Popis globálního zabezpečeného přístupu v Microsoft Entra

  • 9 min

Microsoft Entra nyní poskytuje novou sadu produktů v rámci programu Microsoft Global Secure Access. Globální zabezpečený přístup je unifikující termín používaný pro Microsoft Entra Přístup k Internetu i Microsoft Entra Soukromý přístup.

Microsoft Entra Přístup k Internetu zabezpečuje přístup k aplikacím SaaS (Software as a Service), včetně služeb Microsoftu a veřejných internetových aplikací a současně chrání uživatele, zařízení a data před internetovými hrozbami.

Microsoft Entra Soukromý přístup uživatelům poskytuje zabezpečený přístup k vašim soukromým podnikovým prostředkům bez ohledu na to, jestli jsou v kanceláři nebo na dálku pracují.

Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup dohromady jako řešení, které konverguje nulová důvěra (Zero Trust) řízení přístupu k síti, identitě a koncovému bodu, abyste mohli zabezpečit přístup k libovolné aplikaci nebo prostředku z libovolného umístění. zařízení nebo identita. Tento typ řešení představuje novou kategorii zabezpečení sítě s názvem Security Service Edge (SSE).

SSE pomáhá řešit bezpečnostní výzvy, jako jsou:

  • Potřeba snížit riziko laterálního pohybu prostřednictvím ohroženého tunelu VPN.
  • Potřeba umístit obvod kolem internetových prostředků.
  • Potřeba zlepšit službu ve vzdálených pobočkách, jako jsou pobočky.

Řešení Microsoft Security Service Edge, Globální zabezpečený přístup, poskytuje pokročilou ochranu internetových prostředků a prostředků běžících v privátním cloudu nebo místní infrastruktuře, která pomáhá řešit problémy se zabezpečením.

Řešení využívá klienta globálního zabezpečeného přístupu, který organizacím poskytuje kontrolu nad síťovým provozem na výpočetním zařízení koncových uživatelů. Organizace získají možnost směrovat konkrétní profily provozu prostřednictvím Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup. Směrování provozu v této metodě umožňuje více kontrol povolených hlubokou integrací se zásadami podmíněného přístupu a riziky vyhodnocenými v reálném čase, identitou, zařízením, umístěním a aplikacemi za účelem ochrany jakékoli aplikace nebo prostředku.

Snímek obrazovky znázorňující komponenty, které tvoří globální zabezpečený přístup

Soukromý přístup Microsoft Entra

Řešení VPN se často používají jako primární metoda řízení přístupu k podnikové síti. Po navázání připojení k privátní síti se front door k síti odemkne a nad tím je běžné, že uživatelé a zařízení budou mít nad sebou oprávnění. Tím se výrazně zvýší prostor pro útoky vaší organizace.

Microsoft Entra Soukromý přístup je možné nasadit k blokování laterálního přesunu útoků, omezení nadměrného přístupu a nahrazení starších sítí VPN. Tato služba poskytuje uživatelům zabezpečený přístup k vašim soukromým podnikovým prostředkům bez ohledu na to, jestli je v kanceláři nebo pracujete vzdáleně.

Způsob, jakým funguje privátní přístup, je, že pro danou sadu privátních prostředků, které chcete zabezpečit, nastavíte novou podnikovou aplikaci, která slouží jako kontejner pro tyto privátní prostředky. Nová aplikace má síťový konektor, který slouží jako zprostředkovatel mezi službou Privátní přístup a prostředkem, ke kterému chce uživatel získat přístup. Podniky teď mají jasně různé požadavky na přístup k různým privátním prostředkům, takže Microsoft Entra Soukromý přístup nabízí dva způsoby, jak nastavit privátní prostředky, ke kterým chcete prostřednictvím služby přistupovat.

  • Rychlý přístup – jak bylo popsáno dříve, privátní přístup funguje vytvořením nové podnikové aplikace, která slouží jako kontejner pro soukromé prostředky, které chcete zabezpečit. Pomocí nástroje Rychlý přístup určíte, které privátní prostředky se mají přidat do "kontejneru" nebo podnikové aplikace; která zavoláme aplikaci Rychlý přístup. Privátní prostředky, které přidáte do aplikace Rychlý přístup, jsou definované plně kvalifikovaným názvem domény, IP adresou, rozsahem IP adres nebo rozsahem ip adres a porty používanými pro přístup k prostředku. Tyto informace se označují jako segment aplikace Rychlý přístup. Do aplikace Rychlý přístup můžete přidat mnoho segmentů aplikace. Zásady podmíněného přístupu pak můžete propojit s aplikací Rychlý přístup.

    Diagram Microsoft Entra Soukromý přístup se zobrazenými komponentami Rychlého přístupu

  • Globální aplikace pro zabezpečený přístup – globální aplikace zabezpečený přístup, označovaná také jako Přístup pro jednotlivé aplikace, poskytuje podrobnější přístup. Pomocí globální aplikace pro zabezpečený přístup můžete vytvořit více kontejnerů nebo podnikových aplikací. Pro každou z těchto nových podnikových aplikací definujete vlastnosti privátního prostředku a přiřadíte uživatelům a skupinám a přiřadíte konkrétní zásady podmíněného přístupu. Můžete mít například skupinu privátních prostředků, které potřebujete zabezpečit, ale pro které chcete nastavit různé zásady přístupu na základě toho, jak k prostředku přistupují, nebo pro konkrétní časový rámec.

    Diagram Microsoft Entra Soukromý přístup se zobrazenými komponentami globální aplikace pro zabezpečený přístup, označované také jako Přístup pro jednotlivé aplikace

Internetový přístup Microsoft Entra

Zabezpečená webová brána (SWG) je řešení kybernetické bezpečnosti, které chrání uživatele před webovými hrozbami filtrováním internetového provozu a vynucováním zásad zabezpečení.

Microsoft Entra Přístup k Internetu poskytuje řešení zabezpečené webové brány (SWG) zaměřené na identitu pro aplikace Typu software jako služba (SaaS), včetně služeb Microsoftu a dalších internetových přenosů. Chrání uživatele, zařízení a data z celé internetové oblasti hrozeb s nejlepšími bezpečnostními prvky a viditelností prostřednictvím protokolů provozu.

Mezi klíčové funkce patří:

  • Ochrana před identitou uživatele nebo krádeží tokenů pomocí zásad podmíněného přístupu k provedení kompatibilní kontroly přístupu k prostředkům
    • Dodržování předpisů vynucování sítě probíhá v rovině ověřování a v rovině dat. Vynucování roviny ověřování provádí ID Microsoft Entra v době ověřování uživatele. Vynucení roviny dat funguje se službami, které podporují průběžné vyhodnocování přístupu (CAE)
    • Průběžné vyhodnocování přístupu (CAE) je funkce zabezpečení, ve které aplikace a Microsoft Entra neustále komunikují, aby byl uživatelský přístup aktuální a zabezpečený. Pokud se něco změní, například umístění uživatele nebo problém se zabezpečením, systém může rychle upravit nebo zablokovat přístup téměř v reálném čase a zajistit, aby se zásady vždy vynucovaly.
  • Omezení tenanta, aby se zabránilo exfiltraci dat jiným tenantům nebo osobním účtům, včetně anonymního přístupu.
  • Zásady profilů předávání přenosů z internetu, které řídí, ke kterým internetovým webům je možné přistupovat, aby se vzdálení pracovníci připojovali k internetu řízeným a bezpečným způsobem.
  • Filtrování webového obsahu pro regulaci přístupu k webům na základě jejich kategorií obsahu a názvů domén.
  • a mnoho dalších...

Globální řídicí panel zabezpečeného přístupu

Globální zabezpečený přístup zahrnuje řídicí panel, který poskytuje vizualizace síťového provozu získaného privátními službami Microsoft Entra a Microsoft Entra Přístup k Internetu. Řídicí panel zkompiluje data z konfigurací sítě, včetně zařízení, uživatelů a tenantů, do několika widgetů. Tyto widgety vám pak poskytnou informace, které můžete použít k monitorování a vylepšování konfigurací sítě. Mezi dostupné widgety patří:

  • Snímek globálního zabezpečeného přístupu
  • Upozornění a oznámení (Preview)
  • Profilace využití (Preview)
  • Přístup mezi tenanty
  • Filtrování webových kategorií
  • Stav zařízení

Snímek globálního zabezpečeného přístupu

Widget snímku globálního zabezpečeného přístupu poskytuje souhrn toho, kolik uživatelů a zařízení používá službu a kolik aplikací bylo prostřednictvím služby zabezpečeno. Widget ve výchozím nastavení zobrazuje všechny typy přenosů, ale můžete změnit filtr tak, aby zobrazoval přenosy z internetu, privátního přístupu nebo Microsoftu.

Snímek obrazovky s widgetem globálního snímku zabezpečeného přístupu

Profilace využití (Preview)

Widget profilace využití zobrazuje vzory využití pro internetový přístup, privátní přístup nebo Microsoft 365 za vybrané časové období a podle kategorie.

Snímek obrazovky s widgetem pro profilaci využití

Upozornění a oznámení (Preview)

Widget Výstrahy a oznámení ukazuje, co se děje v síti, a pomáhá identifikovat podezřelé aktivity nebo trendy identifikované síťovými daty.

Tento widget poskytuje následující výstrahy:

  • Vzdálená síť není v pořádku: Vzdálená síť není v pořádku, je odpojená jedna nebo více propojení zařízení.
  • Zvýšená aktivita externích tenantů: Počet uživatelů, kteří přistupují k externím tenantům, se zvýšil.
  • Nekonzistence tokenu a zařízení: Původní token se používá na jiném zařízení.
  • Blokovaný webový obsah: Přístup k webu byl zablokován.

Snímek obrazovky s widgetem oznámení upozornění řídicího panelu

Globální zabezpečený přístup mezi tenanty poskytuje přehled o počtu uživatelů a zařízení, která přistupují k jiným tenantům. Tento widget zobrazí následující informace:

  • Přihlášení: Počet přihlášení prostřednictvím ID Microsoft Entra pro služby Microsoft za posledních 24 hodin. Tento widget poskytuje informace o aktivitě ve vašem tenantovi.
  • Celkový počet jedinečných tenantů: Počet jedinečných ID tenantů, které se zobrazily za posledních 24 hodin.
  • Nezoznaní tenanti: Počet jedinečných ID tenantů, které se zobrazily za posledních 24 hodin, ale ne v předchozích 7 dnech.
  • Uživatelé: Počet jedinečných přihlášení uživatelů k jiným tenantům za posledních 24 hodin.
  • Zařízení: Počet různých zařízení přihlášených k jiným tenantům za posledních 24 hodin.

Snímek obrazovky s widgetem pro přístup mezi tenanty

Filtrování webových kategorií

Widget filtrování webových kategorií zobrazuje hlavní kategorie webového obsahu, které služba zablokovala nebo povolila. Pomocí těchto kategorií můžete určit, které weby nebo kategorie webů můžete chtít blokovat.

Stav zařízení Widgety Stav zařízení zobrazují aktivní a neaktivní zařízení, která jste nasadili.

Snímek obrazovky s widgetem stavu zařízení