Udostępnij za pośrednictwem


Zabezpieczanie tożsamości przy użyciu zera zaufania

Przed rozpoczęciem podróży przez większość organizacji zero trust ich podejście do tożsamości może zostać podzielone na różnych dostawców tożsamości, brak logowania jednokrotnego między aplikacjami w chmurze i lokalnymi oraz ograniczony wgląd w ryzyko związane z tożsamością.

Aplikacje w chmurze i pracownicy mobilni wymagają nowego sposobu myślenia, jeśli chodzi o zabezpieczenia. Wielu pracowników wprowadza własne urządzenia i pracuje w sposób hybrydowy. Dane są regularnie dostępne poza tradycyjnym obwodem sieci firmowej i udostępniane zewnętrznym współpracownikom, takich jak partnerzy i dostawcy. Tradycyjne aplikacje i dane firmowe są przenoszone ze środowiska lokalnego do środowisk hybrydowych i chmurowych.

Tradycyjne mechanizmy kontroli sieci dla zabezpieczeń nie są już wystarczające.

Tożsamości reprezentują osoby, usługi lub urządzenia w sieciach, punktach końcowych i aplikacjach. W modelu zabezpieczeń Zero Trust działają one jako zaawansowane, elastyczne i szczegółowe środki kontroli dostępu do zasobów.

Zanim tożsamość podejmie próbę uzyskania dostępu do zasobu, organizacje muszą:

  • Zweryfikuj tożsamość przy użyciu silnego uwierzytelniania.
  • Upewnij się, że dostęp jest zgodny i typowy dla tej tożsamości.
  • Postępuj zgodnie z zasadami dostępu z najmniejszymi uprawnieniami.

Po zweryfikowaniu tożsamości możemy kontrolować dostęp do zasobów na podstawie zasad organizacji, bieżącej analizy ryzyka i innych narzędzi.

Cele wdrożenia usługi Identity Zero Trust

Podczas implementowania kompleksowej platformy zero trust dla tożsamości zalecamy skupienie się najpierw na tych początkowych celach wdrażania:

Po omówieniu poprzednich obszarów skoncentruj się na tych celach wdrażania:

I. Tożsamości w chmurze są federacyjne z lokalnymi systemami tożsamości

Identyfikator entra firmy Microsoft umożliwia silne uwierzytelnianie, punkt integracji z zabezpieczeniami punktu końcowego oraz podstawowe zasady skoncentrowane na użytkowniku w celu zagwarantowania dostępu z najniższymi uprawnieniami. Microsoft Entra Conditional Access to aparat zasad używany do podejmowania decyzji dotyczących dostępu do zasobów w oparciu o tożsamość użytkownika, środowisko, kondycję urządzenia i ryzyko jawnie zweryfikowane w czasie dostępu. Strategię tożsamości zero trust można zaimplementować za pomocą identyfikatora Entra firmy Microsoft.

Diagram kroków w fazie 1 początkowego celu wdrożenia.

Łączenie wszystkich użytkowników z identyfikatorem Entra firmy Microsoft i federowanie z lokalnymi systemami tożsamości

Utrzymywanie prawidłowego potoku tożsamości pracowników i niezbędnych artefaktów zabezpieczeń, w tym grup autoryzacji i punktów końcowych kontroli zasad dostępu, zapewnia najlepsze miejsce do używania spójnych tożsamości i mechanizmów kontroli w chmurze.

Wykonaj te kroki:

  1. Wybierz opcję uwierzytelniania. Microsoft Entra ID zapewnia najlepszą ochronę przed atakami siłowymi, DDoS i sprayem haseł, ale podejmowanie decyzji, która jest odpowiednia dla twojej organizacji i Twoich potrzeb w zakresie zgodności.
  2. Przynieś tylko tożsamości, których absolutnie potrzebujesz. Użyj opcji przechodzenia do chmury jako okazji, aby pozostawić konta usług, które mają sens tylko lokalnie. Pozostaw lokalne uprzywilejowane role w środowisku lokalnym.
  3. Upewnij się, że spełniasz wymagania sprzętowe dotyczące usługi Microsoft Entra Connect Sync na podstawie rozmiaru organizacji.

Ustanawianie programu Identity Foundation przy użyciu identyfikatora Entra firmy Microsoft

Strategia Zero Trust wymaga jawnego zweryfikowania, używania zasad dostępu z najniższymi uprawnieniami i przy założeniu naruszenia. Microsoft Entra ID może działać jako punkt decyzyjny zasad, aby wymusić zasady dostępu na podstawie szczegółowych informacji na temat użytkownika, punktu końcowego, zasobu docelowego i środowiska.

Umieść identyfikator Entra firmy Microsoft w ścieżce każdego żądania dostępu. Ten proces łączy każdego użytkownika, aplikację i zasób za pośrednictwem wspólnej płaszczyzny kontroli tożsamości oraz udostępnia identyfikator Entra firmy Microsoft za pomocą sygnałów, aby podejmować najlepsze możliwe decyzje dotyczące ryzyka uwierzytelniania/autoryzacji. Ponadto logowanie jednokrotne (SSO) i spójne zabezpieczenia zasad zapewniają lepsze środowisko użytkownika i przyczyniają się do zwiększenia produktywności.

Integrowanie wszystkich aplikacji z identyfikatorem Entra firmy Microsoft

Logowanie jednokrotne uniemożliwia użytkownikom pozostawienie kopii poświadczeń w różnych aplikacjach i pomaga uniknąć ataków wyłudzających informacji lub zmęczenia uwierzytelnianiem wieloskładnikowym z powodu nadmiernego monitowania.

Upewnij się, że w danym środowisku nie masz wielu rozwiązań do zarządzania tożsamościami i dostępem (IAM). Ta duplikacja zmniejsza sygnały, że identyfikator Entra firmy Microsoft widzi, pozwala złym aktorom żyć w cieniu między dwoma aparatami IAM i prowadzi do złego środowiska użytkownika. Ta złożoność może prowadzić do tego, że partnerzy biznesowi stają się wątpliwi co do strategii Zero Trust.

Wykonaj te kroki:

  1. Integrowanie nowoczesnych aplikacji dla przedsiębiorstw, które mówią OAuth2.0 lub SAML.
  2. W przypadku aplikacji Kerberos i uwierzytelniania opartego na formularzach zintegruj je przy użyciu serwera proxy aplikacji Microsoft Entra.
  3. Jeśli publikujesz starsze aplikacje przy użyciu sieci dostarczania aplikacji/kontrolerów, użyj identyfikatora Entra firmy Microsoft do integracji z większością głównych aplikacji (takich jak Citrix, Akamai i F5).
  4. Aby ułatwić odnajdywanie i migrowanie aplikacji poza usługami ADFS i istniejącymi/starszymi aparatami zarządzania dostępem i tożsamościami, zapoznaj się z artykułem Zasoby dotyczące migrowania aplikacji do identyfikatora Entra firmy Microsoft.
  5. Automatyzowanie aprowizacji użytkowników.

Weryfikowanie jawnie przy użyciu silnego uwierzytelniania

Wykonaj te kroki:

  1. Wdrażanie uwierzytelniania wieloskładnikowego firmy Microsoft. Ten wysiłek jest podstawowym elementem zmniejszenia ryzyka sesji użytkownika. Gdy użytkownicy pojawiają się na nowych urządzeniach i z nowych lokalizacji, możliwość reagowania na wyzwanie uwierzytelniania wieloskładnikowego jest jednym z najbardziej bezpośrednich sposobów, w jaki użytkownicy mogą nauczyć nas, że są to znane urządzenia/lokalizacje podczas poruszania się po świecie (bez konieczności analizowania poszczególnych sygnałów przez administratorów).
  2. Blokowanie starszego uwierzytelniania. Jednym z najczęstszych wektorów ataków dla złośliwych podmiotów jest użycie skradzionych/odtwarzanych poświadczeń względem starszych protokołów, takich jak SMTP, które nie mogą wykonywać nowoczesnych wyzwań związanych z zabezpieczeniami.

II. Dostęp do zasad dostępu warunkowego i zapewnianie działań korygcyjnych

Microsoft Entra Conditional Access analizuje sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacyjnego dla zasobu. Zasady dostępu warunkowego umożliwiają stosowanie kontroli dostępu, takich jak uwierzytelnianie wieloskładnikowe (MFA). Zasady dostępu warunkowego umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładnikowe w razie potrzeby w celu zapewnienia bezpieczeństwa i trzymać się z użytkowników w razie potrzeby.

Diagram zasad dostępu warunkowego w programie Zero Trust.

Firma Microsoft udostępnia standardowe zasady warunkowe nazywane domyślnymi zabezpieczeniami , które zapewniają podstawowy poziom zabezpieczeń. Jednak twoja organizacja może potrzebować większej elastyczności niż oferta domyślnych zabezpieczeń. Za pomocą dostępu warunkowego można dostosować wartości domyślne zabezpieczeń z większą szczegółowością i skonfigurować nowe zasady spełniające wymagania.

Planowanie zasad dostępu warunkowego z wyprzedzeniem i posiadanie zestawu aktywnych i rezerwowych zasad jest podstawowym filarem wymuszania zasad dostępu we wdrożeniu zero trust. Pośmiń czas na skonfigurowanie znanych lokalizacji sieciowych w danym środowisku. Nawet jeśli nie używasz tych lokalizacji sieciowych w zasadach dostępu warunkowego, skonfigurowanie tych adresów IP informuje o ryzyku Ochrona tożsamości Microsoft Entra.

Wykonaj ten krok:

Rejestrowanie urządzeń przy użyciu identyfikatora Entra firmy Microsoft w celu ograniczenia dostępu z urządzeń narażonych na zagrożenia i naruszonych zabezpieczeń

Wykonaj te kroki:

  1. Włącz dołączanie hybrydowe firmy Microsoft Entra lub dołączanie do firmy Microsoft Entra. Jeśli zarządzasz laptopem/komputerem użytkownika, wprowadź te informacje do identyfikatora Entra firmy Microsoft i użyj go, aby ułatwić podejmowanie lepszych decyzji. Na przykład umożliwienie rozbudowanym klientom, którzy mają kopie w trybie offline na komputerze, dostęp do danych, jeśli wiesz, że użytkownik pochodzi z komputera, który kontroluje organizację i zarządza nią.
  2. Włącz usługę Intune w programie Microsoft Endpoint Manager (EMS) na potrzeby zarządzania urządzeniami przenośnymi użytkowników i rejestrowania urządzeń. To samo można powiedzieć o urządzeniach przenośnych użytkowników co o laptopach: Im więcej wiesz o nich (poziom poprawek, zdjęty zabezpieczeń systemu, rooted itp.), tym więcej można podać uzasadnienie, dlaczego blokujesz/zezwalasz na dostęp.

III. Analiza poprawia widoczność

Podczas tworzenia majątku w usłudze Microsoft Entra ID z uwierzytelnianiem, autoryzacją i aprowizowaniem ważne jest, aby mieć silny wgląd operacyjny w to, co dzieje się w katalogu.

Konfigurowanie rejestrowania i raportowania w celu zwiększenia widoczności

Wykonaj ten krok:

  • Zaplanuj wdrożenie raportowania i monitorowania firmy Microsoft, aby móc utrwalać i analizować dzienniki z identyfikatora Entra firmy Microsoft na platformie Azure lub przy użyciu wybranego systemu SIEM.

IV. Tożsamości i uprawnienia dostępu są zarządzane za pomocą ładu tożsamości

Po osiągnięciu początkowych celów skoncentruj się na innych celach, takich jak bardziej niezawodny nadzór nad tożsamościami.

Diagram kroków w fazie 4 dodatkowych celów wdrażania.

Zabezpieczanie uprzywilejowanego dostępu za pomocą usługi Privileged Identity Management

Kontrolowanie punktów końcowych, warunków i poświadczeń używanych przez użytkowników do uzyskiwania dostępu do uprzywilejowanych operacji/ról.

Wykonaj te kroki:

  1. Przejmij kontrolę nad tożsamościami uprzywilejowanym. Dostęp uprzywilejowany nie jest tylko dostępem administracyjnym, ale także dostępem aplikacji lub dewelopera, który może zmienić sposób uruchamiania aplikacji o krytycznym znaczeniu i obsługi danych.
  2. Użyj usługi Privileged Identity Management, aby zabezpieczyć tożsamości uprzywilejowane.

Zgoda użytkownika na aplikacje jest typowym sposobem, w jaki nowoczesne aplikacje uzyskują dostęp do zasobów organizacji, ale należy pamiętać o pewnych najlepszych rozwiązaniach.

Wykonaj te kroki:

  1. Ogranicz zgodę użytkownika i zarządzaj żądaniami zgody, aby upewnić się, że żadne niepotrzebne ujawnienie danych organizacji w aplikacjach.
  2. Przejrzyj wcześniejsze/istniejące zgody w organizacji pod kątem nadmiernej lub złośliwej zgody.

Aby uzyskać więcej informacji na temat narzędzi ochrony przed taktyką dostępu do poufnych informacji, zobacz "Wzmocnienie ochrony przed zagrożeniami cybernetycznymi i nieuczciwymi aplikacjami" w naszym przewodniku dotyczącym implementowania strategii zero trust tożsamości.

Zarządzanie upoważnieniami

Dzięki aplikacjom centralnie uwierzytelniającym i opartym na identyfikatorze Firmy Microsoft Entra możesz usprawnić proces żądania dostępu, zatwierdzenia i ponownego certyfikacji, aby upewnić się, że odpowiednie osoby mają odpowiedni dostęp i że masz ślad, dlaczego użytkownicy w organizacji mają dostęp.

Wykonaj te kroki:

  1. Zarządzanie upoważnieniami umożliwia tworzenie pakietów dostępu, których użytkownicy mogą żądać w miarę dołączania do różnych zespołów/projektów oraz przypisywania im dostępu do skojarzonych zasobów (takich jak aplikacje, witryny programu SharePoint, członkostwo w grupach).
  2. Jeśli w tej chwili wdrożenie zarządzania upoważnieniami nie jest możliwe w twojej organizacji, przynajmniej włącz samoobsługowe paradygmaty w organizacji, wdrażając samoobsługowe zarządzanie grupami i dostęp do aplikacji samoobsługowej.

Używanie uwierzytelniania bez hasła w celu zmniejszenia ryzyka wyłudzania informacji i ataków haseł

Dzięki usłudze Microsoft Entra ID obsługującej logowanie za pomocą protokołu FIDO 2.0 i bez hasła możesz przenieść igłę na poświadczeniach, które użytkownicy (szczególnie wrażliwi/uprzywilejowani użytkownicy) korzystają z codziennych zadań. Te poświadczenia są silnymi czynnikami uwierzytelniania, które również mogą ograniczyć ryzyko.

Wykonaj ten krok:

V. Użytkownik, urządzenie, lokalizacja i zachowanie są analizowane w czasie rzeczywistym, aby określić ryzyko i zapewnić ciągłą ochronę

Analiza w czasie rzeczywistym ma kluczowe znaczenie dla określania ryzyka i ochrony.

Diagram kroków w fazie 5 dodatkowych celów wdrażania.

Wdrażanie ochrony haseł w usłudze Microsoft Entra

Włączając inne metody jawnego weryfikowania użytkowników, nie ignoruj słabych haseł, sprayu haseł i ataków powtarzania naruszeń. Klasyczne złożone zasady haseł nie uniemożliwiają najbardziej rozpowszechnionych ataków na hasła.

Wykonaj ten krok:

Włączanie Ochrona tożsamości Microsoft Entra

Uzyskaj bardziej szczegółowy sygnał sesji/ryzyka użytkownika przy użyciu Ochrona tożsamości Microsoft Entra. Możesz włączyć opcje badania i korygowania ryzyka na podstawie zmieniających się potrzeb organizacji w zakresie zabezpieczeń.

Wykonaj ten krok:

Włączanie integracji aplikacji Microsoft Defender dla Chmury z usługą Ochrona tożsamości Microsoft Entra

Microsoft Defender dla Chmury Apps monitoruje zachowanie użytkowników w modelu SaaS i nowoczesnych aplikacjach. Ten sygnał informuje microsoft Entra ID o tym, co się stało z użytkownikiem po uwierzytelnieniu i otrzymaniu tokenu. Jeśli wzorzec użytkownika zacznie wyglądać podejrzanie, sygnał może być dostarczany w celu Ochrona tożsamości Microsoft Entra i dostępu warunkowego informującego o tym, że użytkownik wydaje się być zagrożony lub narażony na wysokie ryzyko. W następnym żądaniu dostępu od tego użytkownika identyfikator Entra firmy Microsoft może prawidłowo podjąć działania w celu zweryfikowania użytkownika lub zablokowania ich.

Wykonaj ten krok:

  • Włącz monitorowanie aplikacji Defender dla Chmury, aby wzbogacić sygnał Ochrona tożsamości Microsoft Entra.

Włączanie integracji dostępu warunkowego z aplikacjami Microsoft Defender dla Chmury

Za pomocą sygnałów emitowanych po uwierzytelnieniu i żądań serwera proxy aplikacji Defender dla Chmury Apps do aplikacji będzie można monitorować sesje przechodzące do aplikacji SaaS i wymuszać ograniczenia.

Wykonaj te kroki:

  1. Włącz integrację z dostępem warunkowym.

  2. Rozszerzanie dostępu warunkowego do aplikacji lokalnych.

Włączanie sesji z ograniczeniami do użycia w decyzjach dotyczących dostępu

Gdy ryzyko użytkownika jest niskie, ale loguje się z nieznanego punktu końcowego, możesz zezwolić na dostęp do zasobów, ale nie zezwalać im na wykonywanie czynności, które narażają organizację na ryzykowne działania. Możesz skonfigurować usługi Exchange Online i SharePoint Online, aby oferować użytkownikowi sesję z ograniczeniami, która umożliwia im odczytywanie wiadomości e-mail lub wyświetlanie plików, ale nie pobieranie ich i zapisywanie ich na niezaufanym urządzeniu.

Wykonaj ten krok:

VI. Integrowanie sygnałów zagrożeń z innych rozwiązań zabezpieczeń w celu poprawy wykrywania, ochrony i reagowania

Na koniec inne rozwiązania zabezpieczeń można zintegrować w celu zwiększenia skuteczności.

Integrowanie usługi Microsoft Defender for Identity z aplikacjami Microsoft Defender dla Chmury

Integracja z usługą Microsoft Defender for Identity umożliwia usłudze Microsoft Entra ID wiedzieć, że użytkownik zgłasza ryzykowne zachowanie podczas uzyskiwania dostępu do lokalnych, niemodernych zasobów (takich jak udziały plików). Ten sygnał może być uwzględniany w ogólnym ryzyku, co może blokować dalszy dostęp w chmurze.

Wykonaj te kroki:

  1. Włącz usługę Microsoft Defender for Identity za pomocą usługi Microsoft Defender dla Chmury Apps, aby wprowadzić sygnały lokalne do sygnału ryzyka, który wiemy o użytkowniku.
  2. Sprawdź łączny wskaźnik priorytetu badania dla każdego użytkownika zagrożonego, aby uzyskać całościowy widok tych, na których soC powinien się skupić.

Włączanie Ochrona punktu końcowego w usłudze Microsoft Defender

Ochrona punktu końcowego w usłudze Microsoft Defender pozwala potwierdzić kondycję maszyn z systemem Windows i określić, czy są one poddawane naruszeniu. Następnie możesz podawać te informacje w celu zmniejszenia ryzyka w czasie wykonywania. Podczas gdy przyłączanie do domeny daje poczucie kontroli, usługa Defender dla punktu końcowego umożliwia reagowanie na atak złośliwego oprogramowania niemal w czasie rzeczywistym, wykrywając wzorce, w których wiele urządzeń użytkowników uderza w niezaufane witryny i reaguje przez podniesienie ryzyka związanego z urządzeniem/użytkownikiem w czasie wykonywania.

Wykonaj ten krok:

Zabezpieczanie tożsamości zgodnie z zarządzeniem wykonawczym 14028 w sprawie cyberbezpieczeństwa i protokołu OMB 22-09

Zarządzenie wykonawcze 14028 w sprawie poprawy bezpieczeństwa cybernetycznego narodów i protokołu OMB 22-09 obejmuje konkretne działania w sprawie Zero Trust. Akcje tożsamości obejmują zastosowanie scentralizowanych systemów zarządzania tożsamościami, korzystanie z silnej uwierzytelniania wieloskładnikowego odpornej na wyłudzanie informacji i włączenie co najmniej jednego sygnału na poziomie urządzenia w decyzjach dotyczących autoryzacji. Aby uzyskać szczegółowe wskazówki dotyczące implementowania tych akcji za pomocą identyfikatora Entra firmy Microsoft, zobacz Spełnianie wymagań dotyczących tożsamości protokołu memorandum 22-09 przy użyciu identyfikatora Entra firmy Microsoft.

Produkty omówione w tym przewodniku

Podsumowanie

Tożsamość jest centralna dla pomyślnej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub przejdź do innych rozdziałów tego przewodnika, który obejmuje wszystkie filary Zero Trust.



Seria przewodników wdrażania zero trust

Ikona wprowadzenia

Ikona tożsamości

Ikona punktów końcowych

Ikona aplikacji

Ikona danych

Ikona infrastruktury

Ikona sieci

Ikona widoczności, automatyzacji, aranżacji