Microsoft Entra IDaaS i säkerhetsåtgärder

Den här arkitekturen visar hur SOC-team (Security Operations Center) kan införliva Microsoft Entra-identitets- och åtkomstfunktioner i en övergripande integrerad och skiktad säkerhetsstrategi med noll förtroende .

Nätverkssäkerhet dominerade SOC-åtgärder när alla tjänster och enheter fanns i hanterade nätverk i organisationer. Gartner förutspår dock att till och med 2022 kommer molntjänsternas marknadsstorlek att växa med en hastighet som är nästan tre gånger så hög som för övergripande IT-tjänster. När fler företag anammar molnbaserad databehandling sker en övergång till att behandla användaridentitet som den primära säkerhetsgränsen.

Att skydda identiteter i molnet är en hög prioritet.

• Verizons undersökningsrapport om dataintrång 2020 uppgav att 37 % involverade användning av stulna autentiseringsuppgifter och att 22 % av dataintrången involverade nätfiske.

• En IBM-studie från 2019 av dataintrångsincidenter rapporterade att den genomsnittliga globala kostnaden för ett dataintrång var $ 3.9M, med den amerikanska genomsnittliga kostnaden närmare $ 8.2M.

• Microsoft 2019 Security Intelligence Report rapporterade att nätfiskeattacker ökade med en marginal på 250 % mellan januari och december 2018.

Säkerhetsmodellen Nolltillit behandlar alla värdar som om de är internetuppkopplade och anser att hela nätverket är potentiellt komprometterat och fientligt. Den här metoden fokuserar på att skapa stark autentisering (AuthN), auktorisering och kryptering, samtidigt som du ger uppdelad åtkomst och bättre flexibilitet i driften.

Gartner främjar en anpassningsbar säkerhetsarkitektur som ersätter en incidenthanteringsbaserad strategi med modellen prevent-detect-respond-predict . Anpassningsbar säkerhet kombinerar åtkomstkontroll, beteendeövervakning, användningshantering och identifiering med kontinuerlig övervakning och analys.

Microsoft Cybersecurity Reference Architecture (MCRA) beskriver Microsofts cybersäkerhetsfunktioner och hur de integreras med befintliga säkerhetsarkitekturer, inklusive moln- och hybridmiljöer, som använder Microsoft Entra ID för Identity-as-a-Service (IDaaS).

I den här artikeln går vi vidare med nollförtroende och anpassningsbar säkerhet till IDaaS, med fokus på komponenter som är tillgängliga på Microsoft Entra-plattformen.

Potentiella användningsfall

• Utforma nya säkerhetslösningar
• Förbättra eller integrera med befintliga implementeringar
• Utbilda SOC-team

Arkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

1. Hantering av autentiseringsuppgifter styr autentiseringen.
2. Etablering och berättigandehantering definierar åtkomstpaketet, tilldelar användare till resurser och push-överför data för attestering.
3. Auktoriseringsmotorn utvärderar åtkomstprincipen för att fastställa åtkomst. Motorn utvärderar också riskidentifieringar, inklusive UEBA-data (användar-/entitetsbeteendeanalys) och kontrollerar enhetsefterlevnad för slutpunktshantering.
4. Om användaren eller enheten har behörighet får den åtkomst enligt principer och kontroller för villkorlig åtkomst.
5. Om auktoriseringen misslyckas kan användarna utföra realtidsreparation för att avblockera sig själva.
6. Alla sessionsdata loggas för analys och rapportering.
7. SOC-teamets SIEM-system (security information and event management) (säkerhetsinformation och händelsehantering (SIEM)) tar emot alla logg-, riskidentifierings- och UEBA-data från molnidentiteter och lokala identiteter.

Komponenter

Följande säkerhetsprocesser och komponenter bidrar till den här Microsoft Entra IDaaS-arkitekturen.

Hantering av autentiseringsuppgifter

Hantering av autentiseringsuppgifter omfattar tjänster, principer och metoder som utfärdar, spårar och uppdaterar åtkomsten till resurser eller tjänster. Autentiseringshantering i Microsoft Entra innehåller följande funktioner:

• Med självbetjäning av lösenordsåterställning (SSPR) kan användarna självbetjäna och återställa sina egna förlorade, bortglömda eller komprometterade lösenord. SSPR minskar inte bara supportsamtal, utan ger större användarflexiering och säkerhet.

• Tillbakaskrivning av lösenord synkroniserar lösenord som ändrats i molnet med lokala kataloger i realtid.

• Förbjudna lösenord analyserar telemetridata som exponerar vanliga svaga eller komprometterade lösenord och förbjuder deras användning globalt i hela Microsoft Entra-ID. Du kan anpassa den här funktionen för din miljö och inkludera en lista över anpassade lösenord som ska förbjudas i din egen organisation.

• Smart utelåsning jämför legitima autentiseringsförsök med råstyrkeförsök för att få obehörig åtkomst. Under standardprincipen för smart utelåsning låses ett konto ut i en minut efter 10 misslyckade inloggningsförsök. När inloggningsförsöken fortsätter att misslyckas ökar tiden för kontoutelåsning. Du kan använda principer för att justera inställningarna för lämplig blandning av säkerhet och användbarhet för din organisation.

• Multifaktorautentisering kräver flera former av autentisering när användare försöker komma åt skyddade resurser. De flesta användare är bekanta med att använda något de vet, till exempel ett lösenord, när de kommer åt resurser. MFA ber användarna att också visa något som de har, till exempel åtkomst till en betrodd enhet eller något som de är, som en biometrisk identifierare. MFA kan använda olika typer av autentiseringsmetoder som telefonsamtal, textmeddelanden eller meddelanden via autentiseringsappen.

• Lösenordslös autentisering ersätter lösenordet i autentiseringsarbetsflödet med en smartphone eller maskinvarutoken, biometrisk identifierare eller PIN-kod. Microsofts lösenordslösa autentisering kan fungera med Azure-resurser som Windows Hello för företag och Microsoft Authenticator-appen på mobila enheter. Du kan också aktivera lösenordslös autentisering med FIDO2-kompatibla säkerhetsnycklar, som använder WebAuthn och FIDO Alliances CTAP-protokoll (Client-to-Authenticator).

Appetablering och berättigande

• Berättigandehantering är en microsoft entra-identitetsstyrningsfunktion som gör det möjligt för organisationer att hantera identitets- och åtkomstlivscykeln i stor skala. Berättigandehantering automatiserar arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och förfallodatum.

• Med Microsoft Entra-etablering kan du automatiskt skapa användaridentiteter och roller i program som användarna behöver komma åt. Du kan konfigurera Microsoft Entra-etablering för SaaS-appar (software-as-a-service) från tredje part, till exempel SuccessFactors, Workday och många fler.

• Sömlös enkel inloggning (SSO) autentiserar automatiskt användare till molnbaserade program när de loggar in på sina företagsenheter. Du kan använda sömlös enkel inloggning i Microsoft Entra med antingen synkronisering av lösenordshash eller direktautentisering.

• Attestering med Microsoft Entra-åtkomstgranskningar hjälper dig att uppfylla övervaknings- och granskningskraven. Med åtkomstgranskningar kan du göra saker som att snabbt identifiera antalet administratörsanvändare, se till att nya anställda kan komma åt resurser som behövs eller granska användarnas aktivitet för att avgöra om de fortfarande behöver åtkomst.

Principer och kontroller för villkorsstyrd åtkomst

En princip för villkorlig åtkomst är en if-then-instruktion för tilldelningar och åtkomstkontroller. Du definierar svaret ("gör detta") på orsaken till att principen utlöses ("om detta"), vilket gör det möjligt för auktoriseringsmotorn att fatta beslut som tillämpar organisationsprinciper. Med villkorsstyrd åtkomst i Microsoft Entra kan du styra hur behöriga användare får åtkomst till dina appar. Verktyget Microsoft Entra ID What If kan hjälpa dig att förstå varför en princip för villkorsstyrd åtkomst tillämpades eller inte tillämpades, eller om en princip skulle gälla för en användare under en viss situation.

Kontroller för villkorsstyrd åtkomst fungerar tillsammans med principer för villkorsstyrd åtkomst för att framtvinga organisationsprinciper. Med microsoft Entra-kontroller för villkorsstyrd åtkomst kan du implementera säkerhet baserat på faktorer som identifierades vid tidpunkten för åtkomstbegäran, i stället för en metod med en storlek som passar alla. Genom att koppla kontroller för villkorsstyrd åtkomst med åtkomstvillkor minskar du behovet av att skapa ytterligare säkerhetskontroller. Som ett typiskt exempel kan du tillåta användare på en domänansluten enhet att komma åt resurser med enkel inloggning, men kräver MFA för användare utanför nätverket eller med sina egna enheter.

Microsoft Entra-ID kan använda följande kontroller för villkorsstyrd åtkomst med principer för villkorsstyrd åtkomst:

• Med rollbaserad åtkomstkontroll i Azure (RBAC) kan du konfigurera och tilldela lämpliga roller till användare som behöver utföra administrativa eller specialiserade uppgifter med Azure-resurser. Du kan använda Azure RBAC för att skapa eller underhålla separata konton med endast dedikerade administratörer, omfångsåtkomst till roller som du konfigurerar, tidsgränsåtkomst eller bevilja åtkomst via arbetsflöden för godkännande.

• Privileged Identity Management (PIM) hjälper till att minska attackvektorn för din organisation genom att du kan lägga till ytterligare övervakning och skydd i administrativa konton. Med Microsoft Entra PIM kan du hantera och styra åtkomsten till resurser i Azure, Microsoft Entra ID och andra Microsoft 365-tjänster med just-in-time-åtkomst (JIT) och precis tillräckligt med administration (JEA). PIM innehåller en historik över administrativa aktiviteter och en ändringslogg och varnar dig när användare läggs till eller tas bort från roller som du definierar.

  Du kan använda PIM för att kräva godkännande eller motivering för aktivering av administrativa roller. Användare kan upprätthålla normala privilegier för det mesta och begära och få åtkomst till roller som de behöver för att utföra administrativa eller specialiserade uppgifter. När de slutför sitt arbete och loggar ut, eller om tidsgränsen för deras åtkomst upphör att gälla, kan de autentisera igen med sina standardanvändarbehörigheter.

• Microsoft Defender för molnet Apps är en molnåtkomstsäkerhetskoordinator (CASB) som analyserar trafikloggar för att identifiera och övervaka de program och tjänster som används i din organisation. Med Defender för molnet Apps kan du:

  • Skapa principer för att hantera interaktion med appar och tjänster
  • Identifiera program som sanktionerade eller osanktionerade
  • Kontrollera och begränsa åtkomsten till data
  • Tillämpa informationsskydd för att skydda mot informationsförlust

  Defender för molnet Apps kan också fungera med åtkomstprinciper och sessionsprinciper för att styra användaråtkomsten till SaaS-appar. Du kan till exempel:

  • Begränsa DE IP-intervall som kan komma åt appar
  • Kräv multifaktorautentisering för appåtkomst
  • Tillåt endast aktiviteter inifrån godkända appar

• På sidan för åtkomstkontroll i administrationscentret för SharePoint finns flera sätt att styra åtkomsten till SharePoint- och OneDrive-innehåll. Du kan välja att blockera åtkomst, tillåta begränsad åtkomst endast på webben från ohanterade enheter eller styra åtkomst baserat på nätverksplats.

• Du kan begränsa programbehörigheter till specifika Exchange Online-postlådor med hjälp av ApplicationAccessPolicy från Microsoft Graph API.

• Användningsvillkor (TOU) ger ett sätt att presentera information som slutanvändarna måste samtycka till innan de får åtkomst till skyddade resurser. Du laddar upp TOU-dokument till Azure som PDF-filer, som sedan är tillgängliga som kontroller i principer för villkorsstyrd åtkomst. Genom att skapa en princip för villkorsstyrd åtkomst som kräver att användarna samtycker till användarvillkor vid inloggningen kan du enkelt granska användare som har godkänt användarprincipen.

• Slutpunktshantering styr hur behöriga användare kan komma åt dina molnappar från en mängd olika enheter, inklusive mobila och personliga enheter. Du kan använda principer för villkorsstyrd åtkomst för att begränsa åtkomsten till enheter som uppfyller vissa säkerhets- och efterlevnadsstandarder. Dessa hanterade enheter kräver en enhetsidentitet.

Riskidentifiering

Azure Identity Protection innehåller flera principer som kan hjälpa din organisation att hantera svar på misstänkta användaråtgärder. Användarrisk är sannolikheten att en användaridentitet komprometteras. Inloggningsrisk är sannolikheten att en inloggningsbegäran inte kommer från användaren. Microsoft Entra-ID beräknar inloggningsriskpoäng baserat på sannolikheten för att inloggningsbegäran kommer från den faktiska användaren, baserat på beteendeanalys.

• Microsoft Entra-riskidentifieringar använder anpassningsbara maskininlärningsalgoritmer och heuristik för att identifiera misstänkta åtgärder relaterade till användarkonton. Varje identifierad misstänkt åtgärd lagras i en post som kallas riskidentifiering. Microsoft Entra ID beräknar sannolikheten för användar- och inloggningsrisker med hjälp av dessa data, utökat med Microsofts interna och externa hotinformationskällor och signaler.

• Du kan använda API:erna för identitetsskyddsriskidentifiering i Microsoft Graph för att exponera information om riskfyllda användare och inloggningar.

• Med realtidsreparation kan användarna avblockera sig själva med hjälp av SSPR och MFA för att självreparera vissa riskidentifieringar.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Checklista för designgranskning för säkerhet.

Loggning

Microsoft Entra-granskningsrapporter ger spårbarhet för Azure-aktiviteter med granskningsloggar, inloggningsloggar och riskfyllda inloggnings- och riskfyllda användarrapporter. Du kan filtrera och söka efter loggdata baserat på flera parametrar, inklusive tjänst, kategori, aktivitet och status.

Du kan dirigera Loggdata för Microsoft Entra-ID till slutpunkter som:

• Azure Storage-konton
• Azure Monitor-loggar
• Azure-händelsehubbar
• SIEM-lösningar som Microsoft Sentinel, ArcSight, Splunk, SumoLogic, andra externa SIEM-verktyg eller din egen lösning.

Du kan också använda Microsoft Graph-rapport-API:et för att hämta och använda Microsoft Entra ID-loggdata i dina egna skript.

Lokala överväganden och hybridöverväganden

Autentiseringsmetoder är nyckeln till att skydda organisationens identiteter i ett hybridscenario. Microsoft ger specifik vägledning om hur du väljer en hybridautentiseringsmetod med Microsoft Entra-ID.

Microsoft Defender för identitet kan använda dina lokal Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder. Defender for Identity använder UEBA för att identifiera insiderhot och flagga risker. Även om en identitet komprometteras kan Defender for Identity hjälpa till att identifiera kompromissen baserat på ovanligt användarbeteende.

Defender for Identity är integrerat med Defender för molnet Apps för att utöka skyddet till molnappar. Du kan använda Defender för molnet-appar för att skapa sessionsprinciper som skyddar dina filer vid nedladdning. Du kan till exempel automatiskt ange behörigheter för endast visning för alla filer som laddas ned av specifika typer av användare.

Du kan konfigurera ett lokalt program i Microsoft Entra-ID för att använda Defender för molnet-appar för realtidsövervakning. Defender för molnet Apps använder appkontroll för villkorsstyrd åtkomst för att övervaka och kontrollera sessioner i realtid baserat på principer för villkorsstyrd åtkomst. Du kan tillämpa dessa principer på lokala program som använder Programproxy i Microsoft Entra-ID.

Med Microsoft Entra Programproxy kan användarna komma åt lokala webbprogram från fjärrklienter. Med Programproxy kan du övervaka alla inloggningsaktiviteter för dina program på ett och samma ställe.

Du kan använda Defender för identitet med Microsoft Entra ID Protection för att skydda användaridentiteter som synkroniseras till Azure med Microsoft Entra Connect.

Om vissa av dina appar redan använder en befintlig leveransstyrenhet eller nätverksstyrenhet för att tillhandahålla åtkomst utanför nätverket kan du integrera dem med Microsoft Entra-ID. Flera partner, inklusive Akamai, Citrix, F5 Networks och Zscaler, erbjuder lösningar och vägledning för integrering med Microsoft Entra ID.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Checklista för designgranskning för kostnadsoptimering.

Priserna för Microsoft Entra varierar från kostnadsfritt, för funktioner som enkel inloggning och MFA, till Premium P2, för funktioner som PIM och Berättigandehantering. Prisinformation finns i Priser för Microsoft Entra.

Nästa steg

• Nolltillit säkerhet
• Nolltillit distributionsguide för Microsoft Entra-ID
• Översikt över säkerhetspelaren
• Microsoft Entra-demoklient ( kräver ett Microsoft Partner Network-konto) eller kostnadsfri utvärderingsversion av Enterprise Mobility + Security
• Distributionsplaner för Microsoft Entra

Relaterade resurser

• Azure IoT-referensarkitektur
• Säkerhetsöverväganden för IaaS-appar (infrastruktur som en tjänst) i Azure