Ознакомление со средствами и технологиями, используемыми для управления доступом в Microsoft 365
Microsoft 365 использует различные средства и технологии для защиты учетных записей группы обслуживания. В этом модуле мы рассмотрим некоторые из этих средств, чтобы заложить основу для обсуждения непредоставления постоянного доступа (ZSA) корпорацией Майкрософт.
Средство управления удостоверениями (IDM)
Microsoft 365 использует систему управления учетной записью, которая называется "Средство управления удостоверениями" (IDM), для отслеживания учетных записей группы обслуживания в течение их жизненного цикла. IDM автоматически отслеживает статус всех учетных записей группы обслуживания от первоначального запроса учетной записи до проверки на соответствие требованиям, утверждения, создания, изменения и отключения, когда учетная запись больше не нужна.
Перед созданием новой учетной записи группы обслуживания IDM гарантирует соблюдение всех требований к предоставлению. К этим требованиям относятся проверка персонала, обучение безопасности и конфиденциальности, а также соответствующее утверждение руководителем. IDM также уведомляет руководителей об утверждении при запросе изменений в учетной записи. Когда сотрудник переводится, уходит с работы или не может пройти требуемую подготовку, IDM автоматически отзывает доступ для его учетной записи группы обслуживания и сообщает об этом руководителю сотрудника.
Автоматизация — это сердце обеспечения масштабируемой безопасности. Основная часть управления учетными записями автоматизируется с помощью IDM. IDM автоматически отключает учетные записи группы обслуживания не более чем через 90 дней бездействия. Кроме того, учетные записи группы обслуживания, для которых превышен порог неудачных попыток входа, автоматически блокируются. Аудит учетных записей группы обслуживания автоматически выполняется в течение их жизненного цикла. Проверки доступа вручную являются исключением. Группы обслуживания Microsoft 365 выполняют их хотя бы раз в квартал.
Управление доступом на основе ролей (RBAC)
Группы обслуживания Microsoft 365 используют Role-Based управления доступом (RBAC), который применяется Active Directory (AD) и Microsoft Entra ID. Сотрудники группы обслуживания запрашивают доступ к требуемым ролям, на что необходимо утверждение от руководителя. При получении утверждения они помещаются в группы безопасности, соответствующие их ролям, для поддержки системы.
Доступ к учетной записи группы обслуживания управляется в соответствии с принципом наименьших привилегий. RBAC ограничивает учетные записи группы обслуживания только доступом, требуемым для выполнения необходимых задач в средах, соответствующих их роли. RBAC также помогает обеспечить разделение требований к обязанностям, ограничив учетные записи группы обслуживания ролями, соответствующими их текущим обязанностям.
Удаленный доступ
Системные компоненты Microsoft 365 находятся в центрах обработки данных, географически отделенными от групп управления. У сотрудников центра обработки данных есть физический доступ к среде Microsoft 365, но нет логического доступа к ней. У сотрудников команды обслуживания, напротив, есть логический доступ, но нет физического доступа. В результате сотрудники группы обслуживания управляют средой с помощью удаленного доступа. Все утвержденные действия авторизуются для выполнения с помощью удаленного доступа к среде Microsoft 365. Сотрудникам групп обслуживания, которым требуется удаленный доступ для поддержки Microsoft 365, он предоставляется только после утверждения авторизованным руководителем. Все удаленные подключения используют протокол TLS, совместимый с FIPS 140-2, для безопасных удаленных подключений.
Рабочие станции безопасного доступа (SAW)
Microsoft 365 выдает рабочие станции безопасного доступа (SAW) инженерам группы обслуживания, которые поддерживают рабочие среды Microsoft 365. SAW обеспечивают повышенную безопасность путем уменьшения направления атаки на устройства, которые инженеры используют для выполнения административных действий при поддержке служб Microsoft 365.
SAW в корпорации Майкрософт — это специально разработанные и изготовленные ноутбуки с дополнительной защитой от уязвимостей оборудования и программного обеспечения. Корпорация Майкрософт напрямую сотрудничает с доверенными поставщиками для создания SAW, сокращая цепочку поставок для обеспечения безопасности оборудования SAW. Операционные системы с усиленной защитой и намеренно ограниченной функциональностью дополнительно сокращают или устраняют распространенные векторы атак. К методам усиления защиты SAW относятся отключение записи на USB-накопители, применение строгого списка разрешенных приложений, удаление наборов производительности и доступа к электронной почте, ограничение браузера в Интернете, принудительное использование защищенного браузера, маршрутизация трафика через фильтр прокси-сервера и применение блокировки экранной скринсейвера бездействия с помощью групповой политики.
Системы управления доступом Microsoft 365 автоматически проверяют состояние SAW инженера во время доступа и отклоняют подключения от SAW, которая не соответствует требованиям. Проверки состояния устройства дополняют другие элементы управления доступом, включая ограничения IP, политики IPsec и проверку подлинности пользователей с помощью многофакторной проверки подлинности. Использование SAW строго отслеживается и регистрируется для обнаружения и предотвращения несанкционированного использования. Устройства, не соответствующие требованиям, автоматически отключаются.
многофакторная проверка подлинности (MFA);
Microsoft 365 требует многофакторной проверки подлинности (MFA) для всех учетных записей группы обслуживания. MFA повышает безопасность учетной записи, требуя нескольких форм проверки или факторов, чтобы подтвердить личность инженера при входе в систему. Типы факторов, которые можно использовать для MFA, классифицируются на три категории:
- Известные сведения — пароль, ответ на вопрос безопасности или персональный идентификационный номер (ПИН-код)
- Имеющиеся средства — генератор маркеров безопасности или мобильное приложение, которое получает уведомление
- Персональные данные — биометрические данные, например отпечаток пальца или сканированное изображение лица.
Microsoft 365 требует не менее двух факторов для MFA. Использование MFA повышает безопасность Microsoft 365, ограничив воздействие на учетные данные. В Microsoft 365 злоумышленнику, который скомпрометирует пароль пользователя, также потребуется владение генератором маркера безопасности для полной проверки подлинности. Проверка подлинности только с одним фактором является недостаточной для доступа к Microsoft 365, приводя к блокированию потенциальных злоумышленников и предоставляя пользователю время на изменение скомпрометированного пароля.