Dostęp uprzywilejowany: interfejsy

Krytycznym składnikiem zabezpieczania uprzywilejowanego dostępu jest stosowanie zasad zerowego zaufania w celu zapewnienia, że urządzenia, konta i pośrednicy spełniają wymagania dotyczące zabezpieczeń przed uzyskaniem dostępu.

Te zasady zapewniają, że użytkownicy i urządzenia inicjujące sesję przychodzącą są znane, zaufane i mogą uzyskiwać dostęp do zasobu (za pośrednictwem interfejsu). Wymuszanie zasad jest wykonywane przez aparat zasad dostępu warunkowego usługi Azure AD, który ocenia zasady przypisane do określonego interfejsu aplikacji (takich jak azure portal, Salesforce, Office 365, AWS, Workday i inne).

Protecting resources by protecting interfaces

Te wskazówki definiują trzy poziomy zabezpieczeń interfejsu, których można używać dla zasobów z różnymi poziomami poufności. Te poziomy są konfigurowane w zabezpieczaniu uprzywilejowanego planu szybkiej modernizacji (RAMP) i odpowiadają poziomom zabezpieczeń kont i urządzeń.

Wymagania dotyczące zabezpieczeń sesji przychodzących do interfejsów mają zastosowanie do kont i urządzenia źródłowego, niezależnie od tego, czy jest to bezpośrednie połączenie z urządzeń fizycznych , czy pośredniczący serwer pulpitu zdalnego/skoczni. Pośrednicy mogą akceptować sesje z urządzeń osobistych w celu zapewnienia poziomu zabezpieczeń przedsiębiorstwa (w niektórych scenariuszach), ale wyspecjalizowani lub uprzywilejowani pośrednicy nie powinni zezwalać na połączenia z niższych poziomów ze względu na poufny charakter ich ról.

Uwaga

Technologie te zapewniają silny koniec kontroli dostępu do interfejsu aplikacji, ale sam zasób musi być również zabezpieczony przed atakami poza pasmem na kod/funkcjonalność aplikacji, niespatchowane luki w zabezpieczeniach lub błędy konfiguracji w podstawowym systemie operacyjnym lub oprogramowaniu układowym, na danych magazynowanych lub przesyłanych, łańcuchach dostaw lub innych środkach.

Upewnij się, że chcesz ocenić i odnaleźć zagrożenia dla samych zasobów w celu zapewnienia pełnej ochrony. Firma Microsoft udostępnia narzędzia i wskazówki ułatwiające to, w tym usługę Microsoft Defender for Cloud, wskaźnik bezpieczeństwa firmy Microsoft i wskazówki dotyczące modelowania zagrożeń.

Przykłady interfejsów

Interfejsy są dostępne w różnych formach, zazwyczaj jako:

  • Witryny internetowe usług/aplikacji w chmurze, takie jak Witryna Azure Portal, AWS, Office 365
  • Konsola pulpitu zarządza aplikacją lokalną (Microsoft Management Console (MMC) lub aplikacją niestandardową)
  • Skrypty/interfejs konsoli, taki jak Secure Shell (SSH) lub PowerShell

Niektóre z nich bezpośrednio obsługują wymuszanie zerowego zaufania za pośrednictwem aparatu zasad dostępu warunkowego usługi Azure AD, ale niektóre z nich muszą zostać opublikowane za pośrednictwem pośrednika , takiego jak serwer proxy aplikacji usługi Azure AD lub pulpit zdalny /serwer przesiadkowy.

Zabezpieczenia interfejsu

Ostatecznym celem zabezpieczeń interfejsu jest zapewnienie, że każda sesja przychodząca do interfejsu jest znana, zaufana i dozwolona:

  • Znane — użytkownik jest uwierzytelniany za pomocą silnego uwierzytelniania, a urządzenie jest uwierzytelniane (z wyjątkami dla urządzeń osobistych przy użyciu pulpitu zdalnego lub rozwiązania VDI na potrzeby dostępu przedsiębiorstwa)
  • Zaufane — kondycja zabezpieczeń jest jawnie weryfikowana i wymuszana dla kont i urządzeń przy użyciu aparatu zasad Zero Trust
  • Dozwolone — dostęp do zasobów jest zgodny z zasadą najmniejszych uprawnień przy użyciu kombinacji kontrolek w celu zapewnienia dostępu tylko do niej
    • Według odpowiednich użytkowników
    • W odpowiednim czasie (dostęp just in time, a nie stały dostęp)
    • Z odpowiednim przepływem pracy zatwierdzania (zgodnie z potrzebami)
    • Na akceptowalnym poziomie ryzyka/zaufania

Mechanizmy kontroli zabezpieczeń interfejsu

Ustanawianie zabezpieczeń interfejsu wymaga kombinacji mechanizmów kontroli zabezpieczeń, w tym:

  • Wymuszanie zasad Zero Trust — korzystanie z dostępu warunkowego w celu zapewnienia, że sesje przychodzące spełniają wymagania:
    • Zaufanie urządzenia w celu zapewnienia co najmniej urządzenia:
    • Zaufanie użytkowników jest wystarczająco wysokie na podstawie sygnałów, w tym:
      • Użycie uwierzytelniania wieloskładnikowego podczas początkowego logowania (lub dodane później w celu zwiększenia zaufania)
      • Czy ta sesja jest zgodna z wzorcami zachowania historycznego
      • Określa, czy konto, czy bieżąca sesja wyzwala wszystkie alerty na podstawie analizy zagrożeń
      • Ryzyko związane z usługą Azure AD Identity Protection
  • Model kontroli dostępu opartej na rolach (RBAC), który łączy grupy katalogów przedsiębiorstwa/uprawnienia i role, grupy i uprawnienia specyficzne dla aplikacji
  • Przepływy pracy dostępu just in time, które zapewniają określone wymagania dotyczące uprawnień (zatwierdzenia równorzędne, dziennik inspekcji, wygaśnięcie uprzywilejowane itp.) są wymuszane przed zezwoleniem na uprawnienia, dla których konto kwalifikuje się.

Poziomy zabezpieczeń interfejsu

Te wskazówki definiują trzy poziomy zabezpieczeń. Aby uzyskać więcej informacji na temat tych poziomów, zobacz Keep it Simple - Personas and Profiles (Zachowaj to proste — personas i profile). Aby uzyskać wskazówki dotyczące implementacji, zobacz plan szybkiej modernizacji.

Controlling resources access to specific interface security levels

Interfejs przedsiębiorstwa

Zabezpieczenia interfejsu przedsiębiorstwa są odpowiednie dla wszystkich użytkowników przedsiębiorstwa i scenariuszy produktywności. Przedsiębiorstwo służy również jako punkt wyjścia dla obciążeń o większej poufności, które można przyrostowo budować w celu osiągnięcia wyspecjalizowanych i uprzywilejowanych poziomów dostępu zapewniania.

  • Wymuszanie zasad zerowego zaufania — w przypadku sesji przychodzących korzystających z dostępu warunkowego w celu zapewnienia bezpieczeństwa użytkowników i urządzeń na poziomie przedsiębiorstwa lub wyższego poziomu
    • W celu obsługi scenariuszy przynieś własne urządzenie (BYOD), urządzenia osobiste i urządzenia zarządzane przez partnera mogą być dozwolone, jeśli korzystają z pośrednika przedsiębiorstwa, takiego jak dedykowany pulpit wirtualny z systemem Windows (WVD) lub podobne rozwiązanie pulpitu zdalnego/serwera przesiadkowego.
  • Role-Based Kontrola dostępu (RBAC) — model powinien upewnić się, że aplikacja jest administrowana tylko rolami na poziomie wyspecjalizowanych lub uprzywilejowanych zabezpieczeń

Wyspecjalizowany interfejs

Mechanizmy kontroli zabezpieczeń dla wyspecjalizowanych interfejsów powinny obejmować

  • Wymuszanie zasad zero zaufania — w przypadku sesji przychodzących korzystających z dostępu warunkowego w celu zapewnienia bezpieczeństwa użytkowników i urządzeń na poziomie wyspecjalizowanym lub uprzywilejowanym
  • Role-Based Kontrola dostępu (RBAC) — model powinien upewnić się, że aplikacja jest administrowana tylko rolami na poziomie wyspecjalizowanych lub uprzywilejowanych zabezpieczeń
  • Przepływy pracy dostępu just in time (opcjonalnie) — które wymuszają najmniejsze uprawnienia, zapewniając, że uprawnienia są używane tylko przez autoryzowanych użytkowników w czasie, gdy są potrzebne.

Interfejs uprzywilejowany

Mechanizmy kontroli zabezpieczeń dla wyspecjalizowanych interfejsów powinny obejmować

  • Wymuszanie zasad Zero Trust — w sesjach przychodzących korzystających z dostępu warunkowego w celu zapewnienia bezpieczeństwa użytkowników i urządzeń na poziomie uprzywilejowanym
  • Role-Based Kontrola dostępu (RBAC) — model powinien upewnić się, że aplikacja jest administrowana tylko rolami na poziomie zabezpieczeń uprzywilejowanych
  • Przepływy pracy dostępu just in time (wymagane), które wymuszają najmniejsze uprawnienia, zapewniając, że uprawnienia są używane tylko przez autoryzowanych użytkowników w czasie, gdy są potrzebne.

Następne kroki