ゼロ トラストを使用した ID のセキュリティ保護

背景

クラウド アプリケーションとモバイル従業員は、セキュリティ境界を再定義しました。 従業員は自分のデバイスを持ち込み、リモートで作業しています。 データは企業ネットワークの外部でアクセスされ、パートナーやベンダーなどの外部コラボレーターと共有されています。 企業のアプリケーションとデータは、オンプレミスからハイブリッド環境とクラウド環境に移行しています。 組織は、セキュリティに関する従来のネットワーク制御に依存できなくなりました。 コントロールは、デバイス、アプリ内、パートナーのデータがある場所に移動する必要があります。

ユーザー、サービス、または IoT デバイスを表す ID は、今日の多くの ネットワークエンドポイントおよびアプリケーションの共通の支配者です。 ゼロ トラストセキュリティ モデルでは、データへのアクセスを制御するための強力で柔軟できめ細かな方法として機能します。

ID がリソースへのアクセスを試みる前に、組織は次の操作を行う必要があります。

  • 強力な認証を使用して ID を確認します。

  • アクセスがその ID に準拠しており、一般的であることを確認します。

  • 最小限の特権アクセス原則に従います。

ID が検証されたら、組織のポリシー、進行中のリスク分析、およびその他のツールに基づいて、その ID のリソースへのアクセスを制御できます。

ID ゼロ トラストデプロイの目標

ほとんどの組織がゼロ トラスト体験を開始するに、ID に対するアプローチは、オンプレミス ID プロバイダーが使用中であり、クラウドアプリとオンプレミス アプリの間に SSO が存在せず、ID リスクの可視性が非常に限られているという点で問題になります。

ID 用のエンド ツー エンドのゼロ トラスト フレームワークを実装する場合は、最初に次の初期デプロイ目標に焦点を当てることをお勧めします。

List icon with one checkmark.

I.CloudID とオンプレミス ID システムのフェデレーション。

II。条件付きアクセス ポリシーは、アクセスをゲートし、修復アクティビティを提供します。

III。分析により、可視性が向上します。

これらが完了したら、次の 追加のデプロイ目標に焦点を当てます。

List icon with two checkmarks.

IV。ID とアクセス特権は、ID ガバナンスを使用して管理されます。

V.User、デバイス、場所、および動作はリアルタイムで分析され、リスクを特定し、継続的な保護を提供します。

VI。他のセキュリティ ソリューションからの脅威信号を統合して、検出、保護、および対応を向上させます。

ID ゼロ トラストデプロイ ガイド

このガイドでは、ゼロ トラスト セキュリティ フレームワークの原則に従って ID を管理するために必要な手順について説明します。




Checklist icon with one checkmark.

初期デプロイの目標

私。 クラウド ID フェデレーションとオンプレミス ID システム

Azure Active Directory (AD) を使用すると、強力な認証、エンドポイント セキュリティの統合ポイント、およびユーザー中心のポリシーのコアを使用して、最も特権の低いアクセスを保証できます。 Azure ADの条件付きアクセス機能は、ユーザー ID、環境、デバイスの正常性、リスクに基づいてリソースにアクセスするためのポリシー決定ポイントであり、アクセスポイントで明示的に検証されます。 Azure ADを使用してゼロ トラスト ID 戦略を実装する方法について説明します。

Diagram of the steps within phase 1 of the initial deployment objectives.

すべてのユーザーをAzure ADし、オンプレミスの ID システムとフェデレーションするようにConnectする

従業員の ID と必要なセキュリティアーティファクト (追加のアクセス ポリシー制御用の承認とエンドポイントのグループ) の健全なパイプラインを維持することで、クラウドで一貫性のある ID と制御を使用するのに最適な場所になります。

次の手順に従います。

  1. 認証オプションを選択します。 Azure ADは、最善のブルート フォース、DDoS、パスワード スプレー保護を提供しますが、組織とコンプライアンスのニーズに適した決定を下します。

  2. 絶対に必要な ID のみを持ち込む。 たとえば、オンプレミスでしか意味のないサービス アカウントを残す機会として、クラウドに移行することを使用します。 オンプレミスの特権ロールは残しておきます。

  3. 企業に 100,000 人を超えるユーザー、グループ、デバイスが組み合わされている場合は、ライフサイクルを最新の状態に保つ 高パフォーマンス同期ボックスを構築 します。

Azure ADを使用して Identity Foundation を確立する

ゼロ トラスト戦略では、明示的に検証し、最小特権のアクセス原則を使用し、侵害を想定する必要があります。 Azure ADは、ユーザー、エンドポイント、ターゲット リソース、および環境に関する分析情報に基づいてアクセス ポリシーを適用するポリシー決定ポイントとして機能できます。

次の手順に進みます。

  • すべてのアクセス要求のパスにAzure ADを配置します。 これにより、すべてのユーザーとすべてのアプリまたはリソースが 1 つの ID コントロール プレーンを介して接続され、認証/承認リスクに関して可能な限り最善の意思決定を行うシグナルがAzure ADされます。 さらに、シングル サインオンと一貫性のあるポリシー ガードレールにより、ユーザー エクスペリエンスが向上し、生産性の向上に貢献します。

すべてのアプリケーションをAzure ADに統合する

シングル サインオンを使用すると、ユーザーが資格情報のコピーをさまざまなアプリに残すのを防ぎ、ユーザーが過度のプロンプトによって資格情報を明け渡すことに慣れないようにすることができます。

また、環境内に複数の IAM エンジンがないことを確認します。 これにより、Azure ADが認識するシグナルの量が減少するだけでなく、2 つの IAM エンジンの間の継ぎ目に悪いアクターが住み込まれるだけでなく、ユーザー エクスペリエンスが低下し、ビジネス パートナーがゼロ トラスト戦略の最初の疑問になる可能性もあります。

次の手順に従います。

  1. OAuth2.0 または SAML を話す最新のエンタープライズ アプリケーションを統合します。

  2. Kerberos およびフォーム ベースの認証アプリケーションの場合は、Azure AD アプリケーション プロキシを使用して統合します

  3. アプリケーション配信ネットワーク/コントローラーを使用してレガシ アプリケーションを発行する場合は、Azure ADを使用して、ほとんどの主要アプリケーション (Citrix、Akamai、F5 など) と統合します。

  4. ADFS および既存/古い IAM エンジンからアプリを検出して移行するには、 リソースとツールを確認します。

  5. Power Push ID をさまざまなクラウド アプリケーションに組み込みます。 これにより、これらのアプリ内の ID ライフサイクルの統合が緊密になります。

強力な認証を使用して明示的に確認する

次の手順に従います。

  1. MFA (P1) Azure ADロールアウトします。 これは、ユーザー セッション のリスクを軽減するための基本的な部分です。 ユーザーが新しいデバイスや新しい場所に表示されるときに、MFA チャレンジに対応できることは、ユーザーが世界中を移動する際に使い慣れたデバイス/場所であることをユーザーに教えることができる最も直接的な方法の 1 つです (管理者が個々の信号を解析する必要はありません)。

  2. レガシ認証をブロックします。 悪意のあるアクターの最も一般的な攻撃ベクトルの 1 つは、最新のセキュリティ上の課題を実行できない従来のプロトコル (SMTP など) に対して盗まれた資格情報または再生された資格情報を使用することです。

II。 条件付きアクセス ポリシーは、アクセスをゲートし、修復アクティビティを提供します

Azure AD条件付きアクセス (CA) は、ユーザー、デバイス、場所などのシグナルを分析して、意思決定を自動化し、リソースに対して組織のアクセス ポリシーを適用します。 CA ポリシーを使用して、多要素認証 (MFA) などのアクセス制御を適用できます。 CA ポリシーを使用すると、セキュリティのために必要な場合は MFA をユーザーに求め、必要でない場合はユーザーの邪魔になりません。

Diagram of Conditional Access policies in Zero Trust.

Microsoft では、セキュリティの基本レベルを保証する 、セキュリティの既定値 と呼ばれる標準の条件付きポリシーを提供しています。 ただし、組織では、セキュリティの既定値よりも柔軟性が必要な場合があります。 条件付きアクセスを使用すると、セキュリティの既定値をより細かくカスタマイズしたり、要件を満たす新しいポリシーを構成したりできます。

条件付きアクセス ポリシーを事前に計画し、一連のアクティブ ポリシーとフォールバック ポリシーを持つことは、ゼロ トラスト展開における Access Policy の適用の基本の柱です。 時間をかけて、環境内の信頼できる IP の場所を構成します。 条件付きアクセス ポリシーで使用しない場合でも、これらの IP を構成すると、上記の Identity Protection のリスクが通知されます。

次の手順に進みます。

脆弱なデバイスや侵害されたデバイスからのアクセスを制限するAzure ADにデバイスを登録する

次の手順に従います。

  1. ハイブリッド結合またはAzure AD結合Azure AD有効にします ユーザーのラップトップ/コンピューターを管理している場合は、その情報をAzure ADに取り込み、それを使用してより適切な意思決定を行います。 たとえば、組織が管理するコンピューターからユーザーが取得されていることがわかっている場合は、データ (コンピューター上にオフライン コピーを持つクライアント) へのリッチ クライアント アクセスを許可することを選択できます。 これを行わない場合は、リッチ クライアントからのアクセスをブロックすることを選択する可能性があります。これにより、ユーザーがセキュリティを回避したり、シャドウ IT を使用したりする可能性があります。

  2. ユーザーのモバイル デバイスを管理し、デバイスを登録するために、Microsoft エンドポイント マネージャー (EMS) 内でIntune サービスを有効にします。 ノート PC と同じことがユーザーのモバイル デバイスについても言えます。 (パッチ レベル、脱獄、根付きなど)、ユーザーのモバイル デバイスを信頼または不信にし、アクセスをブロックまたは許可する理由の根拠を提供できます。

III。 分析によって可視性が向上する

認証、承認、プロビジョニングを使用してAzure ADで資産を構築する際には、ディレクトリで何が起こっているかについての強力な運用分析情報を得る必要があります。

可視性を向上させるためにログとレポートを構成する

次の手順に進みます。

  • azure または選択した SIEM システムを使用して、Azure ADからログを保持および分析できるように、Azure ADレポートと監視のデプロイを計画します。




Checklist icon with two checkmarks.

追加のデプロイ目標

IV。 ID とアクセス特権は、ID ガバナンスを使用して管理されます

最初の 3 つの目標を達成したら、より堅牢な ID ガバナンスなどの追加の目標に重点を置くことができます。

Diagram of the steps within phase 4 of the additional deployment objectives.

Privileged Identity Managementを使用して特権アクセスをセキュリティで保護する

特権操作/ロールへのアクセスにユーザーが使用するエンドポイント、条件、資格情報を制御します。

次の手順に従います。

  1. 特権 ID を制御します。 デジタル変革された組織では、特権アクセスは管理アクセスだけでなく、ミッション クリティカルなアプリの実行方法やデータの処理方法を変更できるアプリケーション所有者または開発者アクセスでもあります。

  2. Privileged Identity Managementを使用して特権 ID をセキュリティで保護します

アプリケーションに対するユーザーの同意は、最新のアプリケーションが組織のリソースにアクセスするための非常に一般的な方法ですが、留意すべきベスト プラクティスがいくつかあります。

次の手順に従います。

  1. ユーザーの同意を制限し、同意要求を管理 して、組織のデータがアプリに不必要に公開されないようにします。

  2. 過度または悪意のある同意がないか、組織内の以前または既存の同意を確認します。

機密情報にアクセスするための戦術から保護するツールの詳細については、ID ゼロ トラスト戦略の実装に関するガイドの「サイバー脅威と不正なアプリに対する保護を強化する」を参照してください。

エンタイトルメントを管理する

アプリケーションを一元的に認証し、Azure ADから推進することで、アクセス要求、承認、再認定プロセスを効率化して、適切なユーザーが適切なアクセス権を持ち、組織内のユーザーがアクセス権を持つ理由の証跡を得ることができるようになりました。

次の手順に従います。

  1. エンタイトルメント管理を使用して、ユーザーが異なるチーム/プロジェクトに参加する場合に要求でき、関連付けられたリソース (アプリケーション、SharePoint サイト、グループ メンバーシップなど) へのアクセスを割り当てるアクセス パッケージを作成します。

  2. 現時点でエンタイトルメント管理の展開が組織で不可能な場合は、少なくともセルフサービス グループ管理 とセルフサービス アプリケーション アクセスをデプロイして、組織内のセルフサービス パラダイムを有効にします。

パスワードレス認証を使用してフィッシングやパスワード攻撃のリスクを軽減する

FIDO 2.0 とパスワードなしの電話サインインをサポートするAzure ADを使用すると、ユーザー (特に機密性の高い/特権を持つユーザー) が日常的に使用している資格情報に針を移動できます。 これらの資格情報は、リスクを軽減できる強力な認証要素です。

次の手順に進みます。

V。 ユーザー、デバイス、場所、および動作はリアルタイムで分析され、リスクを特定し、継続的な保護を提供します

リスクと保護を決定するには、リアルタイム分析が重要です。

Diagram of the steps within phase 5 of the additional deployment objectives.

Azure ADパスワード保護を展開する

他の方法でユーザーを明示的に検証できるようにする一方で、脆弱なパスワード、パスワード スプレー、違反リプレイ攻撃を無視しないでください。 また、 従来の複雑なパスワード ポリシーでは、最も一般的なパスワード攻撃を防ぐことはできません

次の手順に進みます。

  • クラウドとオンプレミスユーザーに対してAzure AD Password Protection を有効にします。

Identity Protection を有効にする

Identity Protection を使用して、より詳細なセッション/ユーザー リスクシグナルを取得します。 リスクを調査し、侵害を確認したり、シグナルを却下したりすることができます。これにより、エンジンは環境内のリスクがどのようなものかを理解しやすくなります。

次の手順に進みます。

Identity Protection とのMicrosoft Defender for Cloud Apps統合を有効にする

Microsoft Defender for Cloud Appsは、SaaS および最新のアプリケーション内でのユーザーの動作を監視します。 これにより、ユーザーがトークンを認証して受信した後に何が発生したかがAzure ADに通知されます。 ユーザー パターンが疑わしいように見え始める場合 (たとえば、ユーザーがOneDriveからギガバイト単位のデータをダウンロードし始めたり、Exchange Onlineでスパム メールの送信を開始したりした場合)、ユーザーが侵害されたと思われる、またはリスクが高いように通知Azure ADシグナルを送信できます。 このユーザーからの次のアクセス要求では、Azure ADが正しくアクションを実行してユーザーを確認するか、ブロックできます。

次の手順に進みます。

条件付きアクセスとMicrosoft Defender for Cloud Appsの統合を有効にする

認証後に生成されたシグナルと、アプリケーションに対するDefender for Cloud アプリプロキシ要求を使用すると、SaaS アプリケーションに移動するセッションを監視し、制限を適用できます。

次の手順に従います。

  1. 条件付きアクセス統合を有効にします

  2. 条件付きアクセスをオンプレミス アプリに拡張します

アクセスの決定で使用する制限付きセッションを有効にする

ユーザーのリスクが低く、不明なエンドポイントからサインインしている場合は、重要なリソースへのアクセスを許可できますが、組織を非準拠状態にすることを許可することはできません。 これで、Exchange OnlineとSharePoint Online を構成して、電子メールの読み取りやファイルの表示を許可する制限付きセッションをユーザーに提供することができますが、ダウンロードして信頼されていないデバイスに保存することはできません。

次の手順に進みます。

VI。 他のセキュリティ ソリューションからの脅威信号を統合して、検出、保護、および対応を向上させる

最後に、他のセキュリティ ソリューションを統合して、より高い有効性を実現できます。

Microsoft Defender for IdentityとMicrosoft Defender for Cloud Appsを統合する

Microsoft Defender for Identityとの統合により、ユーザーがオンプレミスの最新ではないリソース (ファイル共有など) にアクセスするときに、ユーザーが危険な動作にふけっていることをAzure ADに把握できます。 その後、これは全体的なユーザー リスクに考慮して、クラウド内のそれ以上のアクセスをブロックできます。

次の手順に従います。

  1. Microsoft Defender for Cloud Appsを使用してMicrosoft Defender for Identityを有効にして、オンプレミスのシグナルをユーザーに関するリスクシグナルに取り込む。

  2. リスクのある各ユーザーの 調査優先度スコアを組み合わせて 確認し、SOC が焦点を当てる必要がある調査の全体像を把握します。

Microsoft Defender for Endpointを有効にする

Microsoft Defender for Endpointを使用すると、Windows マシンの正常性を証明し、侵害を受けているかどうかを判断できます。 その後、その情報を実行時にリスクの軽減にフィードできます。 ドメイン参加では制御の感覚が得られますが、Defender for Endpoint を使用すると、信頼できないサイトに複数のユーザー デバイスがアクセスしているパターンを検出し、実行時にデバイス/ユーザー のリスクを高めることによって対応することで、ほぼリアルタイムでマルウェア攻撃に対応できます。

次の手順に進みます。

このガイドで取り上げる製品

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft エンドポイント マネージャー (Microsoft Intuneを含む)

Microsoft Defender for Endpoint

SharePoint Online

Exchange Online

結論

ID は、成功したゼロ トラスト戦略の中心です。 実装の詳細またはヘルプについては、カスタマー サクセス チームにお問い合わせになるか、このガイドの他の章 (すべてのゼロ トラストの柱) を引き続き参照してください。



ゼロ トラストデプロイ ガイド シリーズ

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration