Opisywanie globalnego bezpiecznego dostępu w usłudze Microsoft Entra

  • 9 min

Firma Microsoft Entra udostępnia teraz nowy zestaw produktów pod nagłówkiem Microsoft Global Secure Access. Globalny bezpieczny dostęp to jednoczący termin używany zarówno dla Dostęp do Internetu Microsoft Entra, jak i Dostęp Prywatny Microsoft Entra.

Dostęp do Internetu Microsoft Entra zabezpiecza dostęp do aplikacji SaaS (Software as a Service), w tym usług firmy Microsoft i publicznych aplikacji internetowych, jednocześnie chroniąc użytkowników, urządzenia i dane przed zagrożeniami internetowymi.

Dostęp Prywatny Microsoft Entra zapewnia użytkownikom zarówno w biurze, jak i zdalnie pracującym, bezpieczny dostęp do prywatnych, firmowych zasobów.

Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra łączą się jako rozwiązanie, które łączy sieć Zero Trust, tożsamość i dostęp do punktu końcowego, dzięki czemu można zabezpieczyć dostęp do dowolnej aplikacji lub zasobu z dowolnej lokalizacji, urządzenia lub tożsamości. Ten typ rozwiązania reprezentuje nową kategorię zabezpieczeń sieci o nazwie Security Service Edge (SSE).

Usługa SSE pomaga sprostać wyzwaniom związanym z zabezpieczeniami, takimi jak:

  • Potrzeba zmniejszenia ryzyka penetracji sieci VPN przez tunel VPN, który został naruszony.
  • Potrzeba umieszczenia obwodu wokół zasobów internetowych.
  • Konieczność poprawy obsługi w lokalizacjach biur zdalnych, takich jak biura oddziałów.

Rozwiązanie Microsoft Security Service Edge, Global Secure Access, zapewnia zaawansowaną ochronę zasobów i zasobów internetowych działających w chmurze prywatnej lub infrastrukturze lokalnej, aby pomóc w rozwiązywaniu problemów z zabezpieczeniami.

Rozwiązanie korzysta z globalnego klienta bezpiecznego dostępu, który zapewnia organizacjom kontrolę nad ruchem sieciowym na urządzeniu obliczeniowym użytkowników końcowych. Organizacje uzyskują możliwość kierowania określonych profilów ruchu za pośrednictwem Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra. Routing ruchu w tej metodzie umożliwia większą kontrolę włączoną przez głęboką integrację z zasadami dostępu warunkowego i zagrożeniami ocenianymi w czasie rzeczywistym, między tożsamościami, urządzeniem, lokalizacją i aplikacjami w celu ochrony dowolnej aplikacji lub zasobu.

Zrzut ekranu przedstawiający składniki tworzące globalny bezpieczny dostęp.

Dostęp prywatny Microsoft Entra

Rozwiązania sieci VPN są często używane jako metoda podstawowa do kontrolowania dostępu do sieci firmowej. Po nawiązaniu łączności z siecią prywatną drzwi wejściowe do sieci są odblokowywane, a ponadto często użytkownicy i urządzenia mają być nadmiernie uprawnieni. Znacznie zwiększa to obszar ataków organizacji.

Dostęp Prywatny Microsoft Entra można wdrożyć w celu blokowania ruchu ataków poprzecznych, zmniejszenia nadmiernego dostępu i zastąpienia starszych sieci VPN. Usługa zapewnia użytkownikom — zarówno w biurze, jak i pracy zdalnej — zabezpieczony dostęp do prywatnych, firmowych zasobów.

Koncepcyjnie sposób działania dostępu prywatnego polega na tym, że dla danego zestawu zasobów prywatnych, które chcesz zabezpieczyć, należy skonfigurować nową aplikację dla przedsiębiorstw, która służy jako kontener dla tych zasobów prywatnych. Nowa aplikacja ma łącznik sieciowy, który służy jako broker między usługą Dostępu prywatnego a zasobem, do którego użytkownik chce uzyskać dostęp. Teraz przedsiębiorstwa mają różne wymagania dotyczące uzyskiwania dostępu do różnych zasobów prywatnych, dlatego Dostęp Prywatny Microsoft Entra udostępnia dwa sposoby konfigurowania zasobów prywatnych, do których chcesz uzyskać dostęp za pośrednictwem usługi.

  • Szybki dostęp — jak opisano wcześniej, dostęp prywatny działa przez utworzenie nowej aplikacji dla przedsiębiorstw, która służy jako kontener dla zasobów prywatnych, które chcesz zabezpieczyć. Za pomocą funkcji Szybki dostęp określasz, które zasoby prywatne mają zostać dodane do aplikacji "kontener" lub aplikacji dla przedsiębiorstw; które wywołamy aplikację Szybki dostęp. Zasoby prywatne dodawane do aplikacji szybkiego dostępu są definiowane przez nazwę FQDN, adres IP, adres IP lub zakres adresów oraz porty używane do uzyskiwania dostępu do zasobu. Te informacje są określane jako segment aplikacji szybki dostęp. Do aplikacji Szybki dostęp można dodać wiele segmentów aplikacji. Następnie można połączyć zasady dostępu warunkowego z aplikacją Szybki dostęp.

    Diagram Dostęp Prywatny Microsoft Entra przedstawiający składniki szybkiego dostępu.

  • Globalna aplikacja bezpiecznego dostępu — globalna aplikacja bezpiecznego dostępu, nazywana również dostępem do aplikacji, zapewnia bardziej szczegółowe podejście. Za pomocą aplikacji Global Secure Access można utworzyć wiele "kontenerów" lub aplikacji dla przedsiębiorstw. Dla każdej z tych nowych aplikacji dla przedsiębiorstw należy zdefiniować właściwości zasobu prywatnego i przypisać użytkowników i grupy oraz przypisać określone zasady dostępu warunkowego. Możesz na przykład mieć grupę zasobów prywatnych, które należy zabezpieczyć, ale dla których chcesz ustawić różne zasady dostępu na podstawie sposobu uzyskiwania dostępu do zasobu lub dla określonego przedziału czasu.

    Diagram Dostęp Prywatny Microsoft Entra przedstawiający składniki aplikacji Global Secure Access, nazywanej również dostępem dla aplikacji.

Dostęp do Internetu Microsoft Entra

Secure Web Gateway (SWG) to rozwiązanie cyberbezpieczeństwa, które chroni użytkowników przed zagrożeniami internetowymi przez filtrowanie ruchu internetowego i wymuszanie zasad zabezpieczeń.

Dostęp do Internetu Microsoft Entra udostępnia oparte na tożsamości rozwiązanie Secure Web Gateway (SWG) dla aplikacji SaaS (Software as a Service), w tym usług firmy Microsoft i innego ruchu internetowego. Chroni ono użytkowników, urządzenia i dane przed wieloma zagrożeniami internetowymi dzięki najlepszym w swojej klasie mechanizmom kontroli, bezpieczeństwa i widoczności poprzez dzienniki ruchu.

Oto niektóre z kluczowych funkcji:

  • Ochrona przed kradzieżą tożsamości użytkownika lub tokenu przy użyciu zasad dostępu warunkowego w celu przeprowadzenia zgodnej kontroli sieci pod kątem dostępu do zasobów.
    • Zgodne wymuszanie sieci odbywa się na płaszczyźnie uwierzytelniania i na płaszczyźnie danych. Wymuszanie płaszczyzny uwierzytelniania jest wykonywane przez identyfikator Entra firmy Microsoft w momencie uwierzytelniania użytkownika. Wymuszanie płaszczyzny danych współpracuje z usługami obsługującymi ciągłą ocenę dostępu (CAE)
    • Ciągła ocena dostępu (CAE) to funkcja zabezpieczeń, w której aplikacje i firma Microsoft Entra stale komunikują się, aby zapewnić, że dostęp użytkowników jest aktualny i bezpieczny. W przypadku zmiany lokalizacji użytkownika lub problemu z zabezpieczeniami system może szybko dostosować lub zablokować dostęp niemal w czasie rzeczywistym, zapewniając, że zasady są zawsze wymuszane.
  • Ograniczenia dzierżawy, aby zapobiec eksfiltracji danych innym dzierżawcom lub kontom osobistym, w tym dostępowi anonimowemu.
  • Zasady profilu przesyłania dalej ruchu internetowego w celu kontrolowania, do których witryn internetowych można uzyskać dostęp w celu zapewnienia, że pracownicy zdalni łączą się z Internetem w kontrolowany i bezpieczny sposób.
  • Filtrowanie zawartości sieci Web w celu regulowania dostępu do witryn internetowych na podstawie ich kategorii zawartości i nazw domen.
  • i wiele innych...

Globalny pulpit nawigacyjny bezpiecznego dostępu

Globalny bezpieczny dostęp zawiera pulpit nawigacyjny, który udostępnia wizualizacje ruchu sieciowego uzyskanego przez usługi Prywatne i Dostęp do Internetu Microsoft Entra firmy Microsoft. Pulpit nawigacyjny kompiluje dane z konfiguracji sieci, w tym urządzeń, użytkowników i dzierżaw w kilka widżetów. Te widżety z kolei udostępniają informacje, których można użyć do monitorowania i ulepszania konfiguracji sieci. Oto niektóre z dostępnych widżetów:

  • Globalna migawka bezpiecznego dostępu
  • Alerty i powiadomienia (wersja zapoznawcza)
  • Profilowanie użycia (wersja zapoznawcza)
  • Dostęp między dzierżawami
  • Filtrowanie kategorii sieci Web
  • Stan urządzenia

Globalna migawka bezpiecznego dostępu

Widżet migawki globalnego bezpiecznego dostępu zawiera podsumowanie liczby użytkowników i urządzeń korzystających z usługi oraz liczbę aplikacji zabezpieczonych za pośrednictwem usługi. Widżet domyślnie wyświetla wszystkie typy ruchu, ale można zmienić filtr, aby wyświetlić ruch internetowy, dostęp prywatny lub ruch firmy Microsoft.

Zrzut ekranu przedstawiający widżet migawki globalnego bezpiecznego dostępu.

Profilowanie użycia (wersja zapoznawcza)

Widżet profilowania użycia wyświetla wzorce użycia dla dostępu do Internetu, dostępu prywatnego lub platformy Microsoft 365 w wybranym przedziale czasu i według kategorii.

Zrzut ekranu przedstawiający widżet profilowania użycia.

Alerty i powiadomienia (wersja zapoznawcza)

Widżet Alerty i powiadomienia pokazuje, co dzieje się w sieci i pomaga identyfikować podejrzane działania lub trendy identyfikowane przez dane sieciowe.

Ten widżet udostępnia następujące alerty:

  • Zła kondycja sieci zdalnej: sieć zdalna w złej kondycji ma co najmniej jedno połączenie urządzenia, które zostało odłączone.
  • Zwiększona aktywność dzierżaw zewnętrznych: liczba użytkowników, którzy uzyskują dostęp do dzierżaw zewnętrznych, wzrosła.
  • Niespójność tokenu i urządzenia: oryginalny token jest używany na innym urządzeniu.
  • Zablokowano zawartość sieci Web: dostęp do witryny internetowej został zablokowany.

Zrzut ekranu przedstawiający widżet powiadomień alertów pulpitu nawigacyjnego.

Dostęp między dzierżawami globalny bezpieczny dostęp zapewnia wgląd w liczbę użytkowników i urządzeń, które uzyskują dostęp do innych dzierżaw. Ten widżet wyświetla następujące informacje:

  • Logowania: liczba logów za pośrednictwem identyfikatora Microsoft Entra ID do usługi firmy Microsoft w ciągu ostatnich 24 godzin. Ten widżet zawiera informacje o działaniu w dzierżawie.
  • Łączna liczba unikatowych dzierżaw: liczba unikatowych identyfikatorów dzierżaw w ciągu ostatnich 24 godzin.
  • Niezawidziane dzierżawy: liczba unikatowych identyfikatorów dzierżaw, które były widoczne w ciągu ostatnich 24 godzin, ale nie w ciągu ostatnich siedmiu dni.
  • Użytkownicy: liczba unikatowych logów użytkownika do innych dzierżaw w ciągu ostatnich 24 godzin.
  • Urządzenia: liczba różnych urządzeń, które zalogowały się do innych dzierżaw w ciągu ostatnich 24 godzin.

Zrzut ekranu przedstawiający widżet dostępu między dzierżawami.

Filtrowanie kategorii sieci Web

Widżet filtrowania kategorii sieci Web wyświetla najważniejsze kategorie zawartości sieci Web, które zostały zablokowane lub dozwolone przez usługę. Te kategorie mogą służyć do określania witryn lub kategorii witryn, które mogą być blokowane.

Stan urządzenia Widżety Stanu urządzenia wyświetlają wdrożone aktywne i nieaktywne urządzenia.

Zrzut ekranu przedstawiający widżet stanu urządzenia.