說明身分識別中的稽核

  • 3 分鐘

您必須了解身分識別解決方案中稽核的價值和用途。 稽核提供一個方式,讓系統管理員偵測已發生或在進行中的攻擊。 此外,稽核是合規性的一項工具,並可追蹤身分識別執行的動作。 此外,稽核可協助開發人員偵錯安全性相關的問題。 例如,如果授權設定中的錯誤或檢查原則意外拒絕獲授權使用者的存取,則開發人員可以透過檢查事件記錄檔來快速探索並找出此錯誤的原因。

從登入到密碼變更,到多重要素驗證的設定和使用方式的每個活動,都可加以記錄、報告及監視。 這些記錄會為身分識別系統管理員提供資源,以檢閱身分識別和存取解決方案的執行情況。 狀況良好的稽核做法可保護您的身分識別安全,進而保護您的資料和解決方案安全。 您針對稽核要注意的一些不同記錄包括 Microsoft Entra 活動記錄、登入記錄、佈建記錄和稽核記錄。 您可以使用從 Azure 監視器到 Microsoft Sentinel 的數個工具來報告和監視。

了解控管的概念

Merriam-Webster 字典指出控管是監督系統控制與指示的動作或程序。 該系統可能是政府、預算或 Azure 上的身分識別解決方案。 控管具有既有的程序和控制,可同時操作系統,以及評估系統上所執行項目的責任。 建置解決方案,然後遺忘永遠不夠。 您必須監視其執行、定期更新程序、移除或取代過時的功能等等。 如果您沒有這麼做,系統會慢慢降級並失敗。 控管與您在 Azure 上建置的身分識別管理解決方案相同。 您必須隨著時間監視、評估及更新系統。

案例 簡單但可能發生的故事
Juan 是應用程式開發人員 您有名為 Juan 的使用者。 Juan 在您的公司內有帳戶,任職多年。 在那段期間,使用者具有系統管理員存取權,可部署 Juan 協助建置的應用程式。 後來,Juan 善意離職,但該使用者帳戶未曾從系統中移除。 Juan 的經理忘記提交書面資料來關閉帳戶。 缺少既有的控管系統,而無法發現該帳戶閒置,而且 Juan 不再列於 HR 系統中。 一年後,Juan 成為網路釣魚電子郵件的受害者,其個人使用者名稱和密碼遭竊。 就像許多人一樣,Juan 的個人生活和公司帳戶使用相似的密碼。 您看,您現在就有一個案例,其中您的系統可能會遭到顯示為有效的帳戶入侵。

為何需要控管? 在此案例中,控管可在許多不同的領域提供協助:

  • 定期向 HR 查詢,以查看所有帳戶是否仍以員工身分存在於 HR 資料庫中。
  • 檢查帳戶上次登入的時間。
  • 檢查帳戶是否需要目前擁有的所有權限。
  • 檢查以確保密碼會定期變更;或者最好是讓員工使用 MFA。
  • 以及其他許多方式。

了解身分識別生命週期管理的概念

身分識別生命週期管理是身分識別控管的基礎,而大規模有效控管需要將應用程式的身分識別生命週期管理基礎結構現代化。 身分識別生命週期管理旨在自動化和管理整個數位身分識別生命週期程序。

管理數位身分識別是一項複雜的工作。 您必須將真實世界物件相互關聯,例如人員及其與組織的關係。 將使用者視為組織的員工,並具有數位標記法。 在小型組織中,保留需要身分識別的個人數位標記法可以是手動程序。 當雇用某個人員或外包人員抵達時,IT 專員可以在目錄中為其建立帳戶。 然後,他們會獲指派所需的存取權。 不過,在中型和大型組織中,自動化可以讓組織進行調整。 自動化可讓 IT 保持該身分識別正確。

在組織中建立身分識別生命週期管理的一般程序會遵循這些步驟:

  1. 是否已經有記錄系統:組織視為權威的資料來源。 例如,組織可能有 HR 系統。 該系統有權提供目前的員工清單以及員工的部分屬性,例如員工的名稱或部門。
  2. 將記錄系統與應用程式所使用的一或多個目錄和資料庫比較,並解決目錄與記錄系統之間的任何不一致。
  3. 判斷可以使用哪些程序來為訪客提供權威資訊。 有必要尋找一個替代方式,來判斷何時不再需要訪客的數位身分識別。

身分識別生命週期管理策略

您必須為員工或具有組織關係的其他個人規劃身分識別生命週期管理。 對於每個外包人員或學生,許多組織會建立「加入、移動和離開」程序的模型。 加入、移動和離開的定義如下:

  • 加入 - 當個人進入需要存取權的範圍時,這些應用程式需要身分識別,所以如果尚未有新的數位身分識別,則可能需要加以建立。
  • 調動 - 當個人在界限之間調動時,則需要額外的存取授權,才能對其數位身分識別新增或移除。
  • 離開 - 當個人離開需要存取權的範圍時,可能需要移除存取權,而用於稽核或鑑識目的以外的應用程式可能不再需要身分識別。

比方說,如果有新員工加入您的組織,而且之前從未與組織建立關聯,則該員工會需要新的數位身分識別 (在 Microsoft Entra ID 中以使用者帳戶表示)。 建立此帳戶會進入「加入」程序,其可能會自動化。 之後,如果組織有員工從銷售部門調動到行銷部門,其就會落在「調動」程序。 「移動」需要移除使用者在銷售組織中不再需要的存取權限。 然後,授與他們現在所需的行銷組織中的權限。

監視工具

一律考量零信任:明確驗證 - 使用最低權限存取 - 假設缺口

監控服務:

  • Azure 監視器
  • Application Insights
  • Azure 服務健康狀態
  • Azure 資源健康狀態
  • Azure 資源管理
  • Azure 原則