Привилегированный доступ: посредникиPrivileged access: Intermediaries

Безопасность промежуточных устройств является важнейшим компонентом защиты привилегированного доступа.Security of intermediary devices is a critical component of securing privileged access.

Посредники добавляют ссылку на цепочку нулевой надежности для сеанса пользователя или администратора, поэтому они должны поддерживать (или улучшать) защиту от нулевого доверия в сеансе.Intermediaries add link to the chain of Zero Trust assurance for the user or administrator's end to end session, so they must sustain (or improve) the Zero Trust security assurances in the session. К примерам посредников относятся виртуальные частные сети, серверы переходов, инфраструктура виртуальных рабочих столов (VDI), а также публикация приложений с помощью прокси-серверов доступа.Examples of intermediaries include virtual private networks (VPNs), jump servers, virtual desktop infrastructure (VDI), as well as application publishing through access proxies.

Что такое посредник?

Злоумышленник может атаковать посредника, чтобы попытаться расширить привилегии, используя хранимые на них учетные данные, получить удаленный доступ к корпоративной сети или воспользоваться доверием на этом устройстве, если они используются для принятия решений о доступе без доверия.An attacker can attack an intermediary to attempt to escalating privileges using credentials stored on them, get network remote access to corporate networks, or exploit trust in that device if being used for Zero Trust access decisions. Нацеливание на посредники стало слишком распространенным, особенно для организаций, которые не тщательно поддерживают уровень безопасности этих устройств.Targeting intermediaries has become an all too common, especially for organizations that don't rigorously maintain the security posture of these devices. Например, учетные данные, полученные с VPN-устройств.For example, credentials collected from VPN devices.

Промежуточные типы и риски

Промежуточные службы зависят от целей и технологий, но обычно обеспечивают удаленный доступ, безопасность сеансов или и то, и другое:Intermediaries vary in purpose and technology, but typically provide remote access, session security, or both:

  • Удаленный доступ — включение доступа к системам в корпоративных сетях из ИнтернетаRemote access - Enable access to systems on enterprise networks from the internet
  • Безопасность сеанса — повышение уровня защиты и видимости для сеансаSession security - Increase security protections and visibility for a session
    • Сценарий неуправляемого устройства : предоставление доступа к управляемому виртуальному рабочему столу неуправляемыми устройствами (например, личным сотрудникам) и (или) устройствам, управляемым партнером или поставщиком.Unmanaged device scenario - Providing a managed virtual desktop to be accessed by unmanaged devices (for example, personal employee devices) and/or devices managed by a partner/vendor.
    • Сценарий безопасности администратора . Объедините административные пути и (или) повышение безопасности с помощью JIT-доступа, мониторинга и записи сеансов, а также аналогичных возможностей.Administrator security scenario - Consolidate administrative pathways and/or increase security with just in time access, session monitoring and recording, and similar capabilities.

Обеспечение гарантии безопасности на исходном устройстве и учетной записи с помощью интерфейса ресурсов требует понимания профиля риска для параметров посредника и их устранения.Ensuring security assurances are sustained from the originating device and account through to the resource interface requires understanding the risk profile of the intermediary and mitigation options.

Возможность и ценность злоумышленникаAttacker opportunity and value

Различные промежуточные типы выполняют уникальные функции, поэтому каждая из них требует другого подхода к безопасности, хотя существует ряд важных общие черты, таких как быстрое применение исправлений системы безопасности к устройствам, встроенному по, операционным системам и приложениям.Different intermediary types perform unique functions so they each require a different security approach, though there are some critical commonalities like rapidly applying security patches to appliances, firmware, operating systems, and applications.

Сравнение возможностей и значений злоумышленников для заданных посредников

Возможно, Злоумышленник представляется доступной уязвимой зоной, которой может быть направлен оператор атаки.The attacker opportunity is represented by the available attack surface an attack operator can target:

  • Собственные облачные службы , такие как Azure AD PIM, Azure бастиона и Azure AD App proxy, обеспечивают ограниченную атаку для злоумышленников.Native cloud services like Azure AD PIM, Azure Bastion, and Azure AD App Proxy offer a limited attack surface to attackers. Хотя они предоставляются общедоступному Интернету, клиенты (и злоумышленники) не имеют доступа к базовым операционным системам, которые предоставляют службы и обычно поддерживаются и отслеживаются с помощью автоматизированных механизмов поставщика облачных служб.While they are exposed to the public internet, customers (and attackers) have no access to underlying operating systems providing the services and they are typically maintained and monitored consistently via automated mechanisms at the cloud provider. Эта уменьшенная поверхность уязвимости ограничивает доступные варианты для злоумышленников и классических локальных приложений и устройств, которые должны быть настроены, исправлены и отслеживаться ИТ-специалистами, которые часто загружаются с конфликтующими приоритетами и другими задачами безопасности, чем время их выполнения.This smaller attack surface limits the available options to attackers vs. classic on-premises applications and appliances that must be configured, patched, and monitored by IT personnel who are often overwhelmed by conflicting priorities and more security tasks than they have time to complete.
  • Виртуальные частные сети (VPN) и / серверы переходов удаленные рабочие столы часто имеют существенную возможность атаки, так как они доступны в Интернете для обеспечения удаленного доступа, и обслуживание этих систем часто не выполняется.Virtual Private Networks (VPNs) and Remote Desktops / Jump servers frequently have a significant attacker opportunity as they are exposed to the internet to provide remote access and the maintenance of these systems is frequently neglected. Хотя у них есть только несколько сетевых портов, злоумышленникам требуется только доступ к одной неисправленной службе для атаки.While they only have a few network ports exposed, attackers only need access to one unpatched service for an attack.
  • Сторонние службы pim и PAM часто размещаются локально или как виртуальная машина в инфраструктуре как услуга (IaaS) и обычно доступны только для узлов интрасети.Third-party PIM/PAM services are frequently hosted on-premises or as a VM on Infrastructure as a Service (IaaS) and are typically only available to intranet hosts. Хотя непосредственный доступ к Интернету не предоставляется, одна скомпрометированная учетная запись может позволить злоумышленникам получить доступ к службе через VPN или другой носитель удаленного доступа.While not directly internet exposed, a single compromised credential may allow attackers to access the service over VPN or another remote access medium.

Значение злоумышленника — это то, что может получить злоумышленник за счет компрометации посредника.Attacker value represents what an attacker can gain by compromising an intermediary. Компрометация определяется как злоумышленник, который получает полный контроль над приложением или виртуальной машиной и (или) администратором клиентского экземпляра облачной службы.A compromise is defined as an attacker gaining full control over the application/VM and/or an administrator of the customer instance of the cloud service.

Компоненты, которые злоумышленники могут получать из посредника на следующий этап их атаки, включают:The ingredients that attackers can collect from an intermediary for the next stage of their attack include:

  • Получите сетевое подключение для взаимодействия с большинством или всеми ресурсами в корпоративных сетях.Get network connectivity to communicate with most or all resource on enterprise networks. Этот доступ обычно предоставляется VPN, а удаленный рабочий стол и переход к серверным решениям.This access is typically provided by VPNs and Remote Desktop / Jump server solutions. Хотя решения Azure бастиона и Azure AD App Proxy (или аналогичные решения сторонних производителей) также предоставляют удаленный доступ, эти решения обычно представляют собой приложения или серверные соединения и не предоставляют общий доступ к сети.While Azure Bastion and Azure AD App Proxy (or similar third-party solutions) solutions also provide remote access, these solutions are typically application or server-specific connections and don’t provide general network access
  • Олицетворение удостоверения устройства — может отвергнуться отключению механизмов доверия, если устройство требуется для проверки подлинности и/или используется злоумышленником для сбора данных об аналитиках в целевых сетях.Impersonate device identity - can defeat Zero Trust mechanisms if a device is required for authentication and/or be used by an attacker to gather intelligence on the targets networks. Группы операций безопасности часто не отслеживают действия с учетными записями устройств и сосредоточены только на учетных записях пользователей.Security Operations teams often don't closely monitor device account activity and focus only on user accounts.
  • Украсть учетные данные учетной записи для проверки подлинности в ресурсах, которые являются наиболее ценными активами для злоумышленников, так как он обеспечивает возможность повышения привилегий для доступа к конечной цели или следующему этапу атаки.Steal account credentials to authenticate to resources, which are the most valuable asset to attackers as it offers the ability to elevate privileges to access their ultimate goal or the next stage in the attack. Серверы удаленный рабочий стол и переходов, а также средства PIM и PAM сторонних производителей являются наиболее привлекательными целями, а "все яйца в одной корзине" динамически с повышенным значением взломщика и снижением безопасности.Remote Desktop / Jump servers and third-party PIM/PAM are the most attractive targets and have the “All your eggs in one basket” dynamic with increased attacker value and security mitigations:
    • Решения PIM и PAM обычно хранят учетные данные для большинства или всех привилегированных ролей в Организации, делая их очень Лукративе мишенью для компрометации или веапонизе.PIM/PAM solutions typically store the credentials for most or all privileged roles in the organization, making them a highly lucrative target to compromise or to weaponize.
    • Служба PIM Azure AD не дает злоумышленникам возможность украсть учетные данные, поскольку она разблокирует привилегии, уже назначенные учетной записи с помощью MFA или других рабочих процессов, но плохо спроектированный рабочий процесс может позволить злоумышленнику расширить привилегии.Azure AD PIM doesn't offer attackers the ability to steal credentials because it unlocks privileges already assigned to an account using MFA or other workflows, but a poorly designed workflow could allow an adversary to escalate privileges.
    • Серверы удаленный рабочий стол и переходов , используемые администраторами, предоставляют узел, на котором проходят много или все конфиденциальные сеансы, позволяя злоумышленникам использовать стандартные средства взлома учетных данных для кражи и повторного использования этих учетных данных.Remote Desktop / Jump servers used by administrators provide a host where many or all sensitive sessions pass through, enabling attackers to use standard credential theft attack tools to steal and reuse these credentials.
    • VPN может хранить учетные данные в решении, предоставляя злоумышленникам потенциальную кладовуюу повышения привилегий, что приводит к строгим рекомендациям по использованию Azure AD для проверки подлинности для устранения этого риска.VPNs can store credentials in the solution, providing attackers with a potential treasure trove of privilege escalation, leading to the strong recommendation to use Azure AD for authentication to mitigate this risk.

Промежуточные профили безопасностиIntermediary security profiles

Чтобы установить эти гарантии, требуется сочетание средств управления безопасностью, некоторые из которых являются общими для многих посредников, и некоторые из них относятся к типу промежуточных.Establishing these assurances requires a combination of security controls, some of which are common to many intermediaries, and some of which specific to the type of intermediary.

Промежуточные посредники в качестве ссылки в цепочке нулевых доверий

Посредник — это ссылка в цепочке нулевых доверий, которая представляет интерфейс для пользователей и устройств, а затем предоставляет доступ к следующему интерфейсу.An intermediary is a link in the Zero Trust chain that presents an interface to users/devices and then enables access to the next interface. Элементы управления безопасностью должны обращаться к входящим подключениям, безопасности промежуточного устройства, приложения или службы и (если применимо) предоставлять нулевые сигналы безопасности для следующего интерфейса.The security controls must address inbound connections, security of the intermediary device/application/service itself, and (if applicable) provide Zero Trust security signals for the next interface.

Общие средства управления безопасностьюCommon security controls

Общие элементы безопасности для посредников сосредоточены на обеспечении хорошей безопасности санации для корпоративных и специализированных уровней с дополнительными ограничениями на безопасность прав.The common security elements for intermediaries are focused on maintaining good security hygiene for enterprise and specialized levels, with additional restrictions for privilege security.

Общие средства управления безопасностью для посредников

Эти элементы управления безопасностью должны применяться ко всем типам посредников:These security controls should be applied to all types of intermediaries:

  • Обеспечение безопасности входящего подключения . Используйте Azure AD и условный доступ, чтобы убедиться, что все входящие подключения от устройств и учетных записей известны, являются доверенными и разрешены.Enforce inbound connection security - Use Azure AD and Conditional Access to ensure all inbound connections from devices and accounts are known, trusted, and allowed. Дополнительные сведения см. в статье секуитинг privileged interfaces для получения подробных сведений о требованиях к устройствам и учетным записям для корпоративного и специализированного уровня.For more information, see the article Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and specialized.
  • Надлежащее обслуживание системы . все промежуточные посредники должны соблюдать хорошие санации рекомендации по обеспечению безопасности, включая:Proper system maintenance - All intermediaries must follow good security hygiene practices including:
    • Безопасная настройка . Следуйте базовым показателям конфигурации производителя или отраслевым стандартам безопасности и рекомендациям как для приложения, так и для всех базовых операционных систем, облачных служб или других зависимостей.Secure configuration - Follow manufacturer or industry security configuration baselines and best practices for both the application and any underlying operating systems, cloud services, or other dependencies. Применимые руководства корпорации Майкрософт включают базовые показатели безопасности Azure и базовые планы Windows.Applicable guidance from Microsoft includes the Azure Security Baseline and Windows Baselines.
    • Быстрое исправление — обновления безопасности и исправления от поставщиков должны быть применены быстро после выпуска.Rapid patching - Security updates and patches from the vendors must be applied rapidly after release.
  • Модели управления доступом на основе ролей (RBAC) могут быть нарушены злоумышленниками для повышения привилегий.Role-Based Access Control (RBAC) models can be abused by attackers to escalate privileges. Модель RBAC посредника должна быть тщательно проверена, чтобы гарантировать, что только авторизованные сотрудники, защищенные на специализированном или привилегированном уровне, получают права администратора.The RBAC model of the intermediary must be carefully review to ensure that only authorized personnel that are protected at a specialized or privileged level are granted administrative privileges. Эта модель должна включать в себя любые базовые операционные системы или облачные службы (пароль учетной записи root, пользователи или группы локального администратора, администраторы клиента и т. д.).This model must include any underlying operating systems or cloud services (root account password, local administrator users/groups, tenant administrators, etc.).
  • Обнаружение конечных точек и реагирование (ЕДР) и исходящие доверительные отношения — устройства, которые включают в себя полную операционную систему, должны отслеживаться и защищаться с помощью ЕДР, например защитника Майкрософт для конечных точек.Endpoint detection and response (EDR) and outbound trust signal - Devices that include a full operating system should be monitored and protected with an EDR like Microsoft Defender for Endpoints. Этот элемент управления должен быть настроен для обеспечения соответствия устройства условному доступу, чтобы политика могла принудительно применять это требование к интерфейсам.This control should be configured to provides device compliance signals to Conditional Access so that policy can enforce this requirement for interfaces.

Привилегированным посредникам требуются дополнительные средства управления безопасностью:Privileged Intermediaries require additional security controls:

  • Управление доступом на основе ролей (RBAC) . права администратора должны быть ограничены только привилегированными ролями, которые соответствуют этому стандарту для рабочих станций и учетных записей.Role-Based Access Control (RBAC) - Administrative rights must be restricted to only privileged roles meeting that standard for workstations and accounts.
  • Выделенные устройства (необязательно) — из-за крайней чувствительности привилегированных сеансов организации могут выбрать реализацию выделенных экземпляров промежуточных функций для привилегированных ролей.Dedicated devices (optional) - because of the extreme sensitivity of privileged sessions, organizations may choose to implement dedicated instances of intermediary functions for privileged roles. Этот элемент управления обеспечивает дополнительные ограничения безопасности для этих привилегированных посредников и более детальный мониторинг активности привилегированных ролей.This control enables additional security restrictions for these privileged intermediaries and closer monitoring of privileged role activity.

Руководство по безопасности для каждого промежуточного типаSecurity guidance for each intermediary type

Этот раздел содержит конкретные рекомендации по обеспечению безопасности, уникальные для каждого типа посредника.This section contains specific security guidance unique to each type of intermediary.

Управление Privileged Access Managementми и привилегированными пользователямиPrivileged Access Management / Privileged Identity management

Одним из типов посредников, предназначенных специально для случаев использования безопасности, являются решения для управления привилегированными пользователями и привилегированным доступом (PIM/PAM).One type of intermediary designed explicitly for security use cases is privileged identity management / privileged access management (PIM/PAM) solutions.

Варианты использования и сценарии для PIM и PAMUse cases and scenarios for PIM/PAM

Решения PIM/PAM предназначены для повышения безопасности конфиденциальных учетных записей, которые будут охвачены специализированными или привилегированными профилями, и, как правило, сосредоточены на ИТ-администраторах первыми.PIM/PAM solutions are designed to increase security assurances for sensitive accounts that would be covered by specialized or privileged profiles, and typically focus first on IT administrators.

Несмотря на то что компоненты отличаются от поставщиков PIM и PAM, многие решения предоставляют следующие возможности обеспечения безопасности:While features vary between PIM/PAM vendors, many solutions provide security capabilities to:

  • Упрощение управления учетными записями служб и смены пароля (критическая важная возможность)Simplify service account management and password rotation (a critically important capability)

  • Предоставление расширенных рабочих процессов для JIT-доступаProvide advanced workflows for just in time (JIT) access

  • Запись и мониторинг сеансов администрированияRecord and monitor administrative sessions

    Важно!

    Возможности PIM и PAM обеспечивают отличные меры по устранению некоторых атак, но не устраняют многие риски привиелжедного доступа, что особенно снижает риск компрометации устройства.PIM/PAM capabilities provide excellent mitigations for some attacks, but do not address many privielged access risks, notably risk of device compromise. Хотя некоторые поставщики представляют, что их решение PIM/PAM является «серебристым» решением, которое может снизить риск для устройств, наш опыт, изучающий инциденты клиентов, постоянно показал, что это не работает на практике.While some vendors advocate that their PIM/PAM solution is a 'silver bullet' solution that can mitigate device risk, our experience investigating customer incidents has consistently proven that this does not work in practice.

    Злоумышленник с контролем рабочей станции или устройства может использовать эти учетные данные (и привилегии, назначенные им), пока пользователь вошел в систему (и часто может украсть учетные данные для последующего использования).An attacker with control of a workstation or device can use those credentials (and privileges assigned to them) while the user is logged on (and can often steal credentials for later use as well). Отдельное решение PIM и PAM не может постоянно и надежно просматривать и устранять эти риски, поэтому необходимо иметь дискретные средства защиты устройств и учетных записей, дополняющие друг друга.A PIM/PAM solution alone cannot consistently and reliably see and mitigate these device risks, so you must have discrete device and account protections that complement each other.

Риски и рекомендации по безопасности для PIM и PAMSecurity risks and recommendations for PIM/PAM

Возможности каждого поставщика PIM и PAM зависят от того, как их защищать, поэтому ознакомьтесь с рекомендациями по настройке безопасности и рекомендациями для конкретного поставщика.The capabilities from each PIM/PAM vendor vary on how to secure them, so review and follow your vendor's specific security configuration recommendations and best practices.

Примечание

Убедитесь, что вы настроили второго пользователя в рабочих процессах, критических для бизнеса, чтобы снизить риск для предварительной оценки (это увеличивает затраты и трения для потенциальных коллусион по угрозам предварительной оценки).Ensure you set up a second person in business critical workflows to help mitigate insider risk (increases the cost/friction for potential collusion by insider threats).

Виртуальные частные сети конечных пользователейEnd-user Virtual Private Networks

Виртуальные частные сети (VPN) — это посредники, обеспечивающие полный сетевой доступ к удаленным конечным точкам, обычно требуется проверка подлинности конечного пользователя и возможность локального хранения учетных данных для проверки подлинности входящих сеансов пользователей.Virtual Private Networks (VPNs) are intermediaries that provide full network access for remote endpoints, typically require the end user to authenticate, and can store credentials locally to authenticate inbound user sessions.

Примечание

Это руководство относится только к виртуальным сетям VPN типа "точка — сеть", используемым пользователями, а не VPN "сайт-сайт", которые обычно используются для подключения центра обработки данных и приложений.This guidance refers only to "point to site" VPNs used by users, not "site to site" VPNs that are typically used for datacenter/application connectivity.

Варианты использования и сценарии для VPNUse cases and scenarios for VPNs

VPN устанавливает удаленное подключение к корпоративной сети, чтобы обеспечить доступ к ресурсам для пользователей и администраторов.VPNs establish remote connectivity to enterprise network to enable resource access for users and administrators.

Риски и рекомендации по безопасности для VPNSecurity risks and recommendations for VPNs

Наиболее важными рисками для посредников VPN являются ошибки обслуживания, проблемы конфигурации и локальное хранение учетных данных.The most critical risks to VPN intermediaries are from maintenance neglect, configuration issues, and local storage of credentials.

Корпорация Майкрософт рекомендует использовать для посредников VPN сочетание элементов управления:Microsoft recommends a combination of controls for VPN intermediaries:

  • Интегрируйте проверку подлинности Azure AD , чтобы уменьшить или исключить риск использования локально сохраненных учетных данных (и любых дополнительных затрат на их обслуживание) и применить политики нулевого доверия на входящих учетных записях или устройствах с условным доступом.Integrate Azure AD authentication - to reduce or eliminate risk of locally stored credentials (and any overhead burden to maintain them) and enforce Zero Trust policies on inbound accounts/devices with conditional access. Рекомендации по интеграции см. в разделеFor guidance on integrating, see
  • Быстрая установка исправлений . Убедитесь, что все элементы Организации поддерживают быстрое исправление, в том числе:Rapid patching - Ensure that all organizational elements support rapid patching including:
    • Спонсорская организация и поддержка лидерства для требованияOrganizational sponsorship and leadership support for requirement
    • Стандартные технические процессы для обновления VPN с минимальным или нулевым временем простоя.Standard technical processes for updating VPNs with minimal or zero downtime. Этот процесс должен включать программное обеспечение VPN, устройства и все базовые операционные системы или встроенное по.This process should include VPN software, appliances, and any underlying operating systems or firmware
    • Аварийные процессы для быстрого развертывания критически важных обновлений безопасностиEmergency processes to rapidly deploy critical security updates
    • Управление для постоянного обнаружения и исправления любых пропущенных элементовGovernance to continually discover and remediate any missed items
  • Безопасная конфигурация . возможности каждого поставщика VPN зависят от того, как они защищаются, поэтому проверьте и следуйте рекомендациям по настройке безопасности и рекомендациям для конкретного поставщика.Secure configuration - The capabilities from each VPN vendor vary on how to secure them, so review and follow your vendor's specific security configuration recommendations and best practices
  • Выйдите за пределы VPN . Используйте более безопасные параметры, такие как Azure AD App proxy или Azure бастиона, так как они обеспечивают только прямой доступ к приложениям/серверу, а не полный доступ к сети.Go beyond VPN - Replace VPNs over time with more secure options like Azure AD App Proxy or Azure Bastion as these provide only direct application/server access rather than full network access. Кроме того, Azure AD App прокси-сервер позволяет отслеживать сеансы для дополнительной защиты с помощью Microsoft Cloud App Security.Additionally Azure AD App Proxy allows session monitoring for additional security with Microsoft Cloud App Security.

Модернизировать проверку подлинности VPN и перенос приложений на современный доступ

Прокси-сервер Azure AD AppAzure AD App Proxy

Azure AD App прокси-сервер и аналогичные сторонние возможности обеспечивают удаленный доступ к устаревшим и другим приложениям, размещенным локально или на виртуальных машинах IaaS в облаке.Azure AD App Proxy and similar third-party capabilities provide remote access to legacy and other applications hosted on-premises or on IaaS VMs in the cloud.

Варианты использования и сценарии для Azure AD App прокси-сервераUse cases and scenarios for Azure AD App Proxy

Это решение подходит для публикации устаревших приложений для работы с конечными пользователями в Интернете.This solution is suitable for publishing legacy end-user productivity applications to authorized users over the internet. Его также можно использовать для публикации некоторых административных приложений.It can also be used for publishing some administrative applications.

Риски безопасности и рекомендации для Azure AD App проксиSecurity risks and recommendations for Azure AD App Proxy

Azure AD App прокси эффективно применяет современные политики нулевого доверия к существующим приложениям.Azure AD App proxy effectively retrofits modern Zero Trust policy enforcement to existing applications. Дополнительные сведения см. в статье вопросы безопасности для Azure AD Application ProxyFor more information, see Security considerations for Azure AD Application Proxy

AD Application Proxy Azure также можно интегрировать с Microsoft Cloud App Security, чтобы добавить Управление условным доступом к приложениям сеансовую безопасность в:Azure AD Application Proxy can also integrate with Microsoft Cloud App Security to add Conditional Access App Control session security to:

  • Предотвращение утечка данныхPrevent data exfiltration
  • Защита при скачиванииProtect on download
  • Запретить отправку файлов без меткиPrevent upload of unlabeled files
  • Мониторинг пользовательских сеансов на соответствиеMonitor user sessions for compliance
  • Заблокировать доступBlock access
  • Блокировать пользовательские действияBlock custom activities

Дополнительные сведения см. в статье развертывание Cloud App Security управление условным доступом к приложениям для приложений Azure AD .For more information, see Deploy Cloud App Security Conditional Access App Control for Azure AD apps

При публикации приложений с помощью AD Application Proxy Azure Корпорация Майкрософт рекомендует, чтобы владельцы приложений работали с группами безопасности и предоставили доступ к каждому приложению только тем пользователям, которым он необходим.As you publish applications via the Azure AD Application Proxy, Microsoft recommends having application owners work with security teams to follow least privilege and ensure access to each application is made available to only the users that require it. Когда вы развертываете другие приложения таким образом, вы можете относиться к использованию VPN-подключений конечных пользователей.As you deploy more apps this way, you may be able to offset some end-user point to site VPN usage.

Сервер удаленный рабочий стол и переходаRemote Desktop / jump server

Этот сценарий предоставляет полноценную настольную среду, на которой работает одно или несколько приложений.This scenario provides a full desktop environment running one or more applications. Это решение имеет ряд различных вариантов, в том числе:This solution has a number of different variations including:

  • Опыт — полный рабочий стол в окне или в одном приложении.Experiences - Full desktop in a window or a single application projected experience
  • Удаленный узел — это может быть общая виртуальная машина или ВЫДЕЛЕНная виртуальная машина для настольных компьютеров с помощью виртуальных рабочих столов Windows (ВВД) или другого решения инфраструктуры виртуальных рабочих столов (VDI).Remote host - may be a shared VM or a dedicated desktop VM using Windows Virtual Desktop (WVD) or another Virtual Desktop Infrastructure (VDI) solution.
  • Локальное устройство — может быть мобильным устройством, управляемой рабочей станцией или рабочей станцией, управляемой персональными или партнерамиLocal device - may be a mobile device, a managed workstation, or a personal/partner managed workstation
  • Сценарии , ориентированные на приложения производительности пользователя или сценарии администрирования, часто называются «сервером переходов».Scenario - focused on user productivity applications or on administrative scenarios, often called a 'jump server'

Варианты использования и рекомендации по безопасности для сервера удаленный рабочий стол и переходаUse cases and security recommendations for Remote Desktop / Jump server

Ниже приведены наиболее распространенные конфигурации.The most common configurations are:

  • Direct протокол удаленного рабочего стола (RDP). Такая конфигурация не рекомендуется для Интернет-подключений, так как протокол RDP имеет ограниченную защиту от современных атак, таких как распыление паролей.Direct Remote Desktop Protocol (RDP) - This configuration is not recommended for internet connections because RDP is a protocol that has limited protections against modern attacks like password spray. Прямой RDP следует преобразовать в один из следующих способов:Direct RDP should be converted to either:
    • Протокол удаленного рабочего стола через шлюз, опубликованный Azure AD App прокси-серверомRDP through a gateway published by Azure AD App Proxy
    • Бастион AzureAzure Bastion
  • Протокол удаленного рабочего стола через шлюз с помощьюRDP through a gateway using
    • Службы удаленных рабочих столов (RDS), входящий в Windows Server.Remote Desktop Services (RDS) included in Windows Server. Публикация с помощью AD Application Proxy Azure.Publish with Azure AD Application Proxy.
    • Виртуальный рабочий стол Windows (ВВД). Следуйте рекомендациям по обеспечению безопасности виртуальных рабочих столов Windows.Windows Virtual Desktop (WVD) - Follow Windows Virtual Desktop security best practices.
    • Сторонние решения VDI. Следуйте рекомендациям производителя или отрасли или адаптируйте руководство ВВД к своему решению.Third-party VDI - Follow manufacturer or industry best practices, or adapt WVD guidance to your solution
  • Сервер Secure Shell (SSH) — предоставление удаленной оболочки и сценариев для отделов технологий и владельцев рабочих нагрузок.Secure Shell (SSH) server - providing remote shell and scripting for technology departments and workload owners. Защита этой конфигурации должна включать:Securing this configuration should include:
    • Следующие рекомендации для отрасли и производителя для безопасной настройки, изменения любых паролей по умолчанию (если применимо) и использования ключей SSH вместо паролей и безопасного хранения ключей SSH и управления ими.Following industry/manufacturer best practices to securely configure it, change any default passwords (if applicable), and using SSH keys instead of passwords, and securely storing and managing SSH keys.
    • Использование Azure бастиона для удаленного взаимодействия SSH с ресурсами, размещенными в Azure — подключение к виртуальной машине Linux с помощью Azure бастионаUse Azure Bastion for SSH remoting to resources hosted in Azure - Connect to a Linux VM using Azure Bastion

Бастион AzureAzure Bastion

Azure бастиона — это посредник, который обеспечивает безопасный доступ к ресурсам Azure с помощью браузера и портал Azure.Azure Bastion is an intermediary that is designed to provide secure access to Azure resources using a browser and the Azure portal. Azure бастиона предоставляет доступ к ресурсам в Azure, поддерживающим протоколы протокол удаленного рабочего стола (RDP) и Secure Shell (SSH).Azure Bastion provides access resources in Azure that support Remote Desktop Protocol (RDP) and Secure Shell (SSH) protocols.

Варианты использования и сценарии для Azure бастионаUse cases and scenarios for Azure Bastion

Azure бастиона эффективно предоставляет гибкое решение, которое может использоваться АДМИНИСТРАТОРАми ИТ-операций и рабочих нагрузок за пределами ИТ для управления ресурсами, размещенными в Azure, без полного VPN-подключения к среде.Azure Bastion effectively provides a flexible solution that can be used by IT Operations personnel and workload administrators outside of IT to manage resources hosted in Azure without requiring a full VPN connection to the environment.

Риски и рекомендации по безопасности для Azure бастионаSecurity risks and recommendations for Azure Bastion

Доступ к Azure бастиона осуществляется с помощью портал Azure, поэтому необходимо убедиться, что интерфейс портал Azure требует соответствующего уровня безопасности для ресурсов в нем и ролей, использующих его, обычно это привилегированный или специализированный уровень.Azure Bastion is accessed through the Azure portal, so ensure that your Azure portal interface requires the appropriate level of security for the resources in it and roles using it, typically privileged or specialized level.

Дополнительные рекомендации доступны в документации по Azure бастиона.Additional guidance is available in the Azure Bastion Documentation

Дальнейшие действияNext steps