Privilegierad åtkomst: Ombud

Säkerhet mellan mellanled är en viktig del av att skydda privilegierad åtkomst.

Lägg till länk i kedjan med Nollsäkerhetsgranskning för användarens eller administratörens end-to-end-session, så de måste bibehålla (eller förbättra) Zero Trust-säkerhet i sessionen. Exempel på anslutning är virtuella privata nätverk (VPN), hoppservrar, VDI (Virtual Desktop Infrastructure) och programpublicering via åtkomstproxies.

En attack kan leda till att mellanled försöker eskalera behörigheter med autentiseringsuppgifter som lagras på dem, få fjärråtkomst till företagsnätverk eller utnyttja förtroende på enheten om den används för beslut om åtkomst utan förtroende. Att rikta mål har blivit alltför vanligt, särskilt för organisationer som inte mycket håller på med säkerheten på dessa enheter. Till exempel autentiseringsuppgifter som samlas in från VPN-enheter.

Säkerheten varierar beroende på syfte och teknik, men ger vanligtvis fjärråtkomst, sessionssäkerhet eller båda:

• Fjärråtkomst – aktivera åtkomst till system i företagsnätverk via Internet
• Sessionssäkerhet – Öka säkerhetsskyddet och synligheten för en session
  • Scenario med ohanterad enhet – Tillhandahålla ett hanterat virtuellt skrivbord som kan användas av ohanterade enheter (till exempel personliga enheter för anställda) och/eller enheter som hanteras av en partner/leverantör.
  • Administratörssäkerhetsscenario – Konsolidera administrativa gångvägar och/eller öka säkerheten med bara i tidsåtkomst, sessionsövervakning och inspelning och liknande funktioner.

För att säkerställa att säkerhetsgranskningar från den ursprungliga enheten och kontot tas fram till resursgränssnittet krävs det förståelse för mellanleds riskprofilen och minskningsalternativen.

Attacker möjlighet och värde

Olika mellanledstyper utför unika funktioner så att var och en kräver en annan säkerhetsmetod, även om det finns några kritiska vanligt förekommande problem som snabbt tillämpar säkerhetskorrigeringar på enheter, inbyggd programvara, operativsystem och program.

Attackers affärsmöjligheten representeras av den tillgängliga attackytan som en attackoperator kan ha:

• Ursprungliga molntjänster som Azure AD PIM, Azure Bastion och Azure AD-appproxy erbjuder ett begränsat attackytor mot attacker. Även om de exponeras för det offentliga Internet har kunder (och attacker) ingen åtkomst till underliggande operativsystem som tillhandahåller tjänsterna och de underhålls normalt och övervakas konsekvent via automatiska mekanismer hos molnleverantören. Den här mindre attackytan begränsar tillgängliga alternativ för attacker jämfört med klassiska lokala program och husutrustningar som måste konfigureras, korrigeras och övervakas av IT-personalen som ofta överväldigas av prioritetskonflikter och fler säkerhetsaktiviteter än de har tid att slutföra.
• Jump-servrarna för virtuella privata nätverk (VPN) och fjärrskrivbord har ofta en betydande attack också när de exponerasför internet för att ge fjärråtkomst, och underhållet av dessa system ofta förekommer. Även om det bara finns några få nätverksportar som exponeras, behöver attacker bara åtkomst till en tjänst som inte är kompatibel för en attack.
• PIM-/PAM-tjänster från tredje part lagras ofta lokalt eller som en VM på infrastruktur som en tjänst (IaaS) och är vanligtvis endast tillgängliga för intranätvärdar. Även om inte direkt Internet exponeras kan en enda komprometterad autentiseringsuppgifter tillåta attacker att få åtkomst till tjänsten via VPN eller ett annat medium för fjärråtkomst.

Attackersvärdet motsvarar vad en attackerare kan få genom att komprometterande mellanled. En kompromettering definieras som en attackerare som får fullständig kontroll över programmet/VM och/eller som en administratör av kundinstansen av molntjänsten.

Ingredienser som attackerarna kan samla in från mellanled för nästa steg av attacken är bland annat:

• Få nätverksanslutningar att kommunicera med de flesta eller alla resurser i företagsnätverk. Den här åtkomsten tillhandahålls vanligtvis av VPN och Lösningar för fjärrskrivbord/hoppserver. Även om Azure Bastion- och Azure AD-appproxy (eller liknande tredjepartslösningar) också ger fjärråtkomst, är dessa lösningar vanligtvis program- eller serverspecifika anslutningar och ger inte allmän nätverksåtkomst
• Personifiera enhetsidentitet – kan förlora nollförtroendemekanismen om en enhet krävs för autentisering och/eller används av en attackerare för att samla in information i målnätverken. Säkerhetsoperationer grupper övervakar ofta inte enhetskontoaktivitet nära och fokuserar bara på användarkonton.
• Stjäla kontouppgifter för att autentisera till resurser, som är den mest värdefulla tillgången till attacker eftersom den ger möjlighet att förhöjda behörigheter för att komma åt sitt slutgiltiga mål eller nästa steg i attacken. Fjärrskrivbord/hoppservrar och PIM/PAM från tredje part är de mest tilltalande måltavlorna och har "Alla ägg i en basket" dynamiskt med ökade attackervärden och säkerhetsbegränsningar:
  • PIM-/PAM-lösningar lagrar vanligtvis autentiseringsuppgifter för de flesta eller alla privilegierade roller i organisationen, vilket gör dem till ett mycket bra mål att nå eller modernisera.
  • Azure AD PIM erbjuder inte attacker möjlighet att stjäla autentiseringsuppgifter eftersom det låser upp behörigheter som redan har tilldelats till ett konto med hjälp av MFA eller andra arbetsflöden, men ett dåligt utformat arbetsflöde kan göra att obehöriga kan eskalera behörigheter.
  • Fjärrskrivbord/hoppservrar som används av administratörer ger en värd där många eller alla känsliga sessioner passerar, vilket gör att attacker kan använda vanliga autentiseringsstöldsverktyg för att stjäla och återanvända dessa autentiseringsuppgifter.
  • VPN kan lagra autentiseringsuppgifter i lösningen, vilket ger attacker med en potentiell säkerhetsskalning av behörighetseskalering, vilket leder till en stark rekommendation om att använda Azure AD för autentisering för att minimera den här risken.

Säkerhetsprofiler för mellanled

Etablering av dessa garantier kräver en kombination av säkerhetskontroller, av vilka vissa är gemensamma för många fall och några som är specifika för typen av mellanled.

Mellanled är en länk i Zero Trust-kedjan som visar ett gränssnitt för användare/enheter och som ger tillgång till nästa gränssnitt. Säkerhetskontrollerna måste adressera inkommande anslutningar, säkerheten för den mellanledde enheten/programmet/tjänsten och (om tillämpligt) tillhandahålla Nollförtroendesäkerhetssignaler för nästa gränssnitt.

Vanliga säkerhetskontroller

De vanliga säkerhetselementen för människor fokuserar på att upprätthålla en bra säkerhetsrisk för både företags- och specialnivåer, med ytterligare begränsningar för behörighetssäkerhet.

Dessa säkerhetskontroller bör tillämpas på alla typer av säkerhet:

• Tillämpa säkerhet för inkommande anslutningar – Använd Azure AD och villkorsstyrd åtkomst för att säkerställa att alla inkommande anslutningar från enheter och konton är kända, betrodda och tillåtna. Mer information finns i artikeln Sekuiting-behörighetsgränssnitt för detaljerade definitioner av enhets- och kontokrav för företag och specialiserade.
• Korrekt systemunderhåll – Alla måste följa bra säkerhetsrutiner, bland annat:
  • Säker konfiguration – Följ baslinjer och metodtips för säkerhetskonfigurationer av tillverkare eller bransch för både programmet och underliggande operativsystem, molntjänster eller andra beroenden. Tillämplig vägledning från Microsoft inkluderar Azure Security Baseline och Windows Baselines.
  • Snabb korrigering – Säkerhetsuppdateringar och korrigeringar från leverantörerna måste tillämpas snabbt efter lanseringen.
• Rollbaserade åtkomstkontrollmodeller (RBAC) kan bli missbrukade av attacker för att eskalera behörigheter. Mellanleds RBAC-modell måste granskas noggrant för att säkerställa att endast behörig personal som är skyddad på specialnivå eller behörighetsnivå beviljas administrativ behörighet. Den här modellen måste innehålla underliggande operativsystem eller molntjänster (rotkontolösenord, användare/grupper för lokala administratörer, innehavaradministratörer osv.).
• Identifiering och svar av slutpunkter (Identifiering och åtgärd på slutpunkt) och utgående förtroendesignaler – Enheter som har ett fullständigt operativsystem bör övervakas och skyddas med ett Identifiering och åtgärd på slutpunkt som Microsoft Defender för Endpoint. Den här kontrollen bör konfigureras för att ge signaler om enhetsefterlevnad till villkorsstyrd åtkomst så att principen kan tillämpa det här kravet för gränssnitt.

Privilegierad härdning kräver ytterligare säkerhetskontroller:

• Rollbaserad åtkomstkontroll (RBAC) – Administrativa rättigheter måste begränsas till endast behörighetsrollsmöte med standardbehörighet för arbetsstationer och konton.
• Dedikerade enheter (valfritt) – på grund av den extremt känsligheten för privilegierade sessioner kan organisationer välja att implementera dedikerade instanser av mellanliggande funktioner för behöriga roller. Den här kontrollen möjliggör ytterligare säkerhetsbegränsningar för dessa privilegierade resurser och närmare övervakning av den behöriga rollaktiviteten.

Säkerhetsvägledning för varje mellanled

Det här avsnittet innehåller specifik säkerhetsvägledning som är unik för varje typ av mellanled.

Hantering av privilegierad åtkomst/privilegierad identitetshantering

En typ av mellanled som utformats specifikt för ärenden vid säkerhetsanvändning är hantering av privilegierad identitet /hantering av behörighet (PIM/PAM) lösningar.

Använda ärenden och scenarier för PIM/PAM

PIM/PAM-lösningar har utformats för att öka säkerhetsgranskningar för känsliga konton som skulle täckas av specialiserade eller privilegierade profiler, och i regel fokuserar de först på IT-administratörer.

Funktionerna varierar mellan PIM-/PAM-leverantörer, men många lösningar erbjuder säkerhetsfunktioner för att:

• Förenkla hantering av tjänstkonto och lösenordsrotation (en viktig funktion som måste vara viktig)

• Ge avancerade arbetsflöden för precis i tid (JIT) åtkomst

• Spela in och övervaka administrativa sessioner

  Viktigt

  PIM-/PAM-funktioner är utmärkta när det gäller att minska risken för attacker, men de utgör inte många risker för privielg åtkomst, den potentiella risken för enhetsintrång. Vissa leverantörer anser att deras PIM/PAM-lösning är en "silver bullet"-lösning som kan minska enhetsrisken, men vår erfarenhet av att undersöka kundincidenter har visat sig vara att detta inte fungerar i praktiken.

  En attackerare med kontroll över en arbetsstation eller enhet kan använda dessa autentiseringsuppgifter (och behörigheter som tilldelats dem) medan användaren är inloggad (och kan ofta stjäla autentiseringsuppgifter för senare användning också). En PIM/PAM-lösning kan inte ensamt och tillförlitligt se och minimera dessa enhetsrisker, så du måste ha separata enhets- och kontoskydd som kompletterar varandra.

Säkerhetsrisker och rekommendationer för PIM/PAM

Funktionerna från varje PIM/PAM-leverantör varierar om hur du skyddar dem, så granska och följ din leverantörs specifika rekommendationer och metodtips för säkerhetskonfiguration.

Virtuella privata nätverk för slutanvändare

Virtuella privata nätverk (VPN) är på väg att tillhandahålla fullständig nätverksåtkomst för fjärrslutpunkter, vilket normalt kräver att slutanvändaren autentiserar, och kan lagra autentiseringsuppgifter lokalt för att autentisera inkommande användarsessioner.

Använda ärenden och scenarier för VPN

VPN upprättar fjärranslutning till företagsnätverket för att ge användare och administratörer tillgång till resurser.

Säkerhetsrisker och rekommendationer för VPN

De mest kritiska riskerna för VPN-ärenden är att underhållet inte var över, konfigurationsproblem och lokal lagring av autentiseringsuppgifter.

Microsoft rekommenderar en kombination av kontroller för VPN-klienten:

• Integrera Azure AD-autentisering – för att minska eller eliminera risken för lokalt lagrade autentiseringsuppgifter (och eventuella kostnader för att underhålla dem) och tillämpa Nollförtroendeprinciper för inkommande konton/enheter med villkorsstyrd åtkomst. Vägledning om integrering finns i
  • Azure VPN AAD integrering
  • Aktivera Azure AD-autentisering på VPN-gatewayen
  • Integrera VPN från tredje part
    • Cisco AnyConnect
    • Palo Networks GlobalProtect ochDen låsta portalen
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • med mera
• Snabb korrigering – kontrollera att alla organisationselement stöder snabb korrigering, inklusive:
  • Organisationsstöd för stöd från ledningen för krav
  • Tekniska standardprocesser för uppdatering av VPN med minimal eller noll drifttid. Den här processen ska omfatta VPN-programvara, enheter och underliggande operativsystem eller inbyggd programvara
  • Nödprocesser för att snabbt distribuera viktiga säkerhetsuppdateringar
  • Styrning för att kontinuerligt upptäcka och åtgärda eventuella missade objekt
• Säker konfiguration – Funktionerna från varje VPN-leverantör varierar om hur du skyddar dem, så granska och följ din leverantörs specifika rekommendationer och metodtips för säkerhetskonfiguration
• Gå vidare från VPN – Byt ut VPN över tid med säkrare alternativ som Azure AD-appproxy eller Azure Bastion eftersom de endast ger direkt program-/serveråtkomst istället för fullständig nätverksåtkomst. Med Azure AD-appproxy kan du dessutom övervaka sessioner för ytterligare säkerhet med Microsoft Defender för molnappar.

Azure AD-appproxy

Azure AD-appproxy och liknande tredjepartsfunktioner ger fjärråtkomst till äldre och andra program som finns lokalt eller på IaaS-virtuella maskiner i molnet.

Använda ärenden och scenarier för Azure AD-appproxy

Den här lösningen är lämplig för publicering av äldre produktivitetsprogram för slutanvändare till behöriga användare via Internet. Den kan även användas för att publicera vissa administrativa program.

Säkerhetsrisker och rekommendationer för Azure AD-appproxy

Med Azure AD-appproxy kan vi på ett effektivt sätt se till att befintliga program tillämpas med en nollförtroendeprincip. Mer information finns i Säkerhetsöverväganden för Azure AD-programproxy

Azure AD-programproxy kan också integreras med Microsoft Defender för molnappar för att lägga till sessionssäkerhet för villkorsstyrd åtkomstkontroll för:

• Förhindra datainfiltrering
• Skydda vid nedladdning
• Förhindra uppladdning av oetiketterade filer
• Övervaka användarsessioner för efterlevnad
• Blockera åtkomst
• Blockera anpassade aktiviteter

Mer information finns i Distribuera Defender för villkorsstyrd åtkomstkontroll för Azure AD-appar

När du publicerar program via Azure AD-programproxy rekommenderar Microsoft att programägare arbetar med säkerhetsteam för att följa minst behörighet och att åtkomsten till varje program görs tillgänglig endast för de användare som kräver det. När du distribuerar fler appar på det här sättet kan du eventuellt förskjuta en del slutanvändare till VPN-användning på webbplatsen.

Fjärrskrivbord/hoppserver

Det här scenariot ger en fullständig skrivbordsmiljö som kör ett eller flera program. Den här lösningen har ett antal olika varianter:

• Upplevelser – det fullständiga skrivbordet i ett fönster eller i ett program
• Fjärrvärd – kan vara en delad VM eller en dedikerad skrivbords-VM med Windows Virtual Desktop (WVD) eller en annan VDI-lösning (Virtual Desktop Infrastructure).
• Lokal enhet – kan vara en mobil enhet, en hanterad arbetsstation eller en personlig arbetsstation/partner hanterad arbetsstation
• Scenario – fokuserar på program för användarproduktivitet eller administrativa scenarier, som ofta kallas "jump server"

Använda ärenden och säkerhetsrekommendationer för Fjärrskrivbord/Hoppserver

De vanligaste konfigurationerna är:

• Direct Remote Desktop Protocol (RDP) – Den här konfigurationen rekommenderas inte för Internetanslutningar eftersom RDP är ett protokoll som har begränsat skydd mot moderna attacker som lösenordsattacker. Direkt rdp bör konverteras till antingen:
  • RDP via en gateway som publicerats av Azure AD-appproxy
  • Azure Bastion
• RDP via en gateway med
  • Fjärrskrivbordstjänster (RDS) ingår i Windows Server. Publicera med Azure AD-programproxy.
  • Windows Virtual Desktop (WVD) – Följ metodtips Windows för säkerhet på virtuellt skrivbord.
  • VDI från tredje part – Följ tillverkarens eller branschens metodtips eller anpassa WVD-vägledningen till din lösning
• SSH-server (Secure Shell) – tillhandahåller fjärrgränssnitt och skript för teknikavdelningar och arbetsbelastningsägare. Skydd av den här konfigurationen bör omfatta:
  • Följande metodtips för branschen/tillverkare för att säkert konfigurera det, ändra standardlösenord (om tillämpligt) och använda SSH-tangenter i stället för lösenord och på ett säkert sätt lagra och hantera SSH-nycklar.
  • Använd Azure Bastion för SSH igen för resurser i Azure – Anslut till Linux VM med Azure Bastion

Azure Bastion

Azure Bastion är en mellanled som har utformats för att ge säker åtkomst till Azure-resurser med hjälp av en webbläsare och Azure-portalen. Azure Bastion tillhandahåller åtkomstresurser i Azure som stöder RDP-protokoll (Remote Desktop Protocol) och SSH-protokoll (Secure Shell).

Använda ärenden och scenarier för Azure Bastion

Azure Bastion tillhandahåller effektivt en flexibel lösning som kan användas av IT-personalen och arbetsbelastningsadministratörer utanför IT-personalen för att hantera resurser som finns i Azure utan en fullständig VPN-anslutning till miljön.

Säkerhetsrisker och rekommendationer för Azure Bastion

Azure Bastion används via Azure Portal, så se till att Azure Portal-gränssnittet kräver rätt säkerhetsnivå för resurser i det och för roller som använder det, vanligtvis privilegierad eller specialiserad nivå.

Ytterligare vägledning finns i Azure Bastion-dokumentationen

Nästa steg

• Översikt av skydd av privilegierad åtkomst
• Behörighetsstrategi
• Mäta framgången
• Säkerhetsnivåer
• Konton med behörighet
• Gränssnitt
• Enheter med privilegierad åtkomst
• Företagsåtkomstmodell