Описание глобального безопасного доступа в Microsoft Entra

  • 9 мин

Microsoft Entra теперь предоставляет новый набор продуктов под заголовком Microsoft Global Secure Access. «Глобальный безопасный доступ» — это общий термин, которым обозначается как интернет-доступ Microsoft Entra, так и частный доступ Microsoft Entra.

Интернет-доступ Microsoft Entra обеспечивает доступ к приложениям класса «программное обеспечение как услуга» (SaaS), в том числе к службам Майкрософт и общедоступным интернет-приложениям, защищая пользователей, устройства и данные от угроз Интернета.

Частный доступ Microsoft Entra предоставляет пользователям в офисе или на удаленной работе защищенный доступ к частным корпоративным ресурсам.

Интернет-доступ Microsoft Entra и частный доступ Microsoft Entra дополняют друг друга как решение, которое сводит воедино средства управления сетью, идентификацией и доступом к конечным точкам по принципу «Никому не доверяй», чтобы обеспечить защиту доступа к любому приложению или ресурсу из любого места, с любого устройства, под любым идентификатором. Этот тип решения представляет новую категорию сетевой безопасности, которая называется Security Service Edge (SSE).

SSE помогает решить такие проблемы безопасности, как:

  • Необходимость снижения риска бокового перемещения через скомпрометированный VPN-туннель.
  • Необходимость поместить периметр вокруг интернет-ресурсов.
  • Необходимость улучшения обслуживания в удаленных офисах, таких филиалов.

Решение Microsoft Security Service Edge, Global Secure Access, обеспечивает расширенную защиту ресурсов и ресурсов, работающих в частном облаке или локальной инфраструктуре, чтобы устранить проблемы безопасности.

В решении применяется клиент глобального безопасного доступа, позволяющий организациям контролировать сетевой трафик на вычислительном устройстве конечного пользователя. Организации получают возможность маршрутизировать определенные профили трафика через интернет-доступ Microsoft Entra и частный доступ Microsoft Entra. Маршрутизация трафика таким способом позволяет использовать больше средств управления благодаря глубокой интеграции с политиками условного доступа и оценке рисков в реальном времени на уровне идентификаторов, устройств, мест нахождения и приложений в целях защиты любых приложений и ресурсов.

Снимок экрана: компоненты, составляющие глобальный безопасный доступ.

Частный доступ Microsoft Entra

В качестве основного способа управления доступом к корпоративной сети зачастую используются VPN-решения. После установки подключения к частной сети разблокируется точка входа в такую сеть, к тому же часто у пользователей и устройств имеются избыточные права. Таким образом значительно увеличивается количество направлений потенциальных атак на организацию.

Чтобы предотвратить боковое смещение во время атаки, сократить избыточный доступ и заменить традиционные VPN, можно развернуть частный доступ Microsoft Entra. Эта служба предоставляет пользователям — как в офисе, так и на удаленной работе — защищенный доступ к частным корпоративным ресурсам.

Концептуально, как работает частный доступ, заключается в том, что для определенного набора частных ресурсов, которые вы хотите защитить, вы настроили новое корпоративное приложение, которое служит контейнером для этих частных ресурсов. Новое приложение имеет сетевой соединитель, который служит брокером между службой приватного доступа и ресурсом, к которому пользователь хочет получить доступ. Теперь очевидно, что предприятия имеют разные требования к доступу к разным частным ресурсам, поэтому Частный доступ Microsoft Entra предоставляет два способа настройки частных ресурсов, к которым вы хотите получить доступ через службу.

  • Быстрый доступ. Как описано ранее, частный доступ работает путем создания нового корпоративного приложения, которое служит контейнером для частных ресурсов, которые требуется защитить. С помощью быстрого доступа вы определяете, какие частные ресурсы необходимо добавить в "контейнер" или корпоративное приложение; что, мы вызовем приложение быстрого доступа. Частные ресурсы, добавляемые в приложение быстрого доступа, определяются полным доменным именем, IP-адресом, диапазоном IP-адресов и портами, используемыми для доступа к ресурсу. Эта информация называется сегментом приложения быстрого доступа. В приложение быстрого доступа можно добавить множество сегментов приложений. Затем можно связать политики условного доступа с приложением быстрого доступа.

    Схема Частный доступ Microsoft Entra с отображением компонентов быстрого доступа.

  • Приложение Global Secure Access — приложение Global Secure Access, которое также называется per-app Access, обеспечивает более детализированный подход. С помощью приложения Global Secure Access можно создать несколько "контейнеров" или корпоративное приложение. Для каждого из этих новых корпоративных приложений вы определяете свойства частного ресурса, а также назначаете пользователей и группы и назначаете определенные политики условного доступа. Например, у вас может быть группа частных ресурсов, для которых требуется защититься, но для которой необходимо задать разные политики доступа в зависимости от того, как они обращаются к ресурсу или для определенного интервала времени.

    Схема Частный доступ Microsoft Entra с отображением компонентов приложения Global Secure Access, который также называется Per-app Access.

Интернет-доступ Microsoft Entra

Безопасный веб-шлюз (SWG) — это решение для кибербезопасности, которое защищает пользователей от веб-угроз, отфильтровав интернет-трафик и применяя политики безопасности.

Интернет-доступ Microsoft Entra предоставляет ориентированное на идентификацию решение защищенного веб-шлюза (SWG) для приложений класса «Программное обеспечение как услуга» (SaaS), в том числе служб Майкрософт, и другого интернет-трафика. Он защищает пользователей, устройства и данные от угроз Интернета широкого диапазона с помощью лучших в своем классе элементов управления безопасностью с возможностью отображения сведений в журналах трафика.

Некоторые ключевые особенности:

  • Защита от хищения идентификаторов и токенов пользователей посредством использования политик условного доступа в целях выполнения проверки сети на соответствие требованиям для доступа к ресурсам.
    • Соответствие требованиям сетевого применения выполняется в плоскости проверки подлинности и на плоскости данных. Принудительное применение плоскости проверки подлинности выполняется идентификатором Microsoft Entra во время проверки подлинности пользователя. Принудительное применение плоскости данных работает со службами, поддерживающими непрерывную оценку доступа (CAE)
    • Непрерывная оценка доступа (CAE) — это функция безопасности, в которой приложения и Microsoft Entra постоянно взаимодействуют, чтобы обеспечить актуальность и безопасность доступа пользователей. Если возникают изменения, такие как расположение пользователя или проблема безопасности, система может быстро настроить или заблокировать доступ практически в режиме реального времени, гарантируя, что политики всегда применяются.
  • Ограничения арендаторов в целях предотвращения эксфильтрации данных к другим арендаторам и в личные учетные записи, включая анонимный доступ.
  • Политики профилирования перенаправления трафика доступа в Интернет в целях контроля над перечнем сайтов, к которым можно получать доступ, чтобы подключение удаленных работников к Интернету было управляемым и защищенным.
  • Фильтрация веб-контента в целях регулирования доступа к веб-сайтам на основе их категорий контента и доменных имен.
  • и многое другое...

Панель мониторинга глобального безопасного доступа

В системе глобального безопасного доступа имеется панель мониторинга, на которой визуально представляется сетевой трафик, получаемый службами частного доступа Microsoft Entra и интернет-доступа Microsoft Entra. Такая панель компилирует данные из сетевых конфигураций, в том числе сведения об устройствах, пользователях и арендаторах, и выводит результат в несколько мини-приложений. Эти мини-приложения, в свою очередь, предоставляют информацию, которую можно использовать для мониторинга и усовершенствования сетевых конфигураций. Имеется несколько мини-приложений, в частности:

  • Снимок глобального безопасного доступа
  • Оповещения и уведомления (предварительная версия)
  • Профилирование использования (предварительная версия)
  • Доступ другому арендатору
  • Фильтрация веб-категорий
  • Состояние устройства

Моментальный снимок глобального безопасного доступа

Мини-приложение моментального снимка Глобального безопасного доступа содержит сводку по тому, сколько пользователей и устройств используют службу и сколько приложений были защищены через службу. Мини-приложение по умолчанию отображает все типы трафика, но вы можете изменить фильтр, чтобы отобразить интернет-доступ, частный доступ или трафик Майкрософт.

Снимок экрана: мини-приложение моментального снимка глобального безопасного доступа.

Профилирование использования (предварительная версия)

Мини-приложение профилирования использования отображает шаблоны использования для доступа к Интернету, приватного доступа или Microsoft 365 за выбранный период времени и по категориям.

Снимок экрана: мини-приложение профилирования использования.

Оповещения и уведомления (предварительная версия)

Мини-приложение "Оповещения и уведомления" показывает, что происходит в сети, и помогает выявлять подозрительные действия или тенденции, определенные сетевыми данными.

Это мини-приложение предоставляет следующие оповещения:

  • Неработоспособная удаленная сеть: неработоспособная удаленная сеть имеет один или несколько подключений устройств.
  • Увеличение активности внешних клиентов: число пользователей, обращаюющихся к внешним клиентам, увеличилось.
  • Несоответствие маркера и устройства: исходный маркер используется на другом устройстве.
  • Веб-содержимое заблокировано: доступ к веб-сайту заблокирован.

Снимок экрана: мини-приложение оповещений для оповещений панели мониторинга.

Глобальный безопасный доступ между клиентами обеспечивает видимость количества пользователей и устройств, обращаюющихся к другим клиентам. В этом мини-приложении отображаются следующие сведения:

  • Вход: количество входов с помощью идентификатора Microsoft Entra для службы Майкрософт за последние 24 часа. Это мини-приложение предоставляет сведения о действии в клиенте.
  • Всего отдельных клиентов: количество идентификаторов отдельных клиентов, которые были замечены за последние 24 часа.
  • Невидимые клиенты: количество идентификаторов отдельных клиентов, которые были замечены за последние 24 часа, но не за предыдущие семь дней.
  • Пользователи: количество отдельных входов пользователей в другие клиенты за последние 24 часа.
  • Устройства: количество отдельных устройств, которые вошли в другие клиенты за последние 24 часа.

Снимок экрана: мини-приложение доступа между клиентами.

Фильтрация веб-категорий

Мини-приложение фильтрации веб-категорий отображает основные категории веб-содержимого, которые были заблокированы или разрешены службой. Эти категории можно использовать для определения сайтов или категорий сайтов, которые может потребоваться заблокировать.

Состояние устройства Мини-приложения состояния устройства отображают развернутые активные и неактивные устройства.

Снимок экрана: мини-приложение состояния устройства.