Vysvětlení auditování v identitě

3 min

Je potřeba porozumět hodnotě a účelu auditů ve vašem řešení identit. Auditování poskytuje správci způsob, jak zjistit útok, ke kterému už došlo nebo právě probíhá. Auditování je také nástroj pro dodržování předpisů a sledování toho, co identita udělala. Kromě toho může auditování pomoct vývojáři ladit problémy související se zabezpečením. Pokud například chyba v konfiguraci autorizace nebo kontrola zásad omylem odmítne přístup k autorizovanému uživateli, může vývojář rychle zjistit a izolovat příčinu této chyby prozkoumáním protokolu událostí.

Každou aktivitu od přihlášení po změnu hesla na konfiguraci a použití vícefaktorového ověřování je možné protokolovat, hlásit a monitorovat. Tyto protokoly poskytují správci identity prostředek, aby zkontroloval, jak je řešení identit a přístupu spuštěné. Osvědčené postupy auditování udržují vaše identity v bezpečí, což zase udržuje vaše data a řešení v bezpečí. Mezi různé protokoly, o nichž chcete vědět o auditování, patří protokoly aktivit Microsoft Entra, protokoly přihlašování, protokoly zřizování a protokoly auditu. K hlášení a monitorování můžete použít několik nástrojů z Azure Monitoru do Microsoft Sentinelu.

Principy zásad správného řízení

Slovník Merriam-Webster říká, že zásady správného řízení jsou zákony nebo procesy, které dohlížely na kontrolu a směr systému. Tento systém může být řešení pro státní správu, rozpočet nebo řešení identit v Azure. Zásady správného řízení mají zavedené procesy a kontroly pro provoz systémů a vyhodnocení zodpovědného provozu systému. Nikdy nestačí vytvořit řešení a pak ho zapomenout. Musíte monitorovat jeho spuštění, pravidelně aktualizovat procesy, odebírat nebo nahrazovat zastaralé funkce atd. Pokud ne, systém se pomalu sníží a selže. Zásady správného řízení jsou stejné jako řešení správy identit, které vytváříte v Azure. Systém musíte monitorovat, vyhodnocovat a aktualizovat v průběhu času.

Scénář	Jednoduchý, ale pravděpodobně příběh
Juan vývojář aplikace	Máte uživatele jménem Juan. Juan dostane účet ve vaší společnosti a pracuje několik let. V průběhu této doby má uživatel přístup správce k nasazení aplikace Juan pomohl sestavit. Později Juan opustí společnost v dobrém ohledu; uživatelský účet se ale nikdy neodebere ze systému. Juanův manažer zapomněl odeslat papírování, aby zavřel účet. Neexistuje žádný systém zásad správného řízení, který by si všiml, že účet není nepoužitý a že Juan už není uvedený v systémech personálního oddělení. O rok později se Juan stal obětí phishingového e-mailu a má kradené osobní uživatelské jméno a heslo. Být jako mnoho lidí, Juan použil podobné heslo pro osobní život a pracovní účty. Hádejte, co, teď máte scénář, ve kterém by se vaše systémy mohly rozdělit, podle toho, co vypadá jako platný účet.

Scénář

Jednoduchý, ale pravděpodobně příběh

Juan vývojář aplikace

Máte uživatele jménem Juan. Juan dostane účet ve vaší společnosti a pracuje několik let. V průběhu této doby má uživatel přístup správce k nasazení aplikace Juan pomohl sestavit. Později Juan opustí společnost v dobrém ohledu; uživatelský účet se ale nikdy neodebere ze systému. Juanův manažer zapomněl odeslat papírování, aby zavřel účet. Neexistuje žádný systém zásad správného řízení, který by si všiml, že účet není nepoužitý a že Juan už není uvedený v systémech personálního oddělení. O rok později se Juan stal obětí phishingového e-mailu a má kradené osobní uživatelské jméno a heslo. Být jako mnoho lidí, Juan použil podobné heslo pro osobní život a pracovní účty. Hádejte, co, teď máte scénář, ve kterém by se vaše systémy mohly rozdělit, podle toho, co vypadá jako platný účet.

Proč zásady správného řízení? V tomto scénáři by zásady správného řízení mohly pomoci v mnoha různých oblastech:

Pravidelně kontrolujte personální oddělení, abyste zjistili, jestli všechny účty v databázi personálního oddělení stále existují jako zaměstnanci.
Kontrola, kdy byl účet naposledy přihlášený
Zkontrolujte, jestli účet potřebuje všechna práva, která má aktuálně.
Kontrola, zda se hesla pravidelně mění; nebo ještě lépe, že vaši zaměstnanci používají vícefaktorové ověřování.
A mnoho dalších způsobů.

Principy správy životního cyklu identit

Správa životního cyklu identit je základem zásad správného řízení identit a efektivní zásady správného řízení ve velkém měřítku vyžadují modernizaci infrastruktury správy životního cyklu identit pro aplikace. Správa životního cyklu identit má za cíl automatizovat a spravovat celý proces životního cyklu digitální identity.

Správa digitálních identit je složitý úkol. Musíte korelovat skutečné objekty, jako je osoba a jejich vztah s organizací. Uživatele si můžete představit jako zaměstnance organizace s digitální reprezentací. V malých organizacích může být digitální reprezentace jednotlivců, kteří vyžadují identitu, ručním procesem. Když někdo najímá nebo dorazí dodavatel, může pro něj it specialista vytvořit účet v adresáři. Pak mají přiřazený přístup, který potřebují. V středně velkých a velkých organizacích ale automatizace může organizaci umožnit škálování. Automatizace umožňuje IT udržovat identity přesné.

Typický proces pro vytvoření správy životního cyklu identit v organizaci se řídí těmito kroky:

Existují už systémy záznamů: zdroje dat, které organizace považuje za autoritativní. Organizace může mít například systém personálního oddělení. Tento systém je autoritativní pro poskytování aktuálního seznamu zaměstnanců a některých jejich vlastností, jako je jméno nebo oddělení zaměstnance.
Porovnejte systém záznamů s jedním nebo více adresáři a databázemi používanými aplikacemi a vyřešte případné nekonzistence mezi adresáři a systémy záznamu.
Určete, jaké procesy je možné použít k poskytování autoritativních informací pro návštěvníky. Je nutné najít alternativní způsob, jak určit, kdy už není potřeba digitální identita návštěvníka.

Strategie správy životního cyklu identit

Musíte naplánovat řízení životního cyklu identit pro zaměstnance nebo jiné jednotlivce s organizačním vztahem. U každého dodavatele nebo studenta řada organizací modeluje proces "připojení, přesunutí a opuštění". Definice pro spojení, přesunutí a opuštění jsou:

Připojte se – pokud jednotlivec spadá do rozsahu potřeb přístupu, tyto aplikace potřebují identitu, takže pokud ještě není dostupná, bude možná potřeba vytvořit novou digitální identitu.
Přesunutí – když se jednotlivec pohybuje mezi hranicemi, je potřeba přidat nebo odebrat další autorizaci přístupu ke své digitální identitě.
Nechejte – když jednotlivec opustí rozsah potřeb přístupu, může být potřeba odebrat přístup a identita už není vyžadována jinými aplikacemi než pro účely auditu nebo forenzních účelů.

Pokud se například nový zaměstnanec připojí k vaší organizaci, který ještě nikdy nebyl přidružený k vaší organizaci, tento zaměstnanec vyžaduje novou digitální identitu reprezentovanou jako uživatelský účet v Microsoft Entra ID. Vytvoření tohoto účtu by se mohlo stát procesem Připojení, který by mohl být automatizovaný. Pokud by se vaše organizace později přesunula z oblasti prodeje na marketing, přešel by do procesu "Přesunout". Přesunutí vyžaduje odebrání přístupových práv, která uživatel měl v organizaci Sales, kterou už nevyžaduje. Potom jim udělíte práva v marketingové organizaci, kterou teď vyžadují.

Monitorovací nástroje

Vždy si myslet nulová důvěra (Zero Trust): Ověření explicitně – Použití přístupu s nejnižšími oprávněními – Předpokládat porušení zabezpečení

Monitorovací služby:

Azure Monitor
Application Insights
Azure Service Health
Azure Resource Health
Azure Resource Manager
Azure Policy

Vysvětlení auditování v identitě

Principy zásad správného řízení

Principy správy životního cyklu identit

Strategie správy životního cyklu identit

Monitorovací nástroje

Váš názor