Microsoft Entra IDaaS w operacjach zabezpieczeń

Identyfikator Microsoft Entra
Microsoft Sentinel

Ta architektura pokazuje, w jaki sposób zespoły centrum operacji zabezpieczeń (SOC) mogą uwzględniać funkcje tożsamości i dostępu firmy Microsoft w ramach ogólnej zintegrowanej i warstwowej strategii zabezpieczeń o zerowym zaufaniu .

Zabezpieczenia sieci zdominowały operacje SOC, gdy wszystkie usługi i urządzenia były zawarte w sieciach zarządzanych w organizacjach. Jednak firma Gartner przewiduje, że do 2022 r. rozmiar rynku usług w chmurze będzie rosnąć w tempie prawie trzy razy większy niż w przypadku ogólnych usług IT. W miarę jak coraz więcej firm korzysta z przetwarzania w chmurze, istnieje przesunięcie w kierunku traktowania tożsamości użytkowników jako podstawowej granicy zabezpieczeń.

Zabezpieczanie tożsamości w chmurze jest wysokim priorytetem.

  • Raport badań w sprawie naruszeń danych Verizon w 2020 r. stwierdził, że 37% dotyczyło użycia skradzionych poświadczeń, a 22% naruszeń danych dotyczyło wyłudzania informacji.

  • Badanie IBM z 2019 r. dotyczące incydentów naruszenia zabezpieczeń danych poinformowało, że średni globalny koszt naruszenia danych wynosił 3,9 mln USD, przy średnim koszcie w USA bliżej 8,2 mln USD.

  • Raport analizy zabezpieczeń firmy Microsoft 2019 poinformował, że ataki wyłudzające informacje wzrosły o 250% między styczniem a grudniem 2018 r.

Model zabezpieczeń Zero Trust traktuje wszystkie hosty tak, jakby były połączone z Internetem i uważa, że cała sieć ma być potencjalnie naruszona i wroga. Takie podejście koncentruje się na tworzeniu silnego uwierzytelniania (AuthN), autoryzacji i szyfrowania, a jednocześnie zapewnianiu dostępu z podziałem na przedziały i lepszej elastyczności operacyjnej.

Firma Gartner promuje adaptacyjną architekturę zabezpieczeń, która zastępuje strategię opartą na reagowaniu na zdarzenia za pomocą modelu zapobiegania wykrywaniu odpowiedzi i przewidywania. Zabezpieczenia adaptacyjne łączą kontrolę dostępu, monitorowanie behawioralne, zarządzanie użyciem i odnajdywanie z ciągłym monitorowaniem i analizą.

Architektura referencyjna cyberbezpieczeństwa firmy Microsoft (MCRA) opisuje możliwości cyberbezpieczeństwa firmy Microsoft i sposób ich integracji z istniejącymi architekturami zabezpieczeń, w tym środowiskami chmurowymi i hybrydowymi, które używają identyfikatora Microsoft Entra ID dla tożsamości jako usługi (IDaaS).

W tym artykule przedstawiono podejście do zabezpieczeń bez zaufania i adaptacyjnego zabezpieczeń do usługi IDaaS, podkreślając składniki dostępne na platformie Microsoft Entra.

Potencjalne przypadki użycia

  • Projektowanie nowych rozwiązań zabezpieczeń
  • Ulepszanie lub integrowanie z istniejącymi implementacjami
  • Edukuj zespoły SOC

Architektura

Możliwości zabezpieczeń związane z usługą Microsoft Entra

Pobierz plik programu Visio tej architektury.

Przepływ pracy

  1. Zarządzanie poświadczeniami kontroluje uwierzytelnianie.
  2. Aprowizacja i zarządzanie upoważnieniami definiują pakiet dostępu, przypisz użytkowników do zasobów i wypychają dane na potrzeby zaświadczania.
  3. Aparat autoryzacji ocenia zasady dostępu w celu określenia dostępu. Aparat ocenia również wykrywanie ryzyka, w tym dane analizy behawioralnej użytkowników/jednostek (UEBA) i sprawdza zgodność urządzeń pod kątem zarządzania punktami końcowymi.
  4. Jeśli jest to autoryzowane, użytkownik lub urządzenie uzyskuje dostęp do zasad dostępu warunkowego i kontroli.
  5. Jeśli autoryzacja nie powiedzie się, użytkownicy mogą wykonać korygowanie w czasie rzeczywistym w celu odblokowania siebie.
  6. Wszystkie dane sesji są rejestrowane na potrzeby analizy i raportowania.
  7. System zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) zespołu SOC (security information and event management, SIEM) odbiera wszystkie dane dziennika, wykrywania ryzyka i analizy UEBA z tożsamości w chmurze i lokalnych.

Składniki

Następujące procesy i składniki zabezpieczeń współtworzyją tę architekturę usługi Microsoft Entra IDaaS.

Zarządzanie poświadczeniami

Zarządzanie poświadczeniami obejmuje usługi, zasady i rozwiązania, które wystawiają, śledzą i aktualizują dostęp do zasobów lub usług. Zarządzanie poświadczeniami firmy Microsoft obejmuje następujące możliwości:

  • Samoobsługowe resetowanie haseł (SSPR) umożliwia użytkownikom samodzielne obsługiwanie i resetowanie własnych utraconych, zapomnianych lub naruszonych haseł. Samoobsługowe resetowanie hasła nie tylko zmniejsza liczbę zgłoszeń do pomocy technicznej, ale zapewnia większą elastyczność i bezpieczeństwo użytkowników.

  • Zapisywanie zwrotne haseł synchronizuje hasła zmienione w chmurze z katalogami lokalnymi w czasie rzeczywistym.

  • Zakazane hasła analizują dane telemetryczne ujawniające często używane słabe lub naruszone hasła i zakazują ich użycia globalnie w całym identyfikatorze Firmy Microsoft Entra. Możesz dostosować tę funkcję dla środowiska i dołączyć listę niestandardowych haseł, które mają być blokowane we własnej organizacji.

  • Inteligentna blokada porównuje wiarygodne próby uwierzytelniania z próbami siłowymi uzyskania nieautoryzowanego dostępu. W ramach domyślnych zasad blokady inteligentnej konto blokuje się przez jedną minutę po 10 nieudanych próbach logowania. Gdy próby logowania nadal kończą się niepowodzeniem, czas blokady konta wzrasta. Zasady umożliwiają dostosowanie ustawień odpowiedniej kombinacji zabezpieczeń i użyteczności organizacji.

  • Uwierzytelnianie wieloskładnikowe wymaga wielu form uwierzytelniania, gdy użytkownicy próbują uzyskać dostęp do chronionych zasobów. Większość użytkowników jest zaznajomiona z używaniem informacji, takich jak hasło, podczas uzyskiwania dostępu do zasobów. Uwierzytelnianie wieloskładnikowe prosi użytkowników o pokazanie czegoś, co ma, na przykład dostęp do zaufanego urządzenia lub coś, co są, jak identyfikator biometryczny. Usługa MFA może używać różnych rodzajów metod uwierzytelniania, takich jak połączenia telefoniczne, wiadomości SMS lub powiadomienia za pośrednictwem aplikacji authenticator.

  • Uwierzytelnianie bez hasła zastępuje hasło w przepływie pracy uwierzytelniania tokenem smartfonu lub sprzętu, identyfikatorem biometrycznym lub numerem PIN. Uwierzytelnianie bez hasła firmy Microsoft może współpracować z zasobami platformy Azure, takimi jak Windows Hello dla firm, oraz aplikacją Microsoft Authenticator na urządzeniach przenośnych. Możesz również włączyć uwierzytelnianie bez hasła przy użyciu kluczy zabezpieczeń zgodnych z standardem FIDO2, które używają protokołu WebAuthn i protokołu Client-to-Authenticator (CTAP) fiDO Alliance.

Aprowizowanie aplikacji i uprawnienie

  • Zarządzanie upoważnieniami to funkcja zarządzania tożsamościami firmy Microsoft Entra, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę. Zarządzanie upoważnieniami automatyzuje przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygasania.

  • Aprowizacja firmy Microsoft umożliwia automatyczne tworzenie tożsamości użytkowników i ról w aplikacjach, do których użytkownicy muszą uzyskiwać dostęp. Możesz skonfigurować aprowizację firmy Microsoft dla aplikacji oprogramowania jako usługi (SaaS) innych firm, takich jak SuccessFactors, Workday i wiele innych.

  • Bezproblemowe logowanie jednokrotne (SSO) automatycznie uwierzytelnia użytkowników w aplikacjach w chmurze po zalogowaniu się na urządzeniach firmowych. Możesz użyć bezproblemowego logowania jednokrotnego firmy Microsoft z synchronizacją skrótów haseł lub uwierzytelnianiem przekazywanym.

  • Zaświadczanie za pomocą przeglądów dostępu firmy Microsoft Entra pomaga spełnić wymagania dotyczące monitorowania i inspekcji. Przeglądy dostępu umożliwiają szybkie identyfikowanie liczby użytkowników administracyjnych, upewnienie się, że nowi pracownicy mogą uzyskiwać dostęp do potrzebnych zasobów lub przeglądać działania użytkowników, aby określić, czy nadal potrzebują dostępu.

Zasady dostępu warunkowego i mechanizmy kontroli

Zasady dostępu warunkowego to instrukcja if-then przypisań i kontroli dostępu. Należy zdefiniować odpowiedź ("zrób to") z przyczyną wyzwolenia zasad ("jeśli tak"), włączając aparat autoryzacji w celu podejmowania decyzji wymuszających zasady organizacji. Za pomocą dostępu warunkowego firmy Microsoft Entra możesz kontrolować, jak autoryzowani użytkownicy uzyskują dostęp do aplikacji. Narzędzie Microsoft Entra ID What If może pomóc zrozumieć, dlaczego zasady dostępu warunkowego były lub nie zostały zastosowane, lub czy zasady mają zastosowanie do użytkownika w określonych okolicznościach.

Mechanizmy kontroli dostępu warunkowego działają w połączeniu z zasadami dostępu warunkowego, aby ułatwić wymuszanie zasad organizacji. Kontrola dostępu warunkowego firmy Microsoft Entra umożliwia implementowanie zabezpieczeń na podstawie czynników wykrytych w momencie żądania dostępu, a nie jednego rozmiaru w każdym podejściu. Łącząc mechanizmy kontroli dostępu warunkowego z warunkami dostępu, można zmniejszyć konieczność tworzenia dodatkowych mechanizmów kontroli zabezpieczeń. W typowym przykładzie można zezwolić użytkownikom na urządzeniu przyłączonym do domeny na dostęp do zasobów przy użyciu logowania jednokrotnego, ale wymagać uwierzytelniania wieloskładnikowego dla użytkowników poza siecią lub używania własnych urządzeń.

Microsoft Entra ID może używać następujących kontroli dostępu warunkowego z zasadami dostępu warunkowego:

  • Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia konfigurowanie i przypisywanie odpowiednich ról użytkownikom, którzy muszą wykonywać zadania administracyjne lub wyspecjalizowane przy użyciu zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia tworzenie lub utrzymywanie oddzielnych dedykowanych kont tylko administratorów, dostęp do ról skonfigurowanych, dostęp do limitu czasu lub udzielanie dostępu za pośrednictwem przepływów pracy zatwierdzania.

  • Usługa Privileged Identity Management (PIM) pomaga zmniejszyć wektor ataku dla organizacji, umożliwiając dodawanie dodatkowego monitorowania i ochrony do kont administracyjnych. Dzięki usłudze Microsoft Entra PIM możesz zarządzać dostępem do zasobów platformy Azure, microsoft Entra ID i innymi usługami Platformy Microsoft 365 oraz kontrolować dostęp do zasobów i kontrolować dostęp just in time (JIT) i wystarczy administrować (JEA). Usługa PIM udostępnia historię działań administracyjnych i dziennika zmian oraz alerty dotyczące dodawania lub usuwania użytkowników z zdefiniowanych ról.

    Za pomocą usługi PIM można wymagać zatwierdzenia lub uzasadnienia aktywowania ról administracyjnych. Użytkownicy mogą utrzymywać normalne uprawnienia przez większość czasu, żądać i odbierać dostęp do ról, których potrzebują do wykonywania zadań administracyjnych lub wyspecjalizowanych. Po zakończeniu pracy i wylogowaniu się lub wygaśnięciu limitu czasu dostępu mogą ponownie uwierzytelnić się przy użyciu uprawnień użytkownika standardowego.

  • Microsoft Defender dla Chmury Apps to broker zabezpieczeń dostępu do chmury (CASB), który analizuje dzienniki ruchu w celu odnajdywania i monitorowania aplikacji i usług używanych w organizacji. Za pomocą usługi Defender dla Chmury Apps możesz wykonywać następujące czynności:

    Defender dla Chmury Aplikacje mogą również pracować z zasadami dostępu i zasadami sesji w celu kontrolowania dostępu użytkowników do aplikacji SaaS. Można na przykład:

  • Strona kontroli dostępu w centrum administracyjnym programu SharePoint udostępnia kilka sposobów kontrolowania dostępu do zawartości programu SharePoint i usługi OneDrive. Możesz zablokować dostęp, zezwolić na ograniczony dostęp tylko do sieci Web z urządzeń niezarządzanych lub kontrolować dostęp w oparciu o lokalizację sieciową.

  • Uprawnienia aplikacji można ograniczyć do określonych skrzynek pocztowych usługi Exchange Online przy użyciu funkcji ApplicationAccessPolicy z poziomu interfejsu API programu Microsoft Graph.

  • Warunki użytkowania (TOU) umożliwiają przedstawienie informacji, na które użytkownicy końcowi muszą wyrazić zgodę przed uzyskaniem dostępu do chronionych zasobów. Dokumenty TOU są przekazywane na platformę Azure jako pliki PDF, które są następnie dostępne jako mechanizmy kontroli w zasadach dostępu warunkowego. Tworząc zasady dostępu warunkowego, które wymagają od użytkowników wyrażenia zgody na jednostkę dostępu podczas logowania, można łatwo przeprowadzić inspekcję użytkowników, którzy zaakceptowali tou.

  • Zarządzanie punktami końcowymi steruje sposobem, w jaki autoryzowani użytkownicy mogą uzyskiwać dostęp do aplikacji w chmurze z szerokiej gamy urządzeń, w tym urządzeń przenośnych i osobistych. Za pomocą zasad dostępu warunkowego można ograniczyć dostęp tylko do urządzeń spełniających określone standardy zabezpieczeń i zgodności. Te urządzenia zarządzane wymagają tożsamości urządzenia.

Wykrywanie ryzyka

Usługa Azure Identity Protection zawiera kilka zasad, które mogą ułatwić organizacji zarządzanie odpowiedziami na podejrzane akcje użytkowników. Ryzyko użytkownika jest prawdopodobieństwem naruszenia tożsamości użytkownika. Ryzyko logowania to prawdopodobieństwo, że żądanie logowania nie pochodzi od użytkownika. Microsoft Entra ID oblicza wyniki ryzyka logowania na podstawie prawdopodobieństwa żądania logowania pochodzącego z rzeczywistego użytkownika na podstawie analizy behawioralnej.

  • Wykrywanie ryzyka firmy Microsoft wykorzystuje adaptacyjne algorytmy uczenia maszynowego i algorytmy heurystyczne do wykrywania podejrzanych akcji związanych z kontami użytkowników. Każda wykryta podejrzana akcja jest przechowywana w rekordzie nazywanym wykrywaniem ryzyka. Microsoft Entra ID oblicza prawdopodobieństwo ryzyka związanego z użytkownikiem i logowaniem przy użyciu tych danych, ulepszone przy użyciu wewnętrznych i zewnętrznych źródeł i sygnałów analizy zagrożeń firmy Microsoft.

  • Interfejsy API wykrywania ryzyka usługi Identity Protection w programie Microsoft Graph umożliwiają uwidocznienie informacji o ryzykownych użytkownikach i logowaniach.

  • Korygowanie w czasie rzeczywistym umożliwia użytkownikom odblokowywanie się przy użyciu samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego w celu samodzielnego korygowania niektórych wykryć ryzyka.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca zabezpieczeń.

Rejestrowanie

Raporty inspekcji firmy Microsoft Entra zapewniają możliwość śledzenia działań platformy Azure z dziennikami inspekcji, dziennikami logowania i ryzykownymi raportami użytkowników. Dane dziennika można filtrować i przeszukiwać na podstawie kilku parametrów, w tym usługi, kategorii, aktywności i stanu.

Dane dziennika identyfikatora entra firmy Microsoft można kierować do punktów końcowych, takich jak:

Możesz również użyć interfejsu API raportowania programu Microsoft Graph, aby pobrać i wykorzystać dane dziennika identyfikatora Entra firmy Microsoft we własnych skryptach.

Zagadnienia dotyczące środowiska lokalnego i hybrydowego

Metody uwierzytelniania są kluczem do zabezpieczania tożsamości organizacji w scenariuszu hybrydowym. Firma Microsoft udostępnia konkretne wskazówki dotyczące wybierania metody uwierzytelniania hybrydowego przy użyciu identyfikatora Microsoft Entra ID.

Usługa Microsoft Defender for Identity może używać sygnałów lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych. Usługa Defender for Identity używa analizy UEBA do identyfikowania zagrożeń poufnych i flagowania ryzyka. Nawet jeśli tożsamość zostanie naruszona, usługa Defender for Identity może pomóc zidentyfikować naruszenie w oparciu o nietypowe zachowanie użytkownika.

Usługa Defender for Identity jest zintegrowana z aplikacjami Defender dla Chmury w celu rozszerzenia ochrony aplikacji w chmurze. Możesz użyć usługi Defender dla Chmury Apps, aby utworzyć zasady sesji, które chronią pliki podczas pobierania. Można na przykład automatycznie ustawić uprawnienia tylko do wyświetlania dla dowolnego pliku pobranego przez określone typy użytkowników.

Aplikację lokalną można skonfigurować w usłudze Microsoft Entra ID, aby używać aplikacji Defender dla Chmury do monitorowania w czasie rzeczywistym. Defender dla Chmury Apps używa kontroli dostępu warunkowego aplikacji do monitorowania i kontrolowania sesji w czasie rzeczywistym na podstawie zasad dostępu warunkowego. Te zasady można zastosować do aplikacji lokalnych, które używają serwer proxy aplikacji w identyfikatorze Entra firmy Microsoft.

Firma Microsoft Entra serwer proxy aplikacji umożliwia użytkownikom dostęp do lokalnych aplikacji internetowych z klientów zdalnych. Dzięki serwer proxy aplikacji możesz monitorować wszystkie działania logowania dla aplikacji w jednym miejscu.

Za pomocą usługi Defender for Identity z usługą Ochrona tożsamości Microsoft Entra możesz chronić tożsamości użytkowników synchronizowane z platformą Azure za pomocą programu Microsoft Entra Connect.

Jeśli niektóre aplikacje używają już istniejącego kontrolera dostarczania lub kontrolera sieci w celu zapewnienia dostępu poza siecią, możesz zintegrować je z identyfikatorem Microsoft Entra. Kilku partnerów, w tym Akamai, Citrix, F5 Networks i Zscaler , oferuje rozwiązania i wskazówki dotyczące integracji z identyfikatorem Entra firmy Microsoft.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca optymalizacji kosztów.

Cennik firmy Microsoft Entra obejmuje bezpłatne funkcje, takie jak logowanie jednokrotne i uwierzytelnianie wieloskładnikowe, do warstwy Premium P2, w przypadku funkcji, takich jak usługa PIM i zarządzanie upoważnieniami. Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik firmy Microsoft Entra.

Następne kroki