Azure Identity Management and access control security best practices (Zarządzanie tożsamościami na platformie Azure i najlepsze rozwiązania dotyczące kontroli dostępu)
W tym artykule omówiono kolekcję najlepszych rozwiązań w zakresie zarządzania tożsamościami platformy Azure i kontroli dostępu. Te najlepsze rozwiązania są oparte na naszym doświadczeniu z firmą Microsoft Entra ID i doświadczeniami klientów, takich jak samodzielnie.
W przypadku każdego najlepszego rozwiązania wyjaśniamy:
- Jakie jest najlepsze rozwiązanie
- Dlaczego chcesz włączyć to najlepsze rozwiązanie
- Jaki może być wynik, jeśli nie można włączyć najlepszych rozwiązań
- Możliwe alternatywy dla najlepszych rozwiązań
- Jak dowiedzieć się, jak włączyć najlepsze rozwiązanie
Ten artykuł dotyczący najlepszych rozwiązań dotyczących zabezpieczeń zarządzania tożsamościami i kontroli dostępu na platformie Azure jest oparty na opinii konsensusu oraz możliwościach i zestawach funkcji platformy Azure, ponieważ istnieją w momencie napisania tego artykułu.
Celem pisania tego artykułu jest zapewnienie ogólnego planu działania na rzecz bardziej niezawodnego stanu zabezpieczeń po wdrożeniu z przewodnikiem "5 kroków zabezpieczania infrastruktury tożsamości" listy kontrolnej, która przeprowadzi Cię przez niektóre z naszych podstawowych funkcji i usług.
Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł będzie regularnie aktualizowany w celu odzwierciedlenia tych zmian.
Najlepsze rozwiązania dotyczące zabezpieczeń zarządzania tożsamościami i kontroli dostępu platformy Azure omówione w tym artykule obejmują:
- Traktuj tożsamość jako podstawowy obwód zabezpieczeń
- Scentralizowane zarządzanie tożsamościami
- Zarządzanie połączonymi dzierżawami
- Włączanie logowania jednokrotnego
- Włączanie dostępu warunkowego
- Planowanie rutynowych ulepszeń zabezpieczeń
- Włączanie zarządzania hasłami
- Wymuszanie weryfikacji wieloskładnikowej dla użytkowników
- Korzystanie z kontroli dostępu opartej na rolach
- Niższa ekspozycja kont uprzywilejowanych
- Kontrolowanie lokalizacji, w których znajdują się zasoby
- Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania magazynu
Traktuj tożsamość jako podstawowy obwód zabezpieczeń
Wiele z tych osób uważa, że tożsamość jest podstawowym obwodem zabezpieczeń. Jest to przejście od tradycyjnego skupienia się na zabezpieczeniach sieci. Obwody sieci ciągle stają się coraz bardziej porowaty i ochrona obwodowa nie może być tak skuteczna, jak przed wybuchem urządzeń BYOD i aplikacji w chmurze.
Microsoft Entra ID to rozwiązanie platformy Azure do zarządzania tożsamościami i dostępem. Microsoft Entra ID to wielodostępna, oparta na chmurze usługa katalogów i zarządzania tożsamościami firmy Microsoft. Łączy podstawowe usługi katalogowe z funkcjami zarządzania dostępem do aplikacji i ochrony tożsamości w jednym rozwiązaniu.
W poniższych sekcjach wymieniono najlepsze rozwiązania dotyczące zabezpieczeń tożsamości i dostępu przy użyciu identyfikatora Entra firmy Microsoft.
Najlepsze rozwiązanie: Centrum mechanizmów kontroli zabezpieczeń i wykrywania tożsamości użytkowników i usług. Szczegóły: użyj identyfikatora Entra firmy Microsoft do sortowania kontrolek i tożsamości.
Scentralizowane zarządzanie tożsamościami
W scenariuszu tożsamości hybrydowej zalecamy integrację katalogów lokalnych i w chmurze. Integracja umożliwia zespołowi IT zarządzanie kontami z jednej lokalizacji, niezależnie od tego, gdzie jest tworzone konto. Integracja ułatwia również użytkownikom wydajniejszą pracę, zapewniając wspólną tożsamość na potrzeby uzyskiwania dostępu zarówno do zasobów w chmurze, jak i lokalnych.
Najlepsze rozwiązanie: ustanów pojedyncze wystąpienie firmy Microsoft Entra. Spójność i jedno autorytatywne źródło zwiększy przejrzystość i zmniejszy ryzyko bezpieczeństwa przed błędami ludzkimi i złożonością konfiguracji.
Szczegóły: wyznaczyć pojedynczy katalog Microsoft Entra jako autorytatywne źródło dla kont firmowych i organizacyjnych.
Najlepsze rozwiązanie: integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.
Szczegóły: użyj Połączenie firmy Microsoft, aby zsynchronizować katalog lokalny z katalogiem w chmurze.
Uwaga
Istnieją czynniki wpływające na wydajność Połączenie firmy Microsoft. Upewnij się, że firma Microsoft Entra Połączenie ma wystarczającą pojemność, aby utrzymać niedostateczne wyniki systemów przed utrudnianiem bezpieczeństwa i produktywności. Duże lub złożone organizacje (organizacje aprowizowania ponad 100 000 obiektów) powinny postępować zgodnie z zaleceniami, aby zoptymalizować implementację usługi Microsoft Entra Połączenie.
Najlepsze rozwiązanie: nie synchronizuj kont z identyfikatorem Microsoft Entra ID, które mają wysokie uprawnienia w istniejącym wystąpieniu usługi Active Directory.
Szczegóły: nie zmieniaj domyślnej konfiguracji microsoft Entra Połączenie, która filtruje te konta. Ta konfiguracja ogranicza ryzyko przejścia przeciwników z chmury do zasobów lokalnych (co może spowodować poważne zdarzenie).
Najlepsze rozwiązanie: włącz synchronizację skrótów haseł.
Szczegóły: Synchronizacja skrótów haseł to funkcja służąca do synchronizowania skrótów haseł użytkownika z wystąpienia lokalna usługa Active Directory do wystąpienia firmy Microsoft Entra opartego na chmurze. Ta synchronizacja pomaga chronić przed wyciekiem poświadczeń odtwarzanych przed poprzednimi atakami.
Nawet jeśli zdecydujesz się użyć federacji z usługami Active Directory Federation Services (AD FS) lub innymi dostawcami tożsamości, opcjonalnie możesz skonfigurować synchronizację skrótów haseł jako kopię zapasową w przypadku awarii serwerów lokalnych lub tymczasowo niedostępności. Ta synchronizacja umożliwia użytkownikom logowanie się do usługi przy użyciu tego samego hasła, którego używają do logowania się do wystąpienia lokalna usługa Active Directory. Umożliwia również usłudze Identity Protection wykrywanie poświadczeń, których bezpieczeństwo zostało naruszone, przez porównanie zsynchronizowanych skrótów haseł z hasłami, które są znane jako naruszone, jeśli użytkownik użył tego samego adresu e-mail i hasła w innych usługach, które nie są połączone z identyfikatorem Entra firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.
Najlepsze rozwiązanie: w przypadku tworzenia nowych aplikacji użyj identyfikatora Entra firmy Microsoft do uwierzytelniania.
Szczegóły: Użyj prawidłowych możliwości do obsługi uwierzytelniania:
- Identyfikator Entra firmy Microsoft dla pracowników
- Microsoft Entra B2B dla użytkowników-gości i partnerów zewnętrznych
- Usługa Azure AD B2C umożliwia kontrolowanie sposobu rejestrowania, logowania i zarządzania profilami klientów podczas korzystania z aplikacji
Organizacje, które nie integrują swojej tożsamości lokalnej z tożsamością w chmurze, mogą mieć większe obciążenie związane z zarządzaniem kontami. To obciążenie zwiększa prawdopodobieństwo błędów i naruszeń zabezpieczeń.
Uwaga
Musisz wybrać, w których katalogach będą znajdować się krytyczne konta i czy używana stacja robocza administratora jest zarządzana przez nowe usługi w chmurze lub istniejące procesy. Korzystanie z istniejących procesów zarządzania i aprowizacji tożsamości może zmniejszyć pewne ryzyko, ale może również spowodować naruszenie konta lokalnego przez osobę atakującą i przestawienia się do chmury. Możesz użyć innej strategii dla różnych ról (na przykład administratorów IT a administratorów jednostek biznesowych). Dostępne są dwie opcje. Pierwszą opcją jest utworzenie kont Microsoft Entra, które nie są synchronizowane z wystąpieniem lokalna usługa Active Directory. Dołącz stację roboczą administratora do usługi Microsoft Entra ID, którą można zarządzać i poprawiać przy użyciu usługi Microsoft Intune. Drugą opcją jest użycie istniejących kont administratorów przez synchronizację z wystąpieniem lokalna usługa Active Directory. Użyj istniejących stacji roboczych w domenie usługi Active Directory do zarządzania i zabezpieczeń.
Zarządzanie połączonymi dzierżawami
Twoja organizacja zabezpieczeń potrzebuje widoczności, aby ocenić ryzyko i określić, czy są przestrzegane zasady organizacji i jakiekolwiek wymagania prawne. Upewnij się, że organizacja zabezpieczeń ma wgląd we wszystkie subskrypcje połączone ze środowiskiem produkcyjnym i siecią (za pośrednictwem usługi Azure ExpressRoute lub sieci VPN typu lokacja-lokacja. Globalny Administracja istrator w usłudze Microsoft Entra ID może podnieść poziom dostępu do roli Administracja istratora dostępu użytkowników i wyświetlić wszystkie subskrypcje i grupy zarządzane połączone ze środowiskiem.
Zobacz podnoszenie poziomu dostępu, aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania, aby upewnić się, że Ty i Twoja grupa zabezpieczeń będą mogły wyświetlać wszystkie subskrypcje lub grupy zarządzania połączone ze środowiskiem. Po ocenie ryzyka należy usunąć ten podwyższony poziom dostępu.
Włączanie logowania jednokrotnego
W świecie opartym na urządzeniach przenośnych, opartych na chmurze, chcesz włączyć logowanie jednokrotne na urządzeniach, aplikacjach i usługach z dowolnego miejsca, aby użytkownicy mogli pracować w dowolnym miejscu i czasie. Jeśli masz wiele rozwiązań do zarządzania tożsamościami, staje się to problemem administracyjnym nie tylko dla IT, ale także dla użytkowników, którzy muszą pamiętać wiele haseł.
Korzystając z tego samego rozwiązania do obsługi tożsamości dla wszystkich aplikacji i zasobów, możesz uzyskać logowanie jednokrotne. Użytkownicy mogą użyć tego samego zestawu poświadczeń, aby zalogować się i uzyskać dostęp do potrzebnych zasobów, niezależnie od tego, czy zasoby znajdują się lokalnie, czy w chmurze.
Najlepsze rozwiązanie: włączanie logowania jednokrotnego.
Szczegóły: Identyfikator entra firmy Microsoft rozszerza lokalna usługa Active Directory do chmury. Użytkownicy mogą używać swojego podstawowego konta służbowego dla urządzeń przyłączonych do domeny, zasobów firmy i wszystkich aplikacji internetowych i SaaS, które muszą wykonać. Użytkownicy nie muszą pamiętać wielu zestawów nazw użytkowników i haseł, a ich dostęp do aplikacji można automatycznie aprowizować (lub anulować aprowizację) na podstawie członkostwa w grupach organizacji i ich statusu jako pracownika. Możesz kontrolować dostęp do aplikacji z galerii lub własnych aplikacji lokalnych, które zostały opracowane i opublikowane za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.
Użyj logowania jednokrotnego, aby umożliwić użytkownikom dostęp do swoich aplikacji SaaS na podstawie konta służbowego w usłudze Microsoft Entra ID. Dotyczy to nie tylko aplikacji SaaS firmy Microsoft, ale także innych aplikacji, takich jak Google Apps i Salesforce. Aplikację można skonfigurować tak, aby korzystała z identyfikatora Entra firmy Microsoft jako dostawcy tożsamości opartego na protokole SAML. Jako kontrola zabezpieczeń identyfikator Entra firmy Microsoft nie wystawia tokenu, który umożliwia użytkownikom logowanie się do aplikacji, chyba że udzielono im dostępu za pośrednictwem identyfikatora Entra firmy Microsoft. Możesz udzielić dostępu bezpośrednio lub za pośrednictwem grupy, do której należą użytkownicy.
Organizacje, które nie tworzą wspólnej tożsamości w celu ustanowienia logowania jednokrotnego dla swoich użytkowników i aplikacji, są bardziej narażone na scenariusze, w których użytkownicy mają wiele haseł. Te scenariusze zwiększają prawdopodobieństwo ponownego użycia haseł przez użytkowników lub użycia słabych haseł.
Włączanie dostępu warunkowego
Użytkownicy mogą uzyskiwać dostęp do zasobów organizacji przy użyciu różnych urządzeń i aplikacji z dowolnego miejsca. Jako administrator IT chcesz upewnić się, że te urządzenia spełniają twoje standardy dotyczące zabezpieczeń i zgodności. Po prostu skupienie się na tym, kto może uzyskać dostęp do zasobu, nie jest już wystarczający.
Aby zrównoważyć bezpieczeństwo i produktywność, należy zastanowić się, jak zasób jest uzyskiwany przed podjęciem decyzji o kontroli dostępu. Za pomocą dostępu warunkowego firmy Microsoft Entra możesz rozwiązać to wymaganie. Dostęp warunkowy umożliwia podejmowanie zautomatyzowanych decyzji dotyczących kontroli dostępu na podstawie warunków uzyskiwania dostępu do aplikacji w chmurze.
Najlepsze rozwiązanie: zarządzanie dostępem do zasobów firmowych i kontrolowanie go.
Szczegóły: Skonfiguruj typowe zasady dostępu warunkowego firmy Microsoft Entra na podstawie grupy, lokalizacji i poufności aplikacji dla aplikacji SaaS i aplikacji połączonych z identyfikatorem Entra firmy Microsoft.
Najlepsze rozwiązanie: blokuj starsze protokoły uwierzytelniania.
Szczegóły: Osoby atakujące wykorzystują słabe punkty w starszych protokołach każdego dnia, szczególnie w przypadku ataków sprayu haseł. Skonfiguruj dostęp warunkowy, aby zablokować starsze protokoły.
Planowanie rutynowych ulepszeń zabezpieczeń
Bezpieczeństwo zawsze ewoluuje i ważne jest, aby wbudować w strukturę zarządzania chmurą i tożsamościami sposób regularnego pokazywania wzrostu i odnajdywania nowych sposobów zabezpieczania środowiska.
Wskaźnik bezpieczeństwa tożsamości to zestaw zalecanych mechanizmów kontroli zabezpieczeń publikowanych przez firmę Microsoft w celu zapewnienia wyniku liczbowego w celu obiektywnego mierzenia stanu zabezpieczeń i planowania przyszłych ulepszeń zabezpieczeń. Możesz również wyświetlić swój wynik w porównaniu z tymi w innych branżach, a także własne trendy w czasie.
Najlepsze rozwiązanie: Planowanie rutynowych przeglądów zabezpieczeń i ulepszeń w oparciu o najlepsze rozwiązania w branży.
Szczegóły: użyj funkcji Wskaźnik bezpieczeństwa tożsamości, aby ocenić ulepszenia w czasie.
Włączanie zarządzania hasłami
Jeśli masz wiele dzierżaw lub chcesz umożliwić użytkownikom resetowanie własnych haseł, ważne jest, aby używać odpowiednich zasad zabezpieczeń, aby zapobiec nadużyciom.
Najlepsze rozwiązanie: konfigurowanie samoobsługowego resetowania hasła (SSPR) dla użytkowników.
Szczegóły: Użyj funkcji samoobsługowego resetowania hasła identyfikatora entra firmy Microsoft.
Najlepsze rozwiązanie: Monitorowanie sposobu lub rzeczywistego użycia samoobsługowego resetowania hasła.
Szczegóły: Monitoruj użytkowników, którzy rejestrują się przy użyciu raportu Aktywności rejestracji resetowania hasła identyfikatora firmy Microsoft. Funkcja raportowania udostępniana przez identyfikator Entra firmy Microsoft pomaga odpowiedzieć na pytania przy użyciu wstępnie utworzonych raportów. Jeśli masz odpowiednią licencję, możesz również utworzyć zapytania niestandardowe.
Najlepsze rozwiązanie: rozszerzanie zasad haseł opartych na chmurze na infrastrukturę lokalną.
Szczegóły: Rozszerz zasady haseł w organizacji, wykonując te same kontrole lokalnych zmian haseł, co w przypadku zmian haseł w chmurze. Zainstaluj lokalną ochronę haseł firmy Microsoft dla agentów usługi Active Directory systemu Windows Server, aby rozszerzyć listy zakazanych haseł do istniejącej infrastruktury. Użytkownicy i administratorzy, którzy zmieniają, ustawiają lub resetują hasła lokalnie, muszą być zgodni z tymi samymi zasadami haseł co użytkownicy tylko w chmurze.
Wymuszanie weryfikacji wieloskładnikowej dla użytkowników
Zalecamy wymaganie weryfikacji dwuetapowej dla wszystkich użytkowników. Obejmuje to administratorów i innych użytkowników w organizacji, którzy mogą mieć znaczący wpływ na ich konto (na przykład pracownicy finansowi).
Istnieje wiele opcji wymagających weryfikacji dwuetapowej. Najlepsza opcja zależy od Twoich celów, wersji Microsoft Entra, która jest uruchomiona, oraz programu licencjonowania. Zobacz Jak wymagać weryfikacji dwuetapowej dla użytkownika , aby określić najlepszą opcję. Aby uzyskać więcej informacji na temat licencji i cen, zobacz strony cennika uwierzytelniania wieloskładnikowego firmy Microsoft i firmy Microsoft Entra.
Poniżej przedstawiono opcje i korzyści dotyczące włączania weryfikacji dwuetapowej:
Opcja 1. Włączanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i metod logowania przy użyciu domyślnych ustawień zabezpieczeń firmy Microsoft Entra
Korzyść: Ta opcja umożliwia łatwe i szybkie wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w środowisku przy użyciu rygorystycznych zasad:
- Kwestionowanie kont administracyjnych i mechanizmów logowania administracyjnego
- Wymaganie wyzwania uwierzytelniania wieloskładnikowego za pośrednictwem aplikacji Microsoft Authenticator dla wszystkich użytkowników
- Ogranicz starsze protokoły uwierzytelniania.
Ta metoda jest dostępna dla wszystkich warstw licencjonowania, ale nie może być mieszana z istniejącymi zasadami dostępu warunkowego. Więcej informacji można znaleźć w temacie Microsoft Entra Security Defaults (Domyślne ustawienia zabezpieczeń firmy Microsoft)
Opcja 2. Włączanie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika.
Korzyść: jest to tradycyjna metoda wymagania weryfikacji dwuetapowej. Działa zarówno z uwierzytelnianiem wieloskładnikowym firmy Microsoft w chmurze, jak i z serwerem usługi Azure Multi-Factor Authentication. Użycie tej metody wymaga od użytkowników przeprowadzenia weryfikacji dwuetapowej za każdym razem, gdy logują się i zastępują zasady dostępu warunkowego.
Aby określić, gdzie należy włączyć uwierzytelnianie wieloskładnikowe, zobacz Która wersja uwierzytelniania wieloskładnikowego firmy Microsoft jest odpowiednia dla mojej organizacji?.
Opcja 3. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego.
Korzyść: Ta opcja umożliwia wyświetlenie monitu o weryfikację dwuetapową w określonych warunkach przy użyciu dostępu warunkowego. Określone warunki mogą być logowaniem użytkownika z różnych lokalizacji, niezaufanych urządzeń lub aplikacji, które uważasz za ryzykowne. Definiowanie określonych warunków, w których wymagana jest weryfikacja dwuetapowa, pozwala uniknąć ciągłego monitowania użytkowników, co może być nieprzyjemnym środowiskiem użytkownika.
Jest to najbardziej elastyczny sposób włączania weryfikacji dwuetapowej dla użytkowników. Włączenie zasad dostępu warunkowego działa tylko w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze i jest funkcją Premium identyfikatora Entra firmy Microsoft. Więcej informacji na temat tej metody można znaleźć w temacie Wdrażanie uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze firmy Microsoft.
Opcja 4. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego przez ocenę zasad dostępu warunkowego opartego na ryzyku.
Korzyść: ta opcja umożliwia:
- Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji.
- Skonfiguruj automatyczne odpowiedzi na wykryte podejrzane akcje powiązane z tożsamościami organizacji.
- Zbadaj podejrzane zdarzenia i podejmij odpowiednie działania, aby je rozwiązać.
Ta metoda używa oceny ryzyka Ochrona tożsamości Microsoft Entra w celu określenia, czy weryfikacja dwuetapowa jest wymagana na podstawie ryzyka związanego z użytkownikiem i logowaniem dla wszystkich aplikacji w chmurze. Ta metoda wymaga licencjonowania microsoft Entra ID P2. Więcej informacji na temat tej metody można znaleźć w Ochrona tożsamości Microsoft Entra.
Uwaga
Opcja 2, włączenie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika, zastępuje zasady dostępu warunkowego. Ponieważ opcje 3 i 4 używają zasad dostępu warunkowego, nie można użyć opcji 2 z nimi.
Organizacje, które nie dodają dodatkowych warstw ochrony tożsamości, takich jak weryfikacja dwuetapowa, są bardziej podatne na atak kradzieży poświadczeń. Atak kradzieży poświadczeń może prowadzić do naruszenia bezpieczeństwa danych.
Korzystanie z kontroli dostępu opartej na rolach
Zarządzanie dostępem do zasobów w chmurze ma kluczowe znaczenie dla każdej organizacji korzystającej z chmury. Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure ułatwia zarządzanie osobami mającymi dostęp do zasobów platformy Azure, czynnościami, które mogą wykonywać z tymi zasobami oraz obszarami, do których mają dostęp.
Projektowanie grup lub poszczególnych ról odpowiedzialnych za określone funkcje na platformie Azure pomaga uniknąć nieporozumień, które mogą prowadzić do błędów ludzkich i automatyzacji, które tworzą zagrożenia bezpieczeństwa. Ograniczenie dostępu na podstawie konieczności znajomości i najniższych uprawnień zasad zabezpieczeń jest konieczne dla organizacji, które chcą wymuszać zasady zabezpieczeń dostępu do danych.
Twój zespół ds. zabezpieczeń potrzebuje wglądu w zasoby platformy Azure, aby ocenić i skorygować ryzyko. Jeśli zespół ds. zabezpieczeń ma obowiązki operacyjne, musi mieć dodatkowe uprawnienia do wykonywania swoich zadań.
Kontrola dostępu oparta na rolach platformy Azure umożliwia przypisywanie uprawnień do użytkowników, grup i aplikacji w określonym zakresie. Zakresem przypisania roli może być subskrypcja, grupa zasobów lub pojedynczy zasób.
Najlepsze rozwiązanie: Segreguj obowiązki w zespole i przyznaj tylko użytkownikom, których potrzebują do wykonywania swoich zadań. Zamiast przydzielać wszystkim nieograniczone uprawnienia w ramach subskrypcji lub zasobów platformy Azure, zezwalaj tylko na określone akcje w określonym zakresie.
Szczegóły: Użyj wbudowanych ról platformy Azure na platformie Azure, aby przypisać uprawnienia do użytkowników.
Uwaga
Określone uprawnienia tworzą niepotrzebne złożoność i zamieszanie, gromadząc się w "starszej" konfiguracji, która jest trudna do naprawienia bez obawy przed złamaniem czegoś. Unikaj uprawnień specyficznych dla zasobów. Zamiast tego użyj grup zarządzania dla uprawnień i grup zasobów dla całego przedsiębiorstwa w celu uzyskania uprawnień w ramach subskrypcji. Unikaj uprawnień specyficznych dla użytkownika. Zamiast tego przypisz dostęp do grup w identyfikatorze Entra firmy Microsoft.
Najlepsze rozwiązanie: Udzielanie zespołom ds. zabezpieczeń dostępu do obowiązków platformy Azure w celu wyświetlenia zasobów platformy Azure w celu oceny i korygowania ryzyka.
Szczegóły: Udziel zespołom ds. zabezpieczeń rolę Czytelnik zabezpieczeń RBAC platformy Azure. W zależności od zakresu obowiązków można użyć głównej grupy zarządzania lub grupy zarządzania segmentami:
- Główna grupa zarządzania dla zespołów odpowiedzialnych za wszystkie zasoby przedsiębiorstwa
- Grupa zarządzania segmentami dla zespołów o ograniczonym zakresie (często ze względu na regulacje lub inne granice organizacyjne)
Najlepsze rozwiązanie: przyznaj odpowiednie uprawnienia zespołom ds. zabezpieczeń, które mają bezpośrednie obowiązki operacyjne.
Szczegóły: Przejrzyj wbudowane role platformy Azure pod kątem odpowiedniego przypisania roli. Jeśli wbudowane role nie spełniają konkretnych potrzeb organizacji, możesz utworzyć role niestandardowe platformy Azure. Podobnie jak w przypadku ról wbudowanych, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach subskrypcji, grupy zasobów i zasobów.
Najlepsze rozwiązania: udzielanie Microsoft Defender dla Chmury dostępu do ról zabezpieczeń, które ich potrzebują. Defender dla Chmury umożliwia zespołom ds. zabezpieczeń szybkie identyfikowanie i korygowanie zagrożeń.
Szczegóły: Dodaj zespoły ds. zabezpieczeń z tymi wymaganiami do roli zabezpieczeń RBAC platformy Azure Administracja, aby mogły wyświetlać zasady zabezpieczeń, wyświetlać stany zabezpieczeń, edytować zasady zabezpieczeń, wyświetlać alerty i zalecenia oraz odrzucać alerty i zalecenia. Można to zrobić przy użyciu głównej grupy zarządzania lub grupy zarządzania segmentami, w zależności od zakresu obowiązków.
Organizacje, które nie wymuszają kontroli dostępu do danych przy użyciu funkcji, takich jak kontrola dostępu oparta na rolach platformy Azure, mogą mieć więcej uprawnień niż jest to konieczne dla użytkowników. Może to prowadzić do naruszenia zabezpieczeń danych, umożliwiając użytkownikom dostęp do typów danych (na przykład wysoki wpływ na działalność biznesową), których nie powinni mieć.
Niższa ekspozycja kont uprzywilejowanych
Zabezpieczanie uprzywilejowanego dostępu jest krytycznym pierwszym krokiem do ochrony zasobów biznesowych. Minimalizacja liczby osób, które mają dostęp do bezpiecznych informacji lub zasobów, zmniejsza prawdopodobieństwo uzyskania dostępu przez złośliwego użytkownika lub nieumyślnie wpływającego na poufny zasób.
Konta uprzywilejowane to konta, które zarządzają systemami IT i zarządzają nimi. Osoby atakujące atakujące atakują te konta w celu uzyskania dostępu do danych i systemów organizacji. Aby zabezpieczyć uprzywilejowany dostęp, należy odizolować konta i systemy od ryzyka ujawnienia złośliwemu użytkownikowi.
Zalecamy opracowanie planu działania w celu zabezpieczenia uprzywilejowanego dostępu do ataków cybernetycznych. Aby uzyskać informacje na temat tworzenia szczegółowego planu zabezpieczania tożsamości i dostępu, które są zarządzane lub zgłaszane w usłudze Microsoft Entra ID, Microsoft Azure, Microsoft 365 i innych usługach w chmurze, zapoznaj się z artykułem Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.
Poniżej przedstawiono podsumowanie najlepszych rozwiązań opisanych w artykule Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID:
Najlepsze rozwiązanie: zarządzanie, kontrolowanie i monitorowanie dostępu do kont uprzywilejowanych.
Szczegóły: włącz usługę Microsoft Entra Privileged Identity Management. Po włączeniu usługi Privileged Identity Management otrzymasz wiadomości e-mail z powiadomieniem o zmianach roli uprzywilejowanego dostępu. Te powiadomienia zapewniają wczesne ostrzeżenie, gdy dodatkowi użytkownicy zostaną dodani do ról o wysokim poziomie uprawnień w katalogu.
Najlepsze rozwiązanie: upewnij się, że wszystkie krytyczne konta administratora są zarządzane konta microsoft Entra. Szczegóły: usuń wszystkie konta konsumentów z krytycznych ról administratora (na przykład konta Microsoft, takie jak hotmail.com, live.com i outlook.com).
Najlepsze rozwiązanie: Upewnij się, że wszystkie krytyczne role administratora mają oddzielne konto dla zadań administracyjnych, aby uniknąć wyłudzania informacji i innych ataków w celu naruszenia uprawnień administracyjnych.
Szczegóły: Utwórz oddzielne konto administratora, które ma przypisane uprawnienia wymagane do wykonywania zadań administracyjnych. Blokuj korzystanie z tych kont administracyjnych na potrzeby codziennych narzędzi zwiększających produktywność, takich jak poczta e-mail platformy Microsoft 365 lub dowolne przeglądanie w Internecie.
Najlepsze rozwiązanie: identyfikowanie i kategoryzowanie kont, które znajdują się w rolach o wysokim poziomie uprawnień.
Szczegóły: Po włączeniu usługi Microsoft Entra Privileged Identity Management wyświetl użytkowników, którzy są administratorem globalnym, administratorem ról uprzywilejowanych i innymi rolami o wysokim poziomie uprawnień. Usuń wszystkie konta, które nie są już potrzebne w tych rolach, i kategoryzuj pozostałe konta przypisane do ról administratora:
- Indywidualnie przypisane do użytkowników administracyjnych i mogą być używane do celów nieadministracyjnych (na przykład osobisty adres e-mail)
- Indywidualnie przypisane do użytkowników administracyjnych i wyznaczone tylko do celów administracyjnych
- Współużytkowany przez wielu użytkowników
- W przypadku scenariuszy dostępu awaryjnego
- W przypadku skryptów automatycznych
- Dla użytkowników zewnętrznych
Najlepsze rozwiązanie: zaimplementuj dostęp "just in time" (JIT), aby jeszcze bardziej obniżyć czas ekspozycji uprawnień i zwiększyć wgląd w korzystanie z uprzywilejowanych kont.
Szczegóły: Usługa Microsoft Entra Privileged Identity Management umożliwia:
- Ogranicz użytkowników tylko do podejmowania uprawnień JIT.
- Przypisz role dla skróconego czasu trwania z ufnością, że uprawnienia są automatycznie odwoływane.
Najlepsze rozwiązanie: Zdefiniuj co najmniej dwa konta dostępu awaryjnego.
Szczegóły: Konta dostępu awaryjnego pomagają organizacjom ograniczyć uprzywilejowany dostęp w istniejącym środowisku firmy Microsoft Entra. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy, w których nie można używać normalnych kont administracyjnych. Organizacje muszą ograniczyć użycie konta awaryjnego tylko do niezbędnego czasu.
Oceń konta przypisane lub kwalifikujące się do roli administratora globalnego. Jeśli nie widzisz żadnych kont tylko w chmurze przy użyciu domeny (przeznaczonej *.onmicrosoft.com
do uzyskiwania dostępu awaryjnego), utwórz je. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Microsoft Entra ID.
Najlepsze rozwiązanie: w przypadku sytuacji awaryjnej należy wykonać proces "szklenia".
Szczegóły: Wykonaj kroki opisane w temacie Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.
Najlepsze rozwiązanie: wymagaj, aby wszystkie konta administratora o krytycznym znaczeniu nie uwzględniały hasła (preferowane) lub wymagały uwierzytelniania wieloskładnikowego.
Szczegóły: użyj aplikacji Microsoft Authenticator, aby zalogować się do dowolnego konta Microsoft Entra bez użycia hasła. Podobnie jak Windows Hello dla firm, aplikacja Microsoft Authenticator używa uwierzytelniania opartego na kluczach, aby włączyć poświadczenia użytkownika powiązane z urządzeniem i używa uwierzytelniania biometrycznego lub numeru PIN.
Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft podczas logowania dla wszystkich użytkowników, którzy są trwale przypisani do co najmniej jednej roli administratora firmy Microsoft Entra: global Administracja istrator, uprzywilejowany Administracja istrator, Administracja istrator usługi Exchange Online i Administracja istrator usługi SharePoint Online. Włącz uwierzytelnianie wieloskładnikowe dla kont administratorów i upewnij się, że użytkownicy kont administracyjnych zarejestrowali się.
Najlepsze rozwiązanie: w przypadku krytycznych kont administratorów mają stację roboczą administratora, na której zadania produkcyjne nie są dozwolone (na przykład przeglądanie i poczta e-mail). Pozwoli to chronić konta administratora przed wektorami ataków, które używają przeglądania i poczty e-mail oraz znacznie obniżają ryzyko wystąpienia poważnego zdarzenia.
Szczegóły: Użyj administracyjnej stacji roboczej. Wybierz poziom zabezpieczeń stacji roboczej:
- Wysoce bezpieczne urządzenia zwiększające produktywność zapewniają zaawansowane zabezpieczenia przeglądania i innych zadań zwiększających produktywność.
- Stacje robocze z dostępem uprzywilejowanym (PAW) zapewniają dedykowany system operacyjny chroniony przed atakami internetowymi i wektorami zagrożeń dla zadań poufnych.
Najlepsze rozwiązanie: anulowanie aprowizacji kont administratorów, gdy pracownicy opuszczają organizację.
Szczegóły: istnieje proces wyłączający lub usuwający konta administratora, gdy pracownicy opuszczają organizację.
Najlepsze rozwiązanie: Regularnie testuj konta administratorów przy użyciu bieżących technik ataku.
Szczegóły: Użyj symulatora ataków platformy Microsoft 365 lub oferty innej firmy, aby uruchomić realistyczne scenariusze ataku w organizacji. Może to pomóc w znalezieniu narażonych użytkowników przed rzeczywistym atakiem.
Najlepsze rozwiązanie: wykonaj kroki w celu wyeliminowania najczęściej używanych technik atakowanych.
Szczegóły: identyfikowanie kont Microsoft w rolach administracyjnych, które muszą zostać przełączone na konta służbowe
Upewnij się, że hasła kont administracyjnych zostały ostatnio zmienione
Włączanie synchronizacji skrótów haseł
Ustanawianie właścicieli planu reagowania kryzysowego/zdarzenia
Zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych
Jeśli nie zabezpieczysz dostępu uprzywilejowanego, może się okazać, że masz zbyt wielu użytkowników w rolach o wysokim poziomie uprawnień i jest bardziej narażonych na ataki. Złośliwi podmioty, w tym osoby atakujące cybernetyczne, często atakują konta administratora i inne elementy uprzywilejowanego dostępu w celu uzyskania dostępu do poufnych danych i systemów przy użyciu kradzieży poświadczeń.
Kontrolowanie lokalizacji, w których tworzone są zasoby
Umożliwienie operatorom chmury wykonywania zadań, uniemożliwiając im niezgodność konwencji potrzebnych do zarządzania zasobami organizacji, jest bardzo ważne. Organizacje, które chcą kontrolować lokalizacje, w których tworzone są zasoby, powinny trwale kodować te lokalizacje.
Za pomocą usługi Azure Resource Manager można tworzyć zasady zabezpieczeń, których definicje opisują akcje lub zasoby, które zostały specjalnie odrzucone. Te definicje zasad są przypisywane w żądanym zakresie, takim jak subskrypcja, grupa zasobów lub pojedynczy zasób.
Uwaga
Zasady zabezpieczeń nie są takie same jak kontrola dostępu oparta na rolach platformy Azure. W rzeczywistości używają kontroli dostępu opartej na rolach platformy Azure, aby autoryzować użytkowników do tworzenia tych zasobów.
Organizacje, które nie kontrolują sposobu tworzenia zasobów, są bardziej podatne na użytkowników, którzy mogą nadużywać usługi, tworząc więcej zasobów niż potrzebują. Wzmocnienie zabezpieczeń procesu tworzenia zasobów jest ważnym krokiem w celu zabezpieczenia scenariusza wielodostępnego.
Aktywne monitorowanie podejrzanych działań
Aktywny system monitorowania tożsamości może szybko wykrywać podejrzane zachowanie i wyzwalać alert w celu dalszego badania. W poniższej tabeli wymieniono możliwości firmy Microsoft Entra, które mogą pomóc organizacjom monitorować swoje tożsamości:
Najlepsze rozwiązanie: aby zidentyfikować metodę:
- Próbuje się zalogować bez śledzenia.
- Ataki siłowe na określone konto.
- Próbuje zalogować się z wielu lokalizacji.
- Logowania z zainfekowanych urządzeń.
- Podejrzane adresy IP.
Szczegóły: Użyj raportów anomalii microsoft Entra ID P1 lub P2. Mają procesy i procedury przeznaczone dla administratorów IT do uruchamiania tych raportów codziennie lub na żądanie (zwykle w scenariuszu reagowania na zdarzenia).
Najlepsze rozwiązanie: masz aktywny system monitorowania, który powiadamia o ryzyku i może dostosować poziom ryzyka (wysoki, średni lub niski) do wymagań biznesowych.
Szczegóły: użyj Ochrona tożsamości Microsoft Entra, która flaguje bieżące czynniki ryzyka na własnym pulpicie nawigacyjnym i wysyła codzienne powiadomienia podsumowujące za pośrednictwem poczty e-mail. Aby ułatwić ochronę tożsamości organizacji, można skonfigurować zasady oparte na ryzyku, które automatycznie reagują na wykryte problemy po osiągnięciu określonego poziomu ryzyka.
Organizacje, które nie monitorują aktywnie swoich systemów tożsamości, są narażone na naruszenie poświadczeń użytkownika. Bez wiedzy, że podejrzane działania odbywają się za pośrednictwem tych poświadczeń, organizacje nie mogą wyeliminować tego typu zagrożenia.
Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania magazynu
Usługa Azure Storage obsługuje uwierzytelnianie i autoryzację przy użyciu identyfikatora Entra firmy Microsoft dla usługi Blob Storage i usługi Queue Storage. Dzięki uwierzytelnieniu firmy Microsoft Entra możesz użyć kontroli dostępu opartej na rolach platformy Azure, aby udzielić określonych uprawnień użytkownikom, grupom i aplikacjom w zakresie pojedynczego kontenera lub kolejki obiektów blob.
Zalecamy używanie identyfikatora Entra firmy Microsoft do uwierzytelniania dostępu do magazynu.
Następny krok
Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.