Рекомендации от Майкрософт по обеспечению безопасности для управления доступом и удостоверениями

В облачной архитектуре удостоверение служит основой для значительной части гарантий безопасности. Несмотря на то, что для защиты от внешних угроз устаревшие ИТ-инфраструктуры зачастую полагаются на брандмауэры и сетевые решения по обеспечению безопасности на уровне точек входящего трафика Интернета, эти элементы управления менее эффективны в облачных архитектурах с общими службами, доступ к которым осуществляется через сети поставщика облачных услуг или через Интернет.

Если вы не контролируете сети, в которых размещаются эти службы, различные облачные ресурсы динамически развертываются и сворачиваются, а клиенты облака могут использовать общую инфраструктуру, создать краткие правила брандмауэра очень сложно или практически невозможно. Для реализации всех этих возможностей необходимо управление доступом на основе проверки подлинности и управления авторизацией в облачных службах для защиты данных и ресурсов и принятия решения о том, какие запросы должны быть разрешены.

Кроме того, использование облачного решения для управления удостоверениями, такого как Azure Active Directory (Azure AD), обеспечивает дополнительные функции безопасности, которые не реализованы в устаревших службах управления удостоверениями, так как они могут применять аналитику угроз, основываясь на большом объеме запросов на доступ и сведений об угрозах от многих клиентов.

Единый корпоративный каталог

Рекомендация. Создайте единый корпоративный каталог для управления удостоверениями штатных сотрудников и корпоративных ресурсов.

Единый заслуживающий доверия источник удостоверений повышает ясность и согласованность всех ролей в ИТ и обеспечении безопасности. Это снижает риск возникновения ошибок, вызванных человеческим фактором, и сбоев автоматизации, возникающих из-за сложности. Имея единый заслуживающий доверия источник, группы, которым необходимо внести изменения в каталог, могут сделать это в одном месте и быть уверенными в том, что их изменение вступит в силу везде.

Для Azure назначьте один арендатор Azure AD в качестве заслуживающего доверия источника для корпоративных учетных записей.

Дополнительные сведения см. в разделе "Что такое гибридное удостоверение"?

Синхронизированные системы идентификации

Рекомендация. Синхронизируйте облачные удостоверения с существующими системами идентификации.

Согласованность удостоверений в облаке и в локальной среде снижает число ошибок, вызванных человеческим фактором, и связанный с этим риск нарушения безопасности. Для достижения гарантий безопасности командам разработчиков, управляющим ресурсами в обеих средах, требуется согласованный заслуживающий доверия источник.

Для Azure синхронизируйте Azure AD с существующим полномочным локальным доменные службы Active Directory (AD DS) с помощью гибридного удостоверения.

Этот шаг также является необходимым для миграции Office 365, поэтому зачастую его выполняют еще до начала проектов по миграции и разработке Azure.

Источник удостоверений поставщика облачных служб для третьих лиц

Рекомендация. Используйте облачные службы идентификации для размещения учетных записей пользователей, не являющихся сотрудниками организации (например, поставщиков, партнеров и клиентов), вместо того чтобы включать их в корпоративный каталог.

Таким образом вы снижаете риск, предоставляя внешним пользователям соответствующий уровень доступа, а не полные разрешения по умолчанию, которые предоставляются сотрудникам с полной занятостью. Такой подход с применением минимальных привилегий и четкое разграничение внешних учетных записей и учетных записей сотрудников организации облегчает предотвращение и обнаружение атак, совершаемых по этим направлением. Кроме того, управление этими удостоверениями осуществляется внешними сотрудниками, что также повышает эффективность работы третьих лиц и снижает нагрузку на сотрудников отдела кадров и ИТ-отдела организации.

Например, эти возможности встроены в одну модель удостоверений и разрешений Azure AD, используемую в Azure и Office 365:

  • Azure AD для сотрудников и корпоративных ресурсов;
  • Azure AD B2B для деловых партнеров;
  • Azure AD B2C для клиентов или граждан.

См. сведения о совместимости с федерацией Azure AD.

Проверка подлинности без пароля или многофакторная проверка подлинности для учетных записей администраторов

Рекомендация. Со временем всех пользователей следует перевести на использование проверки подлинности без пароля или многофакторной проверки подлинности (MFA).

Сведения об этой рекомендации приведены в разделе администрирования без пароля или многофакторной проверки подлинности для администраторов.

Эта же рекомендация применима ко всем пользователям, но в первую очередь она должна применяться к учетным записям с правами администратора.

Вы также можете сократить использование паролей приложениями с помощью управляемых удостоверений, чтобы предоставить доступ к ресурсам в Azure.

Блокировка устаревших методов проверки подлинности

Рекомендация. Отключите небезопасные устаревшие протоколы для служб с выходом в Интернет.

Устаревшие методы проверки подлинности представляют собой основные направления атак на облачные службы. Устаревшие протоколы, существовавшие до многофакторной проверки подлинности, не поддерживают дополнительные факторы, кроме паролей, и поэтому являются простыми целями для атак методом распыления паролей, атак с использованием словарей или атак методом перебора. Например, почти в 100 % случаев при атаках путем распыления паролей, направленных на пользователей Office 365, используются устаревшие протоколы. Кроме того, эти старые протоколы часто не имеют мер противодействия атакам, таким как блокировка учетных записей или таймеры обратной передачи. Службы, работающие в облаке корпорации Майкрософт, которые блокируют устаревшие протоколы, обеспечивают сокращение количества успешных атак на учетную запись до 66 %.

Для Azure и других учетных записей на основе Azure AD следует настроить условный доступ для блокировки устаревших протоколов.

Отключение устаревшей проверки подлинности может быть затруднено, поскольку некоторые пользователи могут не захотеть переходить на новое клиентское программное обеспечение, поддерживающее современные методы проверки подлинности. Однако переход от устаревшей проверки подлинности можно реализовывать постепенно. Начните с использования метрик и ведения журнала от поставщика проверки подлинности, чтобы определить количество пользователей, которые по-прежнему проходят проверку подлинности со старыми клиентами. Затем отключите все неиспользуемые протоколы нижнего уровня и настройте условный доступ для всех пользователей, которые не используют устаревшие протоколы. Наконец, предоставьте пользователям рекомендации о том, как выполнить обновление перед блокировкой устаревшей проверки подлинности для всех пользователей всех служб на уровне протокола.

Отсутствие локальных учетных записей администраторов в поставщиках удостоверений в облаке

Рекомендуется: Не синхронизируйте учетные записи с высоким уровнем привилегий доменные службы Active Directory (например, администраторы домена, предприятия и схемы) с Azure AD.

Это снижает риск получения злоумышленником более полного контроля над локальными ресурсами после успешной компрометации облачной учетной записи. Это позволяет оперативно локализовать инцидент.

Это связано с руководством по зависимостям учетных записей критического влияния , которые устраняют обратный риск перемещений из локальной среды в облачные ресурсы.

Современная защита паролем

Рекомендуется: Обеспечение современной и эффективной защиты учетных записей, которые не могут пройти без пароля (без пароля или многофакторная проверка подлинности для администраторов).

Устаревшие поставщики удостоверений в основном проверяли, что в паролях используются сложные сочетания символов различных типов и они соответствуют требованию к минимальной длине, однако мы поняли, что эти элементы управления на практике приводят к созданию паролей с меньшей энтропией, которые можно с легкостью взломать:

Сегодня решения для управления удостоверениями должны иметь возможность реагировать на типы атак, которые еще не существовали один или два десятилетия назад, например на атаки методом распыления пароля, повторное использование брешей (также называемое "подстановкой учетных данных"), при которых проверяются пары "имя пользователя — пароль", а также на атаки "злоумышленник в середине". Поставщики облачных удостоверений обеспечивают защиту от таких атак. Поскольку они обрабатывают большие объемы операций входа в систему, они могут применять более качественное обнаружение аномалий и использовать разнообразные источники данных для упреждающего уведомления компаний, если пароли пользователей были обнаружены в других атаках, а также проверить, что та или иная операция входа является законной и не поступает от неожиданного или известного вредоносного узла.

Кроме того, синхронизация паролей в облаке для поддержки этих проверок также добавляет устойчивости во время некоторых атак. Клиенты, которые подверглись атакам (Not)Petya, могли продолжать бизнес-операции, когда хэши паролей были синхронизированы с Azure AD (по сравнению с практически отсутствующей коммуникацией, когда ИТ-отделы организаций затронутых клиентов не синхронизировали пароли).

Для Azure включите современные средства защиты в Azure AD, выполнив следующие действия:

  1. Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD Connect

  2. Выберите, следует ли исправлять эти проблемы автоматически или вручную на основе отчетов:

    а. Автоматическое устранение — автоматическое исправление паролей с высоким риском с помощью условного доступа, используя оценки рисков Защиты идентификации Azure AD

    b. Сообщать & Исправление вручную— просмотр отчетов и исправление учетных записей вручную

Используйте API событий риска защиты идентификации, чтобы получить программный доступ к сведениям об обнаруженных системой безопасности объектах с помощью Microsoft Graph.

Кроссплатформенное управление учетными данными

Рекомендация. Используйте единый поставщик удостоверений для проверки подлинности на всех платформах (Windows, Linux и других) и в облачных службах.

Единый поставщик удостоверений для всех корпоративных ресурсов упростит управление и обеспечение безопасности, уменьшая риск ошибок из-за недосмотра или ошибок, вызванных человеческим фактором. Развертывание нескольких решений для идентификации (или неполного решения) может привести к невозможности применения политик паролей, невозможности сброса паролей после нарушения, быстрому увеличению количества паролей (часто они хранятся небезопасно), а также использованию сохраненных паролей сотрудников, которые покинули компанию.

Например, Azure AD можно использовать для проверки подлинности в приведенных ниже средах и сценариях.

Условный доступ для пользователей по модели "Никому не доверяй"

Рекомендация. Проверка подлинности для всех пользователей должна включать в себя определение и применение ключевых атрибутов безопасности для поддержки стратегии "Никому не доверяй".

Сведения об этой рекомендации приведены в политиках доступа к удостоверению общего доверия и устройству. Эта же рекомендация применима ко всем пользователям, но в первую очередь она должна применяться к учетным записям с правами администратора.

Вы также можете сократить использование паролей приложениями с помощью управляемых удостоверений, чтобы предоставить доступ к ресурсам в Azure.

Имитация атак

Рекомендация. Периодически моделируйте атаки на пользователей для их обучения и улучшения их навыков противодействия атакам.

Люди являются важной частью вашей защиты, поэтому убедитесь, что они имеют знания и навыки, позволяющие им противостоять атакам снизить общий риск организации.

Вы можете использовать эмулятор атак в Microsoft Defender для Office 365 или любые другие сторонние предложения.

Следующий шаг

Узнайте о возможностях управления удостоверениями и доступом к устройствам.

См. также раздел

Платформа и модель безопасности "Никому не доверяй"

Документация по системе безопасности Майкрософт