Управление удостоверениями и доступомIdentity and access management

В архитектуре, ориентированной на облако, удостоверение предоставляет базу больших процентов гарантий безопасности.In cloud-focused architecture, identity provides the basis of a large percentage of security assurances. Несмотря на то, что устаревшие ИТ – инфраструктура часто полагается на брандмауэры и сетевые решения по обеспечению безопасности в Интернете для защиты от внешних угроз, эти элементы управления менее эффективны в облачных архитектурах с общими службами, доступ к которым осуществляется через сети поставщика облачных услуг или через Интернет.While legacy IT infrastructure often heavily relied on firewalls and network security solutions at the internet egress points for protection against outside threats, these controls are less effective in cloud architectures with shared services being accessed across cloud provider networks or the internet.

Если вы не контролируете сети, в которых размещаются эти службы, различные облачные ресурсы динамически передаются и переносятся в динамические правила, очень трудно или невозможно написать краткую среду брандмауэра.It is challenging or impossible to write concise firewall rules when you don’t control the networks where these services are hosted, different cloud resources spin up and down dynamically, cloud customers may share common infrastructure, and employees and users expect to be able to access data and services from anywhere. Чтобы включить все эти возможности, необходимо управлять доступом на основе проверки подлинности и авторизации удостоверений в облачных службах для защиты данных и ресурсов и принятия решения о том, какие запросы должны быть разрешены.To enable all these capabilities, you must manage access based on identity authentication and authorization controls in the cloud services to protect data and resources and to decide which requests should be permitted.

Кроме того, использование облачного решения для удостоверений, например Azure AD, предоставляет дополнительные функции безопасности, которые не могут быть реализованы в устаревших службах идентификации, поскольку они могут применять аналитику угроз из их видимости к большому объему запросов доступа и угроз для многих клиентов.Additionally, using a cloud-based identity solution like Azure AD offers additional security features that legacy identity services cannot because they can apply threat intelligence from their visibility into a large volume of access requests and threats across many customers.

Единый корпоративный каталогSingle enterprise directory

Создание единого корпоративного каталога для управления удостоверениями сотрудников и корпоративных ресурсов с полной занятостьюEstablish a single enterprise directory for managing identities of full-time employees and enterprise resources

Единый заслуживающий доверия источник удостоверений повышает ясность и согласованность всех ролей в ИТ и безопасности.A single authoritative source for identities increases clarity and consistency for all roles in IT and Security. Это снижает угрозу безопасности от ошибок человека и сбоев автоматизации, возникших из – за сложности.This reduces security risk from human errors and automation failures resulting from complexity. Имея единый Полномочный источник, группы, которым необходимо внести изменения в каталог, могут сделать это в одном месте и иметь уверенность в том, что их изменение вступит в силу везде.By having a single authoritative source, teams that need to make changes to the directory can do so in one place and have confidence that their change will take effect everywhere.

Для Azure назначьте единый каталог экземпляра Azure Active Directory (Azure AD) в качестве полномочного источника для учетных записей организации или организации.For Azure, designate a single Azure Active Directory (Azure AD) instance directory as the authoritative source for corporate/organizational accounts.

Синхронизация систем удостоверенийSynchronize identity systems

Синхронизация облачных удостоверений с существующими системами удостоверенийSynchronize your cloud identity with your existing identity systems

Согласованность удостоверений в облаке и в локальной среде снизит число ошибок, возникающих при управлении персоналом, и создает угрозу безопасности.Consistency of identities across cloud and on-premises will reduce human errors and resulting security risk. Группам, управляющим ресурсами в обеих средах, требуется согласованный Полномочный источник для достижения гарантий безопасности.Teams managing resources in both environment need a consistent authoritative source to achieve security assurances.

Для Azure синхронизируйте Azure AD с существующим полномочным локальным Active Directory помощью Azure AD Connect.For Azure, synchronize Azure AD with your existing authoritative on premises Active Directory using Azure AD connect. Это также необходимо для миграции Office 365, поэтому оно часто выполняется до начала проектов по миграции и разработке Azure.This is also required for an Office 365 migration, so it is often already done before Azure migration and development projects begin. Обратите внимание, что учетные записи администратора должны быть исключены из синхронизации, как описано в разделе не синхронизировать локальные учетные записи администраторов с поставщиками удостоверений облака и важными зависимостями учетной записи влияния.Note that administrator accounts should be excepted from synchronization as described in Don’t synchronize on-premises admin accounts to cloud identity providers and Critical impact account dependencies.

Использование источника удостоверений поставщика облачных служб для сторонних организацийUse cloud provider identity source for third parties

Используйте облачные службы удостоверений, предназначенные для размещения учетных записей пользователей, не являющихся сотрудниками, а не включая поставщиков, партнеров и клиентов в корпоративном каталоге.Use cloud identity services designed to host non-employee accounts rather than including vendors, partners, and customers in a corporate directory.

Это снижает риск, предоставляя соответствующий уровень доступа к внешним сущностям вместо полных разрешений по умолчанию, предоставленных сотрудникам с полным временем.This reduces risk by granting the appropriate level of access to external entities instead of the full default permissions given to full-time employees. Такой подход с минимальными правами доступа и четкое различие внешних учетных записей от сотрудников Организации упрощает предотвращение и Обнаружение атак, поступающих из этих векторов.This least privilege approach and clear clearly differentiation of external accounts from company staff makes it easier to prevent and detect attacks coming in from these vectors. Кроме того, управление этими удостоверениями осуществляется внешними сотрудниками, уменьшая инжеффорт, необходимые для отдела кадров и ИТ-отделов компании.Additionally, management of these identities is done by the external also increases productivity by parties, reducing ingeffort required by company HR and IT teams.

Например, эти возможности встроены в одну модель удостоверений и разрешений Azure AD, используемую в Azure и Office 365.For example, these capabilities natively integrate into the same Azure AD identity and permission model used by Azure and Office 365

Антипарольная или многофакторная проверка подлинности для администраторовPasswordless Or multi-factor authentication for admins

Все пользователи должны быть преобразованы для использования проверки подлинности с паролем или многофакторной проверки подлинности (MFA) с течением времени.All users should be converted to use passwordless authentication or multi-factor authentication (MFA) over time. Подробные сведения об этой рекомендации находятся в разделе Администрирование парольная или многофакторная проверка подлинности для администраторов .The details of this recommendation are in the administration section Passwordless Or multi-factor authentication for admins FOR ADMINS. Одна и та же рекомендация применима ко всем пользователям, но должна применяться в первую очередь к учетным записям с правами администратора.The same recommendation applies to all users, but should be applied first and strongest to accounts with administrative privileges.

Вы также можете сократить использование паролей приложениями с помощью управляемых удостоверений , чтобы предоставить доступ к ресурсам в Azure.You can also reduce use of passwords by applications using Managed Identities to grant access to resources in Azure

Блокировка устаревших методов проверки подлинностиBlock legacy authentication

Отключите небезопасные устаревшие протоколы для служб с выходом в Интернет.Disable insecure legacy protocols for internet-facing services.

Устаревшие методы проверки подлинности представляют собой основные направления атак для облачных служб.Legacy authentication methods are among the top attack vectors for cloud-hosted services. Устаревшие протоколы, созданные до многофакторной проверки подлинности, не поддерживают дополнительные факторы, кроме паролей, и поэтому являются простыми целевыми объектами для взлома паролей, словарей или атак методом подбора.Created before multifactor-authentication existed, legacy protocols don’t support additional factors beyond passwords and are therefore prime targets for password spraying, dictionary, or brute force attacks. В качестве примера почти 100% всех атак типа «распыление паролей» для клиентов Office 365 используют устаревшие протоколы.As an example nearly 100% of all password spray attacks against Office 365 customers use legacy protocols. Кроме того, эти старые протоколы часто не имеют противодействия атакам, например блокировки учетных записей или таймеры обратной передачи.Additionally, these older protocols frequently lack other attack countermeasures, such as account lockouts or back-off timers. Службы, работающие в облаке корпорации Майкрософт, которые блокируют устаревшие протоколы, наблюдали сокращение 66% успешных атак на учетную запись.Services running on Microsoft’s cloud that block legacy protocols have observed a 66% reduction in successful account compromises.

Для Azure и других учетных записей на основе Azure AD настройте условный доступ для блокировки устаревших протоколов.For Azure and other Azure AD-based accounts, configure Conditional Access to block legacy protocols.

Отключение устаревшей проверки подлинности может быть затруднено, так как некоторые пользователи могут не перейти на новое клиентское программное обеспечение, поддерживающее современные методы проверки подлинности.Disabling legacy authentication can be difficult, as some users may not want to move to new client software that supports modern authentication methods. Однако переход от устаревшей проверки подлинности может выполняться постепенно.However, moving away from legacy authentication can be done gradually. Начните с использования метрик и ведения журнала от поставщика проверки подлинности, чтобы определить количество пользователей, которые по-прежнему проходят проверку подлинности со старыми клиентами.Start by using metrics and logging from your authentication provider to determine the how many users still authenticate with old clients. Затем отключите все неиспользуемые протоколы нижнего уровня и настройте условный доступ для всех пользователей, которые не используют устаревшие протоколы.Next, disable any down-level protocols that aren’t in use, and set up conditional access for all users who aren’t using legacy protocols. Наконец, выдайте много уведомлений и рекомендаций пользователям о том, как выполнить обновление перед блокированием устаревшей проверки подлинности для всех пользователей всех служб на уровне протокола.Finally, give plenty of notice and guidance to users on how to upgrade before blocking legacy authentication for all users on all services at a protocol level.

Не синхронизировать локальные учетные записи администраторов с поставщиками удостоверений в облакеDon’t synchronize on-premises admin accounts to cloud identity providers

Не синхронизируйте учетные записи с самым высоким уровнем прав доступа к локальным ресурсам при синхронизации корпоративных систем идентификации с облачными каталогами.Don’t synchronize accounts with the highest privilege access to on premises resources as you synchronize your enterprise identity systems with cloud directories.

Это снижает риск появления злоумышленником более полного контроля над локальными ресурсами после успешной компрометации облачной учетной записи.This mitigates the risk of an adversary pivoting to full control of on-premises assets following a successful compromise of a cloud account. Это позволяет значительно увеличивать область инцидента.This helps contain the scope of an incident from growing significantly.

Для Azure не синхронизируйте учетные записи в Azure AD, имеющие высокий уровень привилегий в существующей Active Directory.For Azure, don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory. Это по умолчанию заблокировано в конфигурации Azure AD Connect по умолчанию, поэтому вам нужно только подтвердить, что эта конфигурация не была настроена.This is blocked by default in the default Azure AD Connect configuration, so you only need to confirm you haven’t customized this configuration.

Это связано с рекомендациями по зависимостям учетных записей критического влияния в разделе Администрирование, которые снижают риск свертывания данных из локальной среды в облачные ресурсы.This is related to the critical impact account dependencies guidance in the administration section that mitigates the inverse risk of pivoting from on-premises to cloud assets.

Использование современных предложений по защите паролейUse modern password protection offerings

Предоставьте современные и эффективные средства защиты учетных записей, которые не могут работать с паролем (антивирусная или многофакторная проверка подлинности для администраторов).Provide modern and effective protections for accounts that cannot go passwordless (Passwordless Or multi-factor authentication for admins).

Устаревшие поставщики удостоверений, в основном, проверяли, что пароли имеют хорошее сочетание типов символов и минимальную длину, но мы узнали, что эти элементы управления на практике привели к паролям с меньшими энтропиями, которые можно было бы взломать:Legacy identity providers mostly checked to make sure passwords had a good mix of character types and minimum length, but we have learned that these controls in practice led to passwords with less entropy that could be cracked easier:

Сегодня решения для идентификации должны иметь возможность реагировать на типы атак, которые еще не существовали на один или два десятилетия назад, например на заполнение пароля, воспроизведение нарушений (также называемое "учетными данными"), которые проверяют пары "имя пользователя-пароль" и "злоумышленник в середине".Identity solutions today need to be able to respond to types of attacks that didn't even exist one or two decades ago such as password sprays, breach replays (also called “credential stuffing”) that test username/password pairs from other sites’ breaches, and phishing man-in-the-middle attacks. Поставщики облачных удостоверений уникально размещаются, чтобы обеспечить защиту от таких атак.Cloud identity providers are uniquely positioned to offer protection against these attacks. Так как они обрабатывали такие большие объемы сигнонс, они могут применять более качественное обнаружение аномалий и использовать разнообразные источники данных для упреждающего уведомления компаний, если пароли пользователей были обнаружены в других нарушениях, а также проверить, что любой заданный вход является законным и не поступает от неожиданного или известного вредоносного узла.Since they handle such large volumes of signons, they can apply better anomaly detection and use a variety of data sources to both proactively notify companies if their users’ passwords have been found in other breaches, as well as validate that any given sign in appears legitimate and is not coming from an unexpected or known-malicious host.

Кроме того, синхронизация паролей в облаке для поддержки этих проверок также добавляет устойчивость во время некоторых атак.Additionally, synchronizing passwords to the cloud to support these checks also add resiliency during some attacks. Клиенты, которые затронули (но не) Петя атаки, могли продолжать бизнес-операции, когда хэши паролей были синхронизированы с Azure AD (VS. почти ноль связи и ИТ-службы для клиентов, затронутых организациями, которые не синхронизировались пароли).Customers affected by (Not)Petya attacks were able to continue business operations when password hashes were synced to Azure AD (vs. near zero communications and IT services for customers affected organizations that had not synchronized passwords).

Для Azure включите современные средства защиты в Azure AD с помощьюFor Azure, enable modern protections in Azure AD by

  1. Настройка Azure AD Connect для синхронизации хэшей паролейConfigure Azure AD Connect to synchronize password hashes

  2. Выберите, следует ли автоматически исправлять эти проблемы или вручную исправлять их на основе отчета:Choose whether to automatically remediate these issues or manually remediate them based on a report:

    1. Автоматическое принудительное применение — Автоматически исправлять пароли с высоким риском с помощью условного доступа, используя Защита идентификации Azure AD оценки рисковAutomatic Enforcement - Automatically remediate high risk passwords with Conditional Access leveraging Azure AD Identity Protection risk assessments

    2. Ручное исправление & отчетов — Просмотр отчетов и ручное исправление учетных записейReport & Manually Remediate - View reports and manually remediate accounts

Используйте API событий защиты идентификации для получения программного доступа к средствам обнаружения безопасности с помощью Microsoft Graph.Use the Identity Protection risk events API to gain programmatic access to security detections using Microsoft Graph.

Использование кросс-платформенного управления учетными даннымиUse cross-platform credential management

Используйте один поставщик удостоверений для проверки подлинности всех платформ (Windows, Linux и других) и облачных служб.Use a single identity provider for authenticating all platforms (Windows, Linux, and others) and cloud services.

Единый поставщик удостоверений для всех корпоративных ресурсов упростит управление и безопасность, уменьшая риск переоценки или ошибок человека.A single identity provider for all enterprise assets will simplify management and security, minimizing the risk of oversights or human mistakes. Развертывание нескольких решений для идентификации (или незавершенного решения) может привести к невозможности применения политик паролей, не сбрасывать пароли после нарушения, распространения паролей (часто они хранятся небезопасно), а бывшие сотрудники сохранили пароли после завершения.Deploying multiple identity solutions (or an incomplete solution) can result in unenforceable password policies, passwords not reset after a breach, proliferation of passwords (often stored insecurely), and former employees retaining passwords after termination.

Например, Azure Active Directory можно использовать для проверки подлинности Windows, Linux, Azure, Office 365 , Amazon Web Services (AWS), Google Services, (удаленный доступ к) устаревшие локальные приложенияи сторонние программные продукты как поставщики услуг.For example, Azure Active Directory can be used to authenticate Windows, Linux, Azure, Office 365, Amazon Web Services (AWS), Google Services, (remote access to) legacy on-premises applications, and third-party Software as a Service providers.

Применение условного доступа для пользователей — отсутствие отношения доверияEnforce conditional access for users - Zero Trust

Проверка подлинности для всех пользователей должна включать в себя измерение и применение ключевых атрибутов безопасности для поддержки стратегии нулевого доверия.Authentication for all users should include measurement and enforcement of key security attributes to support a Zero Trust strategy. Подробные сведения об этой рекомендации приведены в разделе Администрирование. Применение условного доступа для администраторов (отсутствие доверия).The details of this recommendation are in the administration section Enforce conditional access for ADMINS (Zero Trust). Одна и та же рекомендация применима ко всем пользователям, но должна сначала применяться к учетным записям с правами администратора.The same recommendation applies to all users, but should be applied first to accounts with administrative privileges.

Вы также можете сократить использование паролей приложениями с помощью управляемых удостоверений , чтобы предоставить доступ к ресурсам в Azure.You can also reduce use of passwords by applications using Managed Identities to grant access to resources in Azure.

Имитация атак для пользователейAttack simulation for users

Регулярно имитируйте атаки пользователей для обучения и повышения их производительности.Regularly simulate attacks against users to educate and empower them.

Люди являются важной частью вашей защиты, поэтому убедитесь, что они имеют знания и навыки, чтобы избежать и противозаконных атаках снизить общий риск организации.People are a critical part of your defense, so ensure they have the knowledge and skills to avoid and resist attacks will reduce your overall organizational risk.

Вы можете использовать возможности моделирования атак Office 365 или любое число сторонних предложений.You can use Office 365 Attack Simulation capabilities or any number of third-party offerings.

Реализация рекомендаций по удостоверениям в AzureImplementing Identity best practices in Azure

Каждая из рекомендаций из этого раздела может быть реализована с помощью Azure Active Directory.Each of the recommendations from this section can be implemented using Azure Active Directory. Дополнительные сведения об использовании этих функций см. в следующих статьях.See the below articles for more information about how to use these features.

Единый корпоративный каталогSingle Enterprise Directory

https://docs.microsoft.com/azure/active-directory/hybrid/whatis-hybrid-identity

Синхронизация систем удостоверенийSynchronize Identity Systems

https://docs.microsoft.com/azure/active-directory/connect/active-directory-aadconnect

Использование источника удостоверений поставщика облачных служб для сторонних организацийUse Cloud Provider Identity Source for Third Parties

https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-fed-compatibility

https://docs.microsoft.com/azure/active-directory/b2b/

https://docs.microsoft.com/azure/active-directory-b2c/

Блокировать устаревшую проверку подлинностиBlock Legacy Authentication

Не синхронизировать локальные учетные записи администраторов с поставщиками удостоверений в облакеDon’t Synchronize On-Premises Admin Accounts to Cloud Identity Providers

Использование современных предложений по защите паролейUse Modern Password Protection Offerings

https://docs.microsoft.com/azure/active-directory/identity-protection/overview

https://docs.microsoft.com/azure/active-directory/authentication/concept-password-ban-bad-on-premises

https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-user-at-risk

https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risky-sign-ins

Использование кросс-платформенного управления учетными даннымиUse Cross-Platform Credential Management

https://docs.microsoft.com/azure/virtual-machines/linux/login-using-aad

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.