Zabezpieczanie tożsamości za pomocą Zero Trust

Tle

Aplikacje w chmurze i pracownicy mobilni na nowo zdefiniowali obwód zabezpieczeń. Pracownicy przynoszą własne urządzenia i pracują zdalnie. Dostęp do danych jest uzyskiwany poza siecią firmą i udostępniany współpracownikom zewnętrznym, takim jak partnerzy i dostawcy. Aplikacje i dane firmowe przenoszą się ze środowiska lokalnego do środowiska hybrydowego i chmurowego. Organizacje nie mogą już polegać na tradycyjnych kontrolkach sieci w celu zapewnienia bezpieczeństwa. Kontrolki muszą przejść do lokalizacji, w której znajdują się dane: na urządzeniach, w aplikacjach i z partnerami.

Tożsamości reprezentujące ludzi, usługi lub urządzenia IoT są typowym dominatorem w wielu dzisiejszych sieciach, punktach końcowych i aplikacjach. W modelu zabezpieczeń Zero Trust działają one jako zaawansowany, elastyczny i szczegółowy sposób kontrolowania dostępu do danych.

Przed podjęciem próby uzyskania dostępu do zasobu przez tożsamość organizacje muszą:

  • Zweryfikuj tożsamość przy użyciu silnego uwierzytelniania.

  • Upewnij się, że dostęp jest zgodny i typowy dla tej tożsamości.

  • Przestrzega zasad dostępu z najmniejszymi uprawnieniami.

Po zweryfikowaniu tożsamości możemy kontrolować dostęp tej tożsamości do zasobów na podstawie zasad organizacji, stałej analizy ryzyka i innych narzędzi.

Cele wdrażania Zero Trust tożsamości

Zanim większość organizacji rozpocznie Zero Trust podróż, ich podejście do tożsamości jest problematyczne, ponieważ lokalny dostawca tożsamości jest w użyciu, między aplikacjami w chmurze i aplikacjami lokalnymi nie występuje logowanie logowania SSO, a widoczność ryzyka tożsamości jest bardzo ograniczona.

Podczas wdrażania kompleksowej struktury Zero Trust dla tożsamości zalecamy skoncentrowanie się przede wszystkim na następujących początkowych celach wdrożenia:

List icon with one checkmark.

Tożsamość usługi I.Cloudfederuje się z lokalnymi systemami tożsamości.

II.Zasady dostępu warunkowego zapewniają dostęp do bramy i zapewniają działania naprawcze.

III.Analiza poprawia widoczność.

Po ich ukończeniu skoncentruj się na następujących dodatkowych celach wdrożenia:

List icon with two checkmarks.

IV.Tożsamościami i uprawnieniami dostępu zarządza się za pomocą zarządzania tożsamościami.

V.Użytkownik, urządzenie, lokalizacja i zachowanie są analizowane w czasie rzeczywistym w celu określenia ryzyka i zapewnienia stałej ochrony.

VI.Zintegruj sygnały zagrożeń z innych rozwiązań zabezpieczeń, aby poprawić wykrywanie, ochronę i reakcję.

Przewodnik wdrażania Zero Trust tożsamości

W tym przewodniku przedstawiono kroki wymagane do zarządzania tożsamościami zgodnie z zasadami Zero Trust struktury zabezpieczeń.




Checklist icon with one checkmark.

Początkowe cele wdrożenia

I. Tożsamość w chmurze federuje się z lokalnymi systemami tożsamości

Azure Active Directory (AD) umożliwia silne uwierzytelnianie, integrację z zabezpieczeniami punktów końcowych oraz podstawowe zasady zorientowane na użytkownika, aby zagwarantować dostęp z najmniejszymi uprawnieniami. Funkcje dostępu warunkowego usługi Azure AD są punktem decyzyjnym zasad umożliwiającym dostęp do zasobów na podstawie tożsamości użytkownika, środowiska, kondycji urządzenia i ryzyka — zweryfikowanego jawnie w punkcie dostępu. Pokażemy, jak zaimplementować strategię tożsamości Zero Trust za pomocą usługi Azure AD.

Diagram of the steps within phase 1 of the initial deployment objectives.

Połączenie wszystkich użytkowników do usługi Azure AD i federacji z lokalnymi systemami tożsamości

Utrzymywanie zdrowego potoku tożsamości pracowników i niezbędnych artefaktów zabezpieczeń (grup autoryzacji i punktów końcowych na potrzeby dodatkowych kontrolek zasad dostępu) zapewnia najlepsze miejsce do używania spójnych tożsamości i kontrolek w chmurze.

Wykonaj następujące czynności:

  1. Wybierz opcję uwierzytelniania. Usługa Azure AD zapewnia najlepszą siłę, ochronę przed DDoS i sprayem haseł, ale podejmowanie decyzji odpowiednich dla Twojej organizacji i twoich potrzeb w zakresie zgodności.

  2. Przynieś tylko tożsamości, których absolutnie potrzebujesz. Na przykład użyj przechodzenia do chmury jako okazji do pozostawienia kont usług, które mają sens tylko lokalnie. Pozostaw w tyle lokalne role uprzywilejowane.

  3. Jeśli Twoje przedsiębiorstwo ma ponad 100 000 użytkowników, grup i urządzeń, skompiluj skrzynkę synchronizacji o wysokiej wydajności , która zapewni aktualność cyklu życia.

Tworzenie fundacji tożsamości za pomocą usługi Azure AD

Strategia Zero Trust wymaga jawnej weryfikacji, stosowania zasad dostępu o najmniejszych uprawnieniach i przy założeniu naruszenia. Usługa Azure AD może pełnić rolę punktu decyzyjnego zasad w celu wymuszania zasad dostępu na podstawie szczegółowych informacji dotyczących użytkownika, punktu końcowego, zasobu docelowego i środowiska.

Wykonaj ten krok:

  • Umieść usługę Azure AD na ścieżce każdego żądania dostępu. Umożliwia to połączenie każdego użytkownika i każdej aplikacji lub zasobu za pomocą jednej płaszczyzny kontroli tożsamości i zapewnia usłudze Azure AD sygnał umożliwiający podejmowanie najlepszych możliwych decyzji dotyczących ryzyka uwierzytelniania/autoryzacji. Ponadto jednokrotne logowanie i spójne poręcze ochronne zapewniają lepsze środowisko użytkownika i przyczyniają się do wzrostu produktywności.

Integrowanie wszystkich aplikacji z usługą Azure AD

Logowanie jednokrotne uniemożliwia użytkownikom pozostawianie kopii swoich poświadczeń w różnych aplikacjach i pomaga uniknąć przyzwyczajania się do przekazywania poświadczeń z powodu nadmiernego monitowania.

Upewnij się również, że nie masz wielu aparatów IAM w środowisku. Nie tylko zmniejsza to ilość sygnału widocznego w usłudze Azure AD, umożliwiając złym podmiotom życie w szwach między dwoma aparatami IAM, ale może również prowadzić do słabego środowiska użytkownika, a Partnerzy biznesowi stają się pierwszymi niedowiarkami Twojej strategii Zero Trust.

Wykonaj następujące czynności:

  1. Zintegruj nowoczesne aplikacje dla przedsiębiorstw , które mówią OAuth2.0 lub SAML.

  2. W przypadku protokołu Kerberos i aplikacji opartych na formularzach zintegruj je przy użyciu serwer proxy aplikacji usługi Azure AD.

  3. Jeśli publikujesz starsze aplikacje za pomocą sieci/kontrolerów dostarczania aplikacji, użyj usługi Azure AD, aby zintegrować je z większością głównych aplikacji (takich jak Citrix, Akamai i F5).

  4. Aby ułatwić odnajdowanie i migrowanie aplikacji z usług ADFS i istniejących/starszych aparatów IAM, przejrzyj zasoby i narzędzia.

  5. Power push tożsamości do różnych aplikacji w chmurze. Zapewnia to ściślejszą integrację cyklu życia tożsamości w tych aplikacjach.

Jawne weryfikowanie przy użyciu silnego uwierzytelniania

Wykonaj następujące czynności:

  1. Wdrażanie uwierzytelniania wieloskładniowego usługi Azure AD (P1). Jest to podstawowy element zmniejszania ryzyka sesji użytkownika. Gdy użytkownicy pojawiają się na nowych urządzeniach i z nowych lokalizacji, możliwość reagowania na wyzwanie uwierzytelniania MFA jest jednym z najbardziej bezpośrednich sposobów, w jaki twoi użytkownicy mogą nas nauczyć, że są to znane urządzenia/lokalizacje podczas poruszania się po świecie (bez analizowania poszczególnych sygnałów przez administratorów).

  2. Blokuj starsze uwierzytelnianie. Jednym z najczęstszych wektorów ataków dla złośliwych aktorów jest użycie skradzionych/odtworzonych poświadczeń względem starszych protokołów, takich jak SMTP, które nie mogą sprostać nowoczesnym wyzwaniom w zakresie bezpieczeństwa.

II. Zasady dostępu warunkowego uzyskują dostęp do bramy i zapewniają działania naprawcze

Program Azure AD Conditional Access (CA) analizuje sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacji dla zasobu. Za pomocą zasad urzędu certyfikacji można stosować kontrolki dostępu, takie jak uwierzytelnianie wieloskładnikowe. Zasady certyfikacji umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładne w razie potrzeby ze względu na bezpieczeństwo i pozostawanie z dala od użytkowników, gdy nie jest to potrzebne.

Diagram of Conditional Access policies in Zero Trust.

Firma Microsoft udostępnia standardowe zasady warunkowe nazywane domyślnymi zabezpieczeniami , które zapewniają podstawowy poziom zabezpieczeń. Twoja organizacja może jednak potrzebować większej elastyczności niż oferta domyślnych zabezpieczeń. Za pomocą programu Dostęp warunkowy można dostosowywać ustawienia domyślne zabezpieczeń z większą szczegółowością i konfigurować nowe zasady spełniające wymagania.

Planowanie zasad dostępu warunkowego z wyprzedzeniem i posiadanie zestawu aktywnych i rezerwowych zasad jest podstawowym filarem wymuszania zasad dostępu we wdrożeniu Zero Trust. Pośwież czas na skonfigurowanie zaufanych lokalizacji IP w środowisku. Nawet jeśli nie używasz ich w zasadach dostępu warunkowego, skonfigurowanie tych adresów IP informuje o ryzyku związanym z ochroną tożsamości, o czym wspomniano powyżej.

Wykonaj ten krok:

Rejestrowanie urządzeń w usłudze Azure AD w celu ograniczenia dostępu do urządzeń podatnych na zagrożenia i zaatakowanych urządzeń

Wykonaj następujące czynności:

  1. Włącz dołączanie hybrydowe usługi Azure AD lub dołączanie do usługi Azure AD. Jeśli zarządzasz komputerem/laptopem użytkownika, przenieś te informacje do usługi Azure AD i użyj ich do podejmowania lepszych decyzji. Możesz na przykład zezwolić klientowi na dostęp do danych (klientów, którzy mają kopie offline na komputerze), jeśli wiesz, że użytkownik pochodzi z komputera, który kontroluje i zarządza twoja organizacja. Jeśli tego nie zrobisz, prawdopodobnie zablokujesz dostęp do rozbudowanych klientów, co może spowodować, że użytkownicy będą pracować nad Twoimi zabezpieczeniami lub korzystać z funkcji informatycznych w tle.

  2. Włącz usługę Intune w Microsoft Endpoint Manager (EMS) do zarządzania urządzeniami przenośnymi użytkowników i rejestrowania urządzeń. To samo można powiedzieć o urządzeniach przenośnych użytkowników, jak o laptopach: Im więcej wiesz o nich (poziom poprawki, jailbroken, zakorzenione, itp.), tym bardziej jesteś w stanie im zaufać lub nieufność im i zapewnić uzasadnienie, dlaczego zablokować / zezwolić na dostęp.

III. Analiza poprawia widoczność

Podczas tworzenia swojej posiadłości w usłudze Azure AD za pomocą uwierzytelniania, autoryzacji i inicjowania obsługi administracyjnej ważne jest, aby mieć szczegółowe informacje operacyjne na temat tego, co dzieje się w katalogu.

Konfigurowanie rejestrowania i raportowania w celu poprawienia widoczności

Wykonaj ten krok:




Checklist icon with two checkmarks.

Dodatkowe cele wdrożenia

IV. Tożsamościami i uprawnieniami dostępu zarządza się za pomocą funkcji zarządzania tożsamościami

Po osiągnięciu pierwszych trzech celów możesz skoncentrować się na dodatkowych celach, takich jak bardziej rozbudowane zarządzanie tożsamością.

Diagram of the steps within phase 4 of the additional deployment objectives.

Zabezpieczanie dostępu uprzywilejowanego za pomocą Privileged Identity Management

Kontroluj punkty końcowe, warunki i poświadczenia używane przez użytkowników do uzyskiwania dostępu do operacji/ról uprzywilejowanych.

Wykonaj następujące czynności:

  1. Przejmij kontrolę nad tożsamościami uprzywilejowanymi. Pamiętaj, że w organizacji przekształcanej cyfrowo dostęp uprzywilejowany to nie tylko dostęp administracyjny, ale także dostęp właściciela aplikacji lub dewelopera, który może zmienić sposób uruchamiania i obsługi danych przez aplikacje o znaczeniu krytycznym.

  2. Zabezpiecz tożsamości uprzywilejowane za pomocą Privileged Identity Management.

Zgoda użytkownika na aplikacje to bardzo typowy sposób uzyskiwania dostępu do zasobów organizacyjnych przez nowoczesne aplikacje, ale należy pamiętać o kilku najlepszych rozwiązaniach.

Wykonaj następujące czynności:

  1. Ograniczaj żądania zgody użytkowników i zarządzaj nimi , aby zapewnić, że nie nastąpi niepotrzebna ekspozycja danych Twojej organizacji na aplikacje.

  2. Przejrzyj wcześniejszą/istniejącą zgodę w organizacji, aby uzyskać nadmierną lub złośliwą zgodę.

Aby uzyskać więcej informacji na temat narzędzi chroniących przed taktyką dostępu do poufnych informacji, zobacz "Wzmocnienie ochrony przed zagrożeniami cybernetycznymi i nieuczciwymi aplikacjami" w naszym przewodniku po wdrażaniu strategii Zero Trust tożsamości.

Zarządzanie uprawnieniami

Dzięki aplikacjom centralnie uwierzytelnianym i opartym na usłudze Azure AD możesz teraz usprawnić proces żądań dostępu, zatwierdzania i ponownej certyfikacji, aby upewnić się, że odpowiednie osoby mają odpowiedni dostęp i że masz ślad, dlaczego użytkownicy w organizacji mają dostęp.

Wykonaj następujące czynności:

  1. Zarządzanie uprawnieniami umożliwia tworzenie pakietów dostępu, o które użytkownicy mogą prosić podczas dołączania do różnych zespołów/projektów i przydzielania im dostępu do skojarzonych zasobów (takich jak aplikacje, witryny SharePoint, członkostwa w grupach).

  2. Jeśli obecnie wdrożenie zarządzania uprawnieniami nie jest możliwe dla organizacji, przynajmniej włącz paradygmaty samoobsługowe w organizacji, wdrażając samoobsługowe zarządzanie grupami i dostęp do aplikacji samoobsługowych.

Korzystanie z uwierzytelniania bez hasła w celu zmniejszenia ryzyka wyłudzania informacji i ataków hasłem

Dzięki usłudze Azure AD obsługującej logowanie się przez telefon bez hasła i fido 2.0 możesz przesuwać igłą po poświadczeniach, które twoi użytkownicy (zwłaszcza poufni/uprzywilejowani użytkownicy) zatrudniają z dnia na dzień. Te poświadczenia to silne czynniki uwierzytelniania, które mogą również ograniczyć ryzyko.

Wykonaj ten krok:

V. Użytkownik, urządzenie, lokalizacja i zachowanie są analizowane w czasie rzeczywistym w celu określenia ryzyka i zapewnienia stałej ochrony

Analiza w czasie rzeczywistym ma kluczowe znaczenie dla określenia ryzyka i ochrony.

Diagram of the steps within phase 5 of the additional deployment objectives.

Wdrażanie usługi Azure AD Password Protection

Podczas włączania innych metod jawnej weryfikacji użytkowników nie ignoruj słabych haseł, sprayu haseł i ataków ponownego powtarzania. Natomiast klasyczne złożone zasady dotyczące haseł nie zapobiegają najbardziej rozpowszechnionym atakom haseł.

Wykonaj ten krok:

Włącz ochronę tożsamości

Uzyskaj bardziej szczegółowy sygnał ryzyka sesji/użytkownika za pomocą usługi Identity Protection. Możesz zbadać ryzyko i potwierdzić naruszenie zabezpieczeń lub odrzucić sygnał, co pomoże aparatowi lepiej zrozumieć, jak wygląda zagrożenie w Twoim środowisku.

Wykonaj ten krok:

Włączanie integracji Microsoft Defender for Cloud Apps z usługą Identity Protection

Microsoft Defender for Cloud Apps monitoruje zachowanie użytkownika w systemie SaaS i nowoczesnych aplikacjach. Informuje to usługę Azure AD o tym, co stało się z użytkownikiem po uwierzytelnieniu i otrzymaniu tokenu. Jeśli wzorzec użytkownika zaczyna wyglądać podejrzanie (np. zaczyna pobierać gigabajty danych z OneDrive lub zaczyna wysyłać wiadomości e-mail zawierające spam w Exchange Online), wówczas do usługi Azure AD może zostać przesłany sygnał informujący o tym, że użytkownik jest zagrożony lub wysokiego ryzyka. W następnym żądaniu dostępu od tego użytkownika usługa Azure AD może poprawnie podjąć działania w celu zweryfikowania użytkownika lub zablokowania go.

Wykonaj ten krok:

Włączanie integracji z dostępem warunkowym z Microsoft Defender for Cloud Apps

Korzystając z sygnałów emitowanych po uwierzytelnieniu i za pomocą żądań serwera proxy aplikacji Defender dla Chmury do aplikacji, będzie można monitorować sesje przechodzące do aplikacji SaaS i wymuszać ograniczenia.

Wykonaj następujące czynności:

  1. Włącz integrację z dostępem warunkowym.

  2. Rozszerzanie dostępu warunkowego na aplikacje lokalne.

Włączanie ograniczonej sesji do użycia w podejmowaniu decyzji dotyczących dostępu

Jeśli ryzyko użytkownika jest niskie, ale loguje się on z nieznanego punktu końcowego, możesz zezwolić mu na dostęp do kluczowych zasobów, ale nie zezwolić mu na wykonywanie czynności, które opuszczają Twoją organizację w stanie niezgodnym. Teraz możesz skonfigurować Exchange Online i SharePoint Online, aby zaoferować użytkownikowi sesję z ograniczeniami, która umożliwi mu odczytywanie wiadomości e-mail lub wyświetlanie plików, ale nie pobieranie ich i zapisywanie ich na niezaufanym urządzeniu.

Wykonaj ten krok:

VI. Integracja sygnałów zagrożeń z innych rozwiązań zabezpieczeń w celu poprawy wykrywania, ochrony i reagowania

Ponadto można zintegrować inne rozwiązania zabezpieczeń, aby uzyskać większą skuteczność.

Integracja Microsoft Defender for Identity z Microsoft Defender for Cloud Apps

Integracja z Microsoft Defender for Identity umożliwia usłudze Azure AD poinformowanie, że użytkownik dopuszcza się ryzykownych zachowań podczas uzyskiwania dostępu do lokalnych, nienowoczesnych zasobów (takich jak udziały plików). Może to być następnie uwzględnione w ogólnym ryzyku użytkownika w celu zablokowania dalszego dostępu w chmurze.

Wykonaj następujące czynności:

  1. Włącz Microsoft Defender for Identity z Microsoft Defender for Cloud Apps, aby wprowadzić sygnały lokalne do sygnału ryzyka, który znamy o użytkowniku.

  2. Sprawdź łączny wynik priorytetu badania dla każdego zagrożonego użytkownika, aby przedstawić całościowy widok tych, na których powinien się skupić dokument SOC.

Włączanie Ochrona punktu końcowego w usłudze Microsoft Defender

Ochrona punktu końcowego w usłudze Microsoft Defender pozwala potwierdzić kondycję maszyn Windows i ustalić, czy są one poddawane kompromisowi. Te informacje można następnie włączyć w celu łagodzenia ryzyka w czasie wykonywania. Podczas gdy przyłączanie do domeny zapewnia poczucie kontroli, usługa Defender for Endpoint umożliwia reagowanie na atak złośliwego oprogramowania w czasie rzeczywistym poprzez wykrywanie wzorców, w których wiele urządzeń użytkowników uderza w niewiarygodne witryny, oraz reagowanie poprzez zwiększenie ryzyka urządzenia/użytkownika w czasie wykonywania.

Wykonaj ten krok:

Produkty objęte tym przewodnikiem

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (obejmuje Microsoft Intune)

Ochrona punktu końcowego w usłudze Microsoft Defender

SharePoint Online

Exchange Online

Wniosku

Tożsamość ma kluczowe znaczenie dla udanej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub przeczytaj pozostałe rozdziały tego przewodnika, które obejmują wszystkie Zero Trust filary.



Seria przewodników po wdrażaniu Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration