Uprzywilejowany dostęp: pośrednikówPrivileged access: Intermediaries

Bezpieczeństwo urządzeń pośredniczących jest krytycznym składnikiem zabezpieczania dostępu uprzywilejowanego.Security of intermediary devices is a critical component of securing privileged access.

Pośrednicy dodają łącze do łańcucha niezaufanych gwarancji dla sesji użytkownika lub administratora końcowego, dlatego muszą mieć możliwość utrzymania (lub usprawnienia) niezaufanych zabezpieczeń w sesji.Intermediaries add link to the chain of Zero Trust assurance for the user or administrator's end to end session, so they must sustain (or improve) the Zero Trust security assurances in the session. Przykłady pośredników obejmują wirtualne sieci prywatne (VPN), serwery przechodzenia, infrastrukturę pulpitu wirtualnego (VDI), a także publikowanie aplikacji za pośrednictwem serwerów proxy dostępu.Examples of intermediaries include virtual private networks (VPNs), jump servers, virtual desktop infrastructure (VDI), as well as application publishing through access proxies.

Co to jest pośrednik?

Osoba atakująca może zaatakować się na pośrednika, aby podjąć próbę przeprowadzenia eskalacji uprawnień przy użyciu poświadczeń przechowywanych na nich, uzyskać dostęp zdalny do sieci firmowej lub wykorzystać zaufanie na tym urządzeniu, jeśli są używane w przypadku podejmowania decyzji o niedostępności zaufania.An attacker can attack an intermediary to attempt to escalating privileges using credentials stored on them, get network remote access to corporate networks, or exploit trust in that device if being used for Zero Trust access decisions. Wyprowadzenia pośredników staną się głównie zbyt popularne, szczególnie w przypadku organizacji, które nie ściśle utrzymują stan zabezpieczeń tych urządzeń.Targeting intermediaries has become an all too common, especially for organizations that don't rigorously maintain the security posture of these devices. Na przykład poświadczenia zbierane z urządzeń sieci VPN.For example, credentials collected from VPN devices.

Typy pośrednich i ryzyka

Pośredniki różnią się w celach i technologii, ale zazwyczaj zapewniają dostęp zdalny, zabezpieczenia sesji lub obie te funkcje:Intermediaries vary in purpose and technology, but typically provide remote access, session security, or both:

  • Dostęp zdalny — dostęp do systemów w sieciach przedsiębiorstwa z InternetuRemote access - Enable access to systems on enterprise networks from the internet
  • Zabezpieczenia sesji — zwiększenie ochrony i widoczności dla sesjiSession security - Increase security protections and visibility for a session
    • Scenariusz urządzenia niezarządzanego — umożliwia dostęp do zarządzanego pulpitu wirtualnego (na przykład urządzeń z pracownikami osobistymi) i/lub urządzeń zarządzanych przez partnera/dostawcę.Unmanaged device scenario - Providing a managed virtual desktop to be accessed by unmanaged devices (for example, personal employee devices) and/or devices managed by a partner/vendor.
    • Scenariusz zabezpieczeń administratora — konsolidowanie dróg administracyjnych i/lub zwiększenie bezpieczeństwa dzięki dostępowi just in Time, monitorowaniu sesji i rejestrowaniu oraz podobnym funkcjom.Administrator security scenario - Consolidate administrative pathways and/or increase security with just in time access, session monitoring and recording, and similar capabilities.

Zapewnianie bezpieczeństwa zabezpieczeń z urządzenia źródłowego i konta w ramach interfejsu zasobów wymaga poznania profilu ryzyka związanego z pośrednimi i opcjami zaradczymi.Ensuring security assurances are sustained from the originating device and account through to the resource interface requires understanding the risk profile of the intermediary and mitigation options.

Szansa i wartość osoby atakującejAttacker opportunity and value

Różne typy pośrednie umożliwiają wykonywanie unikatowych funkcji, dzięki czemu każdy z nich wymaga innego podejścia do zabezpieczeń, chociaż istnieją pewne krytyczne commonalities, takie jak szybkie stosowanie poprawek zabezpieczeń do urządzeń, oprogramowania układowego, systemów operacyjnych i aplikacji.Different intermediary types perform unique functions so they each require a different security approach, though there are some critical commonalities like rapidly applying security patches to appliances, firmware, operating systems, and applications.

Porównywanie możliwości i wartości osoby atakującej w odniesieniu do danego pośredników

Szansa ataku jest reprezentowana przez dostępną powierzchnię ataku, która może być ukierunkowana przez operatora ataku:The attacker opportunity is represented by the available attack surface an attack operator can target:

  • Natywne usługi w chmurze , takie jak usługa Azure AD PIM, usługa azure bastionu aplikacja usługi Azure AD i serwer proxy, zapewniają ograniczoną powierzchnię ataków osobom atakującym.Native cloud services like Azure AD PIM, Azure Bastion, and Azure AD App Proxy offer a limited attack surface to attackers. Mimo że są one widoczne dla publicznego Internetu, klienci (i osoby atakujące) nie mają dostępu do podstawowych systemów operacyjnych świadczących usługi i są zwykle utrzymywane i monitorowane w sposób ciągły przez zautomatyzowane mechanizmy dostawcy chmury.While they are exposed to the public internet, customers (and attackers) have no access to underlying operating systems providing the services and they are typically maintained and monitored consistently via automated mechanisms at the cloud provider. Ta mniejsza podatność na ataki ogranicza dostępne opcje do osób atakujących i klasycznych lokalnych aplikacji i urządzeń, które muszą zostać skonfigurowane, poprawione i monitorowane przez pracowników działu IT, którzy są często przeciążać przez priorytety i inne zadania zabezpieczeń, niż ma to miejsce.This smaller attack surface limits the available options to attackers vs. classic on-premises applications and appliances that must be configured, patched, and monitored by IT personnel who are often overwhelmed by conflicting priorities and more security tasks than they have time to complete.
  • Wirtualne sieci prywatne (VPN) i Pulpity zdalne / serwery przechodzenia często mają znaczny dostęp do osoby atakującej, ponieważ są one widoczne dla Internetu w celu zapewnienia dostępu zdalnego, a konserwacja tych systemów jest często zaniedbana.Virtual Private Networks (VPNs) and Remote Desktops / Jump servers frequently have a significant attacker opportunity as they are exposed to the internet to provide remote access and the maintenance of these systems is frequently neglected. Chociaż mają tylko kilka portów sieciowych, osoby atakujące potrzebują dostępu do jednej niepoprawionej usługi do ataku.While they only have a few network ports exposed, attackers only need access to one unpatched service for an attack.
  • Usługi PIM/PAM innych firm są często hostowane lokalnie lub jako maszyna wirtualna w infrastrukturze jako usługa (IaaS) i są zazwyczaj dostępne tylko dla hostów intranetowych.Third-party PIM/PAM services are frequently hosted on-premises or as a VM on Infrastructure as a Service (IaaS) and are typically only available to intranet hosts. Mimo że nie jest to bezpośredni dostęp do Internetu, jedno naruszone poświadczenie może pozwolić atakującemu na dostęp do usługi za pośrednictwem sieci VPN lub innego nośnika dostępu zdalnego.While not directly internet exposed, a single compromised credential may allow attackers to access the service over VPN or another remote access medium.

Wartość osoby atakującej reprezentuje, co osoba atakująca może uzyskać poprzez naruszenie pośrednika.Attacker value represents what an attacker can gain by compromising an intermediary. Naruszenie zostało zdefiniowane jako osoba atakująca w celu uzyskania pełnej kontroli nad aplikacją/maszyną wirtualną i/lub administratorem wystąpienia klienta usługi w chmurze.A compromise is defined as an attacker gaining full control over the application/VM and/or an administrator of the customer instance of the cloud service.

Składniki, które osoby atakujące mogą zbierać od pośrednika do następnego etapu ataku obejmują:The ingredients that attackers can collect from an intermediary for the next stage of their attack include:

  • Uzyskaj łączność sieciową , aby komunikować się z większością lub wszystkimi zasobami w sieciach przedsiębiorstwa.Get network connectivity to communicate with most or all resource on enterprise networks. Ten dostęp jest zwykle dostarczany przez sieci VPN i rozwiązania serwera Pulpit zdalny/skoku.This access is typically provided by VPNs and Remote Desktop / Jump server solutions. Chociaż usługa Azure bastionu aplikacja usługi Azure AD i serwer proxy (lub podobne rozwiązania innych firm) zapewniają również dostęp zdalny, te rozwiązania są zwykle połączeniami aplikacji lub serwera, a nie zapewniają ogólnego dostępu do sieci.While Azure Bastion and Azure AD App Proxy (or similar third-party solutions) solutions also provide remote access, these solutions are typically application or server-specific connections and don’t provide general network access
  • Personifikuj tożsamość urządzenia — może to mieć wpływ na brak mechanizmów zaufania, jeśli urządzenie jest wymagane do uwierzytelnienia i/lub użycia przez osobę atakującą do zbierania informacji o sieci docelowych.Impersonate device identity - can defeat Zero Trust mechanisms if a device is required for authentication and/or be used by an attacker to gather intelligence on the targets networks. Zespoły operacji zabezpieczeń często nie monitorują aktywności konta urządzenia i nie koncentrują się tylko na kontach użytkowników.Security Operations teams often don't closely monitor device account activity and focus only on user accounts.
  • Wykraść poświadczenia konta do uwierzytelniania w zasobach, które są najbardziej cennymi zasobami dla osób atakujących, ponieważ oferuje ona możliwość podniesienia uprawnień w celu uzyskania dostępu do ostatecznego celu lub następnego etapu ataku.Steal account credentials to authenticate to resources, which are the most valuable asset to attackers as it offers the ability to elevate privileges to access their ultimate goal or the next stage in the attack. Serwery Pulpit zdalny/skoku oraz PIM/PAM innych firm są najbardziej atrakcyjnymi elementami docelowymi i mają "wszystkie jaja w jednym koszyku", które mają zwiększoną wartość osoby atakującej i ograniczają zabezpieczenia:Remote Desktop / Jump servers and third-party PIM/PAM are the most attractive targets and have the “All your eggs in one basket” dynamic with increased attacker value and security mitigations:
    • Rozwiązania PIM/PAM zwykle przechowują poświadczenia dla większości lub wszystkich uprzywilejowanych ról w organizacji, co sprawia, że im wysoce lucrativey cel naruszają lub weaponize.PIM/PAM solutions typically store the credentials for most or all privileged roles in the organization, making them a highly lucrative target to compromise or to weaponize.
    • Usługa Azure AD PIM nie oferuje osobom atakującym możliwości kradzieży poświadczeń, ponieważ odblokowuje ona uprawnienia już przypisane do konta za pomocą usługi MFA lub innych przepływów pracy, ale niewłaściwie zaprojektowany przepływ pracy może pozwolić atakującej na eskalację uprawnień.Azure AD PIM doesn't offer attackers the ability to steal credentials because it unlocks privileges already assigned to an account using MFA or other workflows, but a poorly designed workflow could allow an adversary to escalate privileges.
    • Serwery pulpit zdalny/przechodzenia używane przez administratorów zapewniają hosta, w którym przechodzą wiele lub wszystkie poufne sesje, umożliwiając atakującym używanie standardowych narzędzi ataku kradzieży poświadczeń w celu kradzieży i ponownego użycia tych poświadczeń.Remote Desktop / Jump servers used by administrators provide a host where many or all sensitive sessions pass through, enabling attackers to use standard credential theft attack tools to steal and reuse these credentials.
    • Sieci VPN mogą przechowywać poświadczenia w rozwiązaniu, zapewniając osobom atakującym potencjalną skarbnicaę eskalacji uprawnień, co prowadzi do silnego zalecenia dotyczącego uwierzytelniania przy użyciu usługi Azure AD w celu ograniczenia ryzyka.VPNs can store credentials in the solution, providing attackers with a potential treasure trove of privilege escalation, leading to the strong recommendation to use Azure AD for authentication to mitigate this risk.

Pośrednie profile zabezpieczeńIntermediary security profiles

Ustanowienie tych gwarancji wymaga połączenia kontroli zabezpieczeń, a niektóre z nich są wspólne dla wielu pośredników, a niektóre z nich są specyficzne dla typu pośrednika.Establishing these assurances requires a combination of security controls, some of which are common to many intermediaries, and some of which specific to the type of intermediary.

Pośredniki jako link w łańcuchu zaufania zerowego

Pośrednik jest linkiem w łańcuchu zaufania równym zero, który przedstawia interfejs użytkownikom/urządzeniom, a następnie umożliwia dostęp do następnego interfejsu.An intermediary is a link in the Zero Trust chain that presents an interface to users/devices and then enables access to the next interface. Kontrolki zabezpieczeń muszą kierować się połączeniami przychodzącymi, bezpieczeństwem pośredniego urządzenia/aplikacji/usługi oraz (jeśli ma to zastosowanie) nie zapewniają żadnych niezwiązanych z zaufaniem sygnałów zabezpieczeń dla następnego interfejsu.The security controls must address inbound connections, security of the intermediary device/application/service itself, and (if applicable) provide Zero Trust security signals for the next interface.

Typowe mechanizmy kontroli zabezpieczeńCommon security controls

Typowe elementy zabezpieczeń pośredników koncentrują się na utrzymaniu dobrej higieny bezpieczeństwa dla przedsiębiorstw i wyspecjalizowanych poziomów, z dodatkowymi ograniczeniami dotyczącymi zabezpieczeń uprawnień.The common security elements for intermediaries are focused on maintaining good security hygiene for enterprise and specialized levels, with additional restrictions for privilege security.

Typowe mechanizmy kontroli zabezpieczeń dla pośredników

Te kontrolki zabezpieczeń powinny być stosowane do wszystkich typów pośredników:These security controls should be applied to all types of intermediaries:

  • Wymuś zabezpieczenia połączeń przychodzących — Użyj usługi Azure AD i dostępu warunkowego, aby upewnić się, że wszystkie połączenia przychodzące z urządzeń i kont są znane, zaufane i dozwolone.Enforce inbound connection security - Use Azure AD and Conditional Access to ensure all inbound connections from devices and accounts are known, trusted, and allowed. Aby uzyskać więcej informacji, zobacz artykuł Secuiting Privileged Interfaces , aby uzyskać szczegółowe definicje wymagań dotyczących urządzeń i kont dla przedsiębiorstw i wyspecjalizowanych.For more information, see the article Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and specialized.
  • Właściwa Konserwacja systemu — wszyscy pośrednicy muszą przestrzegać dobrych praktyk dotyczących higieny bezpieczeństwa, w tym:Proper system maintenance - All intermediaries must follow good security hygiene practices including:
    • Bezpieczna konfiguracja — Śledź linie bazowe konfiguracji zabezpieczeń producent lub branża oraz najlepsze rozwiązania dotyczące zarówno aplikacji, jak i odpowiednich systemów operacyjnych, usług w chmurze lub innych zależności.Secure configuration - Follow manufacturer or industry security configuration baselines and best practices for both the application and any underlying operating systems, cloud services, or other dependencies. Odpowiednie wskazówki od firmy Microsoft obejmują linie bazowe zabezpieczeń platformy Azure i linie bazowe systemu Windows.Applicable guidance from Microsoft includes the Azure Security Baseline and Windows Baselines.
    • Szybka poprawka — aktualizacje zabezpieczeń i poprawki od dostawców muszą być stosowane szybko po wydaniu.Rapid patching - Security updates and patches from the vendors must be applied rapidly after release.
  • W przypadku modeli Access Control opartych na rolach (RBAC) mogą być używane przez osoby atakujące w celu eskalacji uprawnień.Role-Based Access Control (RBAC) models can be abused by attackers to escalate privileges. Model RBAC dla pośrednika musi być starannie przeglądany w celu zapewnienia, że tylko autoryzowani pracownicy, którzy są chronieni na poziomie wyspecjalizowanym lub uprzywilejowanym, otrzymują uprawnienia administracyjne.The RBAC model of the intermediary must be carefully review to ensure that only authorized personnel that are protected at a specialized or privileged level are granted administrative privileges. Ten model musi obejmować wszystkie bazowe systemy operacyjne lub usługi w chmurze (hasło konta głównego, użytkownicy/grupy administratorów lokalnych, administratorów dzierżawy itp.).This model must include any underlying operating systems or cloud services (root account password, local administrator users/groups, tenant administrators, etc.).
  • Wykrywanie i reagowanie punktu końcowego (EDR) i sygnał zaufania wychodzącego — urządzenia, które obejmują pełny system operacyjny, powinny być monitorowane i chronione za pomocą EDR, takiego jak Microsoft Defender dla punktów końcowych.Endpoint detection and response (EDR) and outbound trust signal - Devices that include a full operating system should be monitored and protected with an EDR like Microsoft Defender for Endpoints. Ta kontrolka powinna być skonfigurowana w taki sposób, aby zapewniać sygnały zgodności urządzeń z dostępem warunkowym, aby zasady mogły wymuszać to wymaganie dla interfejsów.This control should be configured to provides device compliance signals to Conditional Access so that policy can enforce this requirement for interfaces.

Pośrednicy uprawnień wymagają dodatkowych kontroli zabezpieczeń:Privileged Intermediaries require additional security controls:

  • Access Control oparte na rolach (RBAC) — prawa administracyjne muszą być ograniczone tylko do ról uprzywilejowanych spełniających normy dla stacji roboczych i kont.Role-Based Access Control (RBAC) - Administrative rights must be restricted to only privileged roles meeting that standard for workstations and accounts.
  • Urządzenia dedykowane (opcjonalnie) — ze względu na skrajną czułość uprzywilejowanych sesji organizacje mogą zdecydować się na wdrożenie dedykowanych wystąpień funkcji pośrednich dla ról uprzywilejowanych.Dedicated devices (optional) - because of the extreme sensitivity of privileged sessions, organizations may choose to implement dedicated instances of intermediary functions for privileged roles. Ta kontrolka umożliwia stosowanie dodatkowych ograniczeń zabezpieczeń dla pośredników uprzywilejowanych i bliższe monitorowanie działania uprzywilejowanego roli.This control enables additional security restrictions for these privileged intermediaries and closer monitoring of privileged role activity.

Wskazówki dotyczące zabezpieczeń dla każdego typu pośredniegoSecurity guidance for each intermediary type

Ta sekcja zawiera specyficzne wskazówki dotyczące zabezpieczeń, które są unikatowe dla każdego typu pośredników.This section contains specific security guidance unique to each type of intermediary.

Privileged Access Management/Privileged Identity ManagementPrivileged Access Management / Privileged Identity management

Jeden z typów pośrednich specjalnie zaprojektowanych dla przypadków użycia zabezpieczeń to rozwiązania Privileged Identity Management/Privileged Access Management (PIM/PAM).One type of intermediary designed explicitly for security use cases is privileged identity management / privileged access management (PIM/PAM) solutions.

Przypadki użycia i scenariusze dla usługi PIM/PAMUse cases and scenarios for PIM/PAM

Rozwiązania PIM/PAM zostały zaprojektowane w celu zwiększenia poziomu zabezpieczeń dla poufnych kont, które byłyby objęte wyspecjalizowanymi lub uprzywilejowanymi profilami i zwykle koncentrują się na administratorach IT w pierwszej kolejności.PIM/PAM solutions are designed to increase security assurances for sensitive accounts that would be covered by specialized or privileged profiles, and typically focus first on IT administrators.

Chociaż funkcje różnią się między dostawcami PIM/PAM, wiele rozwiązań zapewnia funkcje zabezpieczeń:While features vary between PIM/PAM vendors, many solutions provide security capabilities to:

  • Uproszczenie zarządzania kontami usługi i rotacji haseł (istotnie ważna funkcja)Simplify service account management and password rotation (a critically important capability)

  • Zapewnianie zaawansowanych przepływów pracy dla dostępu just in Time (JIT)Provide advanced workflows for just in time (JIT) access

  • Rejestrowanie i monitorowanie sesji administracyjnychRecord and monitor administrative sessions

    Ważne

    Funkcje PIM/PAM zapewniają doskonałe środki zaradcze w przypadku niektórych ataków, ale nie dotyczą wielu zagrożeń związanych z privielged, szczególnie ryzyko złamania zabezpieczeń urządzeń.PIM/PAM capabilities provide excellent mitigations for some attacks, but do not address many privielged access risks, notably risk of device compromise. Niektórzy dostawcy uważają, że ich rozwiązanie PIM/PAM to rozwiązanie typu "Silver", które może ograniczyć ryzyko związane z urządzeniem, ale środowisko badania zdarzeń klientów stale sprawdza, czy nie działa to w praktyce.While some vendors advocate that their PIM/PAM solution is a 'silver bullet' solution that can mitigate device risk, our experience investigating customer incidents has consistently proven that this does not work in practice.

    Osoba atakująca z kontrolą stacji roboczej lub urządzenia może używać tych poświadczeń (i przypisanych do nich uprawnień), gdy użytkownik jest zalogowany (i często może wykraść poświadczenia do późniejszego użycia).An attacker with control of a workstation or device can use those credentials (and privileges assigned to them) while the user is logged on (and can often steal credentials for later use as well). Rozwiązanie PIM/PAM nie może spójnie i niezawodnie wyświetlać i ograniczać ryzyko tego urządzenia, dlatego należy mieć dyskretne zabezpieczenia urządzeń i kont, które uzupełniają się wzajemnie.A PIM/PAM solution alone cannot consistently and reliably see and mitigate these device risks, so you must have discrete device and account protections that complement each other.

Zagrożenia bezpieczeństwa i zalecenia dotyczące usługi PIM/PAMSecurity risks and recommendations for PIM/PAM

Możliwości poszczególnych dostawców usługi PIM/PAM różnią się od sposobu ich zabezpieczania, dlatego należy zapoznać się z zaleceniami dotyczącymi konfiguracji i najlepszymi rozwiązaniami związanymi z konkretnym dostawcą.The capabilities from each PIM/PAM vendor vary on how to secure them, so review and follow your vendor's specific security configuration recommendations and best practices.

Uwaga

Upewnij się, że skonfigurowano drugą osobę w kluczowych przepływach pracy, aby pomóc w ograniczeniu ryzyka niejawnegoEnsure you set up a second person in business critical workflows to help mitigate insider risk (increases the cost/friction for potential collusion by insider threats).

Wirtualne sieci prywatne użytkowników końcowychEnd-user Virtual Private Networks

Wirtualne sieci prywatne (VPN) to pośredniki, które zapewniają pełny dostęp do sieci dla zdalnych punktów końcowych, zwykle wymagają uwierzytelnienia użytkownika końcowego, a poświadczenia są przechowywane lokalnie w celu uwierzytelniania przychodzących sesji użytkownika.Virtual Private Networks (VPNs) are intermediaries that provide full network access for remote endpoints, typically require the end user to authenticate, and can store credentials locally to authenticate inbound user sessions.

Uwaga

Te wskazówki odnoszą się tylko do sieci VPN "punkt-lokacja" używanych przez użytkowników, a nie sieci VPN "lokacja lokacja", które są zwykle używane do łączności centrum danych/aplikacji.This guidance refers only to "point to site" VPNs used by users, not "site to site" VPNs that are typically used for datacenter/application connectivity.

Przypadki użycia i scenariusze dla sieci VPNUse cases and scenarios for VPNs

Sieci VPN ustanawiają łączność zdalną z siecią przedsiębiorstwa, aby umożliwić dostęp do zasobów użytkownikom i administratorom.VPNs establish remote connectivity to enterprise network to enable resource access for users and administrators.

Zagrożenia bezpieczeństwa i zalecenia dotyczące sieci VPNSecurity risks and recommendations for VPNs

Najważniejszymi zagrożeniami pośredników sieci VPN są czynności konserwacyjne, problemy z konfiguracją i lokalne przechowywanie poświadczeń.The most critical risks to VPN intermediaries are from maintenance neglect, configuration issues, and local storage of credentials.

Firma Microsoft zaleca kombinację kontroli pośredników sieci VPN:Microsoft recommends a combination of controls for VPN intermediaries:

  • Integrowanie uwierzytelniania usługi Azure AD — w celu zmniejszenia lub wyeliminowania ryzyka przechowywanych lokalnie poświadczeń (oraz wszelkich obciążeń związanych z ich konserwacją) i wymuszania zerowych zasad zaufania na kontach/urządzeniach przychodzących z dostępem warunkowym.Integrate Azure AD authentication - to reduce or eliminate risk of locally stored credentials (and any overhead burden to maintain them) and enforce Zero Trust policies on inbound accounts/devices with conditional access. Aby uzyskać wskazówki dotyczące integrowania, zobaczFor guidance on integrating, see
  • Szybka poprawka — upewnij się, że wszystkie elementy organizacyjne obsługują Szybkie stosowanie poprawek, w tym:Rapid patching - Ensure that all organizational elements support rapid patching including:
    • Sponsorowanie organizacji i wsparcie dla wymaganiaOrganizational sponsorship and leadership support for requirement
    • Standardowe procesy techniczne służące do aktualizowania sieci VPN o minimalnym lub zerowym przestoju.Standard technical processes for updating VPNs with minimal or zero downtime. Ten proces powinien obejmować oprogramowanie sieci VPN, urządzenia i wszystkie bazowe systemy operacyjne lub oprogramowanie układowe.This process should include VPN software, appliances, and any underlying operating systems or firmware
    • Procesy awaryjne , aby szybko wdrażać krytyczne aktualizacje zabezpieczeńEmergency processes to rapidly deploy critical security updates
    • Zarządzanie w celu ciągłego wykrywania i korygowania wszystkich pominiętych elementówGovernance to continually discover and remediate any missed items
  • Bezpieczna konfiguracja — możliwości poszczególnych dostawców sieci VPN różnią się w zależności od sposobu ich zabezpieczenia, dlatego należy zapoznać się z zaleceniami dotyczącymi konfiguracji i najlepszymi rozwiązaniami związanymi z konkretnym dostawcą.Secure configuration - The capabilities from each VPN vendor vary on how to secure them, so review and follow your vendor's specific security configuration recommendations and best practices
  • Poza siecią VPN — Zamień sieci VPN z upływem czasu z bardziej bezpiecznymi opcjami, takimi jak aplikacja usługi Azure AD proxy lub Azure bastionu, ponieważ zapewniają one tylko bezpośredni dostęp do aplikacji/serwera, a nie pełny dostęp do sieci.Go beyond VPN - Replace VPNs over time with more secure options like Azure AD App Proxy or Azure Bastion as these provide only direct application/server access rather than full network access. Dodatkowo aplikacja usługi Azure AD proxy umożliwia monitorowanie sesji w celu zapewnienia dodatkowych zabezpieczeń z Microsoft Cloud App Security.Additionally Azure AD App Proxy allows session monitoring for additional security with Microsoft Cloud App Security.

Modernizacja uwierzytelniania sieci VPN i przenoszenie aplikacji do nowoczesnego dostępu

Serwer proxy aplikacja usługi Azure ADAzure AD App Proxy

Aplikacja usługi Azure AD proxy i podobne możliwości innych firm zapewniają dostęp zdalny do starszych i innych aplikacji hostowanych lokalnie lub na maszynach wirtualnych IaaS w chmurze.Azure AD App Proxy and similar third-party capabilities provide remote access to legacy and other applications hosted on-premises or on IaaS VMs in the cloud.

Przypadki użycia i scenariusze dla aplikacja usługi Azure AD serwera proxyUse cases and scenarios for Azure AD App Proxy

To rozwiązanie jest odpowiednie do publikowania starszych aplikacji użytkowych użytkowników końcowych dla autoryzowanych użytkowników za pośrednictwem Internetu.This solution is suitable for publishing legacy end-user productivity applications to authorized users over the internet. Można go również użyć do publikowania niektórych aplikacji administracyjnych.It can also be used for publishing some administrative applications.

Zagrożenia bezpieczeństwa i zalecenia dotyczące aplikacja usługi Azure AD proxySecurity risks and recommendations for Azure AD App Proxy

Aplikacja usługi Azure AD serwer proxy skutecznie Retrofits nowoczesne wymuszanie zasad zaufania równy zeru do istniejących aplikacji.Azure AD App proxy effectively retrofits modern Zero Trust policy enforcement to existing applications. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące zabezpieczeń w usłudze Azure serwer proxy aplikacji usługi Azure ADFor more information, see Security considerations for Azure AD Application Proxy

Usługę Azure serwer proxy aplikacji usługi Azure AD można także zintegrować z Microsoft Cloud App Security, aby dodać zabezpieczenia sesji Kontrola dostępu warunkowego aplikacji do:Azure AD Application Proxy can also integrate with Microsoft Cloud App Security to add Conditional Access App Control session security to:

  • Zapobieganie eksfiltracji danychPrevent data exfiltration
  • Ochrona przy pobieraniuProtect on download
  • Zapobiegaj przekazywaniu plików bez etykietPrevent upload of unlabeled files
  • Monitorowanie sesji użytkowników pod kątem zgodnościMonitor user sessions for compliance
  • Blokowanie dostępuBlock access
  • Blokuj działania niestandardoweBlock custom activities

Aby uzyskać więcej informacji, zobacz wdrażanie Cloud App Security kontrola dostępu warunkowego aplikacji dla aplikacji usługi Azure ADFor more information, see Deploy Cloud App Security Conditional Access App Control for Azure AD apps

W trakcie publikowania aplikacji za pośrednictwem serwer proxy aplikacji usługi Azure AD platformy Azure firma Microsoft zaleca, aby właściciele aplikacji współpracują z zespołami ds. zabezpieczeń w celu uzyskania najniższych uprawnień i zapewnienia dostępu do poszczególnych aplikacji tylko użytkownikom, którzy go potrzebują.As you publish applications via the Azure AD Application Proxy, Microsoft recommends having application owners work with security teams to follow least privilege and ensure access to each application is made available to only the users that require it. Po wdrożeniu w ten sposób większej liczby aplikacji może być możliwe przesunięcia niektórych punktów użytkownika końcowego w celu użycia sieci VPN.As you deploy more apps this way, you may be able to offset some end-user point to site VPN usage.

Serwer Pulpit zdalny/skokuRemote Desktop / jump server

W tym scenariuszu zawarto pełne środowisko pulpitu, na którym działa co najmniej jedna aplikacja.This scenario provides a full desktop environment running one or more applications. To rozwiązanie ma wiele różnych wariantów, w tym:This solution has a number of different variations including:

  • Środowiska — pełny pulpit w oknie lub pojedynczym środowisku projektowymExperiences - Full desktop in a window or a single application projected experience
  • Host zdalny — może być udostępnioną maszyną wirtualną lub dedykowaną maszyną wirtualną, korzystając z pulpitu wirtualnego systemu Windows (WVD) lub innego rozwiązania infrastruktury pulpitu wirtualnego (VDI).Remote host - may be a shared VM or a dedicated desktop VM using Windows Virtual Desktop (WVD) or another Virtual Desktop Infrastructure (VDI) solution.
  • Urządzenie lokalne — może być urządzeniem przenośnym, zarządzaną stacją roboczą lub prywatną/partnerskią zarządzaną stacją robocząLocal device - may be a mobile device, a managed workstation, or a personal/partner managed workstation
  • Scenariusz — ukierunkowana na aplikacje użytkownika lub scenariusze administracyjne, często nazywane "serwerem szybkiego"Scenario - focused on user productivity applications or on administrative scenarios, often called a 'jump server'

Przypadki użycia i zalecenia dotyczące zabezpieczeń dla serwera Pulpit zdalny/skokuUse cases and security recommendations for Remote Desktop / Jump server

Najczęściej spotykane konfiguracje są następujące:The most common configurations are:

  • Bezpośrednie Remote Desktop Protocol (RDP) — Ta konfiguracja nie jest zalecana w przypadku połączeń z Internetem, ponieważ protokół RDP jest protokołem z ograniczoną ochroną przed nowoczesne ataki, takie jak rozpylanie haseł.Direct Remote Desktop Protocol (RDP) - This configuration is not recommended for internet connections because RDP is a protocol that has limited protections against modern attacks like password spray. Bezpośredni protokół RDP powinien zostać przekonwertowany na:Direct RDP should be converted to either:
    • Protokół RDP przez bramę opublikowaną przez serwer proxy aplikacja usługi Azure ADRDP through a gateway published by Azure AD App Proxy
    • Azure BastionAzure Bastion
  • Za pośrednictwem bramy przy użyciu protokołu RDPRDP through a gateway using
    • Usługi pulpitu zdalnego (RDS) dołączony do systemu Windows Server.Remote Desktop Services (RDS) included in Windows Server. Publikowanie za pomocą usługi Azure serwer proxy aplikacji usługi Azure AD.Publish with Azure AD Application Proxy.
    • Windows Virtual Desktop (WVD) — postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń pulpitu wirtualnego systemu Windows.Windows Virtual Desktop (WVD) - Follow Windows Virtual Desktop security best practices.
    • Producenci infrastruktury VDI innych firm stosują lub dostosowują wskazówki dotyczące WVD do rozwiązaniaThird-party VDI - Follow manufacturer or industry best practices, or adapt WVD guidance to your solution
  • Secure Shell (SSH) — dostarczanie zdalnej powłoki i skryptów dla działów technologicznych i właścicieli obciążeń.Secure Shell (SSH) server - providing remote shell and scripting for technology departments and workload owners. Zabezpieczanie tej konfiguracji powinno obejmować:Securing this configuration should include:
    • Poniższe najlepsze rozwiązania w branży/producenci, aby bezpiecznie je skonfigurować, zmienić domyślne hasła (jeśli dotyczy) oraz używać kluczy SSH zamiast haseł oraz bezpiecznie przechowywać klucze SSH i zarządzać nimi.Following industry/manufacturer best practices to securely configure it, change any default passwords (if applicable), and using SSH keys instead of passwords, and securely storing and managing SSH keys.
    • Korzystanie z usługi Azure bastionu na potrzeby komunikacji zdalnej SSH z zasobami hostowanymi na platformie Azure — Łączenie z maszyną wirtualną z systemem Linux przy użyciu usługi Azure bastionuUse Azure Bastion for SSH remoting to resources hosted in Azure - Connect to a Linux VM using Azure Bastion

Azure BastionAzure Bastion

Usługa Azure bastionu to pośrednik, który ma zapewnić bezpieczny dostęp do zasobów platformy Azure przy użyciu przeglądarki i Azure Portal.Azure Bastion is an intermediary that is designed to provide secure access to Azure resources using a browser and the Azure portal. Usługa Azure bastionu zapewnia dostęp do zasobów na platformie Azure, które obsługują protokoły Remote Desktop Protocol (RDP) i Secure Shell (SSH).Azure Bastion provides access resources in Azure that support Remote Desktop Protocol (RDP) and Secure Shell (SSH) protocols.

Przypadki użycia i scenariusze dotyczące usługi Azure bastionuUse cases and scenarios for Azure Bastion

Usługa Azure bastionu skutecznie zapewnia elastyczne rozwiązanie, które może być używane przez pracowników i administratorów obciążeń poza działem IT w celu zarządzania zasobami hostowanymi na platformie Azure bez konieczności pełnego połączenia sieci VPN ze środowiskiem.Azure Bastion effectively provides a flexible solution that can be used by IT Operations personnel and workload administrators outside of IT to manage resources hosted in Azure without requiring a full VPN connection to the environment.

Zagrożenia bezpieczeństwa i zalecenia dotyczące platformy Azure bastionuSecurity risks and recommendations for Azure Bastion

Dostęp do usługi Azure bastionu odbywa się za pośrednictwem Azure Portal, dlatego należy się upewnić, że interfejs Azure Portal wymaga odpowiedniego poziomu zabezpieczeń dla zasobów w nim i ról korzystających z niego, zazwyczaj uprzywilejowanych lub wyspecjalizowanych.Azure Bastion is accessed through the Azure portal, so ensure that your Azure portal interface requires the appropriate level of security for the resources in it and roles using it, typically privileged or specialized level.

Dodatkowe wskazówki są dostępne w dokumentacji usługi Azure bastionuAdditional guidance is available in the Azure Bastion Documentation

Następne krokiNext steps