Bevoorrechte toegang: Bemiddelaars

Beveiliging van tussenliggende apparaten is een essentieel onderdeel van het beveiligen van geprivilegieerde toegang.

Tussenpersoon voegt een koppeling toe aan de keten van Zero Trust assurance voor het einde van de sessie van de gebruiker of beheerder, zodat deze de beveiligingsgaranties van Zero Trust in de sessie moet ondersteunen (of verbeteren). Voorbeelden van bemiddelaars zijn vpn's (Virtual Private Networks), Jump Servers, Virtual Desktop Infrastructure (VDI) en publicatie van toepassingen via access proxies.

Een aanvaller kan een tussenpersoon aanvallen om te proberen de bevoegdheden te escaleren met behulp van referenties die op hen zijn opgeslagen, externe toegang tot bedrijfsnetwerken te krijgen of het vertrouwen op dat apparaat te misbruiken als deze wordt gebruikt voor zero trusttoegangsbeslissingen. Het richten van intermediairs is veelvoorkomende, met name voor organisaties die de beveiliging van deze apparaten niet strikt handhaven. Bijvoorbeeld referenties die zijn verzameld op VPN-apparaten.

Tussenpersoon verschilt in doel en technologie, maar bieden meestal externe toegang, sessiebeveiliging of beide:

• Externe toegang: toegang tot systemen op bedrijfsnetwerken vanaf internet inschakelen
• Sessiebeveiliging: beveiligingsbeveiliging en zichtbaarheid voor een sessie vergroten
  • Scenario van niet-beheerd apparaat: een beheerd virtueel bureaublad dat toegankelijk is voor niet-beheerde apparaten (bijvoorbeeld persoonlijke werknemersapparaten) en/of apparaten die worden beheerd door een partner/leverancier.
  • Scenario beheerdersbeveiliging: beheerpaden samenvoegen en/of de beveiliging verhogen met alleen in tijdtoegang, sessiecontrole en -opname en soortgelijke mogelijkheden.

Als u ervoor zorgt dat beveiligingsgaranties worden onderhouden vanaf het oorspronkelijke apparaat en account tot aan de resourceinterface, moet u het risicoprofiel van de tussenliggende en risicobeperkende opties begrijpen.

Kans en waarde voor aanvaller

Verschillende tussenliggende typen voeren unieke functies uit, zodat ze elk een andere beveiligingsbenadering vereisen, hoewel er enkele essentiële overeenkomsten zijn, zoals het snel toepassen van beveiligingspatches op apparaten, firmware, besturingssystemen en toepassingen.

De aanvallerkans wordt vertegenwoordigd door het beschikbare aanvalsoppervlak dat een aanvalsoperator kan targeten:

• Native cloudservices zoals Azure AD PIM, Azure Bastion en Azure AD App Proxy bieden een beperkt aanvalsoppervlak voor aanvallers. Terwijl ze worden blootgesteld aan het openbare internet, hebben klanten (en aanvallers) geen toegang tot onderliggende besturingssystemen die de services leveren en worden ze meestal consistent onderhouden en gecontroleerd via geautomatiseerde mechanismen bij de cloudprovider. Dit kleinere aanvalsoppervlak beperkt de beschikbare opties tot aanvallers versus klassieke on-premises toepassingen en apparaten die moeten worden geconfigureerd, gepatcht en gecontroleerd door IT-personeel dat vaak wordt overstelpt door conflicterende prioriteiten en meer beveiligingstaken dan ze hebben.
• Vpn's (Virtual Private Networks) en Remote DesktopsJump-servers hebben vaak een belangrijke mogelijkheid voor kwaadwillenden omdat ze worden blootgesteld aan internet om externe toegang te bieden en het onderhoud van deze systemen vaak wordt genegeerd. Hoewel er slechts een paar netwerkpoorten zijn blootgesteld, hebben aanvallers slechts toegang nodig tot één ongepatchte service voor een aanval.
• PIM/PAM-services van derden worden vaak on-premises of als VM op Infrastructure as a Service (IaaS) gehost en zijn meestal alleen beschikbaar voor intranethosts. Hoewel er niet direct internet wordt blootgesteld, kunnen aanvallers met één gecompromitteerde referenties toegang krijgen tot de service via VPN of een ander extern toegangsmedium.

De waarde van de aanvaller vertegenwoordigt wat een aanvaller kan winnen door een tussenpersoon in gevaar te brengen. Een compromis wordt gedefinieerd als een aanvaller die volledige controle krijgt over de toepassing/VM en/of een beheerder van het klant exemplaar van de cloudservice.

De ingrediënten die aanvallers kunnen verzamelen bij een tussenpersoon voor de volgende fase van hun aanval zijn:

• Krijg netwerkconnectiviteit om te communiceren met de meeste of alle resources in bedrijfsnetwerken. Deze toegang wordt meestal geleverd door VPN's en externe desktop- en jumpserveroplossingen. Hoewel Azure Bastion en Azure AD App Proxy (of soortgelijke oplossingen van derden) ook externe toegang bieden, zijn deze oplossingen meestal toepassings- of serverspecifieke verbindingen en bieden ze geen algemene netwerktoegang
• Apparaatidentiteit imiteren: kan Zero Trust-mechanismen omzeilen als een apparaat vereist is voor verificatie en/of door een aanvaller wordt gebruikt om informatie te verzamelen over de doelnetwerken. Beveiligingsbewerkingsteams houden de activiteit van het apparaataccount vaak niet nauwlettend in de gaten en richten zich alleen op gebruikersaccounts.
• Steel accountreferenties om te verifiëren bij resources, wat het meest waardevolle voordeel is voor aanvallers, omdat het de mogelijkheid biedt om bevoegdheden te verhogen om toegang te krijgen tot hun uiteindelijke doel of de volgende fase in de aanval. Remote Desktop / Jump-servers en PIM/PAM van derden zijn de meest aantrekkelijke doelen en hebben de dynamische 'Al uw eieren in één mand' met een hogere waarde voor aanvallers en beveiligingsbeperking:
  • PIM/PAM-oplossingen slaan meestal de referenties op voor de meeste of alle bevoorrechte rollen in de organisatie, waardoor ze een zeer lucratieve doelstelling zijn om compromissen te sluiten of te gebruiken.
  • Azure AD PIM biedt aanvallers niet de mogelijkheid om referenties te stelen, omdat hierdoor bevoegdheden worden ontgrendeld die al zijn toegewezen aan een account met MFA of andere werkstromen, maar met een slecht ontworpen werkstroom kan een tegenstrever de bevoegdheden escaleren.
  • Remote Desktop/Jump-servers die door beheerders worden gebruikt, bieden een host waar veel of alle gevoelige sessies worden doorgeslagen, zodat aanvallers standaard hulpprogramma's voor diefstal van referenties kunnen gebruiken om deze referenties te stelen en opnieuw te gebruiken.
  • VPN's kunnen referenties opslaan in de oplossing, waardoor aanvallers een schat aan bevoegdheden kunnen krijgen, wat leidt tot de sterke aanbeveling om Azure AD te gebruiken voor verificatie om dit risico te beperken.

Bemiddelende beveiligingsprofielen

Voor het vaststellen van deze garanties is een combinatie van beveiligingsbesturingselementen vereist, waarvan sommige veel voor veel tussenpersoon zijn, en waarvan sommige specifiek zijn voor het type tussenpersoon.

Een tussenpersoon is een koppeling in de Zero Trust-keten die een interface presenteert voor gebruikers/apparaten en vervolgens toegang geeft tot de volgende interface. De beveiligingsbesturingselementen moeten betrekking hebben op binnenkomende verbindingen, de beveiliging van het tussenliggende apparaat/de toepassing/service zelf en (indien van toepassing) zero trust-beveiligingssignalen bieden voor de volgende interface.

Veelgebruikte beveiligingsbesturingselementen

De gemeenschappelijke beveiligingselementen voor bemiddelaars zijn gericht op het handhaven van goede beveiligingshygiëne voor ondernemingen en gespecialiseerde niveaus, met extra beperkingen voor privilegebeveiliging.

Deze beveiligingscontroles moeten worden toegepast op alle typen tussenpersoon:

• Binnenkomende verbindingsbeveiliging afdwingen: gebruik Azure AD en Voorwaardelijke toegang om ervoor te zorgen dat alle binnenkomende verbindingen van apparaten en accounts bekend, vertrouwd en toegestaan zijn. Zie het artikel Bevoorrechte interfaces secuiting voor gedetailleerde definities voor apparaat- en accountvereisten voor ondernemingen en gespecialiseerd voor meer informatie.
• Correct systeemonderhoud: alle bemiddelaars moeten goede beveiligingshygiënepraktijken volgen, waaronder:
  • Veilige configuratie: volg basislijnen voor beveiligingsconfiguraties voor fabrikanten of industrie en best practices voor zowel de toepassing als onderliggende besturingssystemen, cloudservices of andere afhankelijkheden. Toepasselijke richtlijnen van Microsoft omvatten de Azure Security Baseline en Windows Basislijnen.
  • Snelle patching: beveiligingsupdates en patches van de leveranciers moeten snel na de release worden toegepast.
• RBAC-modellen (Role-Based Access Control) kunnen worden misbruikt door aanvallers om bevoegdheden te escaleren. Het RBAC-model van de tussenpersoon moet zorgvuldig worden gecontroleerd om ervoor te zorgen dat alleen geautoriseerd personeel dat op een gespecialiseerd of bevoorrecht niveau is beveiligd, beheerdersbevoegdheden krijgt. Dit model moet onderliggende besturingssystemen of cloudservices bevatten (hoofdaccountwachtwoord, lokale beheerdersgebruikers/groepen, tenantbeheerders, enzovoort).
• Eindpuntdetectie en -antwoord (EDR) en uitgaand vertrouwenssignaal: apparaten met een volledig besturingssysteem moeten worden gecontroleerd en beveiligd met een EDR zoals Microsoft Defender voor Eindpunt. Dit besturingselement moet zo zijn geconfigureerd dat apparaat compliancesignalen worden verstrekt aan Voorwaardelijke toegang, zodat het beleid deze vereiste voor interfaces kan afdwingen.

Bevoorrechte bemiddelaars hebben extra beveiligingsbesturingselementen nodig:

• RBAC (Role Based Access Control) - Beheerdersrechten moeten worden beperkt tot alleen bevoorrechte rollen die voldoen aan die standaard voor werkstations en accounts.
• Speciale apparaten (optioneel) - vanwege de extreme gevoeligheid van bevoorrechte sessies kunnen organisaties ervoor kiezen om speciale exemplaren van tussenliggende functies voor bevoorrechte rollen te implementeren. Met dit besturingselement kunt u aanvullende beveiligingsbeperkingen voor deze bevoorrechte bemiddelaars en een nauwere controle van bevoorrechte rolactiviteiten.

Beveiligingsbesturing voor elk type tussenpersoon

Deze sectie bevat specifieke beveiligingsadviezen die uniek zijn voor elk type tussenpersoon.

Privileged Access Management / Privileged Identity management

Eén type tussenpersoon dat expliciet is ontworpen voor beveiligingsgebruiksgevallen is PIM/PAM-oplossingen (Privileged Identity Management/ Privileged Access Management).

Gebruik cases en scenario's voor PIM/PAM

PIM/PAM-oplossingen zijn ontworpen om beveiligingsgaranties te verhogen voor gevoelige accounts die worden gedekt door gespecialiseerde of geprivilegieerde profielen, en richten zich meestal eerst op IT-beheerders.

Hoewel functies verschillen tussen PIM/PAM-leveranciers, bieden veel oplossingen beveiligingsmogelijkheden voor:

• Het beheer van serviceaccounts en het draaien van wachtwoorden vereenvoudigen (een belangrijke mogelijkheid)

• Geavanceerde werkstromen bieden voor just-in-time toegang (JIT)

• Beheersessies opnemen en controleren

  Belangrijk

  PIM/PAM-mogelijkheden bieden uitstekende oplossingen voor bepaalde aanvallen, maar pakken niet veel risico's voor toegang, met name het risico op apparaatcompromitteerdheid, aan. Hoewel sommige leveranciers er voor pleiten dat hun PIM/PAM-oplossing een 'silver bullet'-oplossing is die apparaatrisico's kan beperken, heeft onze ervaring met het onderzoeken van klantincidenten steeds bewezen dat dit in de praktijk niet werkt.

  Een aanvaller met controle over een werkstation of apparaat kan deze referenties (en bevoegdheden die aan hem zijn toegewezen) gebruiken terwijl de gebruiker is aangemeld (en vaak ook referenties kan stelen voor later gebruik). Een PIM/PAM-oplossing alleen kan deze apparaatrisico's niet consistent en betrouwbaar zien en beperken, dus u moet discrete apparaat- en accountbeveiligingen hebben die elkaar aanvullen.

Beveiligingsrisico's en aanbevelingen voor PIM/PAM

De mogelijkheden van elke PIM/PAM-leverancier zijn afhankelijk van hoe u deze kunt beveiligen, dus bekijk en volg de specifieke aanbevelingen en aanbevolen procedures voor de beveiligingsconfiguratie van uw leverancier.

Virtuele privénetwerken van eindgebruikers

Vpn's (Virtual Private Networks) zijn bemiddelaars die volledige netwerktoegang bieden voor externe eindpunten, meestal vereisen dat de eindgebruiker zich verifieert en referenties lokaal kan opslaan om binnenkomende gebruikerssessies te verifiëren.

Gebruik cases en scenario's voor VPN's

VPN's maken externe connectiviteit met het bedrijfsnetwerk om toegang tot resources in te stellen voor gebruikers en beheerders.

Beveiligingsrisico's en aanbevelingen voor VPN's

De belangrijkste risico's voor VPN-tussenpersoon zijn onderhoudsonderhoud, configuratieproblemen en lokale opslag van referenties.

Microsoft raadt een combinatie van besturingselementen voor VPN-tussenpersoon aan:

• Azure AD-verificatie integreren- om het risico van lokaal opgeslagen referenties (en eventuele overheadkosten om deze te behouden) te beperken of te elimineren en zero trust-beleid af te dwingen op binnenkomende accounts/apparaten met voorwaardelijke toegang. Zie Voor richtlijnen over integratie
  • Azure VPN-AAD integratie
  • Azure AD Authentication inschakelen op de VPN-gateway
  • Vpn's van derden integreren
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect and Captive Portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • en meer
• Snelle patching- Zorg ervoor dat alle organisatie-elementen ondersteuning bieden voor snelle patching, waaronder:
  • Ondersteuning voor organisatiesponsoring en leiderschap voor vereiste
  • Standaard technische processen voor het bijwerken van VPN's met minimale of nul downtime. Dit proces moet VPN-software, apparaten en onderliggende besturingssystemen of firmware bevatten
  • Noodprocessen voor het snel implementeren van kritieke beveiligingsupdates
  • Beheer om gemiste items voortdurend te ontdekken en te corrigeren
• Veilige configuratie: de mogelijkheden van elke VPN-leverancier variëren in hoe u deze kunt beveiligen, dus bekijk en volg de specifieke aanbevelingen en aanbevolen procedures voor beveiligingsconfiguratie van uw leverancier en volg deze.
• Ga verder dan VPN- Vervang VPN's in de tijd door veiligere opties zoals Azure AD App Proxy of Azure Bastion, omdat deze alleen directe toegang tot toepassingen/servers bieden in plaats van volledige netwerktoegang. Daarnaast kan met Azure AD App Proxy sessiecontrole worden uitgevoerd voor extra beveiliging met Microsoft Defender voor cloud-apps.

Azure AD App Proxy

Azure AD App Proxy en soortgelijke mogelijkheden van derden bieden externe toegang tot oudere en andere toepassingen die on-premises of op IaaS-VM's in de cloud worden gehost.

Gebruik cases en scenario's voor Azure AD App Proxy

Deze oplossing is geschikt voor het publiceren van oudere productiviteitstoepassingen voor eindgebruikers voor geautoriseerde gebruikers via internet. Het kan ook worden gebruikt voor het publiceren van bepaalde beheertoepassingen.

Beveiligingsrisico's en aanbevelingen voor Azure AD App Proxy

Azure AD App-proxy biedt een effectieve aanpassing van de moderne Zero Trust-beleidshandhaving aan bestaande toepassingen. Zie Beveiligingsoverwegingen voor Azure AD Application Proxy voor meer informatie

Azure AD Application Proxy kan ook worden geïntegreerd met Microsoft Defender voor Cloud-apps om sessiebeveiliging voor voorwaardelijke toegang voor app-beheer toe te voegen aan:

• Gegevens exfiltreren voorkomen
• Beveiligen bij downloaden
• Het uploaden van bestanden zonder label voorkomen
• Gebruikerssessies controleren op naleving
• Toegang blokkeren
• Aangepaste activiteiten blokkeren

Zie Defender voor cloud-apps Voorwaardelijke toegangsbeheer voor Azure AD-apps implementeren voor meer informatie.

Terwijl u toepassingen publiceert via de Azure AD Application Proxy, raadt Microsoft aan dat toepassingseigenaren met beveiligingsteams samenwerken om de minste bevoegdheden te volgen en ervoor te zorgen dat toegang tot elke toepassing alleen beschikbaar is voor de gebruikers die deze vereisen. Als u meer apps op deze manier implementeert, kunt u mogelijk een deel van het VPN-gebruik van de site door eindgebruikers compenseren.

Extern bureaublad /jumpserver

Dit scenario biedt een volledige bureaubladomgeving met een of meer toepassingen. Deze oplossing heeft een aantal verschillende variaties, waaronder:

• Ervaringen : volledig bureaublad in een venster of één projectervaring voor één toepassing
• Externe host: kan een gedeelde VM of een speciale bureaublad-VM zijn met behulp van Windows Virtual Desktop (WVD) of een andere VDI-oplossing (Virtual Desktop Infrastructure).
• Lokaal apparaat: kan een mobiel apparaat, een beheerd werkstation of een persoonlijk/partner beheerd werkstation zijn
• Scenario: gericht op productiviteitstoepassingen van gebruikers of op beheerscenario's, ook wel een 'jump server' genoemd

Use cases and security recommendations for Remote Desktop / Jump server

De meest voorkomende configuraties zijn:

• Direct Remote Desktop Protocol (RDP) - Deze configuratie wordt niet aanbevolen voor internetverbindingen, omdat RDP een protocol is dat beperkte beveiliging biedt tegen moderne aanvallen, zoals wachtwoordsproeien. Direct RDP moet worden geconverteerd naar:
  • RDP via een gateway die is gepubliceerd door Azure AD App Proxy
  • Azure Bastion
• RDP via een gateway met behulp van
  • Extern bureaublad-services (RDS) die zijn opgenomen in Windows Server. Publiceren met Azure AD Application Proxy.
  • Windows Virtual Desktop (WVD) - Volg Windows beveiligingsprocedures voor Virtual Desktop.
  • VDI van derden : volg best practices voor fabrikanten of bedrijven of pas WVD-richtlijnen aan uw oplossing aan
• Secure Shell -server (SSH) - biedt externe shell en scripting voor technologieafdelingen en eigenaren van werkbelasting. Het beveiligen van deze configuratie moet het volgende omvatten:
  • Volg de best practices van de branche/fabrikant om deze veilig te configureren, eventuele standaardwachtwoorden te wijzigen (indien van toepassing), SSH-sleutels te gebruiken in plaats van wachtwoorden, en SSH-sleutels veilig op te slaan en te beheren.
  • Azure Bastion voor SSH opnieuw gebruiken voor resources die worden gehost in Azure- Verbinding maken linux-VM met Azure Bastion

Azure Bastion

Azure Bastion is een tussenpersoon die is ontworpen om veilige toegang te bieden tot Azure-bronnen met behulp van een browser en de Azure-portal. Azure Bastion biedt toegangsbronnen in Azure die RDP-protocollen (Remote Desktop Protocol) en Secure Shell (SSH) ondersteunen.

Gebruik cases en scenario's voor Azure Bastion

Azure Bastion biedt effectief een flexibele oplossing die kan worden gebruikt door it-medewerkers en workloadbeheerders buiten IT om resources te beheren die worden gehost in Azure zonder dat er een volledige VPN-verbinding met de omgeving nodig is.

Beveiligingsrisico's en aanbevelingen voor Azure Bastion

Azure Bastion is toegankelijk via de Azure-portal, dus zorg ervoor dat uw Azure-portalinterface het juiste beveiligingsniveau vereist voor de resources in de portal en rollen die deze gebruiken, meestal bevoorrecht of gespecialiseerd niveau.

Aanvullende richtlijnen zijn beschikbaar in de Documentatie van Azure Bastion

Volgende stappen

• Overzicht van bevoorrechte toegang beveiligen
• Strategie voor geprivilegieerde toegang
• Succes meten
• Beveiligingsniveaus
• Accounts met geprivilegieerde toegang
• Interfaces
• Bevoorrechte toegangsapparaten
• Enterprise Access-model