identitas cloud untuk menghosting akun non-karyawan seperti vendor, mitra, dan pelanggan, daripada menyertakannya di direktori lokal Anda.

Ini mengurangi risiko dengan memberikan tingkat akses yang sesuai ke entitas eksternal alih-alih izin default penuh yang diberikan kepada karyawan penuh waktu. Pendekatan hak istimewa paling sedikit ini dan diferensiasi jelas akun eksternal dari staf perusahaan membuatnya lebih mudah untuk mencegah dan mendeteksi serangan yang masuk dari vektor ini. Selain itu, pengelolaan identitas ini dilakukan oleh eksternal juga meningkatkan produktivitas oleh pihak-pihak, mengurangi upaya yang diperlukan oleh tim SDM dan IT perusahaan.

Misalnya, kemampuan ini secara asli terintegrasi ke dalam model identitas dan izin Azure AD yang sama yang digunakan oleh Azure dan Office 365:

Untuk informasi selengkapnya, lihat daftar kompatibilitas federasi Azure AD.

Autentikasi tanpa kata sandi atau multifaktor untuk akun administratif

Praktik terbaik: Semua pengguna harus dikonversi untuk menggunakan autentikasi tanpa kata sandi atau autentikasi multifaktor (MFA) dari waktu ke waktu.

Detail rekomendasi ini ada di bagian administrasi tanpa kata sandi atau autentikasi multifaktor untuk admin

Rekomendasi yang sama berlaku untuk semua pengguna tetapi harus diterapkan terlebih dahulu dan terkuat untuk akun dengan hak istimewa administratif.

Anda juga dapat mengurangi penggunaan kata sandi dengan aplikasi menggunakan Identitas Terkelola untuk memberikan akses ke sumber daya di Azure.

Memblokir autentikasi lama

Praktik terbaik: Nonaktifkan protokol warisan yang tidak aman untuk layanan yang terhubung ke internet.

Metode autentikasi lama adalah salah satu vektor serangan teratas untuk layanan yang dihosting cloud. Dibuat sebelum autentikasi multifaktor ada, protokol warisan tidak mendukung faktor tambahan di luar kata sandi dan karena itu merupakan target utama untuk penyemprotan kata sandi, kamus, atau serangan brute force. Sebagai contoh, hampir 100% dari semua serangan semprotan kata sandi terhadap Office 365 pelanggan menggunakan protokol warisan. Selain itu, protokol lama ini sering tidak memiliki penanggulangan serangan lainnya, seperti penguncian akun atau timer back-off. Layanan yang berjalan di cloud Microsoft yang memblokir protokol warisan telah mengamati pengurangan 66% dalam kompromi akun yang berhasil.

Untuk Azure dan akun berbasis Azure AD lainnya, konfigurasikan Akses Bersyarah untuk memblokir protokol warisan.

Menonaktifkan autentikasi lama bisa sulit, karena beberapa pengguna mungkin tidak ingin pindah ke perangkat lunak klien baru yang mendukung metode autentikasi modern. Namun, menjauh dari autentikasi warisan dapat dilakukan secara bertahap. Mulailah dengan menggunakan metrik dan pengelogan dari penyedia autentikasi Anda untuk menentukan berapa banyak pengguna yang masih mengautentikasi dengan klien lama. Selanjutnya, nonaktifkan protokol tingkat bawah apa pun yang tidak digunakan, dan siapkan Akses Bersyarah untuk semua pengguna yang tidak menggunakan protokol warisan. Terakhir, berikan banyak pemberitahuan dan panduan kepada pengguna tentang cara meningkatkan sebelum memblokir autentikasi warisan untuk semua pengguna di semua layanan pada tingkat protokol.

Tidak ada akun admin lokal di penyedia identitas cloud

Praktik terbaik: Jangan sinkronkan akun Active Directory Domain Services yang sangat istimewa (seperti admin Domain, Perusahaan, dan Skema) ke Azure AD.

Ini mengurangi risiko pemicu adversary terhadap kontrol penuh aset lokal setelah penyusupan akun cloud yang berhasil. Ini membantu berisi ruang lingkup insiden agar tidak tumbuh secara signifikan.

Ini terkait dengan panduan dependensi akun dampak kritis yang mengurangi risiko terbalik pivot dari aset lokal ke cloud.

Perlindungan kata sandi modern

Praktik terbaik: Berikan perlindungan modern dan efektif untuk akun yang tidak dapat tanpa kata sandi (autentikasi tanpa kata sandi atau multifaktor untuk admin).

Penyedia identitas warisan sebagian besar memeriksa untuk memastikan kata sandi memiliki campuran yang baik dari jenis karakter dan panjang minimum, tetapi kami telah mempelajari bahwa kontrol ini dalam praktiknya menyebabkan kata sandi dengan lebih sedikit entropi yang dapat dipecahkan lebih mudah:

Solusi identitas saat ini harus dapat menanggapi jenis serangan yang bahkan tidak ada satu atau dua dekade yang lalu seperti semprotan kata sandi, pemutaran ulang pelanggaran (juga disebut "pengisian info masuk") yang menguji pasangan nama pengguna/kata sandi dari pelanggaran situs lain, dan serangan phishing man-in-the-middle. Penyedia identitas cloud diposisikan secara unik untuk menawarkan perlindungan terhadap serangan ini. Karena mereka menangani masuk dalam volume besar seperti itu, mereka dapat menerapkan deteksi anomali yang lebih baik dan menggunakan berbagai sumber data untuk memberi tahu perusahaan secara proaktif jika kata sandi pengguna mereka telah ditemukan dalam pelanggaran lain, serta memvalidasi bahwa setiap masuk yang diberikan tampak sah dan tidak berasal dari host yang tidak terduga atau diketahui berbahaya.

Selain itu, menyinkronkan kata sandi ke cloud untuk mendukung pemeriksaan ini juga menambah ketahanan saat terjadi serangan. Pelanggan yang terkena dampak serangan (Tidak)Petya dapat melanjutkan operasi bisnis ketika hash kata sandi disinkronkan ke Azure AD (vs. hampir nol komunikasi dan layanan TI untuk pelanggan yang terpengaruh organisasi yang belum menyinkronkan kata sandi).

Untuk Azure, aktifkan perlindungan modern di Azure AD dengan langkah-langkah berikut:

  1. Menerapkan sinkronisasi hash kata sandi dengan sinkronisasi Azure AD Connect

  2. Pilih apakah akan memulihkan masalah ini secara otomatis atau memulihkannya secara manual berdasarkan laporan:

    a. Penegakan Otomatis - Secara otomatis memulihkan kata sandi berisiko tinggi dengan Akses Bersyarkat yang memanfaatkan penilaian risiko perlindungan identitas Azure AD

    b. Lapor & Remediasi Secara Manual - Menampilkan laporan dan memulihkan akun secara manual

Gunakan API peristiwa risiko Perlindungan Identitas untuk mendapatkan akses terprogram ke deteksi keamanan menggunakan Microsoft Graph.

Manajemen kredensial lintas platform

Praktik terbaik: Gunakan penyedia identitas tunggal untuk mengautentikasi semua platform (Windows, Linux, dan lainnya) dan layanan cloud.

Penyedia identitas tunggal untuk semua aset perusahaan akan menyederhanakan manajemen dan keamanan, meminimalkan risiko pengawasan atau kesalahan manusia. Menyebarkan beberapa solusi identitas (atau solusi yang tidak lengkap) dapat mengakibatkan kebijakan kata sandi yang tidak dapat diberlakukan, kata sandi tidak diatur ulang setelah pelanggaran, proliferasi kata sandi (sering disimpan secara tidak aman), dan mantan karyawan mempertahankan kata sandi setelah penghentian.

Misalnya, Azure AD dapat digunakan untuk mengautentikasi:

Akses Bersyarah untuk pengguna dengan Zero Trust

Praktik terbaik: Autentikasi untuk semua pengguna harus mencakup pengukuran dan penerapan atribut keamanan utama untuk mendukung strategi Zero Trust.

Detail rekomendasi ini ada dalam kebijakan identitas Zero Trust umum dan akses perangkat. Rekomendasi yang sama berlaku untuk semua pengguna, tetapi harus diterapkan terlebih dahulu ke akun dengan hak istimewa administratif.

Anda juga dapat mengurangi penggunaan kata sandi dengan aplikasi menggunakan Identitas Terkelola untuk memberikan akses ke sumber daya di Azure.

Menyimulasikan serangan

Praktik terbaik: Simulasikan serangan secara teratur terhadap pengguna Anda untuk mendidik dan memberdayakan mereka.

Orang-orang adalah bagian penting dari pertahanan Anda, jadi pastikan mereka memiliki pengetahuan dan keterampilan untuk menghindari dan menolak serangan akan mengurangi risiko organisasi Anda secara keseluruhan.

Anda dapat menggunakan Simulator Serangan di Pertahanan Microsoft untuk Office 365 atau sejumlah penawaran pihak ketiga.

Langkah selanjutnya

Tinjau kemampuan identitas dan akses perangkat.

Lihat juga

Model dan Kerangka Kerja Keamanan Zero Trust

Dokumentasi keamanan Microsoft