你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

安全操作中的 Microsoft Entra IDaaS

Microsoft Entra ID
Microsoft Sentinel

此体系结构展示了安全运营中心 (SOC) 团队如何将 Microsoft Entra 标识和访问功能纳入整体集成和分层的零信任安全策略中。

当所有服务和设备都包含在组织中的托管网络上时,网络安全是 SOC 运营的重中之重。 不过,据 Gartner 预测,2022 年全年的云服务市场规模增长速度将是整个 IT 服务市场增长速度的将近三倍。 随着越来越多的公司采用云计算,网络安全开始转变为将用户标识作为主要安全边界。

保护云中的标识是高优先级的安全需要。

零信任安全模型将所有主机视为面向 Internet,并认为整个网络可能受到威胁和敌意。 此方法在侧重于构建强身份验证 (AuthN)、授权和加密的同时,也提供了分区访问和更好的操作灵活性。

Gartner 推广的自适应安全体系结构采用“预防 - 检测 - 响应 - 预测”模型取代了基于事件响应的策略。 自适应安全将访问控制、行为监视、使用情况管理和发现功能与持续的监视和分析相互结合。

Microsoft 网络安全参考体系结构 (MCRA) 介绍了 Microsoft 的网络安全功能,以及这些功能是如何与使用 Microsoft Entra ID 进行“标识即服务”(IDaaS) 的现有安全体系结构(包括云环境和混合环境)集成的。

本文将进一步介绍零信任自适应安全方法和 IDaaS,重点介绍 Microsoft Entra 平台上提供的组件。

可能的用例

  • 设计全新安全解决方案
  • 改进方案或与现有实现集成
  • 培训 SOC 团队

体系结构

Microsoft Entra 相关安全功能

下载此体系结构的 Visio 文件

工作流

  1. 凭据管理控制身份验证。
  2. 预配和权利管理定义访问包、将用户分配到资源,并推送用于证明的数据。
  3. 授权引擎评估访问策略以确定访问权限。 该引擎还将评估包括用户/实体行为分析 (UEBA) 数据在内的风险检测结果,并检查终结点管理的设备合规性。
  4. 如果获得授权,用户或设备将通过条件访问策略和控制获得访问权限。
  5. 如果授权失败,用户可以执行实时修正以解除对自己的阻止。
  6. 记录所有会话数据,用于分析和报告。
  7. SOC 团队的安全信息和事件管理系统 (SIEM) 接收来自云和本地标识的所有日志、风险检测和 UEBA 数据。

组件

Microsoft Entra IDaaS 体系结构由以下安全进程和组件构成。

凭据管理

凭据管理中包括的服务、策略和做法将用于颁发、跟踪和更新对资源或服务的访问权限。 Microsoft Entra 凭据管理包括以下功能:

  • 自助服务密码重置 (SSPR) 允许用户自行处理并重置自己丢失、遗忘或泄露的密码。 SSPR 不仅减少了对支持人员的呼叫,还提供了更高的用户灵活性和安全性。

  • 密码写回将在云中更改的密码实时同步到本地目录。

  • 受禁密码会分析遥测数据,公开常用的弱密码或已泄露的密码,并在整个 Microsoft Entra ID 范围内全局禁用这些密码。 可以为环境自定义此功能,并在其中添加自定义密码列表,以便在组织中禁用这些密码。

  • 智能锁定会将合法的身份验证尝试与企图以暴力破解方式获得未授权访问权限的尝试进行比较。 在默认智能锁定策略下,10 次尝试登录失败后,帐户会锁定一分钟。 如果登录尝试继续失败,帐户锁定时间将会增加。 可以使用策略来调整设置,以便为组织提供适当的安全性和可用性组合。

  • 当用户尝试访问受保护的资源时,多重身份验证 需要多种形式的身份验证。 在访问资源时,大多数用户都对使用自己已知的方式(例如密码)非常熟悉。 MFA 还会要求用户证明自己拥有某件物品(如访问某个受信任的设备),或者要求用户证明自己是谁(如生物识别标识符)。 MFA 可使用不同类型的身份验证方法,例如电话呼叫、短信或通过验证器应用发送通知

  • 无密码身份验证将身份验证工作流中的密码替换为智能手机/硬件令牌、生物识别标识符或 PIN。 Microsoft 无密码身份验证可与 Azure 资源(如 Windows Hello 企业版)和移动设备上的 Microsoft Authenticator 应用配合使用。 此外,还可通过 FIDO2 兼容的安全密钥启用无密码身份验证,该密钥使用 WebAuthnFIDO Alliance 的客户端到验证器 (CTAP) 协议

应用预配和权利

  • 权利管理是 Microsoft Entra 的标识治理功能,可帮助组织大规模管理标识和访问生命周期。 权利管理会自动执行访问请求工作流、访问分配、访问审核和访问过期的操作。

  • Microsoft Entra 预配允许在用户需要访问的应用程序中自动创建用户标识和角色。 你可以为第三方服务型软件 (SaaS) 应用(例如 SuccessFactorsWorkday更多其他应用)配置 Microsoft Entra 预配功能。

  • 无缝单一登录 (SSO) 在用户登录到其企业设备后,会自动对访问基于云的应用程序的用户进行身份验证。 可以通过密码哈希同步直通身份验证来使用 Microsoft Entra 无缝 SSO。

  • 使用 Microsoft Entra 访问评审实现证明有助于满足监视和审核要求。 访问评审允许执行一些操作,例如快速确定管理员用户的数量,确保新员工可以访问所需的资源,或者查看用户活动以确定他们是否仍需要访问权限。

条件访问策略和控制

条件访问策略是访问分配和访问控制的 if-then 语句。 通过定义对触发策略的原因(“如果这样做”)作出何种响应(“执行此操作”),可使授权引擎作出强制执行组织策略的决定。 使用 Microsoft Entra 条件访问,可以控制已授权用户访问应用的方式。 Microsoft Entra ID What If 工具有助于了解某个条件访问策略已应用或未应用的原因,或者某个策略在特定情况下是否会应用于某个用户。

条件访问控制与条件访问策略结合使用,有助于更好地执行组织策略。 通过 Microsoft Entra 条件访问控制,可以根据收到访问请求时检测到的因素来实施安全防护,而不是采用一刀切的方法。 将条件访问控制与访问条件搭配使用,可减少创建额外安全控制的需求。 举一个典型的示例,你可以允许已加入域的设备上的用户使用 SSO 访问资源,但需要对网络外或使用自己设备的用户进行 MFA。

Microsoft Entra ID 可将以下条件访问控制与条件访问策略配合使用:

风险检测

Azure 标识保护包括多个策略,这些策略可帮助组织管理对可疑用户操作的响应。 用户风险是指用户标识遭泄露的概率。 登录风险是指登录请求不是来自相应用户的概率。 Microsoft Entra ID 会基于行为分析,根据实际用户发起登录请求的概率计算登录风险评分。

  • Microsoft Entra 风险检测将使用自适应机器学习算法和启发式算法来检测与用户帐户相关的可疑操作。 检测到的每个可疑操作都存储在称为风险检测的记录中。 Microsoft Entra ID 将使用这些数据(经过 Microsoft 内部和外部威胁情报源和信号的进一步处理)计算用户风险概率和登录风险概率。

  • 可以使用 Microsoft Graph 中的标识保护风险检测 API 来公开有关风险用户和风险登录的信息。

  • 实时修正允许用户使用 SSPR 和 MFA 自行修正某些风险检测,从而解除对自己的阻止。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅可靠性设计审查检查表

Logging

Microsoft Entra 审核报告通过审核日志、登录日志以及风险登录和风险用户报告为 Azure 活动提供可跟踪性。 可基于多个参数(包括服务、类别、活动和状态)筛选和搜索日志数据。

可以将 Microsoft Entra ID 日志数据路由到终结点,例如:

此外,还可使用 Microsoft Graph 报告 API 在你自己的脚本中检索和使用 Microsoft Entra ID 日志数据。

本地方案和混合方案的注意事项

身份验证方法是在混合方案中保护组织标识的关键。 Microsoft 提供了有关在 Microsoft Entra ID 中选择混合身份验证方法的特定指导

Microsoft Defender for Identity 可以使用本地 Active Directory 信号来识别、检测和调查高级威胁、遭到入侵的标识和恶意的内部操作。 Defender for Identity 使用 UEBA 来识别内部威胁并标记风险。 即使标识已遭泄露,Defender for Identity 也可以根据异常用户行为帮助识别泄露风险。

通过与 Defender for Cloud 应用集成,Defender for Identity 得以将防护扩展到云应用。 可以使用 Defender for Cloud 应用来创建会话策略,用于保护下载中的文件。 例如,可以对特定类型用户下载的任何文件自动设置仅限查看权限。

你可以在 Microsoft Entra ID 中配置本地应用程序,以使用 Defender for Cloud Apps 进行实时监视。 Defender for Cloud Apps 使用条件访问应用控制,基于条件访问策略实时监视并控制会话。 可以将这些策略应用于 Microsoft Entra ID 中使用应用程序代理的本地应用程序。

Microsoft Entra 应用程序代理允许用户从远程客户端访问本地 Web 应用程序。 使用应用程序代理,可以在一处监视应用程序的所有登录活动。

你可以将 Defender for Identity 与 Microsoft Entra ID 保护配合使用,以帮助保护使用 Microsoft Entra Connect 同步到 Azure 的用户标识。

如果某些应用已经使用了现有的传送控制器或网络控制器来提供网络外访问,可以将它们与 Microsoft Entra ID 相集成。 多个合作伙伴(包括 AkamaiCitrixF5 NetworksZscaler)都为与 Microsoft Entra ID 进行集成提供解决方案和指导。

成本优化

成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化设计评审核对清单

Microsoft Entra 提供了从免费版到高级版 P2 的多种定价,其中免费版包括了 SSO 和 MFA 等功能,高级版 P2 包括了 PIM 和权利管理等功能。 有关定价详细信息,请参阅 Microsoft Entra 定价

后续步骤