Skydda identitet med noll förtroende

  • Artikel
  • 11 minuter för att läsa

Bakgrund

Molnprogram och den mobila arbetsstyrkan har omdefinierat säkerhets perimeter. Anställda tar med sig sina egna enheter och arbetar på distans. Data används utanför företagsnätverket och delas med externa kollegor, till exempel partner och leverantörer. Företagsprogram och företagsdata flyttas från lokal miljö till hybrid- och molnmiljö. Organisationer kan inte längre förlita sig på traditionella nätverkskontroller för säkerhet. Kontroller måste flyttas till den plats där data finns: på enheter, i appar och med partners.

Identiteter, som representerar personer, tjänster eller IoT-enheter, är den vanliga dominerarren över dagens många nätverk,slutpunkteroch program. I säkerhetsmodellen Zero Trust fungerar de som ett kraftfullt, flexibelt och detaljerad sätt att styra åtkomsten till data.

Innan en identitet försöker komma åt en resurs måste organisationer:

  • Verifiera identiteten med stark autentisering.

  • Se till att åtkomsten är kompatibel och typisk för den identiteten.

  • Följer de minsta behörighetsprinciperna för åtkomst.

När identiteten har verifierats kan vi kontrollera identitetens åtkomst till resurser baserat på organisationsprinciper, konsekvensanalyser och andra verktyg.

Distributionsmål för Identity Zero Trust

Innan de flesta organisationer startar Zero Trust-resanär deras sätt att identitet vara problematiskt på grund av att den lokala identitetsleverantören används, att ingen SSO finns mellan molnappar och lokala program, och synligheten för identitetsrisker är mycket begränsad.

När du implementerar ett end-to-end Zero Trust Framework för identitet rekommenderar vi att du först fokuserar på dessa distributionsmål:

Listikon med en bockmarkering.

I.Molnidentiteten externas med lokala identitetssystem.

II.Villkorsstyrda åtkomstprinciper öppnar åtkomst och tillhandahåller åtgärdsaktiviteter.

III.Analyser förbättrar synligheten.

När de är slutförda fokuserar du på följande distributionsmål:

Listikon med två bockmarkeringar.

IV.Identiteter och åtkomstbehörigheter hanteras med identitetsstyrning.

V.Användare, enhet, plats och beteende analyseras i realtid för att fastställa risker och tillhandahålla kontinuerligt skydd.

VI.Integrera hot signalerna från andra säkerhetslösningar för att förbättra identifiering, skydd och svar.

Distributionsguide för identitet utan förtroende

I den här guiden får du de steg som krävs för att hantera identiteter enligt principerna för ett Zero Trust-säkerhetsramverk.




Checklistikon med en bockmarkering.

Mål för inledande distribution

I. Molnidentitet federerats med lokala identitetssystem

Azure Active Directory (AD) möjliggör stark autentisering, en integrationspunkt för slutpunktssäkerhet och kärnan i dina användarcentrerade principer för att garantera minst privilegierad åtkomst. Azure AD-funktionerna för villkorsstyrd åtkomst är principbeslutspunkten för åtkomst till resurser baserat på användaridentitet, miljö, enhetshälsa och risk – verifierade uttryckligen vid åtkomstpunkten. Vi kommer att visa hur du kan implementera en strategi för nollförtroendeidentitet med Azure AD.

Översikt över stegen i steg 1 i de inledande distributionsmålen.

Anslut alla dina användare till Azure AD och federera med lokala identitetssystem

Genom att underhålla en felfri pipeline för dina anställdas identiteter och de säkerhetsartefakter som behövs (grupper för auktorisering och slutpunkter för extra åtkomstprincipkontroller) får du den bästa platsen för att använda konsekventa identiteter och kontroller i molnet.

Följ de här anvisningarna:

  1. Välj ett autentiseringsalternativ. Med Azure AD får du bästa möjliga råstyrt, DDoS och lösenordsskydd, men fatta det beslut som passar din organisation och dina efterlevnadsbehov.

  2. Ta bara med de identiteter som du verkligen behöver. Använd till exempel att gå till molnet som en möjlighet att lämna tjänstkonton som bara är meningsfulla lokalt. Lämna roller med lokal privilegierad rätt.

  3. Om ditt företag har fler än 100 000 användare, grupper och enheter kombinerade bygger du en synkroniseringsruta med hög prestanda som håller din livscykel uppdaterad.

Upprätta Identity Foundation med Azure AD

En nollförtroendestrategi kräver att du uttryckligen verifierar, använder principer för minst behörighet och förutsätter intrång. Azure AD kan fungera som principbeslutspunkt för att tillämpa dina åtkomstprinciper baserat på insikter om användare, slutpunkt, målresurs och miljö.

Ta det här steget:

  • Lägg Azure AD i sökvägen för varje åtkomstbegäran. Detta ansluter varje användare och varje app eller resurs via en identitetskontrollplan och ger Azure AD en signal som gör det möjligt att fatta bästa möjliga beslut om autentiserings-/auktoriseringsrisken. Dessutom ger enkel inloggning och konsekventa policyer en bättre användarupplevelse och bidrar till produktivitetsförbättringar.

Integrera alla dina program med Azure AD

Enkel inloggning hindrar användare från att lämna kopior av sina autentiseringsuppgifter i olika appar och hjälper till att undvika att användarna blir vana att använda sina autentiseringsuppgifter på grund av överflödig uppmaning.

Kontrollera också att du inte har flera IAM-motorer i din miljö. Detta försämrar inte bara mängden signal som Azure AD ser, vilket gör att dåliga aktör kan bo i de två IAM-motorerna, det kan också leda till dålig användarupplevelse och dina affärspartner blir de första som är osäkra på din nollförtroendestrategi.

Följ de här anvisningarna:

  1. Integrera moderna företagsprogram som talar OAuth2.0 eller SAML.

  2. För Kerberos- och formulärbaserade autentiseringsprogram integrerar du dem med Azure AD-programproxy.

  3. Om du publicerar dina äldre program med hjälp av programleveransnätverk/-handkontroller använder du Azure AD för att integrera med de flesta av de större (t.ex. Citrix, Akamai och F5).

  4. Granska resurser och verktyg för att hjälpa dig att upptäcka och migrera dina appar från ADFS och befintliga/äldre IAM-motorer.

  5. Med Power push-identiteter kan du använda olika molnprogram. Det här ger dig en t mindre identitetslivscykelintegrering i de apparna.

Tips!

Läs mer om hur du implementerar en strategi förhelt noll förtroende för program.

Verifiera explicit med stark autentisering

Följ de här anvisningarna:

  1. Distribuera Azure AD MFA (P1). Det här är en grund för att minska risken för användarsessioner. När användare visas på nya enheter och från nya platser är att kunna svara på en MFA-utmaning ett av de mest direkta sätten som dina användare kan lära oss att dessa är välbekanta enheter/platser när de flyttar runt om i världen (utan att administratörer parsar enskilda signaler).

  2. Blockera äldre autentisering. En av de vanligaste attackvektorerna för skadliga aktör är att använda stulna/omspelade autentiseringsuppgifter mot äldre protokoll, till exempel SMTP, som inte kan hantera moderna säkerhetsutmaningar.

II. Villkorsstyrda åtkomstprinciper portar åtkomst och tillhandahåller åtgärdsaktiviteter

Villkorlig åtkomst i Azure AD (CA) analyserar signaler som användare, enhet och plats för att automatisera beslut och upprätthålla organisationens åtkomstprinciper för resurser. Du kan använda CA-principer för att använda åtkomstkontroller som multifaktorautentisering (MFA). Med CA-principer kan du uppmana användarna att ange MFA när det behövs för säkerhet och hålla sig borta från användarna när de inte behövs.

Diagram över villkorsstyrda åtkomstprinciper i nollförtroende.

Microsoft tillhandahåller vanliga villkorsstyrda principer som kallas säkerhetsstandarder och säkerställer en grundläggande säkerhetsnivå. Din organisation kan emellertid behöva mer flexibilitet än vad standardinställningar för säkerhet erbjuder. Du kan använda villkorsstyrd åtkomst för att anpassa säkerhetsstandarder med mer detaljerad information och konfigurera nya principer som uppfyller dina krav.

Att planera villkorsstyrda åtkomstprinciper i förväg och ha en uppsättning aktiva och reservprinciper är en grund för tillämpning av Access-principen i en nollförtroendedistribution. Ta dig tid att konfigurera dina betrodda IP-platser i din miljö. Även om du inte använder dem i en princip för villkorsstyrd åtkomst, så informeras risken med identitetsskydd som nämns ovan om du konfigurerar dessa IP-adresser.

Ta det här steget:

Registrera enheter med Azure AD för att begränsa åtkomsten från sårbara och komprometterade enheter

Följ de här anvisningarna:

  1. Aktivera Azure AD-hybridkoppling eller Azure AD-koppling. Om du hanterar användarens bärbara/dator ska du föra in informationen i Azure AD och använda den för att fatta bättre beslut. Du kan till exempel välja att tillåta omfattande klientåtkomst till data (klienter som har offlinekopior på datorn) om du vet att användaren kommer från en dator som din organisation styr och hanterar. Om du inte tar med detta i, väljer du förmodligen att blockera åtkomst från avancerade klienter, vilket kan resultera i att dina användare arbetar runt din säkerhet eller använder skugg-IT.

  2. Aktivera Intune-tjänsten inom Microsoft Endpoint Manager (EMS) för hantering av dina användares mobila enheter och registrera enheter. Samma sak kan sägas om mobila enheter för användare om bärbara datorer: Ju mer du känner till dem (korrigeringsnivå, jailbroken, rotad osv.), desto mer du kan lita på eller missleda dem och ange en rationell grund för varför du blockerar/tillåter åtkomst.

Tips!

Läs mer om implementering av en strategi för helt nollförtroende för slutpunkter

III. Analys förbättrar synligheten

När du bygger upp din verksamhet i Azure AD med autentisering, auktorisering och etablering är det viktigt att ha stark driftsinformation i vad som händer i katalogen.

Konfigurera loggning och rapportering för bättre synlighet

Ta det här steget:

  • Planera en Azure AD-rapportering och övervakning av distributionen för att kunna spara och analysera loggar från Azure AD, antingen i Azure eller med ett valbara SIEM-system.




Checklisteikon med två bockmarkeringar.

Ytterligare distributionsmål

IV. Identiteter och åtkomstbehörigheter hanteras med identitetsstyrning

När du har slutfört de tre första målen kan du fokusera på ytterligare mål, till exempel ge bättre identitetsstyrning.

Översikt över stegen i fas 4 av de ytterligare distributionsmålen.

Säker behörighet med Privileged Identity Management

Styr slutpunkter, villkor och autentiseringsuppgifter som användarna använder för att få åtkomst till behöriga åtgärder/roller.

Följ de här anvisningarna:

  1. Ta kontroll över dina privilegierade identiteter. Kom ihåg att i en digitalt transformerad organisation är behörighet inte bara administrativ åtkomst, utan även programägare eller utvecklaråtkomst som kan ändra hur verksamhetskritiska appar kör och hanterar data.

  2. Använd Privileged Identity Management för att skydda privilegierade identiteter.

Användarens medgivande till program är ett mycket vanligt sätt för moderna program att få åtkomst till organisationens resurser, men det finns några metodtips att tänka på.

Följ de här anvisningarna:

  1. Begränsa användarens medgivande och hantera medgivandebegäranden för att säkerställa att ingen onödig exponering sker av organisationens data för appar.

  2. Granska tidigare/befintligt medgivande i din organisation för överflödigt eller skadligt medgivande.

Mer information om verktyg för att skydda mot taktiker för att komma åt känslig information finns i "Stärka skyddet mot cyberhot och falska appar" i vår guide för att implementera en strategi för noll förtroende-identitet.

Hantera berättigande

Med program som autentiserar och drivs centralt från Azure AD kan du nu effektivisera processen för åtkomstbegäran, godkännande och återbetalningsprocess för att se till att rätt personer har rätt åtkomst och att du har en del av varför användarna i organisationen har den åtkomst de har.

Följ de här anvisningarna:

  1. Använd hantering av berättigande för att skapa åtkomstpaket som användare kan begära när de ansluter till olika team/projekt och som tilldelar dem åtkomst till associerade resurser (till exempel program, SharePoint webbplatser, gruppmedlemskap).

  2. Om det inte är möjligt att distribuera berättigandehantering för organisationen för stunden ska du åtminstone aktivera självbetjäning för grupphantering och självbetjäning för programåtkomst.

Använd lösenordslös autentisering för att minska risken för nätfiske- och lösenordsattacker

Med Azure AD med stöd för FIDO 2.0 och lösenordslös telefonloggning kan du flytta nålen på de autentiseringsuppgifter som dina användare (särskilt känsliga/privilegierade användare) använder i det dagliga. Dessa autentiseringsfaktorer är starka autentiseringsfaktorer som också kan minska risken.

Ta det här steget:

V. Användare, enhet, plats och beteende analyseras i realtid för att fastställa risker och tillhandahålla kontinuerligt skydd

Realtidsanalys är avgörande för att fastställa risker och skydd.

Översikt över stegen i fas 5 av de ytterligare distributionsmålen.

Distribuera Azure AD-lösenordsskydd

När du aktiverar andra metoder för att verifiera användare explicit ska du inte ignorera svaga lösenord, lösenordsaktivering och intrång i attacker för uppspelning. Och klassiska komplexa lösenordsprinciper förhindrar inte de vanligaste lösenordsattackerna.

Ta det här steget:

Aktivera identitetsskydd

Få mer detaljerad session/användarrisksignal med Identity Protection. Du kan undersöka risken och bekräfta kompromettering eller avvisa signalen, vilket gör att motorn bättre förstår hur risken ser ut i din miljö.

Ta det här steget:

Aktivera Microsoft Defender för molnprogramsintegrering med Identitetsskydd

Microsoft Defender för molnappar övervakar användarbeteende i SaaS och moderna program. Det här informerar Azure AD om vad som har hänt med användaren efter att de autentiserat och fått en token. Om användarmönstret börjar se misstänkt ut (t.ex. en användare börjar ladda ned gb med data från OneDrive eller börjar skicka skräppostmeddelanden i Exchange Online) kan en signal matas in till Azure AD om att användaren verkar vara komprometterad eller hög risk. På nästa åtkomstbegäran från den här användaren kan Azure AD vidta rätt åtgärder för att verifiera användaren eller blockera användaren.

Ta det här steget:

Aktivera villkorsstyrd åtkomstintegrering med Microsoft Defender för molnappar

Genom att använda signaler som har hanterats efter autentiseringen kan du övervaka sessioner till SaaS-program och tillämpa begränsningar med Defender för molnappar.

Följ de här anvisningarna:

  1. Aktivera villkorsstyrd åtkomstintegrering.

  2. Utöka villkorsstyrd åtkomst till lokala appar.

Aktivera begränsad session för användning i åtkomstbeslut

När risken för en användare är låg, men de loggar in från en okänd slutpunkt, kanske du vill ge dem åtkomst till viktiga resurser, men inte tillåta dem att göra saker som lämnar organisationen i ett annat tillstånd. Nu kan du konfigurera Exchange Online och SharePoint Online för att ge användaren en begränsad session som gör att de kan läsa e-postmeddelanden eller visa filer, men inte ladda ned dem och spara dem på en enhet som inte är betrodd.

Ta det här steget:

VI. Integrera hotsignaler från andra säkerhetslösningar för att förbättra identifiering, skydd och svar

Slutligen kan andra säkerhetslösningar integreras mer effektivt.

Integrera Microsoft Defender för identitet med Microsoft Defender för molnappar

Integrering med Microsoft Defender för identitet gör att Azure AD kan veta att en användare härdlar av riskabelt beteende medan de får åtkomst till lokala, icke-moderna resurser (t.ex. filresurser). Det här kan sedan beaktas i den övergripande användarrisken för att blockera ytterligare åtkomst i molnet.

Följ de här anvisningarna:

  1. Aktivera Microsoft Defender för identitet med Microsoft Defender för molnappar för att ge lokala signaler till den risksignal vi känner till om användaren.

  2. Kontrollera den kombinerade poäng för undersökningsprioritet för varje användare som är riskabel för att ge en vy av vilka soc-programmet ska fokusera på.

Aktivera Microsoft Defender för Slutpunkt

Med Microsoft Defender för Slutpunkt kan du bedöma hälsotillståndet för Windows-datorer och avgöra om de utser en kompromiss. Sedan kan du mata in informationen i den för att minska risken vid körning. Domänkoppling ger dig en känsla av kontroll, men med Defender för Slutpunkt kan du reagera på en skadlig skadlig attack i nära realtid genom att upptäcka mönster där flera användarenheter klickar på opålitliga webbplatser och reagera genom att höja enhets- eller användarrisken vid körning.

Ta det här steget:

Produkter som omfattas av den här guiden

Microsoft Azure

Azure Active Directory

Microsoft Defender för identitet

Microsoft 365

Microsoft Endpoint Manager (inklusive Microsoft Intune)

Microsoft Defender för Slutpunkt

SharePoint Online

Exchange Online

Sammanfattning

Identiteten är central för en framgångsrik nollförtroendestrategi. Om du vill ha mer information eller hjälp med implementering kontaktar du din team för kundframgång eller fortsätter att läsa igenom de andra kapitel i den här guiden, som spänner över alla Zero Trust-pelar.



Distributionsguideserien Nollförtroende

Ikon för introduktionen

Ikon för identitet

Ikon för slutpunkter

Ikon för program

Ikon för data

Ikon för infrastruktur

Ikon för nätverk

Ikon för synlighet, automatisering, automatisering