Wyjaśnienie inspekcji w tożsamości

3 min

Istnieje potrzeba zrozumienia wartości i celu inspekcji w rozwiązaniu tożsamości. Inspekcja umożliwia administratorowi wykrywanie ataku, który już wystąpił lub jest w toku. Ponadto inspekcja jest narzędziem do zapewniania zgodności i śledzenia tożsamości, co zrobiła. Ponadto inspekcja może pomóc deweloperowi w debugowaniu problemów związanych z zabezpieczeniami. Jeśli na przykład błąd w konfiguracji autoryzacji lub sprawdzania zasad przypadkowo odmówi dostępu do autoryzowanego użytkownika, deweloper może szybko odnaleźć i wyizolować przyczynę tego błędu, sprawdzając dziennik zdarzeń.

Każde działanie z logowania do zmiany hasła w konfiguracji i użyciu uwierzytelniania wieloskładnikowego może być rejestrowane, zgłaszane i monitorowane. Te dzienniki zapewniają administratorowi tożsamości zasób, aby sprawdzić, jak działa rozwiązanie tożsamości i dostępu. Praktyki inspekcji w dobrej kondycji zachowują bezpieczeństwo tożsamości, co z kolei zapewnia bezpieczeństwo danych i rozwiązań. Niektóre z różnych dzienników, które mają być świadome inspekcji, to dzienniki aktywności firmy Microsoft, dzienniki logowania, dzienniki aprowizacji i dzienniki inspekcji. Do raportowania i monitorowania można użyć kilku narzędzi z usługi Azure Monitor do usługi Microsoft Sentinel.

Omówienie koncepcji ładu

Merriam-Webster słownik mówi, że ład jest działaniem lub procesem nadzorowania kontroli i kierunku systemu. Ten system może być rozwiązaniem dla instytucji rządowych, budżetu lub tożsamości na platformie Azure. Ład ma procesy i mechanizmy kontroli, aby obsługiwać systemy i oceniać możliwą do odpowiedzialności uruchomienie systemu. Nigdy nie wystarczy, aby utworzyć rozwiązanie, a następnie zapomnieć o nim. Musisz monitorować jego działanie, regularnie aktualizować procesy, usuwać lub zastępować nieaktualne funkcje itd. Jeśli tego nie zrobisz, system będzie powoli ulegać pogorszeniu i awarii. Ład jest taki sam, jak w przypadku rozwiązania do zarządzania tożsamościami, które tworzysz na platformie Azure. Należy monitorować, oceniać i aktualizować system w czasie.

Scenariusz	Prosta, ale prawdopodobnie historia
Juan deweloper aplikacji	Użytkownik ma nazwę Juana. Juan otrzymuje konto w firmie i pracuje przez kilka lat. W tym czasie użytkownik otrzymuje dostęp administratora do wdrożenia aplikacji Juan pomógł skompilować. Później Juan opuszcza firmę w dobrym zakresie; jednak konto użytkownika nigdy nie zostanie usunięte z systemu. Menedżer Juana zapomniał przesłać dokumenty, aby zamknąć konto. Nie ma systemu ładu, aby zauważyć, że konto jest nieużywane i że Juan nie jest już wymieniony w systemach kadr. Rok później Juan padł ofiarą wiadomości e-mail wyłudzających informacje i ma osobistą nazwę użytkownika i hasło skradzione. Będąc jak wiele osób, Juan użył podobnego hasła do życia osobistego i kont służbowych. Zgadnij, co, masz teraz scenariusz, w którym systemy mogą być podzielone, według tego, co wydaje się być prawidłowym kontem.

Scenariusz

Prosta, ale prawdopodobnie historia

Juan deweloper aplikacji

Użytkownik ma nazwę Juana. Juan otrzymuje konto w firmie i pracuje przez kilka lat. W tym czasie użytkownik otrzymuje dostęp administratora do wdrożenia aplikacji Juan pomógł skompilować. Później Juan opuszcza firmę w dobrym zakresie; jednak konto użytkownika nigdy nie zostanie usunięte z systemu. Menedżer Juana zapomniał przesłać dokumenty, aby zamknąć konto. Nie ma systemu ładu, aby zauważyć, że konto jest nieużywane i że Juan nie jest już wymieniony w systemach kadr. Rok później Juan padł ofiarą wiadomości e-mail wyłudzających informacje i ma osobistą nazwę użytkownika i hasło skradzione. Będąc jak wiele osób, Juan użył podobnego hasła do życia osobistego i kont służbowych. Zgadnij, co, masz teraz scenariusz, w którym systemy mogą być podzielone, według tego, co wydaje się być prawidłowym kontem.

Dlaczego ład? W tym scenariuszu ład może pomóc w wielu różnych obszarach:

Regularnie sprawdzaj, czy wszystkie konta nadal istnieją w bazie danych KADR jako pracownicy.
Sprawdź, kiedy ostatnio zalogowano się do konta.
Sprawdź, czy konto potrzebuje wszystkich posiadanych obecnie praw.
Sprawdzanie, czy hasła są regularnie zmieniane; lub lepiej, że pracownicy korzystają z uwierzytelniania wieloskładnikowego.
I wiele innych sposobów.

Omówienie koncepcji zarządzania cyklem życia tożsamości

Zarządzanie cyklem życia tożsamości jest podstawą zarządzania tożsamościami, a skuteczne zarządzanie na dużą skalę wymaga modernizacji infrastruktury zarządzania cyklem życia tożsamości dla aplikacji. Zarządzanie cyklem życia tożsamości ma na celu zautomatyzowanie całego procesu cyklu życia tożsamości cyfrowej i zarządzanie nim.

Zarządzanie tożsamościami cyfrowymi to złożone zadanie. Musisz skorelować obiekty w świecie rzeczywistym, takie jak osoba i ich relacje z organizacją. Pomyśl o użytkowniku jako pracowniku organizacji z reprezentacją cyfrową. W małych organizacjach utrzymanie cyfrowej reprezentacji osób, które wymagają tożsamości, może być procesem ręcznym. Gdy ktoś zostanie zatrudniony lub wykonawca przybywa, specjalista IT może utworzyć konto dla nich w katalogu. Następnie przypisano im potrzebny dostęp. Jednak w średnich i dużych organizacjach automatyzacja może umożliwić skalowanie organizacji. Automatyzacja umożliwia it zachowanie dokładności tożsamości.

Typowy proces ustanawiania zarządzania cyklem życia tożsamości w organizacji jest zgodny z następującymi krokami:

Czy istnieją już systemy rekordów: źródła danych, które organizacja traktuje jako autorytatywne. Na przykład organizacja może mieć system KADR. Ten system jest autorytatywny do udostępniania bieżącej listy pracowników i niektórych ich właściwości, takich jak nazwisko lub dział pracownika.
Porównaj system rekordów z co najmniej jednym katalogiem i bazami danych używanymi przez aplikacje i rozwiąż wszelkie niespójności między katalogami a systemami rekordów.
Określ, jakie procesy mogą służyć do dostarczania autorytatywnych informacji dla odwiedzających. Należy znaleźć alternatywny sposób określenia, kiedy tożsamość cyfrowa dla gościa nie jest już potrzebna.

Strategia zarządzania cyklem życia tożsamości

Należy zaplanować zarządzanie cyklem życia tożsamości dla pracowników lub innych osób z relacją organizacyjną. W przypadku każdego wykonawcy lub ucznia wiele organizacji modeluje proces "dołączania, przenoszenia i opuszczania". Definicja sprzężenia, przenoszenia i opuszczania to:

Join — gdy dana osoba wchodzi w zakres potrzeb dostępu, tożsamość jest potrzebna przez te aplikacje, więc może być konieczne utworzenie nowej tożsamości cyfrowej, jeśli nie jest jeszcze dostępna.
Przenoszenie — gdy dana osoba przechodzi między granicami, wymagana jest dodatkowa autoryzacja dostępu do dodania lub usunięcia ich tożsamości cyfrowej.
Pozostaw — gdy osoba opuszcza zakres konieczności dostępu, może być konieczne usunięcie dostępu, a tożsamość nie jest już wymagana przez aplikacje inne niż w celach inspekcji lub śledczego.

Jeśli na przykład nowy pracownik dołącza do organizacji, który nigdy wcześniej nie był powiązany z twoją organizacją, ten pracownik wymaga nowej tożsamości cyfrowej reprezentowanej jako konto użytkownika w identyfikatorze Microsoft Entra. Utworzenie tego konta powinno należeć do procesu "Dołącz", który może zostać zautomatyzowany. Później, jeśli Twoja organizacja ma pracownika, powiedzmy, Sales to Marketing, będzie należeć do procesu "Przenoszenie". "Przenoszenie" wymaga usunięcia praw dostępu, które użytkownik miał w organizacji Sales, której nie wymaga. Następnie przyznaj im prawa w organizacji marketingowej, której teraz wymagają.

Narzędzia do monitorowania

Zawsze uważaj, że zero zaufania: Sprawdź jawnie — użyj dostępu z najmniejszymi uprawnieniami — przyjmij naruszenie

Usługi monitorowania:

Azure Monitor
Szczegółowe dane dotyczące aplikacji
Azure Service Health
Azure Resource Health
Azure Resource Manager
Azure Policy

Wyjaśnienie inspekcji w tożsamości

Omówienie koncepcji ładu

Omówienie koncepcji zarządzania cyklem życia tożsamości

Strategia zarządzania cyklem życia tożsamości

Narzędzia do monitorowania

Opinia