使用零信任保护标识

背景

云应用程序和移动员工已重新定义安全外围。 员工自带设备并远程工作。 正在公司网络外部访问数据,并与外部协作者(如合作伙伴和供应商)共享。 企业应用程序和数据正在从本地迁移到混合和云环境。 组织不能再依赖传统的网络控制来实现安全性。 控件需要移动到数据所在的位置:设备、应用内部和合作伙伴。

表示人员、服务或 IoT 设备的标识是当今许多 网络终结点应用程序中的常见控制者。 在零信任安全模型中,它们充当一种强大、灵活和精细的方式来控制对数据的访问。

在标识尝试访问资源之前,组织必须:

  • 使用强身份验证验证标识。

  • 确保访问符合该标识的典型要求。

  • 遵循最低特权访问原则。

验证标识后,我们可以根据组织策略、持续的风险分析和其他工具控制该标识对资源的访问。

标识零信任部署目标

大多数组织开始零信任旅程之前,其标识方法存在问题,因为本地标识提供程序正在使用中,云和本地应用之间不存在 SSO,对标识风险的可见性非常有限。

实现端到端的标识零信任框架时,建议首先关注以下初始部署目标

List icon with one checkmark.

I.Cloud标识与本地标识系统联合。

第二。条件访问策略会访问并提供修正活动。

第三。分析可提高可见性。

完成这些操作后,请重点关注以下 附加部署目标

List icon with two checkmarks.

四。标识和访问权限通过标识管理进行管理。

实时分析 V.User、设备、位置和行为,以确定风险并提供持续保护。

六。集成来自其他安全解决方案的威胁信号,以改进检测、保护和响应。

标识零信任部署指南

本指南将指导你完成按照零信任安全框架的原则管理标识所需的步骤。




Checklist icon with one checkmark.

初始部署目标

我。 云标识与本地标识系统联合

Azure Active Directory (AD) 启用强身份验证、终结点安全集成点,以及以用户为中心的策略的核心来保证最低特权访问权限。 Azure AD 的条件访问功能是基于用户标识、环境、设备运行状况和风险访问资源的策略决策点,在访问点进行显式验证。 我们将演示如何使用 Azure AD 实现零信任标识策略。

Diagram of the steps within phase 1 of the initial deployment objectives.

将所有用户连接到 Azure AD 并与本地标识系统联合

维护员工标识的正常管道,以及 (组所需的安全项目,以获取授权和终结点以实现额外的访问策略控制) 使你处于在云中使用一致标识和控件的最佳位置。

请执行以下步骤:

  1. 选择身份验证选项。 Azure AD 提供最佳暴力、DDoS 和密码喷雾保护,但做出适合组织和合规性需求的决定。

  2. 仅提供绝对需要的标识。 例如,使用转到云作为保留仅在本地有意义的服务帐户的机会。 将本地特权角色保留在后面。

  3. 如果企业拥有超过 100,000 个用户、组和设备,请 生成一个高性能同步框 ,使生命周期保持最新。

使用 Azure AD 建立 Identity Foundation

零信任策略需要使用最低特权访问原则进行显式验证,并假设存在漏洞。 Azure AD 可以充当策略决策点,根据用户、终结点、目标资源和环境的见解强制实施访问策略。

执行以下步骤:

  • 将 Azure AD 置于每个访问请求的路径中。 这会通过一个标识控制平面连接每个用户和每个应用或资源,并为 Azure AD 提供信号,以便对身份验证/授权风险做出最佳决策。 此外,单一登录和一致的策略防护措施提供更好的用户体验,并有助于提高工作效率。

将所有应用程序与 Azure AD 集成

单一登录可防止用户将凭据副本保留在各种应用中,并有助于避免用户因提示过多而习惯交出凭据。

另请确保环境中没有多个 IAM 引擎。 这不仅会减少 Azure AD 看到的信号量,使不良执行组件能够生活在两个 IAM 引擎之间的接缝中,而且还会导致用户体验不佳,你的业务合作伙伴将成为你零信任策略的第一个怀疑者。

请执行以下步骤:

  1. 集成讲 OAuth2.0 或 SAML 的新式企业应用程序

  2. 对于 Kerberos 和基于表单的身份验证应用程序,请使用 Azure AD 应用程序代理集成它们

  3. 如果使用应用程序传送网络/控制器发布旧应用程序,请使用 Azure AD 与大多数主要应用程序 如 Citrix、Akamai 和 F5) )集成 (。

  4. 若要帮助发现应用并将其从 ADFS 和现有/更旧的 IAM 引擎中迁移,请查看 资源和工具

  5. 将标识推送到各种云应用程序。 这使你能够在这些应用中实现更紧密的标识生命周期集成。

使用强身份验证显式验证

请执行以下步骤:

  1. 推出 Azure AD MFA (P1) 。 这是降低用户会话风险的基础部分。 当用户出现在新设备和新位置时,能够响应 MFA 挑战是用户向我们介绍这些熟悉的设备/位置的最直接方法之一,因为它们 (在世界各地移动,而无需管理员分析单个信号) 。

  2. 阻止旧式身份验证。 恶意执行组件最常见的攻击向量之一是针对无法应对新式安全挑战的旧协议(如 SMTP)使用被盗/重播凭据。

第二。 条件访问策略门访问并提供修正活动

Azure AD 条件访问 (CA) 分析用户、设备和位置等信号,以自动执行决策并强制实施资源的组织访问策略。 可以使用 CA 策略应用访问控制,如多重身份验证 (MFA) 。 CA 策略允许你在需要安全时提示用户使用 MFA,并在不需要时远离用户。

Diagram of Conditional Access policies in Zero Trust.

Microsoft 提供称为 安全默认 值的标准条件策略,以确保基本的安全级别。 但是,组织可能需要比安全默认产品/服务更灵活。 可以使用条件访问以更精细的粒度自定义安全默认值,并配置符合要求的新策略。

在零信任部署中,提前规划条件访问策略以及拥有一组活动和回退策略是访问策略实施的基础支柱。 花时间在环境中配置受信任的 IP 位置。 即使未在条件访问策略中使用它们,配置这些 IP 也可告知上述标识保护的风险。

执行以下步骤:

将设备注册到 Azure AD 以限制来自易受攻击和受攻击设备的访问

请执行以下步骤:

  1. 启用 Azure AD 混合联接Azure AD 联接。 如果要管理用户的笔记本电脑/计算机,请将该信息引入 Azure AD,并使用它来帮助做出更好的决策。 例如,如果知道用户来自组织控制和管理的计算机,则可以选择允许富客户端访问计算机) 上具有脱机副本 (客户端的数据。 如果不引入此功能,则可能会选择阻止来自富客户端的访问,这可能会导致用户围绕安全性工作或使用影子 IT。

  2. 在 MICROSOFT ENDPOINT MANAGER ( EMS) 中启用Intune服务,以管理用户的移动设备和注册设备。 用户移动设备与笔记本电脑一样:你对它们的了解越多, (修补程序级别、越狱、根深蒂固等) ,你就越能够信任或不信任它们,并为阻止/允许访问提供理由。

第三。 分析提高了可见性

使用身份验证、授权和预配在 Azure AD 中构建资产时,请务必对目录中发生的情况有很强的操作见解。

配置日志记录和报告以提高可见性

执行以下步骤:




Checklist icon with two checkmarks.

其他部署目标

四。 标识和访问权限通过标识治理进行管理

完成最初的三个目标后,可以专注于其他目标,例如更可靠的标识治理。

Diagram of the steps within phase 4 of the additional deployment objectives.

使用Privileged Identity Management保护特权访问

控制用户用于访问特权操作/角色的终结点、条件和凭据。

请执行以下步骤:

  1. 控制特权标识。 请记住,在经过数字转换的组织中,特权访问不仅是管理访问权限,也是应用程序所有者或开发人员访问权限,可以更改任务关键型应用的运行和处理数据的方式。

  2. 使用Privileged Identity Management保护特权标识

用户同意应用程序是新式应用程序获取对组织资源的访问权限的一种非常常见的方式,但需要记住一些最佳做法。

请执行以下步骤:

  1. 限制用户同意和管理同意请求 ,以确保组织的数据不会对应用造成不必要的暴露。

  2. 对于任何过多或恶意的同意,请查看组织中的先前/现有许可

有关防范访问敏感信息策略的工具的详细信息,请参阅我们实施标识零信任策略指南中的“加强对网络威胁和恶意应用的保护”。

管理权利

通过从 Azure AD 集中进行身份验证和驱动的应用程序,现在可以简化访问请求、审批和重新认证过程,以确保合适的人员拥有正确的访问权限,并了解组织中用户拥有访问权限的原因。

请执行以下步骤:

  1. 使用权利管理创建访问包,用户可以在加入不同的团队/项目时请求这些包,并为其分配对应用程序、SharePoint网站、组成员身份) 等 (相关资源的访问权限。

  2. 如果组织目前无法部署权利管理,请至少通过部署自助服务组管理和自助应用程序访问来在组织中启用自助服务范例。

使用无密码身份验证可降低网络钓鱼和密码攻击的风险

使用支持 FIDO 2.0 和无密码手机登录的 Azure AD,你可以在用户 (特别敏感/特权用户) 日常使用的凭据上移动针头。 这些凭据是可以降低风险的强身份验证因素。

执行以下步骤:

V。 实时分析用户、设备、位置和行为,以确定风险并提供持续保护

实时分析对于确定风险和保护至关重要。

Diagram of the steps within phase 5 of the additional deployment objectives.

部署 Azure AD 密码保护

在启用其他方法以显式验证用户的同时,不要忽略弱密码、密码喷射和违规重播攻击。 经典的复杂密码策略不能防止最普遍的密码攻击

执行以下步骤:

  • 本地用户启用 Azure AD 密码保护。

启用标识保护

使用标识保护获取更精细的会话/用户风险信号。 你将能够调查风险并确认泄露或消除信号,这将有助于引擎更好地了解环境中的风险。

执行以下步骤:

启用 Microsoft Defender for Cloud Apps 与 Identity Protection 的集成

Microsoft Defender for Cloud Apps 监视 SaaS 和新式应用程序中的用户行为。 这会告知 Azure AD 用户在经过身份验证并收到令牌后发生的情况。 如果用户模式开始看起来可疑 (例如,用户开始从OneDrive下载数千兆字节的数据,或开始在 Exchange Online) 中发送垃圾邮件,则可以向 Azure AD 发送一个信号,通知用户用户似乎遭到入侵或高风险。 在来自此用户的下一个访问请求中,Azure AD 可以正确地采取措施来验证用户或阻止用户。

执行以下步骤:

启用条件访问与 Microsoft Defender for Cloud Apps 的集成

使用身份验证后发出的信号以及 Defender for Cloud Apps 对应用程序的代理请求,你将能够监视 SaaS 应用程序的会话并强制实施限制。

请执行以下步骤:

  1. 启用条件访问集成

  2. 将条件访问扩展到本地应用

启用在访问决策中使用的受限会话

当用户的风险较低,但他们从未知终结点登录时,你可能希望允许他们访问关键资源,但不允许他们执行使组织处于不合规状态的操作。 现在,可以配置 Exchange Online 和 SharePoint Online,为用户提供一个受限会话,允许他们读取电子邮件或查看文件,但不能下载它们,并将其保存在不受信任的设备上。

执行以下步骤:

六。 集成来自其他安全解决方案的威胁信号,以改进检测、保护和响应

最后,可以集成其他安全解决方案以提高有效性。

将 Microsoft Defender for Identity 与 Microsoft Defender for Cloud Apps 集成

通过与 Microsoft Defender for Identity 的集成,Azure AD 能够知道用户在访问本地非新式资源(如文件共享) )时沉溺于风险行为 (。 然后,这可以考虑到阻止进一步访问云的总体用户风险。

请执行以下步骤:

  1. 使用 Microsoft Defender for Cloud Apps 启用Microsoft Defender for Identity,将本地信号引入我们了解的有关用户的风险信号中。

  2. 检查每个有风险用户的 合并调查优先级分数 ,以提供 SOC 应关注哪些用户的整体视图。

启用Microsoft Defender for Endpoint

Microsoft Defender for Endpoint允许你证明 Windows 计算机的运行状况,并确定它们是否正在进行入侵。 然后,可以将该信息馈送到在运行时缓解风险。 尽管域联接为你提供了一种控制感,但 Defender for Endpoint 允许你通过检测多个用户设备在运行时击中不可信站点的模式来近实时响应恶意软件攻击,并通过提高其设备/用户风险来做出反应。

执行以下步骤:

本指南中介绍的产品

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (包括Microsoft Intune)

Microsoft Defender for Endpoint

SharePoint联机

Exchange联机

结论

标识是成功零信任策略的核心。 有关实施的详细信息或帮助,请联系客户成功团队,或继续阅读本指南的其他章节,这些章节涵盖所有零信任支柱。



零信任部署指南系列

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration