Skydda identitet med Nolltillit

Bakgrund

Molnprogram och mobil personal har omdefinierat säkerhetsperimetern. Anställda tar med sig sina egna enheter och arbetar på distans. Data nås utanför företagsnätverket och delas med externa medarbetare, till exempel partner och leverantörer. Företagsprogram och data flyttas från lokala miljöer till hybrid- och molnmiljöer. Organisationer kan inte längre förlita sig på traditionella nätverkskontroller för säkerhet. Kontroller måste flyttas till platsen där data finns: på enheter, i appar och med partner.

Identiteter som representerar personer, tjänster eller IoT-enheter är den gemensamma dominatorn i dagens många nätverk, slutpunkter och program. I Nolltillit säkerhetsmodellen fungerar de som ett kraftfullt, flexibelt och detaljerat sätt att styra åtkomsten till data.

Innan en identitet försöker komma åt en resurs måste organisationer:

• Verifiera identiteten med stark autentisering.

• Se till att åtkomsten är kompatibel och typisk för den identiteten.

• Följer principer för lägsta behörighetsåtkomst.

När identiteten har verifierats kan vi styra identitetens åtkomst till resurser baserat på organisationsprinciper, pågående riskanalys och andra verktyg.

Distributionsmål för identitet Nolltillit

Innan de flesta organisationer påbörjar Nolltillit resa är deras identitetssätt problematiskt eftersom den lokala identitetsprovidern används, att det inte finns någon enkel inloggning mellan molnappar och lokala appar och att insynen i identitetsrisken är mycket begränsad.

När du implementerar ett Nolltillit ramverk för identitet från slutpunkt till slutpunkt rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:
	I.Cloud-identiteter federeras med lokala identitetssystem. II.Principer för villkorlig åtkomst ger åtkomst till och tillhandahåller reparationsaktiviteter. III.Analys förbättrar synligheten.
När dessa har slutförts fokuserar du på dessa ytterligare distributionsmål:
	IV.Identiteter och åtkomstbehörigheter hanteras med identitetsstyrning. V.User, device, location, and behavior analyseras i realtid för att fastställa risker och leverera kontinuerligt skydd. VI.Integrera hotsignaler från andra säkerhetslösningar för att förbättra identifiering, skydd och svar.

Distributionsguide för identitet Nolltillit

Den här guiden beskriver de steg som krävs för att hantera identiteter enligt principerna i ett Nolltillit säkerhetsramverk.

Initiala distributionsmål

I. Molnidentitetsmaterare med lokala identitetssystem

Microsoft Entra-ID möjliggör stark autentisering, en integrationspunkt för slutpunktssäkerhet och kärnan i dina användarcentrerade principer för att garantera åtkomst med minst privilegier. Microsoft Entra-funktioner för villkorsstyrd åtkomst är principbeslutspunkten för åtkomst till resurser baserat på användaridentitet, miljö, enhetshälsa och risk – verifieras uttryckligen vid åtkomstpunkten. Vi visar hur du kan implementera en Nolltillit identitetsstrategi med Microsoft Entra-ID.

Anslut alla dina användare till Microsoft Entra-ID och federera med lokala identitetssystem

Genom att upprätthålla en felfri pipeline av dina anställdas identiteter och nödvändiga säkerhetsartefakter (grupper för auktorisering och slutpunkter för extra åtkomstprincipkontroller) är det bästa sättet att använda konsekventa identiteter och kontroller i molnet.

Följ de här stegen:

1. Välj ett autentiseringsalternativ. Med Microsoft Entra-ID får du bästa råstyrkeskydd, DDoS och lösenordsskydd, men fatta det beslut som passar din organisation och dina efterlevnadsbehov.

2. Ta bara med de identiteter du absolut behöver. Använd till exempel att gå till molnet som en möjlighet att lämna kvar tjänstkonton som bara är meningsfulla lokalt. Lämna lokala privilegierade roller bakom dig.

3. Om företaget har fler än 100 000 användare, grupper och enheter tillsammans skapar du en synkroniseringsruta med höga prestanda som håller livscykeln uppdaterad.

Upprätta din identitetsgrund med Microsoft Entra-ID

En Nolltillit-strategi kräver att du uttryckligen verifierar, använder principer för minst privilegierad åtkomst och antar intrång. Microsoft Entra-ID kan fungera som principbeslutspunkt för att framtvinga dina åtkomstprinciper baserat på insikter om användaren, slutpunkten, målresursen och miljön.

Ta det här steget:

• Placera Microsoft Entra-ID i sökvägen för varje åtkomstbegäran. Detta ansluter varje användare och varje app eller resurs via ett identitetskontrollplan och ger Microsoft Entra-ID med signalen för att fatta bästa möjliga beslut om autentiserings-/auktoriseringsrisken. Dessutom ger enkel inloggning och konsekventa policyskydd en bättre användarupplevelse och bidrar till produktivitetsvinster.

Integrera alla dina program med Microsoft Entra-ID

Enkel inloggning hindrar användare från att lämna kopior av sina autentiseringsuppgifter i olika appar och hjälper till att undvika att användare vänjer sig vid att ge upp sina autentiseringsuppgifter på grund av överdriven uppmaning.

Kontrollera också att du inte har flera IAM-motorer i din miljö. Detta minskar inte bara mängden signal som Microsoft Entra ID ser, vilket gör det möjligt för dåliga aktörer att leva i sömmarna mellan de två IAM-motorerna, det kan också leda till dålig användarupplevelse och dina affärspartner blir de första tvivlarna på din Nolltillit strategi.

Följ de här stegen:

1. Integrera moderna företagsprogram som talar OAuth2.0 eller SAML.

2. För Kerberos- och formulärbaserade autentiseringsprogram integrerar du dem med hjälp av Microsoft Entra-programproxyn.

3. Om du publicerar dina äldre program med hjälp av nätverk/kontrollanter för programleverans använder du Microsoft Entra-ID för att integrera med de flesta av de viktigaste (till exempel Citrix, Akamai och F5).

4. Granska resurser och verktyg för att identifiera och migrera dina appar från ADFS och befintliga/äldre IAM-motorer.

5. Skicka identiteter till dina olika molnprogram. Detta ger dig en snävare identitetslivscykelintegrering i dessa appar.

Dricks

Lär dig mer om att implementera en Nolltillit strategi från slutpunkt till slutpunkt för program.

Verifiera explicit med stark autentisering

Följ de här stegen:

1. Distribuera Microsoft Entra multifaktorautentisering (P1). Detta är en grundläggande del av att minska risken för användarsessioner. När användare visas på nya enheter och från nya platser är det ett av de mest direkta sätten som användarna kan lära oss att dessa är välbekanta enheter/platser när de rör sig runt om i världen (utan att administratörer parsar enskilda signaler).

2. Blockera äldre autentisering. En av de vanligaste angreppsvektorerna för skadliga aktörer är att använda stulna/omspelade autentiseringsuppgifter mot äldre protokoll, till exempel SMTP, som inte kan utföra moderna säkerhetsutmaningar.

II. Principer för villkorsstyrd åtkomst grindåtkomst och tillhandahålla reparationsaktiviteter

Microsoft Entra Villkorlig åtkomst (CA) analyserar signaler som användare, enhet och plats för att automatisera beslut och tillämpa organisationens åtkomstprinciper för resurser. Du kan använda CA-principer för att tillämpa åtkomstkontroller som multifaktorautentisering (MFA). Med CA-principer kan du fråga användare om MFA när det behövs för säkerhet och hålla dig borta från användarnas sätt när de inte behövs.

Microsoft tillhandahåller standardvillkorsprinciper som kallas säkerhetsstandarder som säkerställer en grundläggande säkerhetsnivå. Din organisation kan dock behöva mer flexibilitet än standarderbjudandet för säkerhet. Du kan använda villkorsstyrd åtkomst för att anpassa säkerhetsstandarder med mer kornighet och för att konfigurera nya principer som uppfyller dina krav.

Att planera dina principer för villkorlig åtkomst i förväg och ha en uppsättning aktiva principer och återställningsprinciper är en grundläggande grundpelare i din åtkomstprincip i en Nolltillit distribution. Ta dig tid att konfigurera dina betrodda IP-platser i din miljö. Även om du inte använder dem i en princip för villkorsstyrd åtkomst, informerar konfigurationen av dessa IP-adresser risken för identitetsskydd som nämns ovan.

Ta det här steget:

• Läs vår distributionsvägledning och metodtips för motståndskraftiga principer för villkorsstyrd åtkomst.

Registrera enheter med Microsoft Entra-ID för att begränsa åtkomsten från sårbara och komprometterade enheter

Följ de här stegen:

1. Aktivera Microsoft Entra-hybridanslutning eller Microsoft Entra-anslutning. Om du hanterar användarens bärbara dator kan du ta med den informationen i Microsoft Entra-ID:t och använda den för att fatta bättre beslut. Du kan till exempel välja att tillåta omfattande klientåtkomst till data (klienter som har offlinekopior på datorn) om du vet att användaren kommer från en dator som din organisation styr och hanterar. Om du inte tar in detta väljer du förmodligen att blockera åtkomst från omfattande klienter, vilket kan leda till att användarna arbetar kring din säkerhet eller använder skugg-IT.

2. Aktivera Intune-tjänsten i Microsoft Endpoint Manager (EMS) för att hantera användarnas mobila enheter och registrera enheter. Detsamma kan sägas om användarens mobila enheter som om bärbara datorer: Ju mer du vet om dem (korrigeringsnivå, jailbrokade, rotade osv.), desto mer kan du lita på eller misstro dem och ge en anledning till varför du blockerar / tillåter åtkomst.

Dricks

Lär dig mer om att implementera en Nolltillit strategi för slutpunkter från slutpunkt till slutpunkt

III. Analys förbättrar synligheten

När du skapar din egendom i Microsoft Entra-ID med autentisering, auktorisering och etablering är det viktigt att ha starka operativa insikter om vad som händer i katalogen.

Konfigurera loggning och rapportering för att förbättra synligheten

Ta det här steget:

• Planera en Microsoft Entra-rapporterings- och övervakningsdistribution för att kunna spara och analysera loggar från Microsoft Entra-ID, antingen i Azure eller med hjälp av ett SIEM-system.

Ytterligare distributionsmål

IV. Identiteter och åtkomstbehörigheter hanteras med identitetsstyrning

När du har uppnått de tre första målen kan du fokusera på ytterligare mål, till exempel mer robust identitetsstyrning.

Skydda privilegierad åtkomst med Privileged Identity Management

Kontrollera de slutpunkter, villkor och autentiseringsuppgifter som användare använder för att få åtkomst till privilegierade åtgärder/roller.

Följ de här stegen:

1. Ta kontroll över dina privilegierade identiteter. Tänk på att i en digitalt transformerad organisation är privilegierad åtkomst inte bara administrativ åtkomst, utan även programägare eller utvecklaråtkomst som kan ändra hur dina verksamhetskritiska appar kör och hanterar data.

2. Använd Privileged Identity Management för att skydda privilegierade identiteter.

Begränsa användarens medgivande till program

Användarmedgivande till program är ett mycket vanligt sätt för moderna program att få åtkomst till organisationsresurser, men det finns några metodtips att tänka på.

Följ de här stegen:

1. Begränsa användarens medgivande och hantera begäranden om medgivande för att säkerställa att ingen onödig exponering sker av organisationens data för appar.

2. Granska tidigare/befintligt medgivande i din organisation för överdrivet eller skadligt medgivande.

Mer information om verktyg för att skydda mot taktiker för åtkomst till känslig information finns i "Stärka skyddet mot cyberhot och oseriösa appar" i vår guide för att implementera en strategi för identitet Nolltillit.

Hantera berättigande

Med program som autentiserar och drivs centralt från Microsoft Entra-ID kan du nu effektivisera din åtkomstbegäran, ditt godkännande och din omcertifieringsprocess för att se till att rätt personer har rätt åtkomst och att du har ett spår av varför användare i din organisation har den åtkomst de har.

Följ de här stegen:

1. Använd Berättigandehantering för att skapa åtkomstpaket som användarna kan begära när de ansluter till olika team/projekt och som tilldelar dem åtkomst till de associerade resurserna (till exempel program, SharePoint-webbplatser, gruppmedlemskap).

2. Om distribution av berättigandehantering inte är möjligt för din organisation just nu aktiverar du åtminstone självbetjäningsparadigm i din organisation genom att distribuera grupphantering via självbetjäning och programåtkomst via självbetjäning.

Använd lösenordslös autentisering för att minska risken för nätfiske- och lösenordsattacker

Med Microsoft Entra-ID som stöder FIDO 2.0 och lösenordslös telefoninloggning kan du flytta nålen på de autentiseringsuppgifter som dina användare (särskilt känsliga/privilegierade användare) använder dagligen. Dessa autentiseringsuppgifter är starka autentiseringsfaktorer som också kan minska risken.

Ta det här steget:

• Börja distribuera lösenordslösa autentiseringsuppgifter i din organisation.

V. Användare, enhet, plats och beteende analyseras i realtid för att fastställa risker och leverera kontinuerligt skydd

Realtidsanalys är avgörande för att fastställa risker och skydd.

Distribuera Microsoft Entra-lösenordsskydd

Medan du aktiverar andra metoder för att verifiera användare explicit, ignorera inte svaga lösenord, lösenordsspray och intrångsreprisattacker. Och klassiska komplexa lösenordsprinciper förhindrar inte de vanligaste lösenordsattackerna.

Ta det här steget:

• Aktivera Microsoft Entra-lösenordsskydd för dina användare i molnet och lokalt.

Aktivera Identity Protection

Få mer detaljerad sessions-/användarrisksignal med Identity Protection. Du kommer att kunna undersöka risker och bekräfta kompromisser eller avvisa signalen, vilket hjälper motorn att bättre förstå hur risken ser ut i din miljö.

Ta det här steget:

• Aktivera Identity Protection.

Aktivera Microsoft Defender för molnet Apps-integrering med Identity Protection

Microsoft Defender för molnet Apps övervakar användarbeteendet i SaaS och moderna program. Detta informerar Microsoft Entra-ID om vad som hände med användaren när de autentiserade och tog emot en token. Om användarmönstret börjar se misstänkt ut (t.ex. börjar en användare ladda ned gigabyte data från OneDrive eller börjar skicka skräppostmeddelanden i Exchange Online), kan en signal skickas till Microsoft Entra-ID som meddelar den att användaren verkar vara komprometterad eller hög risk. Vid nästa åtkomstbegäran från den här användaren kan Microsoft Entra-ID vidta åtgärder för att verifiera användaren eller blockera dem.

Ta det här steget:

• Aktivera övervakning av Defender för molnet-appar för att utöka Identity Protection-signalen.

Aktivera integrering av villkorsstyrd åtkomst med Microsoft Defender för molnet-appar

Med hjälp av signaler som genereras efter autentisering och med Defender för molnet Apps-proxybegäranden till program kan du övervaka sessioner som går till SaaS-program och framtvinga begränsningar.

Följ de här stegen:

1. Aktivera integrering av villkorsstyrd åtkomst.

2. Utöka villkorlig åtkomst till lokala appar.

Aktivera begränsad session för användning i åtkomstbeslut

När en användares risk är låg, men de loggar in från en okänd slutpunkt, kanske du vill ge dem åtkomst till kritiska resurser, men inte tillåta dem att göra saker som lämnar din organisation i ett inkompatibelt tillstånd. Nu kan du konfigurera Exchange Online och SharePoint Online för att erbjuda användaren en begränsad session som gör att de kan läsa e-postmeddelanden eller visa filer, men inte ladda ned dem och spara dem på en ej betrodd enhet.

Ta det här steget:

• Aktivera begränsad åtkomst till SharePoint Online och Exchange Online

VI. Integrera hotsignaler från andra säkerhetslösningar för att förbättra identifiering, skydd och svar

Slutligen kan andra säkerhetslösningar integreras för större effektivitet.

Integrera Microsoft Defender för identitet med Microsoft Defender för molnet Apps

Integrering med Microsoft Defender för identitet gör det möjligt för Microsoft Entra-ID att veta att en användare ägnar sig åt riskfyllt beteende vid åtkomst till lokala, icke-moderna resurser (till exempel filresurser). Detta kan sedan räknas in i den totala användarrisken för att blockera ytterligare åtkomst i molnet.

Följ de här stegen:

1. Aktivera Microsoft Defender for Identity med Microsoft Defender för molnet Apps för att föra in lokala signaler i den risksignal som vi känner till om användaren.

2. Kontrollera den kombinerade undersökningsprioritetspoängen för varje användare som är i riskzonen för att ge en holistisk vy över vilka som din SOC bör fokusera på.

Aktivera Microsoft Defender för Endpoint

Med Microsoft Defender för Endpoint kan du intyga hälsotillståndet för Windows-datorer och avgöra om de genomgår en kompromiss. Du kan sedan mata in den informationen i att minska risken vid körning. Domänanslutning ger dig en känsla av kontroll, men med Defender för Endpoint kan du reagera på en attack mot skadlig kod nästan i realtid genom att identifiera mönster där flera användarenheter träffar opålitliga webbplatser och reagera genom att öka risken för enhet/användare vid körning.

Ta det här steget:

• Konfigurera villkorlig åtkomst i Microsoft Defender för Endpoint.

Skydda identitet i enlighet med exekutiv order 14028 om cybersäkerhet och OMB-memorandum 22-09

Den verkställande ordern 14028 om att förbättra Nationernas cybersäkerhet och OMB Memorandum 22-09 innehåller specifika åtgärder på Nolltillit. Identitetsåtgärder omfattar användning av centraliserade identitetshanteringssystem, användning av stark nätfiskeresistent MFA och införlivande av minst en signal på enhetsnivå i auktoriseringsbeslut. Detaljerad vägledning om hur du implementerar dessa åtgärder med Microsoft Entra-ID finns i Uppfylla identitetskraven i memorandum 22-09 med Microsoft Entra-ID.

Produkter som beskrivs i den här guiden

Microsoft Azure

Microsoft Entra ID

Microsoft Defender för identitet

Microsoft 365

Microsoft Endpoint Manager (inkluderar Microsoft Intune)

Microsoft Defender för Endpoint

SharePoint Online

Exchange Online

Slutsats

Identitet är centralt för en framgångsrik Nolltillit strategi. Om du vill ha mer information eller hjälp med implementeringen kontaktar du ditt kundframgångsteam eller fortsätter att läsa igenom de andra kapitlen i den här guiden, som omfattar alla Nolltillit pelare.

Distributionsguideserien för Nolltillit