讲解标识中的审核
需要了解标识解决方案中审核的价值和用途。 审核为管理员提供了一种检测已经发生或正在发生的攻击的方式。 此外,审核是一种符合性工具,它跟踪何种标识执行了何种操作。 此外,审核有助于开发人员调试与安全相关的问题。 例如,如果授权或检查策略配置中的错误意外拒绝授权用户进行访问,开发人员可以通过检查事件日志迅速发现并隔离此错误的原因。
可以记录、报告和监视每个活动,从登录到密码更改到多重身份验证的配置和使用。 这些日志为标识管理员提供了资源来查看标识和访问解决方案的运行方式。 良好执行审核可保护标识安全,进而保护数据和解决方案安全。 要留意的一些待审核日志包括 Microsoft Entra 活动日志、登录日志、预配日志和审核日志。 可以使用从 Azure Monitor 到 Microsoft Sentinel 的多个工具来报告和监视。
了解治理概念
韦氏词典说,治理是监督系统的控制和方向的行为或过程。 系统可以是政府、预算或 Azure 上的标识解决方案。 治理有流程和控制措施,既可以运行系统,又可以评估系统可理解的运行。 构建解决方案然后就不管了是远远不够的。 需要监视其运行、定期更新流程、删除或替换过时的功能等。 否则,系统会慢慢降级并发生故障。 治理与在 Azure 上构建的标识管理解决方案相同。 必须随时间推移监视、评估和更新系统。
| 方案 | 简单但可能的故事 |
|---|---|
| 应用开发人员 Juan | 你有个用户叫 Juan。 Juan 在你的公司中有个用了几年的帐户。 在此期间,用户获得了管理员访问权限来部署 Juan 帮助构建的应用程序。 后来 Juan 受尊重地离开了公司:但是,该用户帐户未从系统中删除。 Juan 的经理忘记提交文件来关闭该帐户。 没有治理系统来留意到帐户未使用,而 Juan 也不再列在 HR 系统中。 一年后,Juan 成为钓鱼电子邮件的受害者,并且他的个人用户名和密码遭到盗用。 和许多人一样,Juan 为个人生活帐户和工作帐户使用了类似的密码。 猜怎么着,现在系统可能被看似有效的帐户闯入。 |
为何需要治理? 这种情况下,治理可在许多不同的方面提供帮助:
- 定期与 HR 核查,了解 HR 数据库所有帐户使用者是否仍属员工。
- 检查上次帐户登录的时间。
- 检查帐户是否需要当前拥有的所有权限。
- 检查以确保密码定期更改;或者员工使用 MFA 更好。
- 以及许多其他方法。
了解标识生命周期管理的概念
标识生命周期管理是 Identity Governance 的基石,大规模的有效监管需要将应用程序的标识生命周期管理基础结构现代化。 标识生命周期管理的目的是对整个数字标识生命周期进程进行自动化和管理。
管理数字标识是一项复杂的任务。 必须关联真实对象(如人)及其与组织的关系。 假设用户作为组织员工,且具有数字表示形式。 在小型组织中,保留需要标识的个人的数字表示形式可以采用手动操作。 当雇用某人或立约人来到时,IT 专家可以在目录中为其创建帐户。 然后向他们分配所需的访问权限。 但在中型和大型组织中,自动化可让组织进行缩放。 自动化使 IT 能够使标识保持准确。
在组织中建立标识生命周期管理的典型过程遵循以下步骤:
- 是否已经存在组织将其视为权威的记录系统:数据源。 例如,组织可能有 HR 系统。 该系统在提供当前的员工列表及其某些属性(如姓名或部门)方面具有权威性。
- 将该系统记录与应用程序使用的一个或多个目录和数据库进行比较,并解决目录和记录系统之间的任何不一致问题。
- 确定可以使用哪些流程为访客提供权威信息。 需要找到另一种方法来确定何时不再需要访问者的数字标识。
标识生命周期管理策略
必须为员工或具有组织关系的其他个人规划标识生命周期管理。 对于每个立约人或学生,许多组织都建立“加入、移动和离开”流程的模型。 加入、移动和离开的定义如下:
- 加入 - 当个人需要访问权限时,这些应用程序需要标识,如果此人还没有标识,则可能需要创建一个新的数字标识。
- 移动 - 当个人在边界之间移动时,需要向其数字标识添加额外的访问授权或从中删除访问授权。
- 离开 - 当个人不需要访问权限时,可能需要删除访问权限,并且除了审计或取证目的之外,应用程序可能不再需要标识。
例如,如果新员工加入了组织,并且他/她之前从未加入过,则该员工需要一个新的数字标识,以 Microsoft Entra ID 中的用户帐户表示。 创建此帐户属于“加入”环节,此过程是可以自动化的。 之后,如果组织中的某员工有职位变动,比如从销售部转到市场营销部,这就是“移动”过程。 “移动”要求删除该用户在销售部门中拥有的访问权限,他/她不再需要这些权限。 然后,授予他们现在在营销部门需要的权限。
监视工具
始终考虑零信任:明确地验证 - 使用最小特权访问权限 - 假设违反
监视服务:
- Azure Monitor
- Application Insights
- Azure 服务运行状况
- Azure 资源运行状况
- Azure 资源管理器
- Azure Policy