Описание аудита удостоверений

  • 3 мин

Необходимо понимать ценность и назначение аудита для решения для управления удостоверениями. Аудит позволяет администраторам обнаруживать уже законченную или происходящую атаку. Кроме того, аудит представляет собой средство для обеспечения соответствия требованиям и отслеживания всех действий, выполняемых удостоверением. Кроме того, аудит может помочь разработчику при отладке неполадок, связанных с безопасностью. Например, если в результате ошибки в конфигурации авторизации или политики проверки авторизованному пользователю было отказано в доступе, разработчик может быстро найти и понять причину такой ошибки, изучив журнал событий.

Каждое действие, начиная с входа и заканчивая изменением пароля на конфигурацию и применением многофакторной проверки подлинности, можно регистрировать, отслеживать и сообщать о нем. Эти журналы предоставляют администратору удостоверений ресурс, позволяющий проверить, как работает решение для управления удостоверениями и доступом. Рабочие методики аудита помогают обеспечить безопасность удостоверений, что, в свою очередь, обеспечивает защиту ваших данных и решений. Некоторые из различных журналов, которые необходимо учитывать для аудита, — это журналы действий Microsoft Entra, журналы входа, журналы подготовки и журналы аудита. Для создания отчетов и мониторинга можно использовать ряд средств из Azure Monitor и Microsoft Sentinel.

Общие сведения о концепции системы управления

Словарь Merriam-Webster определяет управление как акт или процесс надзора над контролем и настройкой системы. К таким системам может относиться правительство, бюджет или решение для управления удостоверениями в Azure. В системе управления есть процессы и инструменты контроля, которые используются как для управления системами, так и для оценки подконтрольного выполнения системы. Недостаточно просто создать решение и больше ничего с ним не делать. Необходимо отслеживать его выполнение, регулярно обновлять процессы, удалять или заменять устаревшие функции и т. д. Если вы этого не делаете, система деградирует, и в итоге происходит сбой. Система управления аналогична решению для управления удостоверениями, которое вы создаете в Azure. Необходимо регулярно отслеживать, оценивать и обновлять систему.

Сценарий Простая история
Хуана, разработчика приложений У вас есть пользователь по имени Хуан. Хуану предоставлена учетная запись в вашей компании, с которой он работает несколько лет. За это время ему предоставляется доступ администратора для развертывания приложения, которое помогал создавать Хуан. Позже Хуан уходит из компании, однако учетная запись пользователя не удаляется из системы. Руководитель Хуана забыл отправить документы на закрытие учетной записи. В компании нет системы управления, чтобы заметить, что учетная запись не используется, а Хуан теперь отсутствует в системах управления персоналом. Год спустя Хуан становится жертвой фишинга. Злоумышленники крадут его личное имя пользователя и пароль. Хуан, как многие люди, использовал одинаковый пароль для личных и рабочих учетных записей. И что теперь? Теперь у вас есть сценарий, в котором система может быть взломана с использованием учетной записи, которую мы считаем действующей и легитимной.

Для чего нужна система управления? В этом сценарии система управления помогает во множестве областей:

  • Регулярная сверка с данными отдела кадров, чтобы убедиться, что все учетные записи по-прежнему зарегистрированы в базе данных отдела кадров как учетные записи сотрудников.
  • Проверка времени последнего входа для учетной записи.
  • Проверка потребности учетной записи в предоставленных на данный момент разрешениях и правах.
  • Проверка регулярного изменения паролей или (что еще лучше) настройка многофакторной проверки подлинности для сотрудников.
  • Доступно еще множество других способов.

Основные сведения об управлении жизненным циклом удостоверений

Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений. Управление жизненным циклом удостоверений предназначено для автоматизации и управления всем процессом жизненного цикла цифровых удостоверений.

Управление цифровыми удостоверениями — сложная задача. Необходимо сопоставить реальные объекты, такие как человек и его отношения с организацией. Пользователей следует рассматривать как сотрудников организации с цифровым представлением. В небольших организациях сохранение цифрового представления лиц, которым требуется удостоверение, может выполняться вручную. При найме сотрудников или привлечении подрядчиков ИТ-специалист может создать учетную запись для них в каталоге. Затем им назначаются необходимые права доступа. Однако в средних и крупных организациях автоматизация может обеспечить эффективное масштабирование организации. Автоматизация позволяет ИТ-отделу обеспечивать точность удостоверений.

Типичный процесс настройки управления жизненным циклом удостоверений в организации выполняется следующим образом:

  1. Существуют ли уже системы записи: источники данных, которые организация считает надежными. Например, организация может иметь систему управления персоналом. Эта система управления имеет полномочия для предоставления текущего списка сотрудников и некоторых их характеристик, таких как имя или отдел сотрудника.
  2. Сравните эти системы записи с помощью одного или нескольких каталогов и баз данных, используемых приложениями, и устраните все несоответствия между каталогами и системами записи.
  3. Определите, какие процессы можно использовать для предоставления достоверных сведений для посетителей. Необходимо найти альтернативный способ определить, когда цифровое удостоверение для посетителя больше не требуется.

Стратегия управления жизненным циклом удостоверений

Необходимо спланировать управление удостоверениями и жизненным циклом для сотрудников или иных лиц, связанных с организацией. Если привлекаются подрядчики или учащиеся, многие организации моделируют процесс "присоединение, перемещение, выход". Определение присоединения, перемещения и выхода

  • Присоединение — когда человек входит в область доступа, удостоверение необходимо для этих приложений, поэтому новое цифровое удостоверение может потребоваться создать, если он еще недоступен.
  • Перемещение. Когда пользователь перемещается между областями, которые требуют добавления дополнительных авторизаций прав доступа для цифрового удостоверения или их удаления.
  • Оставить — когда отдельный пользователь покидает область доступа, может потребоваться удалить доступ, и удостоверение больше не требуется приложениям, кроме целей аудита или судебной экспертизы.

Например, если новый сотрудник присоединяется к вашей организации, который никогда не был связан с вашей организацией раньше, этот сотрудник требует нового цифрового удостоверения, представленного как учетная запись пользователя в идентификаторе Microsoft Entra. Создание этой учетной записи инициирует процесс "Присоединение", который может быть автоматизирован. Если позже сотрудник вашей организации будет переходить, скажем, из отдела продаж в отдел маркетинга, он попадет под процесс "Перемещение". Для процесса "Перемещение" необходимо удалить права доступа, которые у пользователя были в организации "Продажи" и которые ему больше не требуются. Затем нужно предоставить ему права в организации "Маркетинг", которые требуются ему в данный момент.

Средства мониторинга

Необходимо всегда следовать принципу никому не доверяй. Проводите явные проверки — предоставляйте минимально необходимые разрешения — всегда предполагайте возможность взлома

Мониторинг служб

  • Azure Monitor
  • Application Insights
  • Работоспособность служб Azure
  • Служба работоспособности ресурса Azure
  • Azure Resource Manager
  • Политика Azure