Geprivilegieerde toegang: interfaces

  • Artikel
  • 4 minuten om te lezen

Een belangrijk onderdeel van het beveiligen van geprivilegieerde toegang is de toepassing van beleid voor nul vertrouwen om ervoor te zorgen dat apparaten, accounts en tussenpersoon voldoen aan beveiligingsvereisten voordat ze toegang verlenen.

Dit beleid zorgt ervoor dat gebruikers en apparaten die de inkomende sessie starten, bekend, vertrouwd zijn en toegang hebben tot de resource (via de interface). De beleidshandhaving wordt uitgevoerd door de Beleidsen engine voor Azure AD Conditional Access die beleid evalueert dat is toegewezen aan de specifieke toepassingsinterface (zoals Azure Portal, Salesforce, Office 365, AWS, Workday en andere).

Resources beschermen door interfaces te beveiligen

In deze richtlijn worden drie beveiligingsniveaus voor interfacebeveiliging definieert die u kunt gebruiken voor activa met verschillende gevoeligheidsniveaus. Deze niveaus zijn geconfigureerd in het rapid access rapid modernization plan (RAMP) voor geprivilegieerde toegang en komen overeen met beveiligingsniveaus van accounts en apparaten.

De beveiligingsvereisten voor inkomende sessies voor interfaces zijn van toepassing op accounts en het bronapparaat, ongeacht of het een directe verbinding is vanaf fysieke apparaten of een extern bureaublad / Jump-serverbemiddeling. Tussenpersoon kan sessies van persoonlijke apparaten accepteren om het beveiligingsniveau van het bedrijf te bieden (voor sommige scenario's), maar gespecialiseerde of bevoorrechte bemiddelaars mogen verbindingen vanaf lagere niveaus niet toestaan vanwege het beveiligingsgevoelige karakter van hun rollen.

Opmerking

Deze technologieën bieden een sterk end-to-end toegangsbeheer voor de toepassingsinterface, maar de resource zelf moet ook worden beveiligd tegen aanvallen op de toepassingscode/functionaliteit, ongepatchte beveiligingslekken of configuratiefouten in het onderliggende besturingssysteem of de firmware, op gegevens in rust of onderweg, supply chains of andere middelen.

Zorg ervoor dat u de risico's voor de activa zelf kunt beoordelen en ontdekken voor volledige bescherming. Microsoft biedt hulpprogramma's en richtlijnen om u daarbij te helpen, waaronder Microsoft Defender voor Cloud,Microsoft Secure Scoreen richtlijnen voor bedreigingsmodellering.

Voorbeelden van interface

Interfaces zijn er in verschillende vormen, meestal als:

  • Cloudservice-/toepassingswebsites zoals Azure Portal, AWS, Office 365
  • Desktopconsole voor het beheren van een on-premises toepassing (Microsoft Management Console (MMC) of aangepaste toepassing)
  • Scripting/Console Interface, zoals Secure Shell (SSH) of PowerShell

Hoewel sommige van deze direct ondersteuning bieden voor Zero Trust-handhaving via de beleids engine voor Azure AD Conditional Access, moeten sommige ervan worden gepubliceerd via een tussenpersoon, zoals Azure AD App Proxy of Remote Desktop/ jump server.

Interfacebeveiliging

Het uiteindelijke doel van interfacebeveiliging is ervoor te zorgen dat elke inkomende sessie naar de interface bekend, vertrouwd en toegestaan is:

  • Bekend: gebruiker is geverifieerd met sterke verificatie en het apparaat wordt geverifieerd (met uitzondering van persoonlijke apparaten met een oplossing voor extern bureaublad of VDI voor zakelijke toegang)
  • Vertrouwd: de beveiligingstoestand wordt expliciet gevalideerd en afgedwongen voor accounts en apparaten met een Zero Trust-beleids engine
  • Toegestaan: toegang tot de resources volgt het minste privilegeprincipe met behulp van een combinatie van besturingselementen om ervoor te zorgen dat deze alleen toegankelijk zijn
    • Door de juiste gebruikers
    • Op het juiste moment (net op tijd toegang, geen permanente toegang)
    • Met de juiste goedkeuringswerkstroom (indien nodig)
    • Op een acceptabel risico-/vertrouwensniveau

Besturingselementen voor interfacebeveiliging

Voor het opstellen van interfacebeveiligingscontroles is een combinatie van beveiligingsbesturingselementen vereist, waaronder:

  • Zero Trust policy enforcement - using Conditional Access to ensure that the inbound sessions meet the requirements for:
    • Apparaat vertrouwen om ervoor te zorgen dat het apparaat minimaal is:
    • Gebruikersvertrouwen is hoog genoeg op basis van signalen, waaronder:
      • Meervoudig verificatiegebruik tijdens de eerste aanmelding (of later toegevoegd om het vertrouwen te vergroten)
      • Of deze sessie overeenkomt met historische gedragspatronen
      • Of het account of de huidige sessie waarschuwingen activeert op basis van bedreigingsinformatie
      • Azure AD Identity Protection risk
  • RBAC-model (Role-based Access Control) dat ondernemingslijstgroepen/-machtigingen en toepassingsspecifieke rollen, groepen en machtigingen combineert
  • Just in time access workflows that ensure specific requirements for privileges (peer approvals, audit trail, privileged expiration, etc.) worden afgedwongen voordat u machtigingen toestaat waar het account voor in aanmerking komt.

Beveiligingsniveaus voor interface

Deze richtlijn definieert drie beveiligingsniveaus. Zie Keep it Simple - Personas and Profiles voor meer informatie over deze niveaus. Zie het plan voor snelle modernisatie voor richtlijnen voor implementatie.

Resources beheren van toegang tot specifieke interfacebeveiligingsniveaus

Enterprise-interface

Beveiliging van de enterprise-interface is geschikt voor alle zakelijke gebruikers en productiviteitsscenario's. Enterprise fungeert ook als uitgangspunt voor hogere gevoeligheidsbelastingen waar u stapsgewijs op kunt voortbouwen om gespecialiseerde en bevoorrechte toegangsniveaus te bereiken.

  • Zero Trust policy enforcement - on inbound sessions using Conditional Access to ensure that users and devices are secured at the enterprise or higher level
    • Ter ondersteuning kunt u uw eigen APPARAAT-scenario's (BYOD), persoonlijke apparaten en door partners beheerde apparaten mogelijk verbinden als ze een zakelijke tussenpersoon gebruiken, zoals een speciale Windows Virtual Desktop (WVD) of een soortgelijke oplossing voor extern bureaublad/jumpserver.
  • Role-Based Access Control (RBAC) - Model moet ervoor zorgen dat de toepassing alleen wordt beheerd door rollen op het gespecialiseerde of bevoorrechte beveiligingsniveau

Gespecialiseerde interface

Beveiligingsbesturingselementen voor gespecialiseerde interfaces moeten

  • Zero Trust policy enforcement - on inbound sessions using Conditional Access to ensure that users and devices are secured at the specialized or privileged level
  • Role-Based Access Control (RBAC) - Model moet ervoor zorgen dat de toepassing alleen wordt beheerd door rollen op het gespecialiseerde of bevoorrechte beveiligingsniveau
  • Just in time access workflows (optional) - that enforce least privilege bysuring privileges are only used by authorized users during the time they are needed.

Bevoorrechte interface

Beveiligingsbesturingselementen voor gespecialiseerde interfaces moeten

  • Zero Trust policy enforcement - on inbound sessions using Conditional Access to ensure that users and devices are secured at the privileged level
  • Role-Based Access Control (RBAC) - Model moet ervoor zorgen dat de toepassing alleen wordt beheerd door rollen op het bevoorrechte beveiligingsniveau
  • Just in time access workflows (required) that enforce least privilege bysuring privileges are only used by authorized users during the time they are needed.

Volgende stappen