Защита привилегированного доступа: посредники

Безопасность промежуточных устройств является критически важным компонентом защиты привилегированного доступа.

Посредники добавляют ссылку на цепочку контроля по модели "Никому не доверяй" для сквозного сеанса пользователя или администратора, поэтому они должны поддерживать (или улучшать) контроль безопасности по модели "Никому не доверяй" в сеансе. К примерам посредников относятся виртуальные частные сети, серверы переходов, инфраструктура виртуальных рабочих столов (VDI), а также публикация приложений с помощью прокси-серверов доступа.

What is an intermediary?

Злоумышленник может атаковать посредника, чтобы попытаться расширить привилегии, используя хранимые на них учетные данные, получить удаленный доступ к корпоративным сетям или воспользоваться доверием на устройстве, если оно применяется для принятия решений о доступе по модели "Никому не доверяй". Целенаправленное воздействие на посредников получило слишком широкое распространение, особенно для организаций, которые не занимаются систематичной поддержкой уровня безопасности таких устройств. Например, учетные данные, полученные с VPN-устройств.

Intermediary types and risks

Цели и технологии посредников отличаются, однако они, как правило, обеспечивают удаленный доступ, безопасность сеансов или и то, и другое:

  • Удаленный доступ — обеспечение доступа к системам в корпоративных сетях из Интернета
  • Безопасность сеанса — повышение уровня безопасности и видимости для сеанса
    • Сценарий неуправляемого устройства — предоставление доступа к управляемому виртуальному рабочему столу неуправляемым устройствам (например, личным устройствам сотрудников) и (или) устройствам, управляемым партнером или поставщиком.
    • Сценарий безопасности администратора — объединение административных путей и (или) повышение уровня безопасности с помощью JIT-доступа, мониторинга и записи сеансов, а также аналогичных возможностей.

Поддержание постоянного характера средств обеспечения безопасности от исходного устройства и учетной записи до интерфейса ресурсов требует понимания профиля риска посредника и вариантов его устранения.

Возможность и ценность для злоумышленника

Различные типы посредников выполняют уникальные функции, поэтому каждый из них требует собственного подхода к обеспечению безопасности. Тем не менее существует ряд важных общих черт, таких как быстрое применение обновлений системы безопасности к устройствам, встроенному ПО, операционным системам и приложениям.

Comparing attacker opportunity and value for given intermediaries

Возможность злоумышленника представляется доступной поверхностью атаки, на которую может оказывать целенаправленной воздействие оператор атаки:

  • Собственные облачные службы, такие как Azure AD PIM, Бастион Azure и прокси-сервер Azure AD App, предлагают злоумышленникам ограниченную поверхность атаки. Несмотря на наличие доступа к общедоступному Интернету, клиенты (и злоумышленники) не имеют доступа к базовым операционным системам, которые предоставляют службы, а их поддержание и мониторинг, как правило, осуществляются с помощью автоматизированных механизмов поставщика облачных служб. Уменьшенная поверхность атаки ограничивает доступные злоумышленникам варианты по сравнению с классическими локальными приложениями и устройствами, которые необходимо настраивать, исправлять и контролировать при помощи ИТ-специалистов, часто перегруженных вследствие конфликта приоритетов и большего количества задач обеспечения безопасности, чем можно выполнить в рабочее время.
  • Виртуальные частные сети (VPN) и удаленные рабочие столы  / серверы переходов зачастую предоставляют злоумышленнику существенную возможность атаки, так как открыты для доступа через Интернет с целью обеспечения удаленного доступа, а обслуживанием этих систем часто пренебрегают. Несмотря на то, что доступ открыт только к нескольким сетевым портам, злоумышленникам для атаки зачастую требуется доступ только к одной службе, для которой не установлены обновления.
  • Сторонние службы PIM и PAM часто размещаются локально или в качестве виртуальной машины в инфраструктуре как услуга (IaaS) и обычно доступны только для узлов интрасети. Несмотря на отсутствие доступа через Интернет, один набор скомпрометированных учетных данных может позволить злоумышленникам получить доступ к службе через VPN или другую среду удаленного доступа.

Ценность для злоумышленника — то, что может получить злоумышленник в результате компрометации посредника. Под компрометацией понимается получение злоумышленником полного контроля над приложением или виртуальной машиной и (или) администратором клиентского экземпляра облачной службы.

Ниже перечислены некоторые компоненты, которые злоумышленники могут получать от посредника для следующего этапа атаки:

  • Получение сетевого подключения для взаимодействия с большинством ресурсов или со всеми ресурсами в корпоративных сетях. Этот доступ обычно предоставляется VPN, а также решениями удаленного рабочего стола или серверов перехода. Несмотря на то, что решения Бастион Azure и прокси-сервер Azure AD App (или аналогичные сторонние решения) также предоставляют удаленный доступ, они, как правило, представляют собой подключения для конкретных приложений или серверов и не предоставляют общего доступа к сети
  • Олицетворение удостоверения устройства может преодолеть механизмы модели "Никому не доверяй", если устройство требуется для проверки подлинности и (или) используется злоумышленником для сбора информации о целевых сетях. Группы информационной безопасности часто не отслеживают действия с учетными записями устройств, а занимаются только учетными записями пользователей.
  • Кража учетных данных учетной записи с целью прохождения проверки подлинности в ресурсах, которые представляют для злоумышленников наибольшую ценность в связи с тем, что обеспечивают возможность повышения привилегий для доступа к конечной цели или выполнения следующего этапа атаки. Удаленный рабочий стол / серверы переходов, а также сторонние PIM и PAM являются наиболее привлекательными целями и подвергают риску все сразу, вследствие чего обладают повышенной ценностью для злоумышленника и высоким риском нарушения безопасности.
    • Решения PIM и PAM обычно хранят учетные данные для большинства или даже всех привилегированных ролей в организации, что делает их крайне перспективной мишенью для компрометации или использования в качестве оружия.
    • Azure AD Privileged Identity Management не дает злоумышленникам возможности украсть учетные данные, поскольку разблокирует привилегии, уже назначенные учетной записи, с помощью MFA или других рабочих процессов, однако плохо спроектированный рабочий процесс может позволить злоумышленнику повысить привилегии.
    • Удаленный рабочий стол или серверы переходов, используемые администраторами, предоставляют узел, через который проходят многие или все конфиденциальные сеансы, что позволяет злоумышленникам использовать стандартные средства для кражи и повторного использования учетных данных.
    • Виртуальные частные сети могут хранить учетные данные в решении, предоставляя злоумышленникам потенциальный кладезь повышения привилегий, в связи с чем настоятельно рекомендуется использовать Azure AD для проверки подлинности с целью устранения этого риска.

Профили безопасности посредников

Для обеспечения такого контроля требуется сочетание элементов управления безопасностью. Одни из них являются общими для многих посредников, а другие предназначены для конкретного типа посредника.

Intermediaries as a link in the Zero Trust chain

Посредник — это звено цепочки "Никому не доверяй", которая представляет интерфейс для пользователей/устройств, а затем предоставляет доступ к следующему интерфейсу. Элементы управления безопасностью должны обращаться к входящим подключениям, обеспечивать безопасность самого промежуточного устройства, приложения или службы, а также (если применимо) передавать сигналы безопасности "Никому не доверяй" следующему интерфейсу.

Общие элементы управления безопасностью

Цель общих элементов обеспечения безопасности для посредников — поддержание гигиены безопасности для корпоративных и специализированных уровней с дополнительными ограничениями для безопасности использования привилегий.

Common security controls for intermediaries

Эти элементы управления безопасностью должны применяться ко всем типам посредников:

  • Обеспечение безопасности входящих подключений . Используйте Azure AD и условный доступ, чтобы убедиться, что все входящие подключения с устройств и учетных записей известны, надежны и разрешены. Дополнительные сведения о требованиях к устройствам и учетным записям для корпоративного и специализированного уровня см. в статье Защита привилегированных интерфейсов.
  • Надлежащее обслуживание системы — все посредники должны соблюдать рекомендации по гигиене безопасности, включая:
    • Безопасная конфигурация — следуйте базовым показателям конфигурации производителя или отраслевым стандартам безопасности и рекомендациям как для приложения, так и для всех базовых операционных систем, облачных служб или других зависимостей. Применимые руководства корпорации Майкрософт включают базовые показатели безопасности Azure и базовые планы Windows.
    • Быстрое обновление путем частичной замены — обновления системы безопасности и исправления от поставщиков должны применяться быстро после выпуска.
  • Модели управления доступом на основе ролей (RBAC) могут быть нарушены злоумышленниками для повышения привилегий. Модель RBAC посредника должна тщательно проверяться, чтобы гарантировать получение прав администратора только авторизованными сотрудниками, защищенными на специализированном или привилегированном уровне. Эта модель должна включать в себя любые базовые операционные системы или облачные службы (пароль учетной записи root, пользователи или группы локального администратора, администраторы клиента и т. д.).
  • Обнаружение и реагирование конечных точек (EDR) и сигнал доверия для исходящего трафика — устройства, включающие полную операционную систему, должны отслеживаться и защищаться с помощью EDR, например Microsoft Defender для конечной точки. Этот элемент управления должен настраиваться для обеспечения соответствия устройства условному доступу, чтобы политика могла принудительно применять это требование к интерфейсам.

Привилегированным посредникам требуются дополнительные элементы управления безопасностью:

  • Управление доступом на основе ролей (RBAC) — права администратора должны ограничиваться только привилегированными ролями, которые соответствуют этому стандарту для рабочих станций и учетных записей.
  • Выделенные устройства (необязательно) — из-за крайней чувствительности привилегированных сеансов организации могут выбрать реализацию выделенных экземпляров функций посредников для привилегированных ролей. Этот элемент управления обеспечивает дополнительные ограничения по безопасности для этих привилегированных посредников и более подробный мониторинг активности привилегированных ролей.

Руководство по безопасности для каждого типа посредника

Этот раздел содержит конкретные рекомендации по обеспечению безопасности, специальные для каждого типа посредника.

Privileged Access Management / управление привилегированными удостоверениями

Одним из типов посредников, предназначенных специально для использования в системе безопасности, являются решения по управлению привилегированными удостоверениями и управлению привилегированным доступом (PIM/PAM).

Варианты использования и сценарии для PIM/PAM

Решения PIM/PAM предназначены для повышения безопасности конфиденциальных учетных записей в рамках специализированных или привилегированных профилей и, как правило, сосредоточены в первую очередь у администраторов ИТ.

Несмотря на то, что функции поставщиков PIM/PAM различны, многие решения предоставляют следующие возможности обеспечения безопасности:

  • Упрощенное управление учетными записями служб и сменой паролей (критическая функция)

  • Предоставление расширенных рабочих процессов для JIT-доступа

  • Запись и мониторинг сеансов администрирования

    Важно!

    Возможности PIM/PAM обеспечивают отличные меры по устранению некоторых атак, но не устраняют многие риски привилегированного доступа, особенно риск взлома устройства. Хотя некоторые поставщики и думают, что их решение PIM/PAM является "идеальным", позволяющим снизить риск для устройств, наш опыт, основанный на инцидентах, произошедших у клиентов, однозначно показал, что на практике эти решения не работают.

    Злоумышленник с контролем над рабочей станцией или устройством может использовать эти учетные данные (и привилегии, назначенные им), пока пользователь находится в системе, и часто может украсть учетные данные для последующего использования. Отдельное решение PIM/PAM не может постоянно и надежно контролировать и устранять эти риски, поэтому необходимо иметь отдельные средства защиты устройств и учетных записей, дополняющие друг друга.

Риски и рекомендации по безопасности для PIM/PAM

Возможности каждого поставщика PIM/PAM зависят от метода защиты, ознакомьтесь с наилучшими методиками и рекомендациями по настройке безопасности конкретного поставщика.

Примечание

Убедитесь, что вы настроили второго пользователя в рабочих процессах, критически важных для бизнеса, чтобы снизить внутренний риск (это увеличивает затраты и замедление работы из-за потенциальной совокупности действий внутренних угроз).

Виртуальные частные сети конечных пользователей

Виртуальные частные сети (VPN) — это посредники, обеспечивающие полный сетевой доступ к удаленным конечным точкам. Как правило, требуется проверка подлинности конечного пользователя и возможность локального хранения учетных данных для проверки подлинности входящих сеансов пользователей.

Примечание

Настоящее руководство относится только к виртуальным частным сетям, используемым пользователями, типа "точка — сайт", а не виртуальным частным сетям типа "сайт — сайт", которые обычно используются для подключения центра обработки данных и (или) приложений.

Варианты использования и сценарии для виртуальных частных сетей

Виртуальные частные сети устанавливают удаленное подключение к корпоративной сети, чтобы обеспечить доступ к ресурсам для пользователей и администраторов.

Риски и рекомендации по безопасности для виртуальных частных сетей

Самыми критическими рисками для посредников виртуальных частных сетей являются невнимательность при проведении технического обслуживания, проблемы конфигурации и локальное хранение учетных данных.

Корпорация Майкрософт рекомендует использовать для посредников виртуальных частных сетей комбинацию элементов управления:

  • Интеграция проверки подлинности Azure AD — уменьшает или устраняет риск локально сохраненных учетных данных (и появления любых дополнительных затрат на их обслуживание) и обеспечивает соблюдение политик типа "Никому не доверяй" во входящих учетных записях и (или) устройствах с условным доступом. Рекомендации по интеграции см. в разделе
  • Быстрая установка исправлений — убедитесь, что все элементы организации поддерживают быстрое исправление, в том числе:
    • Спонсорское предложение организации и поддержка руководства по требованию
    • Стандартные технические процессы для обновления виртуальных частных сетей с минимальным или нулевым временем простоя. Этот процесс должен включать программное обеспечение VPN, устройства и все базовые операционные системы или встроенное ПО
    • Аварийные процессы для быстрого развертывания критически важных обновлений для системы безопасности
    • Управление для постоянного обнаружения и исправления любых пропущенных элементов
  • Безопасная конфигурация — возможности каждого поставщика VPN зависят от метода защиты, ознакомьтесь с наилучшими методиками и рекомендациями по настройке безопасности конкретного поставщика
  • Выйдите за пределы VPN — со временем замените виртуальные частные сети на более безопасные объекты, например прокси-сервер Azure AD App или Бастион Azure, так как только они обеспечивают прямой доступ к приложению/серверу, а не полный доступ к сети. Кроме того, прокси приложения Azure AD позволяет отслеживать сеансы для дополнительной безопасности с помощью Microsoft Defender для облачных приложений.

Modernize VPN authentication and move apps to modern access

Прокси-сервер Azure AD App

Прокси-сервер Azure AD App и аналогичные сторонние возможности обеспечивают удаленный доступ к устаревшим и другим приложениям, установленным локально или на виртуальных машинах IaaS в облаке.

Варианты использования и сценарии для прокси-сервера Azure AD App

Это решение подходит для публикации устаревших приложений для работы конечных пользователей в Интернете. Кроме того, решение можно использовать для публикации некоторых административных приложений.

Риски и рекомендации по безопасности для прокси-сервера Azure AD App

Прокси-сервер Azure AD App эффективно применяет современные политики типа "Никому не доверяй" к существующим приложениям. Дополнительные сведения см. в разделе "Вопросы безопасности для прокси приложения Azure AD"

Прокси приложения Azure AD также может интегрироваться с Microsoft Defender для облачных приложений, чтобы добавить безопасность сеанса управления условным доступом к приложениям в:

  • Предотвращение кражи данных
  • Защита при скачивании
  • Запрещение отправки файлов без метки
  • Мониторинг пользовательских сеансов на соответствие
  • Заблокировать доступ
  • Блокирование действий пользователя

Дополнительные сведения см. в разделе Deploy Defender for Cloud Apps Conditional Access App Control for Azure AD Apps

При публикации приложений посредством прокси приложения AD Azure корпорация Майкрософт рекомендует владельцам приложений работать с группами безопасности, чтобы обеспечить минимальные привилегии, и предоставить доступ к каждому приложению только тем пользователям, которым он необходим. По мере развертывания этим способом дополнительных приложений вы сможете компенсировать использование VPN типа "точка — сайт" конечного пользователя.

Удаленный рабочий стол/сервер перехода

Этот сценарий предоставляет полноценную среду выполнения рабочего стола, в которой работает одно или несколько приложений. Это решение имеет несколько различных вариантов, в том числе:

  • Интерфейсы — полный рабочий стол в окне или в проецируемом интерфейсе одного приложения
  • Удаленный узел — это может быть общая виртуальная машина или выделенная виртуальная машина на настольном компьютере, на которой используется виртуальный рабочий стол Windows (WVD) или другое решение инфраструктуры виртуальных рабочих столов (VDI).
  • Локальное устройство — это может быть мобильное устройство, управляемая рабочая станция или рабочая станция, управляемая пользователем или партнером
  • Сценарий — ориентирован на пользовательские приложения для повышения производительности или на административные сценарии, часто называемые "сервером перехода"

Варианты использования и рекомендации по безопасности для удаленного рабочего стола/сервера перехода

Самые распространенные конфигурации:

  • Прямой протокол удаленного рабочего стола (RDP) — это конфигурация не рекомендуется для интернет-подключений, так как протокол RDP имеет ограниченную защиту от современных атак, таких как распыление паролей. Прямой протокол RDP следует преобразовать:
    • Протокол RDP через шлюз, опубликованный прокси-сервером Azure AD App
    • Бастион Azure
  • Протокол RDP через шлюз с использованием
    • Служб удаленного рабочего стола (RDS), включенных в сервер Windows. Проведите публикацию с использованием прокси-сервера приложения Azure AD.
    • Виртуальный рабочий стол Windows (WVD) — следуйте рекомендациям по обеспечению безопасности виртуальных рабочих столов Windows.
    • Сторонние решения VDI — следуйте рекомендациям производителя или отрасли или примените инструкции руководства WVD к своему решению
  • Сервер Secure Shell (SSH) — предоставление удаленной оболочки и сценариев для технологических отделов технологий и владельцев рабочих нагрузок. Защита этой конфигурации должна включать:
    • Соблюдайте рекомендации производителя и отраслевые рекомендации по безопасной настройке, измените все пароли, заданные по умолчанию (если применимо), используйте ключи SSH вместо паролей, организуйте безопасное хранение ключей SSH и обращение ими.
    • Использование Бастиона Azure для удаленного доступа к ресурсами по SSH, размещенными в Azure — подключение к виртуальной машине Linux с помощью Бастиона Azure

Бастион Azure

Бастион Azure — это посредник, который предназначен для обеспечения безопасного доступа к ресурсам Azure с помощью браузера и портала Azure. Бастион Azure предоставляет доступ к ресурсам в Azure, поддерживающий протокол удаленного рабочего стола (RDP) и протокол Secure Shell (SSH).

Варианты использования и сценарии для Бастиона Azure

Бастион Azure эффективно предоставляет гибкое решение, которое может использоваться операторским персоналом ИТ и администраторами рабочих нагрузок за пределами ИТ для управления ресурсами, размещенными в Azure, без полного VPN-подключения к среде.

Риски и рекомендации по безопасности для Бастиона Azure

Доступ к Бастиону Azure осуществляется с помощью портала Azure, поэтому необходимо убедиться, что интерфейс портала Azure требует соответствующего уровня безопасности для ресурсов в нем и ролей, использующих его; как правило, это привилегированный или специализированный уровень.

Дополнительные рекомендации доступны в документации по Бастиону Azure

Дальнейшие действия