通过零信任保护标识
Background
云应用程序和移动工作人员的出现让安全外围有了新的定义。 员工们开始使用自己的设备,并采用远程办公的方式工作。 数据可在企业网络之外进行访问,并与合作伙伴和供应商等外部协作者共享。 企业应用程序和数据正从本地迁移到混合环境和云环境。 组织无法继续依赖传统网络控制确保数据安全。 相关的控制措施需要移至数据所在位置:设备端、应用程序内部,以及合作伙伴处。
表示人员、服务或 IoT 设备的标识是当今许多网络、终结点和应用程序的通用控制器。 在零信任安全模型中,标识可用作一种强大、灵活且精细的数据访问权限控制方式。
在标识尝试访问资源之前,组织必须:
借助强身份验证验证标识。
确保对该标识的访问合规且典型。
遵循最低特权访问原则。
验证标识后,可以根据组织策略、持续风险分析和其他工具控制该标识对资源的访问权限。
标识零信任部署目标
在大多数组织开启部署零信任的旅程之前,他们的标识方法普遍存在问题,原因在于这些组织会采用本地标识提供程序,云应用程序与本地应用程序之间不存在任何 SSO,并且标识风险的可见性非常有限。
在实施标识端到端零信任框架时,建议首先关注以下初始部署目标: |
|
III.分析提升可见性。 |
|
完成上述目标后,专注于以下附加部署目标: |
|
标识零信任部署指南
本指南将指导你按照零信任安全框架的原则完成管理标识所需的步骤。
|
初始部署目标 |
I. 云标识与本地标识系统联合
Microsoft Entra ID 支持强身份验证、终结点安全集成点和以用户为中心的策略核心,以保障能够以最低特权进行访问。 Microsoft Entra 条件访问功能作为策略决策点,根据用户标识、环境、设备运行状况和风险(在接入点处经过显式验证)访问资源。 我们将演示如何使用 Microsoft Entra ID 实施零信任标识策略。
将所有用户连接到 Microsoft Entra ID 并联合本地标识系统
维持健康的员工标识和必要安全项目(用于授权的组和进行额外访问策略控制的终结点)管道便于你在云中充分利用一致的标识和控制。
执行以下步骤:
选择一种身份验证方法。 Microsoft Entra ID 可提供应对暴力破解、DDoS 和密码喷洒的最佳保护措施,但请做出适合织以及满足合规性需求的决策。
仅使用你确实需要的标识。 例如,将迁移到云视作一个消除只在本地有用的服务帐户的机会。 消除本地特权角色。
如果你所在企业的用户、组和设备总数超过 100,000 个,请构建一个高性能同步框,以便让生命周期保持最新状态。
使用 Microsoft Entra ID 建立标识基础
零信任策略需要显式验证、使用最低特权访问原则并设想安全漏洞。 Microsoft Entra ID 可以充当策略决策点,以根据用户、终结点、目标资源和环境方面的见解来强制实施访问策略。
执行此步骤:
- 将 Microsoft Entra ID 置于每个访问请求的路径中。 如此一来,便可将每位用户和每个应用程序或资源通过一个标识控制平面连接起来,并向 Microsoft Entra ID 发出信号,以便做出最佳身份验证/授权风险决策。 此外,单一登录和一致的策略防护机制可以带来更好的用户体验,并且有助于提高工作效率。
将所有应用程序与 Microsoft Entra ID 集成
单一登录可防止用户在多个应用程序中留下其凭据副本,并且有助于避免用户习惯于因过多提示而交出其凭据。
此外,请确保你的环境中没有多个 IAM 引擎。 这不仅会减少 Microsoft Entra ID 看到的信号量,让不良参与者得以存在于两个 IAM 引擎之间的接合处,还会导致用户体验不佳,并让你的业务伙伴成为零信任策略的首个质疑者。
执行以下步骤:
与采用 OAuth2.0 或 SAML 的新式企业应用程序集成。
对于基于 Kerberos 和窗体的身份验证应用程序,请使用 Microsoft Entra 应用程序代理集成它们。
如果使用应用程序传送网络/控制器发布旧版应用程序,请使用 Microsoft Entra ID 与大多数主要应用程序(如 Citrix、Akamai 和 F5)集成。
如需了解你的应用程序并将其从 ADFS 和现有/旧 IAM 引擎迁移走,请查看资源和工具。
将标识强力推送到各种云应用程序中。 这样做便于在这些应用程序中进行更加严格的标识生命周期集成。
借助强身份验证进行显式验证
执行以下步骤:
推出 Microsoft Entra 多重身份验证 (P1)。 这是降低用户会话风险的基础操作。 当用户在新设备上以及从新位置出现时,能够响应 MFA 质询是用户在身处世界各地时可以告诉我们这些是熟悉的设备/地点的最直接方式之一(无需管理员分析各个信号)。
阻止旧式身份验证。 对于恶意参与者而言,最常见的攻击途径之一是针对无法应对新式安全质询的旧版协议(如 SMTP)使用盗用/重播的凭据。
II. 条件访问策略授予访问权限并提供修正活动
Microsoft Entra 条件访问 (CA) 可分析各种信号(例如,用户、设备和位置)以自动做出决策,并强制实施组织的资源访问策略。 你可以使用 CA 策略来应用访问控制,如多重身份验证 (MFA)。 通过 CA 策略,你可以在有安全需要时提示用户进行 MFA,并在不需要时避免用户进入。
Microsoft 提供了标准的条件策略(称为安全默认值)可确保基本安全级别。 但是,组织所需要的灵活性可能超出了安全默认值能提供的。 你可以使用条件访问更精细地自定义安全默认值,并配置满足需求的新策略。
提前规划条件访问策略和制定一组积极的回退策略,是在零信任部署中强制实施访问策略的基础要素。 请花些时间在你的环境中配置受信任的 IP 位置。 即使不在条件访问策略中使用这些 IP,对其进行配置也会指出上述标识保护面临的风险。
执行此步骤:
使用 Microsoft Entra ID 注册设备,限制从易受攻击和遭到入侵的设备进行访问
执行以下步骤:
启用 Microsoft Entra 混合联接或 Microsoft Entra 联接。 如需管理用户的便携式计算机/计算机,请将该信息添加到 Microsoft Entra ID,并将其用于协助做出更好的决策。 例如,如果你知道用户来自你所在组织控制并管理的计算机,你可以选择允许富客户端访问数据(在计算机上具有脱机副本的客户端)。 如未添加这些信息,你可能会选择阻止来自富客户端的访问,这可能会导致用户避开你的安全防护或使用影子 IT。
在 Microsoft Endpoint Manager (EMS) 中启用 Intune 服务,以便管理用户的移动设备和注册设备。 就像便携式计算机一样,用户移动设备也是如此:你对它们的了解越多(补丁级别、越狱、取得根权限等),你能够信任或怀疑它们并提供阻止/允许访问的理由的程度就会越高。
III. 借助分析提高可见性
当你借助身份验证、授权和预配在 Microsoft Entra ID 中构建资产时,请务必对目录中发生的情况有深刻的操作见解。
配置记录和报告,以提高可见性
执行此步骤:
- 规划 Microsoft Entra 报告和监视部署,以便能够在 Azure 中或使用所选的 SIEM 系统保存和分析 Microsoft Entra ID 中的日志。
|
附加部署目标 |
IV. 使用标识治理管理标识和访问特权
完成最初的三个目标后,便可专注于更可靠的标识治理等附加目标。
使用 Privileged Identity Management 保护特权访问
控制用户用于访问特权操作/角色的终结点、条件和凭据。
执行以下步骤:
控制特权标识。 请记住,在经过数字化变革的组织中,特权访问不仅是管理访问权限,还可以是可以更改任务关键应用程序运行和处理数据的方式的应用程序所有者或开发者访问权限。
限制用户对应用程序的许可
用户对应用程序的许可是新式应用程序获取组织资源访问权限的一种非常常见的方式,但有一些最佳做法需要牢记。
执行以下步骤:
限制用户同意并管理同意请求,以确保组织的应用程序数据不会出现不必要的泄露。
评审组织中的先前/现有同意,了解任何过度或恶意同意情况。
如需详细了解用于防范敏感信息访问技巧的工具,请参阅标识零信任策略实施指南中的“增强对网络威胁和恶意应用的防护”。
管理权利
现在,你可以借助集中进行身份验证并通过 Microsoft Entra ID 驱动的应用程序,简化访问请求、审批和重新认证过程,以确保正确的人员拥有正确的访问权限,并且了解你所在组织中的用户拥有当前访问权限的原因。
执行以下步骤:
使用“权利管理”创建访问包,用户可以在加入不同的团队/项目时请求这些访问包,并且这些访问包可以向用户分配关联资源(如应用程序、SharePoint 站点、组成员资格)的访问权限。
使用无密码身份验证,降低网络钓鱼和密码攻击的风险
借助支持 FIDO 2.0 和无密码手机登录的 Azure AD,可以移动用户(尤其是敏感/特权用户)日常所用凭据上的针。 这些凭据不仅是强身份验证因素,还可以降低风险。
执行此步骤:
- 开始在你的组织中采用无密码凭据。
V. 对用户、设备、位置和行为进行实时分析以确定风险并提供即时保护
实时分析对于确定风险和保护措施至关重要。
部署 Microsoft Entra 密码保护
在启用其他方法来显式验证用户的同时,切勿忽略弱密码、密码喷射和安全漏洞重播攻击。 并且,经典而复杂的密码策略无法防止最常见的密码攻击。
执行此步骤:
启用“标识保护”
通过“标识保护”获取更精准的会话/用户风险信号。 你将能够调查风险并确认信号泄露或消除情况,这将有助于引擎更好地了解环境中的风险。
执行此步骤:
启用 Microsoft Defender for Cloud Apps 与 标识保护的集成
Microsoft Defender for Cloud Apps 监视 SaaS 和新式应用程序中的用户行为。 这样做可以通知 Microsoft Entra ID 用户在完成身份验证并收到令牌后遇到的情况。 如果用户模式开始显得可疑(如用户开始从 OneDrive 下载数千兆字节的数据,或开始在 Exchange Online 中发送垃圾电子邮件),则会向 Microsoft Entra ID 发送一个信号,告知用户似乎遭到入侵或面临高风险。 此用户发出下一次访问请求时,Microsoft Entra ID 可以正确地采取措施来验证或阻止该用户。
执行此步骤:
- 启用 Defender for Cloud Apps 监视,以增强标识保护信号。
启用条件访问与 Microsoft Defender for Cloud Apps 的集成
使用在身份验证后发出的信号并借助对应用程序的 Defender for Cloud Apps 代理请求,你将能够监视转到 SaaS 应用程序的会话并强制实施限制。
执行以下步骤:
启用条件访问集成。
启用受限会话,以便在访问决策中使用
如果用户风险较低,但他们正从未知终结点登录,则你可能希望允许他们访问关键资源,但不允许他们执行让你的组织陷入不合规状态的任何操作。 现在,你可以配置 Exchange Online 和 SharePoint Online,为用户提供受限会话,以便他们可以阅读电子邮件或查看文件,但无法下载相关内容并将其保存到不受信任的设备上。
执行此步骤:
- 启用对 SharePoint Online 和 Exchange Online 的有限访问权限
VI. 整合其他安全解决方案的威胁信号,以改善检测、保护和响应
最后,可以整合其他安全解决方案,以提高效率。
将 Microsoft Defender for Identity 与 Microsoft Defender for Cloud Apps 进行集成
与 Microsoft Defender for Identity 集成使 Microsoft Entra ID 可以知道用户在访问本地、非新式资源(如文件共享)时是否陷入危险行为。 然后,此情况会被纳入总体用户风险当中,以便拦截云中的进一步访问。
执行以下步骤:
启用 Microsoft Defender for Identity 与 Microsoft Defender for Cloud Apps 的集成,将本地信号纳入我们知道的与用户相关的风险信号。
检查每个风险用户的综合调查优先级分数,以便整体了解你的 SOC 应重点关注哪些用户。
启用 Microsoft Defender for Endpoint
Microsoft Defender for Endpoint 让你可以证明 Windows 计算机的运行状况,并确定这些计算机是否遭到入侵。 然后,你可以在运行时将馈送该信息,以便降低风险。 虽然域加入会带来控制感,但 Defender for Endpoint 使你能够以近乎实时的方式响应恶意软件攻击,方法是检测多个用户设备攻击不受信任站点的模式,并通过在运行时提高其设备/用户风险来做出反应。
执行此步骤:
根据网络安全方面的第 14028 号行政命令和 OMB 备忘录 22-09 保护标识
第 14028 号行政命令《改善国家网络安全》和 OMB 备忘录 22-09 包括零信任具体举措。 标识操作包括采用集中身份管理系统、使用强防网络钓鱼 MFA,以及在授权决策中整合至少一个设备级信号。 有关使用 Microsoft Entra ID 实施这些操作的详细指导,请参阅使用 Microsoft Entra ID 满足备忘录 22-09 中的标识要求。
本指南中涵盖的产品
Microsoft Azure
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager(包括 Microsoft Intune)
Microsoft Defender for Endpoint
结束语
标识是零信任策略取得成功的核心。 有关实施的详细信息或帮助,请联系你的客户成功团队,或通读本指南中的其他章节,其内容涵盖所有零信任要素。
零信任部署指南系列
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈