此体系结构展示了安全运营中心 (SOC) 团队如何将 Microsoft Entra 标识和访问功能纳入整体集成和分层的零信任安全策略中。
当所有服务和设备都包含在组织中的托管网络上时,网络安全是 SOC 运营的重中之重。 不过,据 Gartner 预测,2022 年全年的云服务市场规模增长速度将是整个 IT 服务市场增长速度的将近三倍。 随着越来越多的公司采用云计算,网络安全开始转变为将用户标识作为主要安全边界。
保护云中的标识是高优先级的安全需要。
Verizon 的 2020 年数据泄露调查报告指出,37% 的数据泄露与使用盗用凭据有关,而 22% 的数据泄露涉及网络钓鱼。
2019 年 IBM 对数据泄露事件的研究报告称,数据泄露造成的全球平均损失为 390 万美元,而美国的平均损失接近 820 万美元。
Microsoft 2019 年安全情报报告称,2018 年 1 月至 12 月期间,网络钓鱼攻击的增长幅度达到 250%。
零信任安全模型将所有主机都视为面向 Internet 的主机,并认为整个网络都有可能到遭入侵并存在威胁。 此方法在侧重于构建强身份验证 (AuthN)、授权和加密的同时,也提供了分区访问和更好的操作灵活性。
Gartner 推广的自适应安全体系结构采用“预防 - 检测 - 响应 - 预测”模型取代了基于事件响应的策略。 自适应安全将访问控制、行为监视、使用情况管理和发现功能与持续的监视和分析相互结合。
Microsoft 网络安全参考体系结构 (MCRA) 介绍了 Microsoft 的网络安全功能,以及这些功能是如何与使用 Microsoft Entra ID 进行“标识即服务”(IDaaS) 的现有安全体系结构(包括云环境和混合环境)集成的。
本文将进一步介绍零信任自适应安全方法和 IDaaS,重点介绍 Microsoft Entra 平台上提供的组件。
可能的用例
- 设计全新安全解决方案
- 改进方案或与现有实现集成
- 培训 SOC 团队
体系结构
下载此体系结构的 Visio 文件。
工作流
- 凭据管理控制身份验证。
- 预配和权利管理定义访问包、将用户分配到资源,并推送用于证明的数据。
- 授权引擎评估访问策略以确定访问权限。 该引擎还将评估包括用户/实体行为分析 (UEBA) 数据在内的风险检测结果,并检查终结点管理的设备合规性。
- 如果获得授权,用户或设备将通过条件访问策略和控制获得访问权限。
- 如果授权失败,用户可以执行实时修正以解除对自己的阻止。
- 记录所有会话数据,用于分析和报告。
- SOC 团队的安全信息和事件管理系统 (SIEM) 接收来自云和本地标识的所有日志、风险检测和 UEBA 数据。
组件
Microsoft Entra IDaaS 体系结构由以下安全进程和组件构成。
凭据管理
凭据管理中包括的服务、策略和做法将用于颁发、跟踪和更新对资源或服务的访问权限。 Microsoft Entra 凭据管理包括以下功能:
自助服务密码重置 (SSPR) 允许用户自行处理并重置自己丢失、遗忘或泄露的密码。 SSPR 不仅减少了对支持人员的呼叫,还提供了更高的用户灵活性和安全性。
密码写回将在云中更改的密码实时同步到本地目录。
受禁密码会分析遥测数据,公开常用的弱密码或已泄露的密码,并在整个 Microsoft Entra ID 范围内全局禁用这些密码。 可以为环境自定义此功能,并在其中添加自定义密码列表,以便在组织中禁用这些密码。
智能锁定会将合法的身份验证尝试与企图以暴力破解方式获得未授权访问权限的尝试进行比较。 在默认智能锁定策略下,10 次尝试登录失败后,帐户会锁定一分钟。 如果登录尝试继续失败,帐户锁定时间将会增加。 可以使用策略来调整设置,以便为组织提供适当的安全性和可用性组合。
多重身份验证 (MFA) 会在用户尝试访问受保护的资源时要求其接受多种形式的身份验证。 在访问资源时,大多数用户都对使用自己已知的方式(例如密码)非常熟悉。 MFA 还会要求用户证明自己拥有某件物品(如访问某个受信任的设备),或者要求用户证明自己是谁(如生物识别标识符)。 MFA 可使用不同类型的身份验证方法,例如电话呼叫、短信或通过验证器应用发送通知。
无密码身份验证将身份验证工作流中的密码替换为智能手机/硬件令牌、生物识别标识符或 PIN。 Microsoft 无密码身份验证可与 Azure 资源(如 Windows Hello 企业版)和移动设备上的 Microsoft Authenticator 应用配合使用。 此外,还可通过 FIDO2 兼容的安全密钥启用无密码身份验证,该密钥使用 WebAuthn 和 FIDO Alliance 的客户端到验证器 (CTAP) 协议。
应用预配和权利
权利管理是 Microsoft Entra 的标识治理功能,可帮助组织大规模管理标识和访问生命周期。 权利管理会自动执行访问请求工作流、访问分配、访问审核和访问过期的操作。
Microsoft Entra 预配允许在用户需要访问的应用程序中自动创建用户标识和角色。 你可以为第三方服务型软件 (SaaS) 应用(例如 SuccessFactors、Workday 和更多其他应用)配置 Microsoft Entra 预配功能。
无缝单一登录 (SSO) 在用户登录到其企业设备后,会自动对访问基于云的应用程序的用户进行身份验证。 可以通过密码哈希同步或直通身份验证来使用 Microsoft Entra 无缝 SSO。
使用 Microsoft Entra 访问评审实现证明有助于满足监视和审核要求。 访问评审允许执行一些操作,例如快速确定管理员用户的数量,确保新员工可以访问所需的资源,或者查看用户活动以确定他们是否仍需要访问权限。
条件访问策略和控制
条件访问策略是访问分配和访问控制的 if-then 语句。 通过定义对触发策略的原因(“如果这样做”)作出何种响应(“执行此操作”),可使授权引擎作出强制执行组织策略的决定。 使用 Microsoft Entra 条件访问,可以控制已授权用户访问应用的方式。 Microsoft Entra ID What If 工具有助于了解某个条件访问策略已应用或未应用的原因,或者某个策略在特定情况下是否会应用于某个用户。
将条件访问控制与条件访问策略结合使用,有助于更好地执行组织策略。 通过 Microsoft Entra 条件访问控制,可以根据收到访问请求时检测到的因素来实施安全防护,而不是采用一刀切的方法。 将条件访问控制与访问条件搭配使用,可减少创建额外安全控制的需求。 举一个典型的示例,你可以允许已加入域的设备上的用户使用 SSO 访问资源,但需要对网络外或使用自己设备的用户进行 MFA。
Microsoft Entra ID 可将以下条件访问控制与条件访问策略配合使用:
Azure 基于角色的访问控制 (RBAC) 可为需要使用 Azure 资源执行管理任务或专门任务的用户配置和分配适当的角色。 可以使用 Azure RBAC 创建或维护仅限管理员的单独专用帐户,确定所设置角色的访问权限范围,设置访问时间限制,或通过审批工作流授予访问权限。
Privileged Identity Management (PIM) 允许向管理帐户添加其他监视和保护,有助于减少针对组织的攻击途径。 借助 Microsoft Entra PIM,可在 Azure、Microsoft Entra ID 和其他 Microsoft 365 服务中使用即时 (JIT) 访问和够用即可式管理 (JEA) 来管理和控制对资源的访问权限。 PIM 提供管理活动的历史记录和更改日志,并在所定义角色中发生添加或删除用户的操作时向你发送提醒。
可以使用 PIM 来要求批准或说明激活管理角色的理由。 用户可以在大多数时间里保有正常特权,并在需要完成管理任务或专门任务时请求和接收所需角色的访问权限。 完成工作并注销后,或访问权限过期后,用户可以使用自己的标准用户权限再次进行身份验证。
Microsoft Defender For Cloud 应用是一个云访问安全代理 (CASB),可以通过分析流量日志发现和监视组织中正在使用的应用程序和服务。 使用 Defender for Cloud 应用,可以执行以下操作:
- 创建策略以管理与应用和服务的交互
- 将应用程序标识为已批准或未批准
- 控制和限制对数据的访问权限
- 应用信息保护以防止信息丢失
Defender for Cloud 应用还可使用访问策略和会话策略来控制用户对 SaaS 应用的访问权限。 例如,你能够:
- 限制可访问应用的 IP 范围
- 需要 MFA 才能访问应用
- 仅允许来自已批准应用内的活动
SharePoint 管理员中心的访问控制页面提供了多种方式用于控制对 SharePoint 和 OneDrive 内容的访问。 可以选择阻止访问、允许来自非托管设备的仅限 Web 的访问或基于网络位置控制访问。
可以使用 Microsoft Graph API 中的 ApplicationAccessPolicy,将应用程序访问权限的范围限定为特定的 Exchange Online 邮箱。
使用条款 (TOU) 提供了一种方法来显示信息,即最终用户必须表示同意才能在获取受保护资源的访问权限。 将 TOU 文档以 PDF 文件格式上传到 Azure 后,该文档即可在条件访问策略中作为控件使用。 通过创建要求用户在登录时同意 TOU 的条件访问策略,可以轻松审核接受 TOU 的用户。
终结点管理用于控制已授权用户以何种方式从一系列设备(包括移动设备和个人设备)中访问云应用。 可以使用条件访问策略将访问权限限制为仅符合某些安全性和合规性标准的设备。 这些受托管设备需要拥有设备标识。
风险检测
Azure 标识保护包括多个策略,这些策略可帮助组织管理对可疑用户操作的响应。 用户风险是指用户标识遭泄露的概率。 登录风险是指登录请求不是来自相应用户的概率。 Microsoft Entra ID 会基于行为分析,根据实际用户发起登录请求的概率计算登录风险评分。
Microsoft Entra 风险检测将使用自适应机器学习算法和启发式算法来检测与用户帐户相关的可疑操作。 检测到的每个可疑操作都存储在称为风险检测的记录中。 Microsoft Entra ID 将使用这些数据(经过 Microsoft 内部和外部威胁情报源和信号的进一步处理)计算用户风险概率和登录风险概率。
可以使用 Microsoft Graph 中的标识保护风险检测 API 来公开有关风险用户和风险登录的信息。
实时修正允许用户使用 SSPR 和 MFA 自行修正某些风险检测,从而解除对自己的阻止。
注意事项
使用此解决方案时,请记住以下几点。
Logging
Microsoft Entra 审核报告通过审核日志、登录日志以及风险登录和风险用户报告为 Azure 活动提供可跟踪性。 可基于多个参数(包括服务、类别、活动和状态)筛选和搜索日志数据。
可以将 Microsoft Entra ID 日志数据路由到终结点,例如:
- Azure 存储帐户
- Azure Monitor 日志
- Azure 事件中心
- SIEM 解决方案(例如 Microsoft Sentinel、ArcSight、Splunk、SumoLogic 或其他外部 SIEM 工具)或你自己的解决方案。
此外,还可使用 Microsoft Graph 报告 API 在你自己的脚本中检索和使用 Microsoft Entra ID 日志数据。
本地方案和混合方案的注意事项
身份验证方法是在混合方案中保护组织标识的关键。 Microsoft 提供了有关在 Microsoft Entra ID 中选择混合身份验证方法的特定指导。
Microsoft Defender for Identity 可以使用本地 Active Directory 信号来识别、检测和调查高级威胁、遭到入侵的标识和恶意的内部操作。 Defender for Identity 使用 UEBA 来识别内部威胁并标记风险。 即使标识已遭泄露,Defender for Identity 也可以根据异常用户行为帮助识别泄露风险。
通过与 Defender for Cloud 应用集成,Defender for Identity 得以将防护扩展到云应用。 可以使用 Defender for Cloud 应用来创建会话策略,用于保护下载中的文件。 例如,可以对特定类型用户下载的任何文件自动设置仅限查看权限。
你可以在 Microsoft Entra ID 中配置本地应用程序,以使用 Defender for Cloud Apps 进行实时监视。 Defender for Cloud Apps 使用条件访问应用控制,基于条件访问策略实时监视并控制会话。 可以将这些策略应用于 Microsoft Entra ID 中使用应用程序代理的本地应用程序。
Microsoft Entra 应用程序代理允许用户从远程客户端访问本地 Web 应用程序。 使用应用程序代理,可以在一处监视应用程序的所有登录活动。
你可以将 Defender for Identity 与 Microsoft Entra ID 保护配合使用,以帮助保护使用 Microsoft Entra Connect 同步到 Azure 的用户标识。
如果某些应用已经使用了现有的传送控制器或网络控制器来提供网络外访问,可以将它们与 Microsoft Entra ID 相集成。 多个合作伙伴(包括 Akamai、Citrix、F5 Networks 和 Zscaler)都为与 Microsoft Entra ID 进行集成提供解决方案和指导。
成本优化
Microsoft Entra 提供了从免费版到高级版 P2 的多种定价,其中免费版包括了 SSO 和 MFA 等功能,高级版 P2 包括了 PIM 和权利管理等功能。 有关定价详细信息,请参阅 Microsoft Entra 定价。
后续步骤
- 零信任安全性
- Microsoft Entra ID 的零信任部署指南
- 安全支柱概述
- Microsoft Entra 演示租户(需要 Microsoft 合作伙伴网络帐户)或“企业移动性 + 安全性”免费试用版
- Microsoft Entra 部署计划