Mengamankan identitas dengan Zero Trust
Latar belakang
Aplikasi cloud dan tenaga kerja seluler telah menentukan ulang perimeter keamanan. Karyawan membawa perangkat mereka sendiri dan bekerja dari jarak jauh. Data sedang diakses di luar jaringan perusahaan dan dibagikan dengan kolaborator eksternal seperti mitra dan vendor. Aplikasi dan data perusahaan berpindah dari lingkungan lokal ke hibrid dan cloud. Organisasi tidak dapat lagi mengandalkan kontrol jaringan tradisional untuk keamanan. Kontrol perlu berpindah ke tempat data berada: pada perangkat, di dalam aplikasi, dan dengan mitra.
Identitas, yang mewakili orang, layanan, atau perangkat IoT, adalah dominator umum di banyak jaringan, titik akhir, dan aplikasi saat ini. Dalam model keamanan Zero Trust, model tersebut berfungsi sebagai cara yang kuat, fleksibel, dan terperinci untuk mengontrol akses ke data.
Sebelum identitas mencoba mengakses sumber daya, organisasi harus:
Verifikasi identitas dengan autentikasi yang kuat.
Pastikan akses sesuai dan khas untuk identitas tersebut.
Mengikuti prinsip akses hak istimewa paling sedikit.
Setelah identitas diverifikasi, kami dapat mengontrol akses identitas tersebut ke sumber daya berdasarkan kebijakan organisasi, analisis risiko yang sedang berlangsung, dan alat lainnya.
Tujuan penyebaran Zero Trust identitas
Sebelum sebagian besar organisasi memulai perjalanan Zero Trust, pendekatan mereka terhadap identitas bermasalah karena penyedia identitas lokal sedang digunakan, tidak ada SSO yang ada antara aplikasi cloud dan lokal, dan visibilitas ke dalam risiko identitas sangat terbatas.
|
Saat menerapkan kerangka kerja Zero Trust end-to-end untuk identitas, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini: |
|
|
|
Identitas I.Cloudbergabung dengan sistem identitas lokal. II.Kebijakan Akses Bersyarah mengakses dan menyediakan aktivitas remediasi. |
|
Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini: |
|
|
|
IV.Identitas dan hak istimewa akses dikelola dengan tata kelola identitas. |
Panduan penyebaran Zero Trust identitas
Panduan ini akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengelola identitas mengikuti prinsip-prinsip kerangka kerja keamanan Zero Trust.
|
|
Tujuan penyebaran awal |
i. Identitas cloud federasi dengan sistem identitas lokal
Azure Active Directory (AD) memungkinkan autentikasi yang kuat, titik integrasi untuk keamanan titik akhir, dan inti kebijakan yang berpusat pada pengguna Anda untuk menjamin akses yang paling tidak istimewa. kemampuan Akses Bersyar Azure AD adalah titik keputusan kebijakan untuk akses ke sumber daya berdasarkan identitas pengguna, lingkungan, kesehatan perangkat, dan risiko—yang diverifikasi secara eksplisit di titik akses. Kami akan menunjukkan bagaimana Anda dapat menerapkan strategi identitas Zero Trust dengan Azure AD.
Koneksi semua pengguna Anda untuk Azure AD dan bergabung dengan sistem identitas lokal
Mempertahankan alur identitas karyawan Anda yang sehat dan artefak keamanan yang diperlukan (grup untuk otorisasi dan titik akhir untuk kontrol kebijakan akses ekstra) menempatkan Anda di tempat terbaik untuk menggunakan identitas dan kontrol yang konsisten di cloud.
Ikuti langkah-langkah berikut:
Pilih opsi autentikasi. Azure AD memberi Anda perlindungan brute force, DDoS, dan semprotan kata sandi terbaik, tetapi buat keputusan yang tepat untuk kebutuhan organisasi dan kepatuhan Anda.
Hanya membawa identitas yang benar-benar Anda butuhkan. Misalnya, gunakan pergi ke cloud sebagai kesempatan untuk meninggalkan akun layanan yang hanya masuk akal secara lokal. Biarkan peran istimewa lokal di belakang.
Jika perusahaan Anda memiliki lebih dari 100.000 pengguna, grup, dan perangkat yang digabungkan , bangun kotak sinkronisasi performa tinggi yang akan terus memperbarui siklus hidup Anda.
Tetapkan Identity Foundation Anda dengan Azure AD
Strategi Zero Trust memerlukan verifikasi secara eksplisit, menggunakan prinsip akses yang paling tidak istimewa, dan dengan asumsi pelanggaran. Azure AD dapat bertindak sebagai titik keputusan kebijakan untuk menegakkan kebijakan akses Anda berdasarkan wawasan tentang pengguna, titik akhir, sumber daya target, dan lingkungan.
Ambil langkah ini:
- Letakkan Azure AD di jalur setiap permintaan akses. Ini menghubungkan setiap pengguna dan setiap aplikasi atau sumber daya melalui satu sarana kontrol identitas dan menyediakan Azure AD dengan sinyal untuk membuat keputusan terbaik tentang risiko autentikasi/otorisasi. Selain itu, akses menyeluruh dan pagar pembatas kebijakan yang konsisten memberikan pengalaman pengguna yang lebih baik dan berkontribusi pada peningkatan produktivitas.
Integrasikan semua aplikasi Anda dengan Azure AD
Akses menyeluruh mencegah pengguna meninggalkan salinan kredensial mereka di berbagai aplikasi dan membantu menghindari pengguna terbiasa menyerahkan kredensial mereka karena permintaan yang berlebihan.
Pastikan juga Anda tidak memiliki beberapa mesin IAM di lingkungan Anda. Ini tidak hanya mengurangi jumlah sinyal yang Azure AD lihat, memungkinkan aktor jahat untuk hidup di jahitan antara dua mesin IAM, itu juga dapat menyebabkan pengalaman pengguna yang buruk dan mitra bisnis Anda menjadi keraguan pertama dari strategi Zero Trust Anda.
Ikuti langkah-langkah berikut:
Integrasikan aplikasi perusahaan modern yang berbicara OAuth2.0 atau SAML.
Untuk Kerberos dan aplikasi autentikasi berbasis formulir, integrasikan menggunakan Azure AD Proksi Aplikasi.
Jika Anda menerbitkan aplikasi warisan Anda menggunakan jaringan/pengontrol pengiriman aplikasi, gunakan Azure AD untuk berintegrasi dengan sebagian besar aplikasi utama (seperti Citrix, Akamai, dan F5).
Untuk membantu menemukan dan memigrasikan aplikasi Anda dari ADFS dan mesin IAM yang sudah ada/lebih lama, tinjau sumber daya dan alat.
Identitas pendorongan daya ke berbagai aplikasi cloud Anda. Ini memberi Anda integrasi siklus hidup identitas yang lebih ketat dalam aplikasi tersebut.
Verifikasi secara eksplisit dengan autentikasi yang kuat
Ikuti langkah-langkah berikut:
Meluncurkan Azure AD MFA (P1). Ini adalah bagian dasar dari mengurangi risiko sesi pengguna. Saat pengguna muncul di perangkat baru dan dari lokasi baru, mampu menanggapi tantangan MFA adalah salah satu cara paling langsung yang dapat diajarkan pengguna Anda kepada kami bahwa ini adalah perangkat/lokasi yang familier saat mereka bergerak di seluruh dunia (tanpa meminta administrator mengurai sinyal individu).
Memblokir autentikasi warisan. Salah satu vektor serangan yang paling umum untuk aktor jahat adalah menggunakan kredensial yang dicuri/diputar ulang terhadap protokol warisan, seperti SMTP, yang tidak dapat melakukan tantangan keamanan modern.
II. Kebijakan Akses Bersyarah mengakses gerbang dan menyediakan aktivitas remediasi
Azure AD Akses Bersyarat (CA) menganalisis sinyal seperti pengguna, perangkat, dan lokasi untuk mengotomatiskan keputusan dan menerapkan kebijakan akses organisasi untuk sumber daya. Anda dapat menggunakan kebijakan CA untuk menerapkan kontrol akses seperti autentikasi multifaktor (MFA). Kebijakan CA memungkinkan Anda meminta pengguna untuk MFA saat diperlukan untuk keamanan dan menghindari pengguna saat tidak diperlukan.
Microsoft menyediakan kebijakan bersyarat standar yang disebut default keamanan yang memastikan tingkat keamanan dasar. Namun, organisasi Anda mungkin membutuhkan lebih banyak fleksibilitas daripada penawaran default keamanan. Anda dapat menggunakan Akses Bersyarat untuk menyesuaikan default keamanan dengan lebih banyak granularitas dan untuk mengonfigurasi kebijakan baru yang memenuhi kebutuhan Anda.
Merencanakan kebijakan Akses Bersyarat Anda terlebih dahulu dan memiliki serangkaian kebijakan aktif dan mundur adalah pilar dasar penegakan Kebijakan Akses Anda dalam penyebaran Zero Trust. Luangkan waktu untuk mengonfigurasi lokasi IP tepercaya Anda di lingkungan Anda. Bahkan jika Anda tidak menggunakannya dalam kebijakan Akses Bersyarah, mengonfigurasi IP ini menginformasikan risiko Perlindungan Identitas yang disebutkan di atas.
Ambil langkah ini:
- Lihat panduan penyebaran dan praktik terbaik kami untuk kebijakan Akses Bersyar yang tangguh.
Mendaftarkan perangkat dengan Azure AD untuk membatasi akses dari perangkat yang rentan dan disusupi
Ikuti langkah-langkah berikut:
Aktifkan Gabungan Hibrid Azure AD atau Gabungan Azure AD. Jika Anda mengelola laptop/komputer pengguna, bawa informasi tersebut ke Azure AD dan gunakan untuk membantu membuat keputusan yang lebih baik. Misalnya, Anda dapat memilih untuk mengizinkan akses klien yang kaya ke data (klien yang memiliki salinan offline di komputer) jika Anda tahu pengguna berasal dari mesin yang dikontrol dan dikelola organisasi Anda. Jika Anda tidak membawa ini, Anda mungkin akan memilih untuk memblokir akses dari klien kaya, yang dapat mengakibatkan pengguna Anda bekerja di sekitar keamanan Anda atau menggunakan IT bayangan.
Aktifkan layanan Intune dalam Microsoft Endpoint Manager (EMS) untuk mengelola perangkat seluler pengguna Anda dan mendaftarkan perangkat. Hal yang sama dapat dikatakan tentang perangkat seluler pengguna seperti tentang laptop: Semakin Anda tahu tentang mereka (tingkat patch, jailbroken, berakar, dll.), semakin Banyak Anda dapat mempercayai atau tidak mempercayainya dan memberikan alasan mengapa Anda memblokir/mengizinkan akses.
III. Analitik meningkatkan visibilitas
Saat Anda membangun properti Anda di Azure AD dengan autentikasi, otorisasi, dan provisi, penting untuk memiliki wawasan operasional yang kuat tentang apa yang terjadi di direktori.
Mengonfigurasi pengelogan dan pelaporan Anda untuk meningkatkan visibilitas
Ambil langkah ini:
- Rencanakan penyebaran pelaporan dan pemantauan Azure AD agar dapat bertahan dan menganalisis log dari Azure AD, baik di Azure atau menggunakan sistem pilihan SIEM.
|
|
Tujuan penyebaran tambahan |
IV. Identitas dan hak istimewa akses dikelola dengan tata kelola identitas
Setelah mencapai tiga tujuan awal, Anda dapat fokus pada tujuan tambahan seperti tata kelola identitas yang lebih kuat.
Mengamankan akses istimewa dengan Privileged Identity Management
Kontrol titik akhir, kondisi, dan kredensial yang digunakan pengguna untuk mengakses operasi/peran istimewa.
Ikuti langkah-langkah berikut:
Kendalikan identitas istimewa Anda. Perlu diingat bahwa dalam organisasi yang diubah secara digital, akses istimewa tidak hanya akses administratif, tetapi juga pemilik aplikasi atau akses pengembang yang dapat mengubah cara aplikasi penting misi Anda menjalankan dan menangani data.
Gunakan Privileged Identity Management untuk mengamankan identitas istimewa.
Membatasi persetujuan pengguna untuk aplikasi
Persetujuan pengguna untuk aplikasi adalah cara yang sangat umum bagi aplikasi modern untuk mendapatkan akses ke sumber daya organisasi, tetapi ada beberapa praktik terbaik yang perlu diingat.
Ikuti langkah-langkah berikut:
Batasi persetujuan pengguna dan kelola permintaan persetujuan untuk memastikan bahwa tidak ada paparan yang tidak perlu terjadi pada data organisasi Anda ke aplikasi.
Tinjau persetujuan sebelumnya/yang sudah ada di organisasi Anda untuk persetujuan yang berlebihan atau berbahaya.
Untuk informasi selengkapnya tentang alat untuk melindungi dari taktik guna mengakses informasi sensitif, lihat "Memperkuat perlindungan terhadap ancaman cyber dan aplikasi nakal" dalam panduan kami untuk menerapkan strategi Zero Trust identitas.
Mengelola hak
Dengan aplikasi yang mengautentikasi dan didorong secara terpusat dari Azure AD, Anda sekarang dapat menyederhanakan permintaan akses, persetujuan, dan proses sertifikasi ulang untuk memastikan bahwa orang yang tepat memiliki akses yang tepat dan bahwa Anda memiliki jejak mengapa pengguna di organisasi Anda memiliki akses yang mereka miliki.
Ikuti langkah-langkah berikut:
Gunakan Pengelolaan Pemberian Hak untuk membuat paket akses yang dapat diminta pengguna saat mereka bergabung dengan tim/proyek yang berbeda dan yang menetapkan akses ke sumber daya terkait (seperti aplikasi, situs SharePoint, keanggotaan grup).
Jika menyebarkan Pengelolaan Pemberian Hak tidak dimungkinkan untuk organisasi Anda saat ini, setidaknya aktifkan paradigma layanan mandiri di organisasi Anda dengan menyebarkan manajemen grup layanan mandiri dan akses aplikasi layanan mandiri.
Gunakan autentikasi tanpa kata sandi untuk mengurangi risiko pengelabuan dan serangan kata sandi
Dengan Azure AD mendukung FIDO 2.0 dan masuk telepon tanpa kata sandi, Anda dapat memindahkan jarum pada kredensial yang digunakan pengguna Anda (terutama pengguna sensitif/istimewa) sehari-hari. Kredensial ini adalah faktor autentikasi kuat yang juga dapat mengurangi risiko.
Lakukan langkah ini:
- Mulai meluncurkan kredensial tanpa kata sandi di organisasi Anda.
V. Pengguna, perangkat, lokasi, dan perilaku dianalisis secara real time untuk menentukan risiko dan memberikan perlindungan berkelanjutan
Analisis real time sangat penting untuk menentukan risiko dan perlindungan.
Menyebarkan Perlindungan Sandi Azure AD
Meskipun mengaktifkan metode lain untuk memverifikasi pengguna secara eksplisit, jangan abaikan kata sandi yang lemah, semprotan kata sandi, dan serangan pemutaran ulang pelanggaran. Dan kebijakan kata sandi kompleks klasik tidak mencegah serangan kata sandi yang paling umum.
Lakukan langkah ini:
Aktifkan Perlindungan Identitas
Dapatkan sinyal risiko sesi/pengguna yang lebih terperinci dengan Perlindungan Identitas. Anda akan dapat menyelidiki risiko dan mengonfirmasi penyusupan atau mematikan sinyal, yang akan membantu mesin lebih memahami seperti apa risiko di lingkungan Anda.
Lakukan langkah ini:
Mengaktifkan integrasi Microsoft Defender for Cloud Apps dengan Perlindungan Identitas
Microsoft Defender for Cloud Apps memantau perilaku pengguna di dalam SaaS dan aplikasi modern. Ini menginformasikan Azure AD tentang apa yang terjadi pada pengguna setelah mereka mengautentikasi dan menerima token. Jika pola pengguna mulai terlihat mencurigakan (misalnya, pengguna mulai mengunduh gigabyte data dari OneDrive atau mulai mengirim email spam di Exchange Online), maka sinyal dapat disalurkan ke Azure AD memberi tahu bahwa pengguna tampaknya disusupi atau berisiko tinggi. Pada permintaan akses berikutnya dari pengguna ini, Azure AD dapat mengambil tindakan dengan benar untuk memverifikasi pengguna atau memblokirnya.
Lakukan langkah ini:
- Aktifkan pemantauan Defender untuk Cloud Apps untuk memperkaya sinyal Perlindungan Identitas.
Mengaktifkan integrasi Akses Bersyar dengan Microsoft Defender for Cloud Apps
Menggunakan sinyal yang dipancarkan setelah autentikasi dan dengan permintaan proksi Defender untuk Cloud Apps ke aplikasi, Anda akan dapat memantau sesi yang masuk ke aplikasi SaaS dan memberlakukan pembatasan.
Ikuti langkah-langkah berikut:
Mengaktifkan sesi terbatas untuk digunakan dalam keputusan akses
Saat risiko pengguna rendah, tetapi mereka masuk dari titik akhir yang tidak diketahui, Anda mungkin ingin mengizinkan mereka mengakses sumber daya penting, tetapi tidak mengizinkan mereka untuk melakukan hal-hal yang membuat organisasi Anda dalam keadaan tidak patuh. Sekarang Anda dapat mengonfigurasi Exchange Online dan SharePoint Online untuk menawarkan sesi terbatas kepada pengguna yang memungkinkan mereka membaca email atau melihat file, tetapi tidak mengunduhnya dan menyimpannya di perangkat yang tidak tepercaya.
Lakukan langkah ini:
- Mengaktifkan akses terbatas ke SharePoint Online dan Exchange Online
VI. Mengintegrasikan sinyal ancaman dari solusi keamanan lain untuk meningkatkan deteksi, perlindungan, dan respons
Akhirnya, solusi keamanan lainnya dapat diintegrasikan untuk efektivitas yang lebih besar.
Mengintegrasikan Pertahanan Microsoft untuk Identitas dengan Microsoft Defender for Cloud Apps
Integrasi dengan Pertahanan Microsoft untuk Identitas memungkinkan Azure AD mengetahui bahwa pengguna memanjakan diri dengan perilaku berisiko saat mengakses sumber daya lokal dan non-modern (seperti Berbagi File). Ini kemudian dapat diperhitungkan ke dalam risiko pengguna secara keseluruhan untuk memblokir akses lebih lanjut di cloud.
Ikuti langkah-langkah berikut:
Aktifkan Pertahanan Microsoft untuk Identitas dengan Microsoft Defender for Cloud Apps untuk membawa sinyal lokal ke sinyal risiko yang kita ketahui tentang pengguna.
Periksa skor Prioritas Investigasi gabungan untuk setiap pengguna yang berisiko untuk memberikan tampilan holistik mana yang harus difokuskan SOC Anda.
Aktifkan Pertahanan Microsoft untuk Titik Akhir
Pertahanan Microsoft untuk Titik Akhir memungkinkan Anda untuk membuktikan kesehatan mesin Windows dan menentukan apakah mereka mengalami kompromi. Anda kemudian dapat memberi umpan informasi tersebut ke dalam mengurangi risiko pada runtime. Sedangkan Domain Join memberi Anda rasa kontrol, Pertahanan untuk Titik Akhir memungkinkan Anda untuk bereaksi terhadap serangan malware hampir secara real time dengan mendeteksi pola di mana beberapa perangkat pengguna mencapai situs yang tidak dapat dipercaya, dan bereaksi dengan meningkatkan risiko perangkat/pengguna mereka pada waktu proses.
Lakukan langkah ini:
Produk yang tercakup dalam panduan ini
Microsoft Azure
Pertahanan Microsoft untuk Identitas
Microsoft 365
Microsoft Endpoint Manager (termasuk Microsoft Intune)
Pertahanan Microsoft untuk Titik Akhir
Kesimpulan
Identitas adalah pusat dari strategi Zero Trust yang sukses. Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Customer Success Anda atau lanjutkan membaca bab lain dari panduan ini, yang mencakup semua pilar Zero Trust.
Seri panduan penyebaran Zero Trust
