Защита идентификации с помощью принципа "Никому не доверяй"
Основные сведения
Облачные приложения и мобильные рабочие ресурсы переопределили понятие периметра безопасности. Сотрудники используют собственные устройства и работают удаленно. Доступ к данным осуществляется извне корпоративной сети и предоставляется внешним участникам совместной работы, таким как партнеры и поставщики. Корпоративные приложения и данные переносятся из локальной среды в гибридную и облачную среды. Организации больше не могут полагаться на традиционные элементы управления сетями для обеспечения безопасности. Элементы управления нужно перенести ту да же, где хранятся данные: на устройства, в приложения и решения партнеров.
Удостоверения, представляющие пользователей, службы или устройства Интернета вещей, массово применяются в современных сетях, конечных точках и приложениях. В модели безопасности "Никому не доверяй" они являются мощным и гибким средством для детализированного управления доступом к данным.
Перед попыткой получить доступ к ресурсу с помощью удостоверения организации должны:
проверить удостоверение с помощью строгой проверки подлинности;
убедиться, что доступ соответствует требованиям и является типичным для этого удостоверения;
применить принципы доступа с минимальными привилегиями.
После проверки удостоверения можно контролировать его доступ к ресурсам на основе политик организации, текущего анализа рисков и других инструментов.
Цели развертывания системы идентификации на основе модели "Никому не доверяй"
Перед тем как большинство организаций приступает к внедрению модели "Никому не доверяй", они используют подход к идентификации с рядом проблем: используется локальный поставщик удостоверений, единый вход между облачными и локальными приложениями отсутствует, а возможности отслеживания рисков идентификации очень ограничены.
При внедрении комплексной инфраструктуры "Никому не доверяй" для идентификации мы рекомендуем в первую очередь сосредоточиться на следующих начальных целях развертывания: |
|
I.Cloud identity федеративные с локальными системами удостоверений. II.Доступ к политикам условного доступа и предоставление действий по исправлению. |
|
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания: |
|
IV.Удостоверения и права доступа управляются с помощью управления удостоверениями. |
Руководство по развертыванию системы идентификации на основе модели "Никому не доверяй"
Это руководство поможет вам выполнить действия, необходимые для управления удостоверениями в соответствии принципами платформы безопасности "Никому не доверяй".
|
Основные цели развертывания |
I. Настройка федерации облачных удостоверений с локальными системами идентификации
Идентификатор Microsoft Entra обеспечивает надежную проверку подлинности, точку интеграции для безопасности конечных точек и ядро политик, ориентированных на пользователей, чтобы гарантировать наименее привилегированный доступ. Возможности условного доступа Microsoft Entra — это точка принятия решений политики для доступа к ресурсам на основе удостоверения пользователя, среды, работоспособности устройств и риска, проверенная явным образом в точке доступа. Мы покажем, как реализовать стратегию удостоверений нулевого доверия с помощью идентификатора Microsoft Entra.
Подключение всех пользователей в идентификатор Microsoft Entra и федерацию с локальными системами удостоверений
Поддержание работоспособного конвейера удостоверений сотрудников и необходимых артефактов безопасности (групп для авторизации и конечных точек для дополнительных элементов управления политиками доступа) позволяет эффективнее использовать согласованные удостоверения и элементы управления в облаке.
Выполните следующие действия:
Выберите способ проверки подлинности. Идентификатор Microsoft Entra предоставляет лучшие методы подбора, DDoS и защиту паролей, но принять решение, подходящее для вашей организации и ваших потребностей в соответствии с требованиями.
Используйте только удостоверения, которые точно необходимы. Например, используйте переход в облако как возможность отказаться от учетных записей служб, которые имеют смысл только в локальной среде. Откажитесь от использования локальных привилегированных ролей.
Если на вашем предприятии в совокупности более 100 000 пользователей, групп и устройств, создайте высокопроизводительную среду синхронизации, которая обеспечит актуальность жизненного цикла.
Настройка Identity Foundation с помощью идентификатора Microsoft Entra
Стратегия "Никому не доверяй" требует явного выполнения проверки, применения принципов доступа с минимальными привилегиями и предположения о нарушении. Идентификатор Microsoft Entra может выступать в качестве точки принятия решений политики, чтобы применить политики доступа на основе аналитических сведений о пользователе, конечной точке, целевом ресурсе и среде.
Действия
- Поместите идентификатор Microsoft Entra в путь к каждому запросу на доступ. Это подключает каждого пользователя и каждого приложения или ресурса через одну плоскость управления удостоверениями и предоставляет идентификатор Microsoft Entra с сигналом, чтобы принять наилучшие решения о риске проверки подлинности и авторизации. Кроме того, единый вход и согласованные ограничения политик обеспечивают лучшее взаимодействие с пользователем и способствуют повышению продуктивности.
Интеграция всех приложений с идентификатором Microsoft Entra
Единый вход не позволяет пользователям оставлять копии своих учетных данных в различных приложениях и помогает избавить пользователей от привычки передавать свои учетные данные из-за избыточных запросов на их ввод.
Кроме того, убедитесь, что в вашей среде нет нескольких обработчиков IAM. Это не только уменьшает объем сигнала о том, что идентификатор Microsoft Entra ID видит, позволяя плохим актерам жить в швах между двумя двигателями IAM, он также может привести к плохому взаимодействию с пользователем и вашим деловым партнерам, став первым сомневающимся в вашей стратегии нулевого доверия.
Выполните следующие действия:
Интегрируйте современные корпоративные приложения, которые поддерживают OAuth 2.0 или SAML.
Для приложений проверки подлинности на основе форм и kerberos интегрируйте их с помощью прокси приложения Microsoft Entra.
Если вы публикуете устаревшие приложения с помощью сетей доставки приложений или контроллеров, используйте идентификатор Microsoft Entra для интеграции с большинством основных (например, Citrix, Akamai и F5).
Чтобы обнаружить и перенести приложения из ADFS и существующих или устаревших обработчиков IAM, ознакомьтесь с соответствующими ресурсами и инструментами.
Активно применяйте удостоверения в различных облачных приложениях. Это обеспечит более тесную интеграцию жизненного цикла удостоверений в эти приложения.
Явная проверка с помощью строгой проверки подлинности
Выполните следующие действия:
Развертывание многофакторной проверки подлинности Microsoft Entra (P1). Это фундаментальная составляющая снижения риска для сеансов пользователей. По мере добавления пользователей на новых устройствах и в новых расположениях возможность ответить на запрос проверки MFA является одним из наиболее прямых способов, которым пользователи, работающие по всему миру, могут подтвердить, что это известные устройства и расположения (без необходимости анализа отдельных сигналов администраторами).
Блокируйте устаревшие методы проверки подлинности. Одним из наиболее распространенных векторов атаки злоумышленников является использование украденных или воспроизведенных учетных данных для устаревших протоколов, таких как SMTP, которые не могут выполнять современные запросы проверки безопасности.
II. Управление доступом к шлюзам и предоставление действий по исправлению с помощью политик условного доступа
Microsoft Entra Условный доступ (ЦС) анализирует такие сигналы, как пользователь, устройство и расположение, чтобы автоматизировать решения и применять политики доступа организации для ресурсов. Политики условного доступа можно использовать для применения таких элементов управления доступом, как многофакторная проверка подлинности (MFA). Политики условного доступа позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.
Корпорация Майкрософт предоставляет стандартные условные политики, называемые параметрами безопасности по умолчанию, которые обеспечивают базовый уровень безопасности. Однако организации может потребоваться больше гибкости по сравнению с предложенными параметрами безопасности по умолчанию. Условный доступ можно использовать, чтобы настроить параметры безопасности по умолчанию с большей степенью детализации и установить новые политики, соответствующих вашим требованиям.
Заблаговременное планирование политик условного доступа и применение набора активных и резервных политик — вот базовый принцип применения политик доступа в развертывании на основе модели "Никому не доверяй". Уделите время настройке доверенных IP-адресов в своей среде. Даже если вы не используете их в политике условного доступа, настройка этих IP-адресов позволит повлиять на риск защиты идентификации, упомянутый выше.
Действия
- Ознакомьтесь с нашим руководством по развертыванию и рекомендациями по созданию устойчивых политик условного доступа.
Регистрация устройств с помощью идентификатора Microsoft Entra для ограничения доступа от уязвимых и скомпрометированных устройств
Выполните следующие действия:
Включите гибридное соединение Microsoft Entra или присоединение Microsoft Entra. Если вы управляете ноутбуком или компьютером пользователя, доведите эти сведения в идентификатор Microsoft Entra и используйте его для принятия лучших решений. Например, вы можете разрешить полнофункциональным клиентам доступ к данным (клиентам, имеющим автономные копии на компьютере), если известно, что пользователь подключается с компьютера, управляемого вашей организацией. Если этого не сделать, скорее всего, вы заблокируете доступ полнофункциональных клиентов, что может привести к тому, что ваши пользователи начнут обходить ограничения системы безопасности или использовать теневые ИТ.
Включите службу Intune в Microsoft Endpoint Manager (EMS) для управления мобильными устройствами пользователей и регистрации устройств. Все, что верно для ноутбуков, относится и к мобильным устройствам пользователей: чем больше вы знаете о них (уровень установленных исправлений, разблокирование, наличие root-доступа и т. д.), тем больше вы сможете доверять или не доверять им, а также обосновать блокировку и разрешение доступа.
III. Расширение возможностей наблюдения с помощью аналитики
При создании своего имущества в идентификаторе Microsoft Entra с проверкой подлинности, авторизацией и подготовкой важно иметь надежную оперативную информацию о том, что происходит в каталоге.
Настройка ведения журнала и отчетов для расширения возможностей наблюдения
Действия
- Запланируйте развертывание отчетов и мониторинга Microsoft Entra, чтобы иметь возможность сохранять и анализировать журналы из идентификатора Microsoft Entra, в Azure или с помощью выбранной системы SIEM.
|
Дополнительные цели развертывания |
IV. Управление удостоверениями и привилегиями доступа с помощью системы управления идентификацией
После достижения трех начальных целей вы сможете сосредоточиться на дополнительных целях, таких как более надежная система управления идентификацией.
Защита привилегированного доступа с помощью управления привилегированными пользователями
Управляйте конечными точками, условиями и учетными данными, используемыми пользователями для доступа к привилегированным операциям и ролям.
Выполните следующие действия:
Возьмите на себя управление привилегированными удостоверениями. Помните, что привилегированный доступ в цифровой организации — это не только административный доступ, но и доступ владельцев или разработчиков приложений, что может изменить способ запуска критически важных приложений и обработки данных в них.
Используйте управление привилегированными пользователями для защиты привилегированных удостоверений.
Ограничение применения согласия пользователя для приложений
Согласие пользователя для приложений — это очень распространенный способ получения доступа к ресурсам организации для современных приложений, но следует учесть ряд рекомендаций.
Выполните следующие действия:
Ограничьте применение согласия пользователя и управляйте запросами на согласие, чтобы предотвратить ненужную передачу данных вашей организации в приложения.
Изучите данные о предоставленных ранее или на текущий момент согласиях в организации, чтобы выявить случаи чрезмерных или вредоносных запросов на согласие.
Дополнительные сведения о средствах защиты от тактики доступа к конфиденциальной информации см. в разделе "Strengthen protection against cyber threats and rogue apps" (Усиление защиты от кибератак и мошеннических приложений) в нашем руководстве по реализации стратегии "Никому не доверяй" для системы идентификации.
Управление правами
Благодаря централизованной проверке подлинности приложений с помощью идентификатора Microsoft Entra можно упростить запрос на доступ, утверждение и повторное сертификацию, чтобы убедиться, что правильные люди имеют правильный доступ и у вас есть след, почему пользователи в вашей организации имеют доступ.
Выполните следующие действия:
Используйте управление правами для создания пакетов доступа, которые пользователи смогут запрашивать при присоединении к различным командам или проектам, чтобы получить доступ к связанным ресурсам (таким как приложения, сайты SharePoint, членство в группах).
Если развертывание управления правами в вашей организации в настоящее время невозможно, по крайней мере реализуйте парадигмы самообслуживания, развернув самостоятельное управление группами и самостоятельный доступ к приложениям.
Использование проверки подлинности без пароля для снижения риска фишинговых атак и взлома паролей
С помощью идентификатора Microsoft Entra, поддерживающего вход FIDO 2.0 и без пароля, вы можете переместить иглу на учетные данные, которые пользователи (особенно конфиденциальные и привилегированные пользователи) используются ежедневно. Эти учетные данные являются факторами строгой проверки подлинности, которые могут дополнительно снизить риски.
Действия
- Начните развертывание учетных данных без пароля в организации.
V. Анализ в реальном времени пользователей, устройств, расположений и поведения для определения риска и обеспечения постоянной защиты
Анализ в реальном времени является критически важным для определения рисков и защиты от них.
Развертывание защиты паролей Microsoft Entra
Реализовав прочие явные методы проверки пользователей, не следует пренебрегать угрозами взлома ненадежных паролей, распыления паролей и атаками методом воспроизведения бреши. И классические политики на основе сложных паролей не препятствуют наиболее распространенным атакам на пароли.
Действия
- Включите защиту паролей Microsoft Entra для пользователей в облаке и локальной среде.
Включение защиты идентификации Azure Active Directory
Вы можете получать более детализированные сигналы о рисках сеансов и пользователей благодаря защите идентификации. Вы сможете изучить риск, а также подтвердить нарушение безопасности или отклонить сигнал, что поможет подсистеме лучше понять, как определяется риск в вашей среде.
Действия
Включение интеграции Microsoft Defender for Cloud Apps с Защитой идентификации
Microsoft Cloud App Security (MCAS) отслеживает поведение пользователей в приложениях SaaS и современных приложениях. Это сообщает идентификатору Microsoft Entra о том, что произошло с пользователем после проверки подлинности и получения маркера. Если шаблон пользователя начинает выглядеть подозрительно (например, пользователь начинает скачивать гигабайты данных из OneDrive или начинает отправлять сообщения электронной почты нежелательной почты в Exchange Online), то сигнал может быть отправлен идентификатору Microsoft Entra, уведомляя его о том, что пользователь, кажется, скомпрометирован или высокий риск. При следующем запросе доступа от этого пользователя идентификатор Microsoft Entra может правильно выполнить действия, чтобы проверить пользователя или заблокировать их.
Действия
- Включите мониторинг Defender для облака приложений для обогащения сигнала защиты идентификации.
Включение интеграции условного доступа с приложениями Microsoft Defender для облака
Использование сигналов, создаваемых после проверки подлинности и с помощью запросов прокси-сервера приложений Defender для облака для приложений, вы сможете отслеживать сеансы, поступающие в приложения SaaS, и применять ограничения.
Выполните следующие действия:
Применение ограниченного сеанса в решениях о предоставлении доступа
Если риск пользователя низкий, но он входит с неизвестной конечной точки, может потребоваться предоставить ему доступ к критически важным ресурсам, но не разрешать выполнять действия, которые нарушат соответствие вашей организации требованиям. Теперь можно настроить Exchange Online и SharePoint Online, чтобы предоставить пользователю ограниченный сеанс, позволяющий читать электронные сообщения или просматривать файлы, но не скачивать и не сохранять их на недоверенном устройстве.
Действия
- Разрешите ограниченный доступ к SharePoint Online и Exchange Online.
VI. Объединение сигналов об угрозе из других решений по обеспечению безопасности для улучшения обнаружения, защиты и реагирования
Наконец, можно интегрировать другие решения по обеспечению безопасности для повышения эффективности.
Интеграция Microsoft Defender для удостоверений с приложениями Microsoft Defender для облака
Интеграция с Microsoft Defender для удостоверений позволяет идентификатору Microsoft Entra знать, что пользователь не может работать с рискованным поведением при доступе к локальным, не современным ресурсам (например, к общим папкам). Затем можно определить общий риск пользователя, чтобы заблокировать ему дальнейший доступ к облаку.
Выполните следующие действия:
Включите Microsoft Defender для удостоверений с Microsoft Defender для облака Apps для передачи локальных сигналов в сигнал риска, который мы знаем о пользователе.
Проверьте объединенную оценку приоритета анализа для каждого рискового пользователя, чтобы получить целостное представление о том, на ком из них должно сосредоточиться ваше приложение SOC.
Включение Microsoft Defender для конечной точки
Microsoft Defender для конечной точки позволяет проверять работоспособность компьютеров с Windows и определять, не нарушается ли из безопасность. Затем эти сведения можно передать в службу снижения рисков во время выполнения. Присоединение к домену дает вам ощущение контроля, а Defender для конечной точки позволяет реагировать на атаки вредоносных программ практически в реальном времени, выявляя закономерности, в которых несколько пользовательских устройств попадают на ненадежные сайты, и реагируя на них повышением уровня риска устройств или пользователей во время выполнения.
Действия
Защита удостоверения в соответствии с исполнительным указом 14028 по кибербезопасности и O МБ меморандум 22-09
Исполнительный указ 14028 по улучшению кибербезопасности Наций и O МБ Меморандум 22-09 включает конкретные действия по нулю доверия. Действия удостоверений включают использование централизованных систем управления удостоверениями, использование строгой фишингозащищенной MFA и включение по крайней мере одного сигнала на уровне устройства в решениях авторизации. Подробные инструкции по реализации этих действий с идентификатором Microsoft Entra см. в разделе "Соответствие требованиям к удостоверениям меморандума 22-09 с идентификатором Microsoft Entra ID".
Продукты, описанные в данном руководстве
Microsoft Azure
Microsoft Defender для удостоверений
Microsoft 365
Microsoft Endpoint Manager (включает в себя Microsoft Intune);
Microsoft Defender для конечной точки
Заключение
Идентификация является ключевой составляющей успешной реализации стратегии "Никому не доверяй". Для получения дополнительной информации или помощи в реализации свяжитесь с вашей командой по работе с клиентами или ознакомьтесь с другими главами этого руководства, которое охватывает фундаментальные компоненты стратегии "Никому не доверяй".
Серия руководств по развертыванию с использованием модели "Никому не доверяй"
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по