Bevoegde toegang: Tussenpersonen

Beveiliging van tussenliggende apparaten is een essentieel onderdeel van het beveiligen van bevoegde toegang.

Tussenpersonen voegen een koppeling toe aan de keten van Zero Trust Assurance voor de end-to-endsessie van de gebruiker of beheerder, zodat ze de Zero Trust-beveiligingsgaranties in de sessie moeten ondersteunen (of verbeteren). Voorbeelden van tussenpersonen zijn virtuele particuliere netwerken (VPN's), jumpservers, VDI (Virtual Desktop Infrastructure) en het publiceren van toepassingen via toegangsproxy's.

Een aanvaller kan een intermediair aanvallen om bevoegdheden te escaleren met behulp van referenties die erop zijn opgeslagen, externe netwerktoegang tot bedrijfsnetwerken krijgen of misbruik maken van vertrouwen op dat apparaat als ze worden gebruikt voor beslissingen over zero Trust-toegang. Het richten op tussenpersonen is te gebruikelijk geworden, met name voor organisaties die de beveiligingspostuur van deze apparaten niet strikt handhaven. Bijvoorbeeld inloggegevens die zijn verzameld van VPN-apparaten.

Tussenpersonen variëren in doel en technologie, maar bieden doorgaans externe toegang, sessiebeveiliging of beide:

• Externe toegang - Toegang tot systemen op bedrijfsnetwerken via internet inschakelen
• Sessiebeveiliging - Beveiligingsmaatregelen en zichtbaarheid voor een sessie vergroten
  • scenario met niet-beheerde apparaten: het bieden van een beheerd virtueel bureaublad dat toegankelijk is voor onbeheerde apparaten (bijvoorbeeld persoonlijke apparaten van werknemers) en/of apparaten die worden beheerd door een partner/leverancier.
  • Administrator-beveiligingsscenario: beheerpaden consolideren en/of de beveiliging verbeteren met just-in-time-toegang, sessiebewaking en -opname en vergelijkbare mogelijkheden.

Om ervoor te zorgen dat beveiligingsgaranties worden gewaarborgd van het oorspronkelijke apparaat en het account tot de resourceinterface, moet u inzicht krijgen in het risicoprofiel van de intermediaire en risicobeperkingsopties.

Aanvallerkans en -waarde

Verschillende tussenliggende typen voeren unieke functies uit, zodat ze elk een andere beveiligingsbenadering vereisen, hoewel er een aantal kritieke commoniteiten zijn, zoals het snel toepassen van beveiligingspatches op apparaten, firmware, besturingssystemen en toepassingen.

De kans voor aanvallers wordt vertegenwoordigd door het beschikbare aanvalsoppervlak waarop een aanvaller zich kan richten.

• Systeemeigen cloudservices zoals Microsoft Entra PIM, Azure Bastion en Microsoft Entra-toepassingsproxy bieden een beperkt aanvalsoppervlak voor aanvallers. Hoewel ze worden blootgesteld aan het openbare internet, hebben klanten (en aanvallers) geen toegang tot onderliggende besturingssystemen die de services leveren en worden ze doorgaans consistent onderhouden en bewaakt via geautomatiseerde mechanismen bij de cloudprovider. Deze kleinere kwetsbaarheid voor aanvallen beperkt de beschikbare opties voor aanvallers versus klassieke on-premises toepassingen en apparaten die moeten worden geconfigureerd, gepatcht en bewaakt door IT-medewerkers die vaak worden overweldigd door conflicterende prioriteiten en meer beveiligingstaken dan ze tijd hebben om te voltooien.
• VPN's (Virtual Private Networks) en Remote Desktops / Jump servers bieden vaak een aanzienlijke aanvalskans omdat ze aan internet worden blootgesteld om externe toegang te verlenen en het onderhoud van deze systemen vaak wordt verwaarloosd. Hoewel er slechts enkele netwerkpoorten beschikbaar zijn, hebben aanvallers slechts toegang nodig tot één niet-gepatchte service voor een aanval.
• PIM/PAM-services van derden worden vaak on-premises of als vm op IaaS (Infrastructure as a Service) gehost en zijn doorgaans alleen beschikbaar voor intranethosts. Hoewel er niet rechtstreeks internet beschikbaar is, kunnen aanvallers met één gecompromitteerde referentie toegang krijgen tot de service via VPN of een ander medium voor externe toegang.

aanvallerwaarde vertegenwoordigt wat een aanvaller kan winnen door een intermediair in gevaar te brengen. Een inbreuk wordt gedefinieerd als een aanvaller die volledige controle krijgt over de toepassing/VM en/of een beheerder van het klantexemplaren van de cloudservice.

De ingrediënten die aanvallers kunnen verzamelen van een intermediair voor de volgende fase van hun aanval zijn:

• Netwerkconnectiviteit verkrijgen om te communiceren met de meeste of alle resources op bedrijfsnetwerken. Deze toegang wordt doorgaans geleverd door VPN's en oplossingen voor extern bureaublad of jump-server. Hoewel Azure Bastion- en Microsoft Entra-toepassingsproxyoplossingen (of vergelijkbare oplossingen van derden) ook externe toegang bieden, zijn deze oplossingen doorgaans toepassings- of serverspecifieke verbindingen en bieden geen algemene netwerktoegang
• apparaatidentiteit imiteren: kan Zero Trust-mechanismen verslaan als een apparaat is vereist voor authenticatie en/of wordt gebruikt door een aanvaller om informatie over de netwerken van doelwitten te verzamelen. Beveiligingsteams controleren vaak niet de activiteiten van het apparaataccount en richten zich alleen op gebruikersaccounts.
• accountgegevens stelen om te authenticeren bij bronnen, wat de meest waardevolle bezit is voor aanvallers, omdat het de mogelijkheid biedt om privileges te verhogen en zo toegang te krijgen tot hun uiteindelijke doel of de volgende fase van de aanval. Extern bureaublad/jumpservers en PIM/PAM-oplossingen van derden zijn de meest aantrekkelijke doelen en vertegenwoordigen het principe van 'al uw eieren in één mandje leggen', met toegenomen waarde voor aanvallers en veiligheidsmaatregelen.
  • PIM/PAM oplossingen slaan doorgaans de referenties op voor de meeste of alle bevoorrechte rollen in de organisatie, waardoor ze een zeer lucratief doelwit zijn om te compromitteren of te misbruiken.
  • Microsoft Entra PIM biedt aanvallers niet de mogelijkheid om referenties te stelen, omdat hiermee bevoegdheden worden ontgrendeld die al zijn toegewezen aan een account met behulp van MFA of andere werkstromen, maar een slecht ontworpen werkstroom kan een kwaadwillende persoon bevoegdheden laten escaleren.
  • Extern bureaublad/jumpservers die door beheerders worden gebruikt, bieden een host waar veel of alle gevoelige sessies passeren, zodat aanvallers standaard hulpprogramma's voor referentiediefstal kunnen gebruiken om deze referenties te stelen en opnieuw te gebruiken.
  • VPNs kunnen referenties opslaan in de oplossing, wat aanvallers een mogelijke schat aan kansen tot privilege-escalatie biedt. Daarom wordt sterk aanbevolen om Microsoft Entra ID voor authenticatie te gebruiken om dit risico te beperken.

Tussenliggende beveiligingsprofielen

Voor het vaststellen van deze garanties is een combinatie van beveiligingscontroles vereist, waarvan sommige voor veel tussenpersonen gemeenschappelijk zijn en waarvan sommige specifiek zijn voor het type intermediair.

Een intermediair is een koppeling in de Zero Trust-keten die een interface aan gebruikers/apparaten presenteert en vervolgens toegang tot de volgende interface mogelijk maakt. De beveiligingscontroles moeten betrekking hebben op binnenkomende verbindingen, beveiliging van het tussenliggende apparaat/de toepassing/service zelf en (indien van toepassing) Zero Trust-beveiligingssignalen bieden voor de volgende interface.

Algemene beveiligingscontroles

De algemene beveiligingselementen voor tussenpersonen zijn gericht op het handhaven van goede beveiligingshygiëne voor ondernemingen en gespecialiseerde niveaus, met extra beperkingen voor de privilege beveiliging.

Deze beveiligingscontroles moeten worden toegepast op alle typen tussenpersonen:

• Beveiligingsbeveiliging voor binnenkomende verbindingen afdwingen: gebruik Microsoft Entra-id en voorwaardelijke toegang om ervoor te zorgen dat alle binnenkomende verbindingen van apparaten en accounts bekend, vertrouwd en toegestaan zijn. Raadpleeg het artikel Beveiliging van voorrechten op interfaces voor gedetailleerde definities van de vereisten aan apparaten en accounts voor ondernemingen en specialisaties.
• Correct systeemonderhoud - Alle tussenpersonen moeten goede beveiligingscontroles volgen, waaronder:
  • Veilige configuratie: volg de basislijnen voor de beveiligingsconfiguratie van de fabrikant of branche en best practices voor zowel de toepassing als eventuele onderliggende besturingssystemen, cloudservices of andere afhankelijkheden. Toepasselijke richtlijnen van Microsoft omvatten de Azure-beveiligingsbasislijn en Windows-basislijnen.
  • Snelle patching: beveiligingsupdates en patches van de leveranciers moeten snel worden toegepast na de release.
• Role-Based RBAC-modellen (Access Control) kunnen worden misbruikt door aanvallers om bevoegdheden te escaleren. Het RBAC-model van de intermediair moet zorgvuldig worden gecontroleerd om ervoor te zorgen dat alleen geautoriseerd personeel dat op gespecialiseerd of bevoegd niveau is beveiligd, administratieve bevoegdheden krijgt. Dit model moet onderliggende besturingssystemen of cloudservices bevatten (hoofdaccountwachtwoord, lokale beheerders/groepen, tenantbeheerders, enzovoort).
• Eindpuntdetectie en -respons (EDR) en uitgaande vertrouwenssignaal : apparaten met een volledig besturingssysteem moeten worden bewaakt en beveiligd met een EDR zoals Microsoft Defender voor Eindpunt. Dit besturingselement moet worden geconfigureerd om apparaatnalevingssignalen te bieden aan voorwaardelijke toegang, zodat beleid deze vereiste voor interfaces kan afdwingen.

Bevoegde intermediairs vereisen extra beveiligingsmaatregelen:

• Role-Based toegangsbeheer (RBAC) : beheerdersrechten moeten worden beperkt tot alleen bevoorrechte rollen die voldoen aan die standaard voor werkstations en accounts.
• Toegewezen apparaten (optioneel): vanwege de extreme gevoeligheid van bevoegde sessies kunnen organisaties ervoor kiezen om toegewezen instanties van intermediaire functies voor bevoorrechte rollen te implementeren. Dit besturingselement maakt extra beveiligingsbeperkingen mogelijk voor deze bevoegde tussenpersonen en een betere bewaking van activiteiten met bevoorrechte rollen.

Beveiligingsrichtlijnen voor elk intermediair type

Deze sectie bevat specifieke beveiligingsrichtlijnen die uniek zijn voor elk type intermediair.

Bevoorrechte Toegangsbeheer / Bevoorrechte Identiteitsbeheer

Eén type intermediair dat expliciet is ontworpen voor beveiligingsgebruiksscenario's, is privileged identity management/privileged access management (PIM/PAM) oplossingen.

Gebruikstoepassingen en scenario's voor PIM/PAM

PIM/PAM-oplossingen zijn ontworpen om beveiligingsgaranties te verhogen voor gevoelige accounts die worden gedekt door gespecialiseerde of bevoegde profielen, en richten zich doorgaans eerst op IT-beheerders.

Hoewel de functies verschillen tussen PIM/PAM-leveranciers, bieden veel oplossingen beveiligingsmogelijkheden voor:

• Vereenvoudig serviceaccountbeheer en wachtwoordrotatie (een zeer belangrijke mogelijkheid)

• Geavanceerde werkstromen bieden voor Just-In-Time-toegang (JIT)

• Beheersessies vastleggen en bewaken

  Belangrijk

  PIM/PAM-mogelijkheden bieden uitstekende oplossingen voor sommige aanvallen, maar aanpakken niet veel geprivilegieerde toegangsrisico's, met name het risico op inbreuk op apparaten. Hoewel sommige leveranciers beweren dat hun PIM/PAM-oplossing een 'zilveren kogel' is waarmee het risico van apparaten kan worden verminderd, heeft onze ervaring bij het onderzoeken van klantincidenten keer op keer aangetoond dat dit in de praktijk niet werkt.

  Een aanvaller met controle over een werkstation of apparaat kan deze referenties (en bevoegdheden die aan hen zijn toegewezen) gebruiken terwijl de gebruiker is aangemeld (en kan vaak referenties stelen voor later gebruik). Een PIM/PAM-oplossing alleen kan deze apparaatrisico's niet consistent en betrouwbaar zien en beperken, dus u moet discrete apparaat- en accountbeveiligingen hebben die elkaar aanvullen.

Beveiligingsrisico's en aanbevelingen voor PIM/PAM

De mogelijkheden van elke PIM/PAM-leverancier verschillen van hoe u deze beveiligt, dus controleer en volg de specifieke aanbevelingen en aanbevolen procedures van uw leverancier.

Notitie

Zorg ervoor dat u een tweede persoon instelt in bedrijfskritieke werkstromen om het risico van insiders te beperken (verhoogt de kosten/wrijving voor mogelijke samenzwering door bedreigingen van insiders).

Virtuele particuliere netwerken van eindgebruikers

Virtual Private Networks (VPN's) zijn tussenpersonen die volledige netwerktoegang bieden voor externe eindpunten, die doorgaans de eindgebruiker moeten verifiëren en referenties lokaal kunnen opslaan om binnenkomende gebruikerssessies te verifiëren.

Notitie

Deze richtlijnen verwijzen alleen naar 'punt-naar-site'-VPN's die worden gebruikt door gebruikers, niet 'site-naar-site'-VPN's die doorgaans worden gebruikt voor datacenter-/toepassingsconnectiviteit.

Gebruikssituaties en scenario's voor VPN's

VPN's zorgen voor externe connectiviteit met het bedrijfsnetwerk om toegang tot resources in te schakelen voor gebruikers en beheerders.

Beveiligingsrisico's en aanbevelingen voor VPN's

De meest kritieke risico's voor VPN-intermediairs zijn van onderhoudsverwaarloosing, configuratieproblemen en lokale opslag van referenties.

Microsoft raadt een combinatie van maatregelen aan voor VPN-tussenpersonen.

• Integreer Microsoft Entra-verificatie : om het risico op lokaal opgeslagen referenties (en eventuele overheadlast voor het onderhouden ervan) te verminderen of te elimineren en Zero Trust-beleid af te dwingen op binnenkomende accounts/apparaten met voorwaardelijke toegang. Zie voor hulp bij het integreren
  • Azure VPN Microsoft Entra-integratie
  • Microsoft Entra-verificatie inschakelen op de VPN-gateway
  • VPN's van derden integreren
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect en Captive Portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • en meer
• Snelle patching - Zorg ervoor dat alle organisatie-elementen snelle patching ondersteunen, waaronder:
  • organisatorische sponsoring en ondersteuning door leiderschap voor vereiste
  • Standaard technische processen voor het bijwerken van VPN's met minimale of nul downtime. Dit proces moet VPN-software, -apparaten en eventuele onderliggende besturingssystemen of firmware bevatten
  • processen voor noodgevallen om snel kritieke beveiligingsupdates te implementeren
  • Governance om eventuele gemiste items voortdurend te detecteren en op te lossen
• beveiligde configuratie: de mogelijkheden van elke VPN-leverancier verschillen van hoe u deze kunt beveiligen. Controleer en volg daarom de specifieke aanbevelingen en aanbevolen procedures van uw leverancier voor beveiligingsconfiguratie
• Ga verder dan VPN-: vervang VPN's in de loop van de tijd door veiligere opties, zoals Microsoft Entra-toepassingsproxy of Azure Bastion, omdat deze alleen directe toegang tot toepassingen/servers bieden in plaats van volledige netwerktoegang. Daarnaast staat Microsoft Entra-toepassingsproxy sessiebewaking toe voor extra beveiliging met Microsoft Defender voor Cloud Apps.

Microsoft Entra-applicatieproxy

Microsoft Entra-toepassingsproxy en vergelijkbare mogelijkheden van derden bieden externe toegang tot verouderde en andere toepassingen die on-premises of op IaaS-VM's in de cloud worden gehost.

Toepassingsgevallen en scenario's voor Microsoft Entra-toepassingsproxy

Deze oplossing is geschikt voor het publiceren van verouderde productiviteitstoepassingen voor eindgebruikers aan geautoriseerde gebruikers via internet. Het kan ook worden gebruikt voor het publiceren van sommige beheertoepassingen.

Beveiligingsrisico's en aanbevelingen voor Microsoft Entra-toepassingsproxy

Microsoft Entra-toepassingsproxy voert moderne Zero Trust-beleidshandhaving effectief uit op bestaande toepassingen. Zie Beveiligingsoverwegingen voor Microsoft Entra-toepassingsproxy voor meer informatie

Microsoft Entra-toepassingsproxy kan ook worden geïntegreerd met Microsoft Defender voor Cloud Apps om app-beheersessiebeveiliging voor voorwaardelijke toegang toe te voegen aan:

• Exfiltratie van gegevens voorkomen
• Beveiligen bij downloaden
• Uploaden van niet-gelabelde bestanden voorkomen
• Gebruikerssessies controleren op naleving
• Toegang blokkeren
• Aangepaste activiteiten blokkeren

Zie voor meer informatie Voorwaardelijke toegang-appbeheer voor Defender voor cloud-apps implementeren voor Microsoft Entra-apps

Wanneer u toepassingen publiceert via de Microsoft Entra-toepassingsproxy, raadt Microsoft aan om toepassingseigenaren te laten samenwerken met beveiligingsteams om minimale bevoegdheden te volgen en ervoor te zorgen dat de toegang tot elke toepassing alleen beschikbaar wordt gesteld aan de gebruikers die deze vereisen. Naarmate u meer apps op deze manier implementeert, kunt u mogelijk een deel van het gebruik van point-to-site VPN door eindgebruikers compenseren.

Extern bureaublad/jumpserver

Dit scenario biedt een volledige bureaubladomgeving met een of meer toepassingen. Deze oplossing heeft een aantal verschillende variaties, waaronder:

• Experiences - Volledig bureaublad in een venster of één toepassingsprojectervaring
• Externe host: kan een gedeelde VM of een toegewezen bureaublad-VM zijn met Windows Virtual Desktop (WVD) of een andere VDI-oplossing (Virtual Desktop Infrastructure).
• Lokaal apparaat: kan een mobiel apparaat, een beheerd werkstation of een door een persoonlijk/partner beheerd werkstation zijn
• Scenario - Gericht op toepassingen voor gebruikersproductiviteit of op beheerscenario's, ook wel een 'jumpserver' genoemd

Gebruikssituaties en beveiligingsaanbevelingen voor Extern bureaublad/Jump-server

De meest voorkomende configuraties zijn:

• Direct Remote Desktop Protocol (RDP): deze configuratie wordt niet aanbevolen voor internetverbinding, omdat RDP een protocol is met beperkte beveiliging tegen moderne aanvallen, zoals wachtwoordspray. Direct RDP moet worden omgezet naar:
  • RDP via een gateway die is gepubliceerd door de Microsoft Entra-toepassingsproxy
  • Azure Bastion
• RDP via een gateway met behulp van
  • Remote Desktop Services (RDS) opgenomen in Windows Server. Publiceren met Microsoft Entra-toepassingsproxy.
  • Windows Virtual Desktop (WVD): volg de aanbevolen procedures voor beveiliging van Windows Virtual Desktop.
  • Externe VDI: volg best practices van de fabrikant of branche of pas WVD-richtlijnen aan uw oplossing aan
• Secure Shell-server (SSH): biedt externe shell en scripting voor technologieafdelingen en workloadeigenaren. Het beveiligen van deze configuratie moet het volgende omvatten:
  • Volg de aanbevolen procedures van de branche/fabrikant om deze veilig te configureren, wijzig eventuele standaardwachtwoorden (indien van toepassing) en gebruik SSH-sleutels in plaats van wachtwoorden en bewaar en beheer SSH-sleutels veilig.
  • Azure Bastion gebruiken voor externe toegang van SSH naar resources die worden gehost in Azure - Verbinding maken met een Linux-VM met behulp van Azure Bastion

Azure Bastion

Azure Bastion is een intermediair die is ontworpen om veilige toegang tot Azure-resources te bieden met behulp van een browser en Azure Portal. Azure Bastion biedt toegangsbronnen in Azure die ondersteuning bieden voor Remote Desktop Protocol (RDP) en SSH-protocollen (Secure Shell).

Gebruiksscenario's en scenario's voor Azure Bastion

Azure Bastion biedt een flexibele oplossing die kan worden gebruikt door IT Operations-medewerkers en workloadbeheerders buiten IT voor het beheren van resources die worden gehost in Azure zonder dat hiervoor een volledige VPN-verbinding met de omgeving is vereist.

Beveiligingsrisico's en aanbevelingen voor Azure Bastion

Azure Bastion wordt geopend via Azure Portal, dus zorg ervoor dat uw Azure-portal interface het juiste beveiligingsniveau vereist voor de resources in de portal en rollen die deze gebruiken, meestal bevoegd of gespecialiseerd niveau.

Aanvullende richtlijnen zijn beschikbaar in de Documentatie voor Azure Bastion

Volgende stappen

• Overzicht van het beveiligen van bevoegde toegang
• strategie voor bevoegde toegang
• Succes meten
• Beveiligingsniveaus
• Gespecialiseerde toegangsaccounts
• Interfaces
• apparaten met uitgebreide toegang
• Enterprise-toegangsmodel