特权访问:中介
中介设备的安全性是保护特权访问的关键组成部分。
中介将添加指向用户或管理员端到端会话的零信任保证链的链接,因此它们必须保持(或提高)会话中的零信任安全保证。 中介的示例包括虚拟专用网 (VPN)、跳转服务器、虚拟桌面基础结构 (VDI) 以及通过访问代理发布应用程序。
攻击者可能会攻击中介,从而尝试使用存储在中介上的凭据提升权限,获取对企业网络的网络远程访问权限,或者在该设备中利用信任(如果用于零信任访问决策)。 以中介为攻击目标已成为一种很常见的情况,尤其是对于那些未严格维持这些设备的安全状况的组织来说。 例如,从 VPN 设备收集的凭据。
中介因用途和技术而异,但通常会提供远程访问和/或会话安全:
- 远程访问 - 能够从 Internet 访问企业网络上的系统
- 会话安全 - 提高会话的安全保护和可见性
- 非托管设备方案 - 提供一个旨在由非托管设备访问的托管虚拟桌面(例如,个人员工设备)和/或由合作伙伴/供应商管理的设备。
- 管理员安全方案 - 整合管理路径和/或通过实时访问、会话监视和记录以及类似功能来提高安全性。
要确保维持从发起方设备和帐户到资源接口的安全性,需要了解中介的风险配置文件和缓解选项。
攻击者机会和价值
不同中介类型可执行独特的功能,因此它们各自需要不同的安全方法,但他们也有一些关键的共性,例如,将安全修补程序快速应用到设备、固件、操作系统和应用程序。
攻击者机会表示为攻击者可以作为攻击目标的攻击面:
- 本机云服务(如 Microsoft Entra PIM、Azure Bastion 和 Microsoft Entra 应用程序代理)限制了攻击者能够利用的攻击面。 当本机云服务向公共 Internet 公开时,客户(和攻击者)无权访问提供服务的基础操作系统,通常通过云提供商提供的自动化机制来维护和监视它们。 较之于传统的本地应用程序和设备,本机云服务的攻击面较小,因此限制了攻击者可以采用的方案,而传统的应用程序和设备必须由 IT 人员配置、修补和监视,这些 IT 人员常忙于处理有冲突的优先事项和更多安全任务,而无法完成上述操作。
- 虚拟专用网 (VPN) 和远程桌面 / 跳转服务器常常会让攻击者有很大的机会,因为它们会向 Internet 公开以提供远程访问,而且这些系统的维护经常被忽视。 虽然服务器只公开了几个网络端口,但攻击者只需要访问一个未经修补的服务即可发动攻击。
- 第三方 PIM/PAM 服务经常托管在本地,或作为 VM 托管在基础结构即服务 (IaaS) 上,通常仅可供内网主机使用。 如果未直接向 Internet 公开,则单个泄露的凭据可能会允许攻击者通过 VPN 或其他远程访问介质访问该服务。
“攻击者价值”代表攻击者通过破坏中介可以获得的内容。 “泄露”的定义是:攻击者对应用程序/VM 和/或云服务客户实例的管理员获得完全控制权。
攻击者可从中介收集有关攻击的下一阶段因素,包括:
- 获取网络连接,与企业网络上的大多数或所有资源通信。 此访问通常由 VPN 和远程桌面/跳转服务器解决方案提供。 尽管 Azure Bastion 和 Microsoft Entra 应用程序代理(或类似的第三方解决方案)解决方案也提供远程访问,但这些解决方案通常是特定于应用程序或服务器的连接,不提供一般的网络访问
- 模拟设备标识 - 如果需要某个设备来进行身份验证和/或被攻击者需要使用某个设备来收集有关目标网络的情报,则可以破坏零信任机制。 安全运营团队通常不会密切监视设备帐户活动,而是只关注用户帐户。
- 盗取帐户凭据以对资源进行身份验证,这些帐户凭据对于攻击者来说是最有价值的资产,因为能够提升特权来访问其最终目标或攻击的下一个阶段。
远程桌面/跳转服务器和第三方 PIM/PAM 是最具吸引力的目标,并且采用“所有鸡蛋放在一个篮子里”策略,这增加了攻击者能够获得的价值,也增加了安全缓解措施:
- PIM/PAM 解决方案通常会存储组织中大多数或所有特权角色的凭据,因此首当其中成为了攻击和变为武器的目标。
- 利用 Microsoft Entra PIM,攻击者便无法盗取凭证,因为它会解锁已使用 MFA 或其他工作流分配给某个帐户的特权,但设计欠妥的工作流可能会允许攻击者提升权限。
- 管理员使用的远程桌面/跳转服务器提供了一个主机,很多或所有敏感会话都通过这个主机,这让攻击者能够使用标准凭据盗窃攻击工具来窃取和重复使用这些凭据。
- VPN 可能将凭证存储在解决方案中,这为攻击者提供潜在的特权提升的宝藏,因此我们强烈建议使用 Microsoft Entra ID 进行身份验证,以缓解这种风险。
中介安全配置文件
建立这些保证需要组合使用安全控制措施,其中一些是许多中介共有的,某些则是中介类型特有的。
中介是零信任链中的一个链接,它向用户/设备提供接口,然后启用对下一个接口的访问。 安全控制措施必须处理入站连接、中介设备/应用程序/服务本身的安全性,并且(如果适用)为下一个接口提供零信任安全信号。
常见的安全控制措施
中介的常见安全要点主要是针对企业和专用级别维护良好的安全机制,并对权限安全性有额外的限制。
应将这些安全控制措施应用于所有类型的中介:
- 强制执行入站连接安全 - 使用 Microsoft Entra ID 和条件访问,以确保来自设备和帐户的所有入站连接都是已知、受信任和允许的。 有关详细信息,请参阅文章保护特权接口,了解适用于企业和特殊用途的设备和帐户要求的详细定义。
- 适当的系统维护 - 所有中介都必须遵循良好的安全卫生机制,包括:
- 安全的配置 - 针对应用程序和任何基础操作系统、云服务或其他依赖关系,遵循制造商或行业中规定的安全配置基线和最佳实践。 Microsoft 提供的适用指导包括 Azure 安全基线和 Windows 基线。
- 快速修补 - 在供应商发布了安全更新和修补程序之后,必须快速应用。
- 基于角色的访问控制 (RBAC) 模型可能被攻击者滥用,以提升权限。 必须仔细审查中介的 RBAC 模型,以确保只有在专用级别或特权级别保护的授权人员才能获得管理权限。 此模型必须包含任何基础操作系统或云服务(根帐户密码、本地管理员用户/组、租户管理员等)。
- 终结点检测和响应 (EDR) 和出站信任信号 - 包含完整操作系统的设备应通过 Microsoft Defender for Endpoint 之类的 EDR 进行监视和保护。 应将这种控制措施配置为向条件访问提供设备相容性信号,以便策略可以对接口强制实施该要求。
特权中介还需要其他安全控制措施:
- 基于角色的访问控制 (RBAC) - 管理权限必须限定为仅满足工作站和帐户标准的特权角色。
- 专用设备(可选)- 由于特权会话有很大敏感性,组织可能会选择为特权角色实现中介功能的专用实例。 该控制措施对这些特权中介启用附加安全限制,并对特权角色活动进行更密切的监视。
每种中介类型的安全指南
本部分包含特定于每种类型的中介的具体安全指南。
特权访问管理/特权标识管理
为安全用例显式设计的一种中介类型是特权身份管理/特权访问管理 (PIM/PAM) 解决方案。
PIM/PAM 的用例和方案
PIM/PAM 解决方案旨在提高专用或特权配置文件所涵盖的敏感帐户的安全保证,并且通常重点关注 IT 管理员。
虽然 PIM/PAM 供应商的功能有所不同,但许多解决方案都提供了安全功能以实现以下目的:
简化服务帐户管理和密码轮替(一项至关重要的功能)
为实时 (JIT) 访问提供高级工作流
记录和监视管理会话
重要
PIM/PAM 功能为某些攻击提供了极佳的缓解措施,但还是无法解决很多特权访问风险,最主要的是设备入侵的风险。 尽管某些供应商生成其 PIM/PAM 解决方案是可降低设备风险的“万能型”解决方案,但我们对客户事件的调查体验已经一致证实,这在实践中并不起作用。
在用户登录时,控制工作站或设备的攻击者可以使用这些凭据(和分配给他们的特权),并且通常可以偷窃凭据以便以后使用。 独立使用 PIM/PAM 解决方案并无法一致可靠地查看和缓解这些设备风险,因此必须具有相互补充的独立设备和帐户保护措施。
PIM/PAM 的安全风险和建议
每个 PIM/PAM 供应商提供的功能各不相同,因此请查看并遵循供应商的具体安全配置建议和最佳实践。
注意
请确保在业务关键工作流中设置另一个人员,以帮助减少内部风险(增加了可能内部威胁共谋带来的成本/阻力)。
最终用户虚拟专用网
虚拟专用网 (VPN) 是为远程终结点提供完全网络访问权限的中介,通常要求最终用户进行身份验证,并且可以在本地存储凭据以对入站用户会话进行身份验证。
注意
本指南仅指用户使用的“点到站点”VPN,而不是通常用于数据中心/应用程序连接的“站点到站点”VPN。
VPN 的用例和方案
VPN 建立与企业网络的远程连接,从而为用户和管理员启用资源访问。
VPN 的安全风险和建议
VPN 中介面临的最严重风险包括:维护疏忽、配置问题以及凭据的本地存储。
Microsoft 建议对 VPN 中介使用组合控制措施:
- 集成 Microsoft Entra 身份验证 - 降低或消除本地存储凭据的风险(和维护它们的任何开销负担)并在具有条件访问权限的入站帐户/设备上强制实施零信任策略。 有关集成的指南,请参阅
- 快速修补 - 确保所有组织元素都支持快速修补,其中包括:
- 针对要求的组织赞助和领导支持
- 以最短甚至零停机时间更新 VPN 的标准技术流程。 该过程应包括 VPN 软件、设备以及任何基础操作系统或固件
- 用于快速部署关键安全更新的紧急流程
- 用于不断发现并修正任何缺失项目的治理
- 安全配置 - 每个 VPN 供应商提供的功能各不相同,因此请查看并遵循供应商的具体安全配置建议和最佳实践
- 超越 VPN - 使用更安全的选项(如 Microsoft Entra 应用程序代理或 Azure Bastion)在一段时间内更换 VPN,因为这些选项仅提供直接应用程序/服务器访问,而不提供完全的网络访问。 此外,Microsoft Entra 应用程序代理允许使用 Microsoft Defender for Cloud Apps 进行会话监视,以提高安全性。
Microsoft Entra 应用程序代理
Microsoft Entra 应用程序代理和类似的第三方功能提供对本地或云中的 IaaS VM 上托管的旧应用程序的远程访问。
Microsoft Entra 应用程序代理的用例和应用场景
此解决方案适用于发布旧版最终用户生产力应用程序以通过 Internet 来对用户授权。 还可用于发布某些管理应用程序。
Microsoft Entra 应用程序代理的安全风险和建议
Microsoft Entra 应用程序代理可将现有应用程序有效地改造为现代零信任策略强制措施。 有关详细信息,请参阅 Microsoft Entra 应用程序代理的安全注意事项
Microsoft Entra 应用程序代理还可以集成 Microsoft Defender for Cloud Apps 以添加条件访问应用控制会话安全,从而实现以下目的:
- 阻止数据渗透
- 下载时保护
- 阻止上传未标记文件
- 监视用户会话的合规性
- 阻止访问
- 阻止自定义活动
有关详细信息,请参阅为 Microsoft Entra 应用部署 Defender for Cloud 应用条件访问应用控制
当通过 Microsoft Entra 应用程序代理发布应用程序时,Microsoft 建议让应用程序所有者与安全团队合作,以遵循最低权限,并确保对每个应用程序的访问仅提供给需要的用户。 当以这种方式部署更多应用时,可以将某个最终用户点偏移到站点 VPN 使用情况。
远程桌面/跳转服务器
此方案提供运行一个或多个应用程序的完整桌面环境。 此解决方案有许多不同的变体,包括:
- 体验 - 窗口形式的完整桌面,或单个应用程序计划的体验
- 远程主机 - 可以是共享 VM,也可以是采用了 Azure 虚拟桌面 (WVD) 或其他虚拟桌面基础设施 (VDI) 解决方案的专用 VM。
- 本地设备 - 可能是移动设备、托管工作站或个人/合作伙伴管理的工作站
- 方案 - 重点介绍用户生产力应用程序或管理方案,通常称为“跳转服务器”
远程桌面/跳转服务器的使用案例和安全建议
最常见的配置是:
- 直接远程桌面协议 (RDP) - 对于 Internet 连接,不建议使用此配置,因为 RDP 是一种协议,对于密码喷涂等新式攻击的防范作用不大。 应将直接 RDP 进行如下转换:
- RDP,将经过 Microsoft Entra 应用程序代理发布的网关
- Azure Bastion
- RDP,经过网关,并使用
- Windows Server 中包含的远程桌面服务 (RDS)。 使用 Microsoft Entra 应用程序代理发布。
- Windows 虚拟桌面 (WVD) - 遵循 Windows 虚拟桌面安全最佳做法。
- 第三方 VDI - 遵循制造商或行业的最佳实践,或调整解决方案的 WVD 指导
- 安全外壳 (SSH) 服务器 - 为技术部门和工作负荷所有者提供远程 Shell 和脚本。 要确保此配置的安全,应包括:
- 按照行业/制造商最佳做法来安全地配置,更改任何默认密码(如果适用)并且使用 SSH 密钥而不是密码,以及安全地存储和管理 SSH 密钥。
- 将 Azure Bastion 来 SSH 远程连接到 Azure 中托管的资源 - 使用 Azure Bastion 连接到 Linux VM
Azure Bastion
Azure Bastion 是一个中介,旨在使用浏览器和 Azure 门户提供对 Azure 资源的安全访问。 Azure Bastion 可以访问 Azure 中支持远程桌面协议 (RDP) 和安全外壳 (SSH) 协议的资源。
Azure Bastion 的用例和方案
Azure Bastion 有效地提供了一个灵活的解决方案,IT 运营人员和 IT 部门以外的工作负荷管理员可使用它来管理 Azure 中托管的资源,而无需与环境建立完全的 VPN 连接。
Azure Bastion 的安全风险和建议
可通过 Azure 门户访问 Azure Bastion,因此请确保 Azure 门户界面要求用户提供合适级别的安全性才能访问其中的资源以及使用资源的角色,通常是特权级别或专业级别。
Azure Bastion 文档中还提供了其他指导