在 Microsoft 365 中了解用于访问控制的工具和技术
Microsoft 365 使用各种工具和技术来确保服务团队帐户的安全。 在本单元中,我们将回顾其中一些工具,为讨论 Microsoft 如何实施无永久访问 (ZSA) 奠定基础。
身份管理工具 (IDM)
Microsoft 365 使用名为身份管理工具 (IDM) 的帐户管理系统来跟踪服务团队帐户的整个生命周期。 IDM 会自动跟踪所有服务团队帐户的状态,从初始帐户请求到资格验证、审批、创建、修改以及不再需要帐户时的禁用。
在创建新的服务团队帐户之前,IDM 会确保满足所有资格要求。 这些要求包括人员筛选、安全和隐私培训以及适当的经理批准。 每次请求修改帐户时,IDM 还会通知经理进行审批。 当员工被调岗、解聘或未能完成所需的培训时,IDM 会自动撤销对其服务团队帐户的访问权限并通知其经理。
自动化是我们大规模提供安全性的方法的核心。 大部分帐户管理由 IDM 自动执行。 IDM 会在服务团队帐户处于不活动状态 90 天后自动将其禁用。 此外,将自动锁定失败登录尝试次数超出阈值的服务团队帐户。 系统会在服务团队帐户的整个生命周期中自动对其进行审核。 人工审查访问权限是例外情况。 发生这种情况时,Microsoft 365 服务团队会至少每季度执行一次。
基于角色的访问控制 (RBAC)
Microsoft 365 服务团队使用 Active Directory (AD) 和 Microsoft Entra ID 强制实施的 Role-Based 访问控制 (RBAC) 。 服务团队人员请求访问所需角色,但须经管理层批准。 如果获得批准,他们将被置于与其支持系统的角色相对应的安全组中。
服务团队帐户访问根据最小权限原则进行管理。 RBAC 将服务团队帐户限制为仅在与其角色对应的环境中完成所需任务所需的访问权限。 RBAC 还通过将服务团队帐户限制为适合其当前职责的角色来帮助强制执行职责分离要求。
远程访问
Microsoft 365 系统组件位于数据中心,数据中心与运营团队在地理位置上是分开的。 数据中心人员具有对 Microsoft 365 环境的物理访问权限,但没有逻辑访问权限。 相反,服务团队人员具有逻辑访问权限,但没有物理访问权限。 因此,服务团队人员通过远程访问来管理环境。 所有经过批准的活动都通过远程访问 Microsoft 365 环境来获得执行授权。 需要远程访问以支持 Microsoft 365 的服务团队人员仅在获得授权经理批准后才被授予远程访问权限。 所有远程访问都使用与 FIPS 140-2 兼容的 TLS 进行安全远程连接。
安全访问工作站 (SAW)
Microsoft 365 向支持 Microsoft 365 生产环境的服务团队工程师发布安全访问工作站 (SAW)。 SAW 通过减少工程师在支持 Microsoft 365 服务时用来执行管理操作的设备的攻击面来提高安全性。
Microsoft 的 SAW 是专门设计和生产的便携式计算机,可针对硬件和软件漏洞提供额外的保护。 Microsoft 直接与受信任的供应商合作构建 SAW,缩短供应链以确保 SAW 硬件的安全性。 功能受到有意限制的强化操作系统可进一步缓解或消除常见的攻击途径。 SAW 强化做法包括禁用对 USB 驱动器的写入、强制实施严格的应用程序允许列表、删除生产力套件和电子邮件访问、限制 Internet 浏览、强制使用强化浏览器、通过代理筛选器路由流量,以及通过组策略强制非活动屏幕保护程序锁定。
Microsoft 365 访问控制系统会在访问时自动检查工程师 SAW 的运行状况,并拒绝来自不合规 SAW 的连接。 设备健康状况检查是对其他访问控制措施(包括 IP 限制、IPsec 策略以及通过多重身份验证进行用户标识验证)的补充。 对 SAW 使用情况进行严格的监控和记录,以检测和防止未经授权的使用。 不合规的设备会被自动禁用。
多重身份验证 (MFA)
Microsoft 365 要求对所有服务团队帐户进行多重身份验证 (MFA)。 MFA 要求在登录系统时提供多种形式的验证或因素来证明工程师身份,从而提高帐户的安全性。 可用于 MFA 的因素类型分为三类:
- 你掌握的信息 - 密码、安全问题的答案或个人标识号 (PIN)
- 你拥有的东西 - 安全令牌生成器或接收通知的移动应用
- 你本人的特征 - 例如指纹或面部扫描等生物特性
Microsoft 365 要求至少满足两个因素才能通过 MFA。 使用 MFA 可限制凭据泄露的影响,从而提高 Microsoft 365 的安全性。 在 Microsoft 365 中,盗用用户密码的攻击者还需要拥有其安全令牌生成器才能完全通过身份验证。 仅满足单一因素的身份验证不足以访问 Microsoft 365,可以锁定潜在攻击者并为用户提供时间来更改其被盗用的密码。