Защита привилегированного доступа: посредники

Безопасность промежуточных устройств является критически важным компонентом защиты привилегированного доступа.

Посредники добавляют ссылку на цепочку контроля по модели "Никому не доверяй" для сквозного сеанса пользователя или администратора, поэтому они должны поддерживать (или улучшать) контроль безопасности по модели "Никому не доверяй" в сеансе. К примерам посредников относятся виртуальные частные сети, серверы переходов, инфраструктура виртуальных рабочих столов (VDI), а также публикация приложений с помощью прокси-серверов доступа.

Злоумышленник может атаковать посредника, чтобы попытаться расширить привилегии, используя хранимые на них учетные данные, получить удаленный доступ к корпоративным сетям или воспользоваться доверием на устройстве, если оно применяется для принятия решений о доступе по модели "Никому не доверяй". Целенаправленное воздействие на посредников получило слишком широкое распространение, особенно для организаций, которые не занимаются систематичной поддержкой уровня безопасности таких устройств. Например, учетные данные, полученные с VPN-устройств.

Цели и технологии посредников отличаются, однако они, как правило, обеспечивают удаленный доступ, безопасность сеансов или и то, и другое:

• Удаленный доступ — обеспечение доступа к системам в корпоративных сетях из Интернета
• Безопасность сеансов— повышение защиты и видимости сеанса
  • Сценарий неуправляемого устройства — предоставление доступа к управляемому виртуальному рабочему столу неуправляемым устройствам (например, личным устройствам сотрудников) и (или) устройствам, управляемым партнером или поставщиком.
  • Сценарий безопасности администратора — объединение административных путей и (или) повышение уровня безопасности с помощью JIT-доступа, мониторинга и записи сеансов, а также аналогичных возможностей.

Поддержание постоянного характера средств обеспечения безопасности от исходного устройства и учетной записи до интерфейса ресурсов требует понимания профиля риска посредника и вариантов его устранения.

Возможность и ценность для злоумышленника

Различные типы посредников выполняют уникальные функции, поэтому каждый из них требует собственного подхода к обеспечению безопасности. Тем не менее существует ряд важных общих черт, таких как быстрое применение обновлений системы безопасности к устройствам, встроенному ПО, операционным системам и приложениям.

Возможность злоумышленника представляется доступной поверхностью атаки, на которую может оказывать целенаправленной воздействие оператор атаки:

• Собственные облачные службы , такие как Microsoft Entra PIM, Бастион Azure и прокси приложения Microsoft Entra, предлагают ограниченную область атаки злоумышленникам. Несмотря на наличие доступа к общедоступному Интернету, клиенты (и злоумышленники) не имеют доступа к базовым операционным системам, которые предоставляют службы, а их поддержание и мониторинг, как правило, осуществляются с помощью автоматизированных механизмов поставщика облачных служб. Уменьшенная поверхность атаки ограничивает доступные злоумышленникам варианты по сравнению с классическими локальными приложениями и устройствами, которые необходимо настраивать, исправлять и контролировать при помощи ИТ-специалистов, часто перегруженных вследствие конфликта приоритетов и большего количества задач обеспечения безопасности, чем можно выполнить в рабочее время.
• Виртуальные частные сети (VPN) и удаленные рабочие столы  / серверы переходов зачастую предоставляют злоумышленнику существенную возможность атаки, так как открыты для доступа через Интернет с целью обеспечения удаленного доступа, а обслуживанием этих систем часто пренебрегают. Несмотря на то, что доступ открыт только к нескольким сетевым портам, злоумышленникам для атаки зачастую требуется доступ только к одной службе, для которой не установлены обновления.
• Сторонние службы PIM и PAM часто размещаются локально или в качестве виртуальной машины в инфраструктуре как услуга (IaaS) и обычно доступны только для узлов интрасети. Несмотря на отсутствие доступа через Интернет, один набор скомпрометированных учетных данных может позволить злоумышленникам получить доступ к службе через VPN или другую среду удаленного доступа.

Ценность для злоумышленника — то, что может получить злоумышленник в результате компрометации посредника. Под компрометацией понимается получение злоумышленником полного контроля над приложением или виртуальной машиной и (или) администратором клиентского экземпляра облачной службы.

Ниже перечислены некоторые компоненты, которые злоумышленники могут получать от посредника для следующего этапа атаки:

• Получение сетевого подключения для взаимодействия с большинством ресурсов или со всеми ресурсами в корпоративных сетях. Этот доступ обычно предоставляется VPN, а также решениями удаленного рабочего стола или серверов перехода. Хотя решения прокси приложения Microsoft Entra (или аналогичные сторонние решения) также предоставляют удаленный доступ, эти решения обычно являются подключениями к приложениям или серверам и не предоставляют общий сетевой доступ.
• Олицетворение удостоверения устройства может преодолеть механизмы модели "Никому не доверяй", если устройство требуется для проверки подлинности и (или) используется злоумышленником для сбора информации о целевых сетях. Группы информационной безопасности часто не отслеживают действия с учетными записями устройств, а занимаются только учетными записями пользователей.
• Кража учетных данных учетной записи с целью прохождения проверки подлинности в ресурсах, которые представляют для злоумышленников наибольшую ценность в связи с тем, что обеспечивают возможность повышения привилегий для доступа к конечной цели или выполнения следующего этапа атаки. Удаленный рабочий стол и серверы переходов и сторонние PIM/PAM являются наиболее привлекательными целевыми объектами и имеют динамический динамический параметр "Все яйца в одной корзине" с повышенным значением злоумышленника и устранением рисков безопасности:
  • Решения PIM и PAM обычно хранят учетные данные для большинства или даже всех привилегированных ролей в организации, что делает их крайне перспективной мишенью для компрометации или использования в качестве оружия.
  • Microsoft Entra PIM не предлагает злоумышленникам возможность кражи учетных данных, так как она разблокирует привилегии, уже назначенные учетной записи с помощью MFA или других рабочих процессов, но плохо разработанный рабочий процесс может позволить злоумышленнику повысить привилегии.
  • Удаленный рабочий стол или серверы переходов, используемые администраторами, предоставляют узел, через который проходят многие или все конфиденциальные сеансы, что позволяет злоумышленникам использовать стандартные средства для кражи и повторного использования учетных данных.
  • Виртуальные сети могут хранить учетные данные в решении, предоставляя злоумышленникам потенциальную кладовую эскалацию привилегий, что приводит к строгой рекомендации по использованию идентификатора Microsoft Entra для проверки подлинности для устранения этого риска.

Профили безопасности посредников

Для обеспечения такого контроля требуется сочетание элементов управления безопасностью. Одни из них являются общими для многих посредников, а другие предназначены для конкретного типа посредника.

Посредник — это звено цепочки "Никому не доверяй", которая представляет интерфейс для пользователей/устройств, а затем предоставляет доступ к следующему интерфейсу. Элементы управления безопасностью должны обращаться к входящим подключениям, обеспечивать безопасность самого промежуточного устройства, приложения или службы, а также (если применимо) передавать сигналы безопасности "Никому не доверяй" следующему интерфейсу.

Общие элементы управления безопасностью

Цель общих элементов обеспечения безопасности для посредников — поддержание гигиены безопасности для корпоративных и специализированных уровней с дополнительными ограничениями для безопасности использования привилегий.

Эти элементы управления безопасностью должны применяться ко всем типам посредников:

• Принудительное применение безопасности входящего подключения. Используйте идентификатор Microsoft Entra и условный доступ, чтобы гарантировать, что все входящие подключения с устройств и учетных записей известны, надежны и разрешены. Дополнительные сведения о требованиях к устройствам и учетным записям для корпоративного и специализированного уровня см. в статье Защита привилегированных интерфейсов.
• Надлежащее обслуживание системы . Все посредники должны соблюдать хорошие методики гигиены безопасности, включая:
  • Безопасная конфигурация — следуйте базовым показателям конфигурации производителя или отраслевым стандартам безопасности и рекомендациям как для приложения, так и для всех базовых операционных систем, облачных служб или других зависимостей. Применимые руководства корпорации Майкрософт включают базовые показатели безопасности Azure и базовые планы Windows.
  • Быстрое обновление путем частичной замены — обновления системы безопасности и исправления от поставщиков должны применяться быстро после выпуска.
• Модели управления доступом на основе ролей (RBAC) могут быть нарушены злоумышленниками для повышения привилегий. Модель RBAC посредника должна тщательно проверяться, чтобы гарантировать получение прав администратора только авторизованными сотрудниками, защищенными на специализированном или привилегированном уровне. Эта модель должна включать в себя любые базовые операционные системы или облачные службы (пароль учетной записи root, пользователи или группы локального администратора, администраторы клиента и т. д.).
• Обнаружение конечных точек и ответ (EDR) и сигнал доверия исходящего трафика — устройства, включающие полную операционную систему, должны отслеживаться и защищаться с помощью EDR, например Microsoft Defender для конечной точки. Этот элемент управления должен настраиваться для обеспечения соответствия устройства условному доступу, чтобы политика могла принудительно применять это требование к интерфейсам.

Привилегированным посредникам требуются дополнительные элементы управления безопасностью:

• Управление доступом на основе ролей (RBAC) — права администратора должны ограничиваться только привилегированными ролями, которые соответствуют этому стандарту для рабочих станций и учетных записей.
• Выделенные устройства (необязательно) — из-за крайней чувствительности привилегированных сеансов организации могут выбрать реализацию выделенных экземпляров функций посредников для привилегированных ролей. Этот элемент управления обеспечивает дополнительные ограничения по безопасности для этих привилегированных посредников и более подробный мониторинг активности привилегированных ролей.

Руководство по безопасности для каждого типа посредника

Этот раздел содержит конкретные рекомендации по обеспечению безопасности, специальные для каждого типа посредника.

Privileged Access Management / управление привилегированными удостоверениями

Одним из типов посредников, предназначенных специально для использования в системе безопасности, являются решения по управлению привилегированными удостоверениями и управлению привилегированным доступом (PIM/PAM).

Варианты использования и сценарии для PIM/PAM

Решения PIM/PAM предназначены для повышения безопасности конфиденциальных учетных записей в рамках специализированных или привилегированных профилей и, как правило, сосредоточены в первую очередь у администраторов ИТ.

Несмотря на то, что функции поставщиков PIM/PAM различны, многие решения предоставляют следующие возможности обеспечения безопасности:

• Упрощенное управление учетными записями служб и сменой паролей (критическая функция)

• Предоставление расширенных рабочих процессов для JIT-доступа

• Запись и мониторинг сеансов администрирования

  Важно!

  Возможности PIM/PAM обеспечивают отличные меры по устранению некоторых атак, но не устраняют многие риски привилегированного доступа, особенно риск взлома устройства. Хотя некоторые поставщики и думают, что их решение PIM/PAM является "идеальным", позволяющим снизить риск для устройств, наш опыт, основанный на инцидентах, произошедших у клиентов, однозначно показал, что на практике эти решения не работают.

  Злоумышленник с контролем над рабочей станцией или устройством может использовать эти учетные данные (и привилегии, назначенные им), пока пользователь находится в системе, и часто может украсть учетные данные для последующего использования. Отдельное решение PIM/PAM не может постоянно и надежно контролировать и устранять эти риски, поэтому необходимо иметь отдельные средства защиты устройств и учетных записей, дополняющие друг друга.

Риски и рекомендации по безопасности для PIM/PAM

Возможности каждого поставщика PIM/PAM зависят от метода защиты, ознакомьтесь с наилучшими методиками и рекомендациями по настройке безопасности конкретного поставщика.

Примечание.

Убедитесь, что вы настроили второго пользователя в рабочих процессах, критически важных для бизнеса, чтобы снизить внутренний риск (это увеличивает затраты и замедление работы из-за потенциальной совокупности действий внутренних угроз).

Виртуальные частные сети конечных пользователей

Виртуальные частные сети (VPN) — это посредники, обеспечивающие полный сетевой доступ к удаленным конечным точкам. Как правило, требуется проверка подлинности конечного пользователя и возможность локального хранения учетных данных для проверки подлинности входящих сеансов пользователей.

Примечание.

Настоящее руководство относится только к виртуальным частным сетям, используемым пользователями, типа "точка — сайт", а не виртуальным частным сетям типа "сайт — сайт", которые обычно используются для подключения центра обработки данных и (или) приложений.

Варианты использования и сценарии для виртуальных частных сетей

Виртуальные частные сети устанавливают удаленное подключение к корпоративной сети, чтобы обеспечить доступ к ресурсам для пользователей и администраторов.

Риски и рекомендации по безопасности для виртуальных частных сетей

Самыми критическими рисками для посредников виртуальных частных сетей являются невнимательность при проведении технического обслуживания, проблемы конфигурации и локальное хранение учетных данных.

Корпорация Майкрософт рекомендует использовать для посредников виртуальных частных сетей комбинацию элементов управления:

• Интеграция проверки подлинности Microsoft Entra — для уменьшения или устранения риска локально хранимых учетных данных (и любых накладных расходов для их обслуживания) и применения политик нулевого доверия для входящих учетных записей или устройств с условным доступом. Рекомендации по интеграции см. в разделе
  • Интеграция Azure VPN Microsoft Entra
  • Включение проверки подлинности Microsoft Entra в VPN-шлюзе
  • Интеграция сторонних виртуальных сетей
    • Cisco Any Подключение
    • Портал авторизацииGlobalProtect и Palo Alto Networks
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • и другие
• Быстрое исправление . Убедитесь, что все организационные элементы поддерживают быстрое исправление, включая:
  • Спонсорское предложение организации и поддержка руководства по требованию
  • Стандартные технические процессы для обновления виртуальных частных сетей с минимальным или нулевым временем простоя. Этот процесс должен включать программное обеспечение VPN, устройства и все базовые операционные системы или встроенное ПО
  • Аварийные процессы для быстрого развертывания критически важных обновлений для системы безопасности
  • Управление для постоянного обнаружения и исправления любых пропущенных элементов
• Безопасная конфигурация — возможности каждого поставщика VPN зависят от метода защиты, ознакомьтесь с наилучшими методиками и рекомендациями по настройке безопасности конкретного поставщика
• Перейдите за рамки VPN . Замените виртуальные сети с течением времени более безопасными параметрами, такими как прокси приложения Microsoft Entra или Бастион Azure, так как они обеспечивают только прямой доступ к приложению или серверу, а не полный сетевой доступ. Кроме того, прокси приложения Microsoft Entra позволяет отслеживать сеансы для дополнительной безопасности с помощью приложений Microsoft Defender для облака.

Прокси приложения Microsoft Entra

Прокси приложения Microsoft Entra и аналогичные сторонние возможности обеспечивают удаленный доступ к устаревшим и другим приложениям, размещенным локально или на виртуальных машинах IaaS в облаке.

Варианты использования и сценарии для прокси приложения Microsoft Entra

Это решение подходит для публикации устаревших приложений для работы конечных пользователей в Интернете. Кроме того, решение можно использовать для публикации некоторых административных приложений.

Риски безопасности и рекомендации для прокси приложения Microsoft Entra

Прокси приложения Microsoft Entra эффективно перенастройки современных политик нулевого доверия к существующим приложениям. Дополнительные сведения см. в разделе "Вопросы безопасности" для прокси приложения Microsoft Entra

Прокси приложения Microsoft Entra также может интегрироваться с Microsoft Defender для облака Apps для добавления безопасности сеанса управления условным доступом к следующим параметрам:

• Предотвращение кражи данных
• Защита при скачивании
• Запрещение отправки файлов без метки
• Мониторинг пользовательских сеансов на соответствие
• Заблокировать доступ
• Блокирование действий пользователя

Дополнительные сведения см. в статье "Развертывание Defender для облака Приложения с условным доступом для приложений Microsoft Entra"

При публикации приложений с помощью прокси приложения Microsoft Entra корпорация Майкрософт рекомендует, чтобы владельцы приложений работали с командами безопасности, чтобы следовать минимальным привилегиям и обеспечить доступ к каждому приложению доступен только пользователям, которым он требуется. По мере развертывания этим способом дополнительных приложений вы сможете компенсировать использование VPN типа "точка — сайт" конечного пользователя.

Удаленный рабочий стол/сервер перехода

Этот сценарий предоставляет полноценную среду выполнения рабочего стола, в которой работает одно или несколько приложений. Это решение имеет несколько различных вариантов, в том числе:

• Интерфейсы — полный рабочий стол в окне или в проецируемом интерфейсе одного приложения
• Удаленный узел — это может быть общая виртуальная машина или выделенная виртуальная машина на настольном компьютере, на которой используется виртуальный рабочий стол Windows (WVD) или другое решение инфраструктуры виртуальных рабочих столов (VDI).
• Локальное устройство — это может быть мобильное устройство, управляемая рабочая станция или рабочая станция, управляемая пользователем или партнером
• Сценарий — ориентирован на пользовательские приложения для повышения производительности или на административные сценарии, часто называемые "сервером перехода"

Варианты использования и рекомендации по безопасности для удаленного рабочего стола/сервера перехода

Самые распространенные конфигурации:

• Прямой протокол удаленного рабочего стола (RDP) — это конфигурация не рекомендуется для интернет-подключений, так как протокол RDP имеет ограниченную защиту от современных атак, таких как распыление паролей. Прямой RDP должен быть преобразован в любой из следующих вариантов:
  • RDP через шлюз, опубликованный прокси приложения Microsoft Entra
  • Бастион Azure
• RDP через шлюз с помощью
  • Служб удаленного рабочего стола (RDS), включенных в сервер Windows. Публикация с помощью прокси приложения Microsoft Entra.
  • Виртуальный рабочий стол Windows (WVD) — следуйте рекомендациям по обеспечению безопасности виртуальных рабочих столов Windows.
  • Сторонние решения VDI — следуйте рекомендациям производителя или отрасли или примените инструкции руководства WVD к своему решению
• Сервер Secure Shell (SSH) — предоставление удаленной оболочки и сценариев для технологических отделов технологий и владельцев рабочих нагрузок. Защита этой конфигурации должна включать:
  • Соблюдайте рекомендации производителя и отраслевые рекомендации по безопасной настройке, измените все пароли, заданные по умолчанию (если применимо), используйте ключи SSH вместо паролей, организуйте безопасное хранение ключей SSH и обращение ими.
  • Использование Бастиона Azure для удаленного доступа к ресурсами по SSH, размещенными в Azure — подключение к виртуальной машине Linux с помощью Бастиона Azure

Бастион Azure

Бастион Azure — это посредник, который предназначен для обеспечения безопасного доступа к ресурсам Azure с помощью браузера и портала Azure. Бастион Azure предоставляет доступ к ресурсам в Azure, поддерживающий протокол удаленного рабочего стола (RDP) и протокол Secure Shell (SSH).

Варианты использования и сценарии для Бастиона Azure

Бастион Azure эффективно предоставляет гибкое решение, которое может использоваться операторским персоналом ИТ и администраторами рабочих нагрузок за пределами ИТ для управления ресурсами, размещенными в Azure, без полного VPN-подключения к среде.

Риски и рекомендации по безопасности для Бастиона Azure

Доступ к Бастиону Azure осуществляется с помощью портала Azure, поэтому необходимо убедиться, что интерфейс портала Azure требует соответствующего уровня безопасности для ресурсов в нем и ролей, использующих его; как правило, это привилегированный или специализированный уровень.

Дополнительные рекомендации доступны в документации по Бастиону Azure

Следующие шаги

• Общие сведения о защите привилегированного доступа
• Стратегия привилегированного доступа
• Измерение успеха
• Уровни безопасности
• Учетные записи привилегированного доступа
• Интерфейсы
• Устройства с привилегированным доступом
• Корпоративная модель доступа