Защита удостоверений с помощью модели "Никому не доверяй"

Фон

Облачные приложения и мобильные сотрудники переопределить периметр безопасности. Сотрудники используют собственные устройства и работают удаленно. Доступ к данным выполняется за пределами корпоративной сети и совместно используется внешними участниками совместной работы, такими как партнеры и поставщики. Корпоративные приложения и данные перемещаются из локальной среды в гибридную и облачную среды. Организации больше не могут полагаться на традиционные сетевые элементы управления для обеспечения безопасности. Элементы управления должны перемещаться в то место, где находятся данные: на устройствах, в приложениях и с партнерами.

Удостоверения, представляющие людей, службы или устройства Интернета вещей, являются общими доминаторами во многих современных сетях, конечных точках и приложениях. В модели безопасности "Никому не доверяй" они являются мощным, гибким и детализируемым способом управления доступом к данным.

Прежде чем удостоверение попытается получить доступ к ресурсу, организации должны:

  • Проверьте удостоверение с помощью строгой проверки подлинности.

  • Убедитесь, что доступ соответствует требованиям и является типичным для этого удостоверения.

  • Следует принципам доступа с минимальными привилегиями.

После проверки удостоверения мы можем управлять доступом этого удостоверения к ресурсам на основе политик организации, анализа рисков и других средств.

Цели развертывания Identity Zero Trust

Прежде чем большинство организаций начнет переход к модели "Никому не доверяй", их подход к идентификации является проблематичным, так как используется локальный поставщик удостоверений, единый вход отсутствует между облачными и локальными приложениями, а видимость риска идентификации очень ограничена.

При реализации сквозной платформы "Никому не доверяй" для удостоверений мы рекомендуем сосредоточиться в первую очередь на следующих начальных задачах развертывания:

List icon with one checkmark.

Удостоверения I.Cloudфедерации с локальными системами идентификации.

II.Политики условного доступа обеспечивают доступ и действия по исправлению.

III.Аналитика улучшает видимость.

После завершения этих действий сосредоточьте внимание на следующих дополнительных задачах развертывания:

List icon with two checkmarks.

IV.Управление удостоверениями и правами доступа управляется с помощью системы управления удостоверениями.

V.User, device, location, and behavior is analyzed in real time to determine risk and deliver ongoing protection.

VI.Интегрируйте сигналы угроз из других решений по обеспечению безопасности для улучшения обнаружения, защиты и реагирования.

Руководство по развертыванию Identity Zero Trust

В этом руководстве описаны действия, необходимые для управления удостоверениями на основе принципов платформы безопасности "Никому не доверяй".




Checklist icon with one checkmark.

Начальные цели развертывания

Я. Федерация облачных удостоверений с локальными системами идентификации

Azure Active Directory (AD) обеспечивает надежную проверку подлинности, точку интеграции для обеспечения безопасности конечных точек и ядро политик, ориентированных на пользователей, чтобы гарантировать доступ с минимальными привилегиями. Возможности условного доступа Azure AD — это точка принятия решений политики для доступа к ресурсам на основе удостоверения пользователя, среды, работоспособности устройства и риска, которые явно проверяются в точке доступа. Мы покажем, как реализовать стратегию идентификации "Никому не доверяй" с помощью Azure AD.

Diagram of the steps within phase 1 of the initial deployment objectives.

Подключение всех пользователей в Azure AD и федерации с локальными системами идентификации

Поддержание работоспособного конвейера удостоверений сотрудников и необходимых артефактов безопасности (групп для авторизации и конечных точек для дополнительных элементов управления политикой доступа) позволяет использовать согласованные удостоверения и элементы управления в облаке.

Выполните следующие действия.

  1. Выберите вариант проверки подлинности. Azure AD обеспечивает оптимальную защиту от атак методом подбора, атак DDoS и распыления паролей, но при этом принимает решение, подходящее для вашей организации и ваших требований к соответствию.

  2. Используйте только удостоверения, которые вам абсолютно необходимы. Например, используйте переход в облако как возможность оставить учетные записи службы, которые целесообразно использовать только в локальной среде. Оставьте локальные привилегированные роли.

  3. Если в вашем предприятии более 100 000 пользователей, групп и устройств, вы можете создать окно синхронизации с высокой производительностью, которое будет поддерживать ваш жизненный цикл в актуальном состоянии.

Создание Identity Foundation с помощью Azure AD

Стратегия "Никому не доверяй" требует явной проверки, использования принципов доступа с минимальными привилегиями и предполагаемого нарушения безопасности. Azure AD может выступать в качестве точки принятия решений политики для применения политик доступа на основе аналитических сведений о пользователе, конечной точке, целевом ресурсе и среде.

Выполните следующий шаг:

  • Поместите Azure AD в путь каждого запроса на доступ. При этом каждый пользователь и каждое приложение или ресурс подключаются через одну плоскость управления удостоверениями и предоставляют Azure AD сигнал для принятия оптимальных решений о риске проверки подлинности и авторизации. Кроме того, единый вход и согласованные средства защиты политик обеспечивают более эффективное взаимодействие с пользователем и повышают производительность.

Интеграция всех приложений с Azure AD

Единый вход не позволяет пользователям оставлять копии своих учетных данных в различных приложениях и помогает избежать того, что пользователи будут использовать свои учетные данные из-за чрезмерного запроса.

Кроме того, убедитесь, что в вашей среде нет нескольких подсистем IAM. Это не только уменьшает объем сигнала, который видит Azure AD, позволяя злоумышленникам работать в помойке между двумя подсистемами IAM, но также может привести к плохому пользовательскому интерфейсу, и ваши бизнес-партнеры становятся первыми сомнительными в стратегии "Никому не доверяй".

Выполните следующие действия.

  1. Интегрируйте современные корпоративные приложения , которые говорят на OAuth2.0 или SAML.

  2. Для kerberos и приложений проверки подлинности на основе форм интегрируйте их с помощью azure AD Application Proxy.

  3. Если вы публикуете устаревшие приложения с помощью сетей или контроллеров доставки приложений, используйте Azure AD для интеграции с большинством основных приложений (например, Citrix, Akamai и F5).

  4. Чтобы помочь обнаружить и перенести приложения из ADFS и существующих и старых подсистем IAM, ознакомьтесь с ресурсами и средствами.

  5. Принудительная отправка удостоверений в различные облачные приложения. Это обеспечивает более тесную интеграцию жизненного цикла удостоверений в этих приложениях.

Явная проверка с помощью строгой проверки подлинности

Выполните следующие действия.

  1. Развертывание Azure AD MFA (P1). Это базовая часть снижения риска сеанса пользователя. Когда пользователи появляются на новых устройствах и из новых расположений, возможность ответить на запрос MFA — это один из самых прямых способов, которыми пользователи могут обучить нас, что это знакомые устройства или расположения по мере перемещения по всему миру (без анализа отдельными сигналами администраторами).

  2. Блокировать устаревшую проверку подлинности. Одним из наиболее распространенных векторов атак для злоумышленников является использование украденных или воспроизведенных учетных данных для устаревших протоколов, таких как SMTP, которые не могут выполнять современные задачи безопасности.

II. Политики условного доступа обеспечивают доступ и действия по исправлению

Условный доступ Azure AD (ЦС) анализирует такие сигналы, как пользователь, устройство и расположение, для автоматизации принятия решений и применения политик доступа организации к ресурсу. Политики ЦС можно использовать для применения элементов управления доступом, таких как многофакторная проверка подлинности (MFA). Политики ЦС позволяют запрашивать многофакторную проверку подлинности, когда это необходимо для обеспечения безопасности, и при необходимости не использовать их.

Diagram of Conditional Access policies in Zero Trust.

Корпорация Майкрософт предоставляет стандартные условные политики, называемые значениями безопасности по умолчанию, которые обеспечивают базовый уровень безопасности. Однако вашей организации может потребоваться больше гибкости, чем предлагаются параметры безопасности по умолчанию. Условный доступ можно использовать для настройки параметров безопасности по умолчанию с большей степенью детализации и для настройки новых политик, соответствующих вашим требованиям.

Планирование политик условного доступа заранее и наличие набора активных и резервных политик является основой принудительного применения политики доступа в развертывании "Никому не доверяй". Укажите время, чтобы настроить надежные РАСПОЛОЖЕНИЯ IP-адресов в вашей среде. Даже если вы не используете их в политике условного доступа, настройка этих IP-адресов сообщает о риске защиты идентификации, упомянутой выше.

Выполните следующий шаг:

Регистрация устройств в Azure AD для ограничения доступа с уязвимых и скомпрометированных устройств

Выполните следующие действия.

  1. Включите гибридное присоединение к Azure ADили присоединение к Azure AD. Если вы управляете ноутбуком или компьютером пользователя, перенесите эти сведения в Azure AD и используйте их для принятия более эффективного решения. Например, вы можете разрешить расширенный клиентский доступ к данным (клиентам с автономными копиями на компьютере), если известно, что пользователь поступает с компьютера, который управляет вашей организацией и управляет ими. Если вы не используете эту функцию, вы, скорее всего, заблокируют доступ к полнофункциональных клиентов, что может привести к работе пользователей с вашей безопасностью или использованию теневых ИТ-служб.

  2. Включите Intune в Microsoft Endpoint Manager (EMS) для управления мобильными устройствами пользователей и регистрации устройств. То же самое можно сделать и с мобильными устройствами пользователей, как и с ноутбуками: чем больше вы знаете о них (уровень исправления, снятие защиты, привилегированный доступ и т. д.), тем больше вы можете доверять или доверять им и предоставлять обоснование для того, почему вы блокируете или разрешаете доступ.

III. Аналитика улучшает видимость

При создании инфраструктуры в Azure AD с проверкой подлинности, авторизацией и подготовкой важно иметь надежные операционные сведения о том, что происходит в каталоге.

Настройка ведения журнала и создания отчетов для улучшения видимости

Выполните следующий шаг:




Checklist icon with two checkmarks.

Дополнительные цели развертывания

IV. Управление удостоверениями и правами доступа с помощью системы управления удостоверениями

После достижения первоначальных трех целей можно сосредоточиться на дополнительных задачах, таких как более надежное управление удостоверениями.

Diagram of the steps within phase 4 of the additional deployment objectives.

Защита привилегированного доступа с помощью управление привилегированными пользователями

Управление конечными точками, условиями и учетными данными, которые пользователи используют для доступа к привилегированным операциям или ролям.

Выполните следующие действия.

  1. Контроль над привилегированными удостоверениями. Помните, что в организации с цифровым преобразованием привилегированный доступ — это не только административный доступ, но и доступ владельца приложения или разработчика, который может изменить способ выполнения и обработки данных критически важными приложениями.

  2. Используйте управление привилегированными пользователями для защиты привилегированных удостоверений.

Согласие пользователей на использование приложений — это очень распространенный способ получения доступа современных приложений к ресурсам организации, но есть некоторые рекомендации, которые следует учитывать.

Выполните следующие действия.

  1. Ограничьте запросы на согласие пользователей и управляйте запросами на согласие, чтобы гарантировать, что данные вашей организации не будут предоставляться приложениям.

  2. Проверьте предыдущее или существующее согласие в вашей организации на наличие чрезмерного или вредоносного согласия.

Дополнительные сведения о средствах защиты от тактики доступа к конфиденциальной информации см. в разделе "Усиление защиты от киберугрошений и мошеннических приложений" в нашем руководстве по реализации стратегии "Никому не доверяй" для идентификации.

Управление правами

С помощью централизованной проверки подлинности приложений и управления ими из Azure AD вы можете оптимизировать процесс запроса на доступ, утверждения и повторной сертификации, чтобы убедиться, что нужные пользователи имеют правильный доступ и что у вас есть журнал, почему пользователи в вашей организации имеют доступ.

Выполните следующие действия.

  1. Используйте управление правами для создания пакетов доступа, которые пользователи могут запрашивать при присоединении к разным командам или проектам и которые назначают им доступ к связанным ресурсам (например, приложениям, SharePoint сайтам, членствам в группах).

  2. Если развертывание управления правами сейчас невозможно для вашей организации, по крайней мере включите парадигмы самообслуживания в организации, разверверив самостоятельное управление группой и доступ к приложениям самообслуживания.

Использование проверки подлинности без пароля для снижения риска фишинга и атак с использованием паролей

С помощью Azure AD, поддерживающего вход с помощью FIDO 2.0 и телефона без пароля, вы можете переместить стрелку на учетные данные, которые используются вашими пользователями (особенно привилегированными или привилегированными пользователями) ежедневно. Эти учетные данные являются надежными факторами проверки подлинности, которые также могут снизить риск.

Выполните следующий шаг:

V. Пользователь, устройство, расположение и поведение анализируются в режиме реального времени, чтобы определить риск и обеспечить постоянную защиту.

Анализ в режиме реального времени крайне важен для определения рисков и защиты.

Diagram of the steps within phase 5 of the additional deployment objectives.

Развертывание защиты паролем Azure AD

При включении других методов явной проверки пользователей не игнорируйте слабые пароли, распыление паролей и атаки с нарушением безопасности при воспроизведении. Классические сложные политики паролей не предотвращают наиболее распространенные атаки на пароли.

Выполните следующий шаг:

Включение защиты идентификации

Получение более детализированного сигнала о риске для сеанса или пользователя с помощью защиты идентификации. Вы сможете исследовать риск и подтвердить компрометацию или закрыть сигнал, что поможет обработчику лучше понять, как выглядит риск в вашей среде.

Выполните следующий шаг:

Включение Microsoft Defender for Cloud Apps с защитой идентификации

Microsoft Defender for Cloud Apps отслеживает поведение пользователей в SaaS и современных приложениях. Это информирует Azure AD о том, что произошло с пользователем после проверки подлинности и получения маркера. Если шаблон пользователя начинает выглядеть подозрительно (например, пользователь начинает скачивать гигабайты данных из OneDrive или начинает отправлять спам в Exchange Online), в Azure AD может быть отправлен сигнал, уведомляющий о том, что пользователь скомпрометирован или высокий риск. При следующем запросе доступа от этого пользователя Azure AD может правильно выполнить действия, чтобы проверить пользователя или заблокировать его.

Выполните следующий шаг:

Включение интеграции условного доступа с Microsoft Defender for Cloud Apps

С помощью сигналов, выдаваемых после проверки подлинности, и запросов прокси-сервера Defender для облака Apps к приложениям, вы сможете отслеживать сеансы, которые будут отправляться в приложения SaaS, и применять ограничения.

Выполните следующие действия.

  1. Включите интеграцию условного доступа.

  2. Расширение условного доступа к локальным приложениям.

Включение ограниченного сеанса для использования в решениях о доступе

Если риск пользователя низкий, но он выполняет вход из неизвестной конечной точки, вы можете разрешить ему доступ к критически важным ресурсам, но не позволить ему выполнять действия, которые не соответствуют требованиям вашей организации. Теперь вы можете настроить Exchange Online и SharePoint Online, чтобы предложить пользователю ограниченный сеанс, позволяющий ему читать сообщения электронной почты или просматривать файлы, но не скачивать их и сохранять на ненадежном устройстве.

Выполните следующий шаг:

VI. Интеграция сигналов угроз из других решений безопасности для улучшения обнаружения, защиты и реагирования

Наконец, для повышения эффективности можно интегрировать другие решения по обеспечению безопасности.

Интеграция Microsoft Defender для удостоверений с Microsoft Defender for Cloud Apps

Интеграция с Microsoft Defender для удостоверений позволяет Azure AD знать, что пользователь использует рискованные действия при доступе к локальным, не современным ресурсам (например, к общим папкам). Затем это можно учитывать в общем риске пользователя для блокировки дальнейшего доступа в облаке.

Выполните следующие действия.

  1. Включите Microsoft Defender для удостоверений с Microsoft Defender for Cloud Apps для передачи локальных сигналов в сигнал риска, который мы знаем о пользователе.

  2. Проверьте объединенную оценку приоритета исследования для каждого пользователя, на котором есть риск, чтобы получить целостное представление о том, на каких из них следует сосредоточиться в SOC.

Включение Microsoft Defender для конечной точки

Microsoft Defender для конечной точки позволяет подтвердить работоспособность Windows компьютеров и определить, выполняется ли на них компрометация. Затем эти сведения можно использовать для устранения рисков во время выполнения. В то время как присоединение к домену дает вам представление об управлении, Defender для конечной точки позволяет реагировать на атаки вредоносных программ практически в реальном времени, обнаруживая шаблоны, в которых несколько пользовательских устройств находятся на ненадежных сайтах, и реагировать на них путем повышения риска для устройства или пользователя во время выполнения.

Выполните следующий шаг:

Продукты, рассматриваемые в этом руководстве

Microsoft Azure

Azure Active Directory

Microsoft Defender для удостоверений

Microsoft 365

Microsoft Endpoint Manager (включает Microsoft Intune)

Microsoft Defender для конечной точки

SharePoint Online

Exchange Online

Заключение

Удостоверение является центральным элементом успешной стратегии "Никому не доверяй". Для получения дополнительных сведений или справки по реализации обратитесь в службу поддержки клиентов или продолжайте читать другие разделы этого руководства, охватывающие все основные принципы "Никому не доверяй".



Серия руководств по развертыванию "Никому не доверяй"

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration