Бізбен байланысыңыз

Microsoft Azure Active Directory жүйесінде Zero Trust қауіпсіздік үлгісін енгізу

бойынша | Қан 25, 2023 ж | Лазур, қауіпсіздік

Егер сізді қызықтырса  Active Directory қауіпсіздігі , сіз Zero Trust моделі туралы естігенсіз. Бүгінгі ұйымдарға бүгінгі ортаның күрделілігіне тиімдірек бейімделетін, гибридті жұмыс орнын қамтитын және қай жерде болса да адамдарды, құрылғыларды, қолданбаларды және деректерді қорғайтын жаңа қауіпсіздік үлгісі қажет. 

Azure AD сіздің Zero сенім стратегияңыздың негізі болып табылады

Azure AD нөлдік сенім стратегиясы үшін маңызды мүмкіндіктерді қамтамасыз етеді. Ол күшті аутентификацияны, құрылғы қауіпсіздігін қамтамасыз ету үшін біріктіру нүктесін және төмен артықшылықты қолжетімділікті қамтамасыз ету үшін пайдаланушыға бағытталған саясат құрылымын қамтамасыз етеді. Azure AD шартты қол жеткізу мүмкіндіктері пайдаланушы сәйкестендіруіне, қоршаған ортаға, құрылғы денсаулығына және қауіптерге негізделген ресурстарға қатынасу саясаттары үшін шешім нүктесі болып табылады. кіру нүктесінде анық тексеріледі. Келесі бөлімдерде Azure AD көмегімен нөлдік сенім стратегиясын қалай жүзеге асыруға болатынын көрсетеміз.

Azure AD көмегімен жеке куәлікті негіздеңіз

Стратегия нөл сенім нақты тестілеуді орындауды, ең аз артықшылықты қол жеткізу принциптерін пайдалануды және бұзушылықты қабылдауды талап етеді. Azure Active Directory пайдаланушыға, құрылғыға, мақсатты ресурсқа және орта ақпаратына негізделген қатынасу саясаттарын орындау үшін саясатты шешу нүктесі ретінде әрекет ете алады. Бұл әрекетті орындау үшін, біз Azure Active Directory бағдарламасын әрбір кіру сұрауының жолына қоюымыз керек, әрбір пайдаланушыны және әрбір қолданбаны немесе ресурсты осы сәйкестендіруді басқару жоспары арқылы байланыстыру. Бір рет кіру (SSO) және дәйекті саясат шектеулері арқылы жоғары өнімділікке және жақсартылған пайдаланушы тәжірибесіне қоса, аутентификация/авторизация қаупіне қатысты мүмкін болатын ең жақсы шешімдерді қабылдау үшін барлық пайдаланушылар мен қолданбаларды қосу Azure AD сигналдарын береді.

  • Пайдаланушыларды, топтар мен құрылғыларды қосыңыз:
    Қызметкерлеріңіз үшін дұрыс сәйкестендіру құбырын, сондай-ақ қажетті қауіпсіздік артефактілерін (авторизацияға арналған топтар және қосымша қатынас саясатын басқаруға арналған құрылғылар) сақтау сізге тұрақты сәйкестіктерді пайдалану үшін жақсы орынға қояды және пайдаланушыларыңыздың жергілікті және бұрыннан пайдаланатындарын басқарады. бұлтта:
    1. Ұйымыңыз үшін дұрыс аутентификация опциясын таңдаудан бастаңыз. Біз негізінен Azure AD қолданатын аутентификация әдісін пайдаланғанды жөн көреміз (сізге дөрекі күштен, DDoS және құпия сөзді бүркуден ең жақсы қорғауды қамтамасыз ету үшін), біздің нұсқауларды орындаңыз. ұсыныстар ұйымыңызға және сәйкестік талаптарыңызға сәйкес шешім қабылдау.
    2. Өзіңізбен бірге өте қажет құжаттарды ғана алыңыз. Мысалы, бұлтқа көшуді тек жергілікті ортада мағынасы бар қызмет тіркелгілерінен кету мүмкіндігі ретінде пайдаланыңыз; жергілікті артықшылықты рөлдерді қалдырыңыз (бұл туралы артықшылықты қол жеткізу бөлімінде толығырақ) және т.б.
    3. Егер сіздің кәсіпорыныңызда 100 000-нан астам пайдаланушылар, топтар және құрылғылар болса, біз сізге мынаны орындауды ұсынамыз ұсыныстар өмірлік цикліңізді жаңартып отыратын жоғары өнімді синхрондау механизмін жасау үшін.
  • Барлық қолданбаларды Azure AD бағдарламасымен біріктіріңіз:
    Жоғарыда айтылғандай, бір реттік жүйеге кіру пайдаланушыларыңыз үшін ыңғайлы мүмкіндік ғана емес, сонымен қатар қауіпсіздік мүмкіндігі болып табылады, себебі ол пайдаланушылардың әртүрлі қолданбаларда тіркелгі деректерінің көшірмелерін қалдыруына жол бермейді және оларға шамадан тыс тіркелгі деректерінен бас тарту әдетінен аулақ болуға көмектеседі. индукциялар. Ортаңызда бірнеше IAM механизмдері жоқ екеніне көз жеткізіңіз. Бұл Azure AD көретін сигналдардың санын азайтып қана қоймайды және шабуылдаушыларға екі IAM қозғалтқышы арасындағы тігістерде өмір сүруге мүмкіндік береді, сонымен қатар пайдаланушы тәжірибесінің нашарлауына және сіздің бизнес серіктестеріңіздің стратегияңызға бірінші болып күмәндануына әкелуі мүмкін. нөл сенім. Azure AD әртүрлі қолданба аутентификация әдістерін қолдайды:
    1. Қазіргі заманғы кәсіпорын қолданбаларын біріктіру OAuth2.0 немесе SAML қолдайтын.
    2. Kerberos және пішіндердің аутентификация қолданбалары үшін мүмкін болады Azure AD қолданбасының прокси арқылы біріктіру .
    3. Желілер/қолданбаны жеткізу контроллері арқылы бұрынғы қолданбаларды жарияласаңыз, Azure AD біріктіру ең негізгілерімен (мысалы, Citrix, Akamai, F5 және т.б.).
    4. Қолданбаларды бар/бұрынғы IAM механизмдерінен тасымалдауға көмектесу үшін біз қамтамасыз етеміз бірқатар ресурстар , соның ішінде ADFS қолданбаларын табуға және тасымалдауға көмектесетін құралдар.
  • Қолданбаны қамтамасыз етуді автоматтандыру.
    Azure AD жүйесінде пайдаланушы идентификациялары болғаннан кейін, сол пайдаланушы идентификацияларын әртүрлі бұлттық қолданбаларға тарату үшін Azure AD пайдалана аласыз. Бұл осы қолданбалар бойынша сәйкестендірудің өмірлік циклін неғұрлым тығыз біріктіруге мүмкіндік береді. Мынаны пайдаланыңыз егжей-тегжейлі нұсқаулық SaaS қолданбаларына дайындауды қолдану.
  • Журналдар мен есептерді реттеңіз. ретінде Түпнұсқалық растау, авторизация және қамтамасыз ету арқылы Azure AD сипаттарын құрастырған кезде, каталогта не болып жатқаны туралы сенімді операциялық ақпараттың болуы маңызды. Бақылаңыз осы нұсқаулық Azure AD жүйесінен журналдарды Azure жүйесінде немесе таңдаған SIEM көмегімен сақтау және талдау жолын үйрену.

1. Ең аз артықшылықты қамтамасыз етіңіз

Zero Trust философиясының негізіне тек қажет адамдарға қажетті уақытта дұрыс қол жеткізуді қамтамасыз ету:

  • Орналастыруды жоспарлаңыз
    шартты қол жеткізу. Шартты қол жеткізу саясаттарын алдын ала жоспарлау және белсенді саясаттардың жиынтығы болуы Және резервтік саясаттар нөлдік сенімді орналастыруда қатынасу саясаттарын қолданудың негізі болып табылады. Ортаңызда сенімді IP мекенжайларын конфигурациялауға уақыт бөліңіз. Шартты қол жеткізу саясатында оларды пайдаланбасаңыз да, жоғарыда аталған құпиялылық қаупін хабарлау үшін осы IP мекенжайларын конфигурациялаңыз. Біздің орналастыру нұсқаулығы Және ұсыныстар қатеге төзімді шартты қатынас саясаттарында.
  • Артықшылықты сәйкестендіруді басқару арқылы қауіпсіз, артықшылықты қолжетімділікті қамтамасыз етіңіз.
    Артықшылықты рұқсатпен сіз әдетте соңғы пайдаланушыларды деректерді қажет ететін және пайдаланатын жерде кездестіру үшін басқа жолды таңдайсыз. Әдетте, пайдаланушылар артықшылықты әрекеттерге/рөлдерге қол жеткізу үшін пайдаланатын құрылғыларды, шарттарды және тіркелгі деректерін басқарғыңыз келеді. Біздің егжей-тегжейлі нұсқаулар Артықшылықты жеке куәліктеріңізді басқаруды және оларды қорғауды үйреніңіз. Сандық түрлендірілген ұйымда артықшылықты қатынас тек әкімшілік қатынас емес, сонымен қатар маңызды қолданбалардың іске қосылуы мен деректердің өңделу жолын өзгерте алатын қолданба иесі немесе әзірлеуші қатынасы екенін есте сақтаңыз. Біздің егжей-тегжейлі нұсқаулықты қараңыз Артықшылықты сәйкестіктерді қорғау үшін Артықшылықты идентификацияны басқаруды (P2) пайдалану.
  • Қолданбаларға пайдаланушы келісімін шектеу:
    Қолданбаларға пайдаланушының келісімі қазіргі қолданбалардың ұйымдық ресурстарға қол жеткізуінің өте кең таралған тәсілі болып табылады. Дегенмен, біз ұсынамыз пайдаланушы келісімін шектеу және келісім сұрауларын басқару ұйым деректерінің қолданбаларға қажетсіз ашылуын болдырмау. Бұл да сізге қажет дегенді білдіреді ұйымыңыздағы бұрынғы/бар келісімді тексеріңіз шамадан тыс немесе зиянды келісімнің болуы үшін.
  • Құқықтарды басқару (Azure AD Premium P2).
    Azure AD қолданбасының орталықтандырылған аутентификациясы мен басқаруымен дұрыс адамдардың дұрыс қатынасқа ие болуын және ұйымыңыздағы пайдаланушылардың неліктен рұқсаты бар екеніне көз жеткізу үшін рұқсат сұрауын, бекітуді және қайта сертификаттау процесін оңтайландыру керек. Құқықтарды басқаруды пайдалана отырып, олар әртүрлі топтарға/жобаларға қосылғанда сұрай алатын қатынас пакеттерін жасай аласыз және оларға қатысты ресурстарға (қолданбалар, SharePoint сайттары, топ мүшеліктері) қатынасты тағайындай аласыз. Қалай алатыныңызды біліңіз буманы іске қосыңыз . Ұйымыңыз үшін құқықтарды басқаруды қолдану қазіргі уақытта мүмкін болмаса, кем дегенде ұйымыңызда өзіне-өзі қызмет көрсету парадигмаларын қолдану арқылы қосуды ұсынамыз.өзіне-өзі қызмет көрсету тобын басқару Және қолданбаларға өздігінен қызмет көрсету мүмкіндігі.

2. Azure AD жүйесін тіркелгі деректері мен басқару элементтерінің бай жиынымен қамтамасыз етіңіз

  • Azure көп факторлы аутентификацияны (MFA) қолдану (P1):
    бұл пайдаланушы сеансының қаупін азайтудың негізгі элементі. Пайдаланушылар жаңа құрылғыларда және жаңа орындардан пайда болған кезде, СІМ сұрағына жауап бере алу - сіздің пайдаланушыларыңыз бізге олар әлем бойынша қозғалатын кезде таныс құрылғылар/орындар екенін үйретудің ең тікелей әдістерінің бірі болып табылады (әкімшілер тарапынан талдаусыз). бөлек сигналдар). Мынаны көр орналастыру нұсқаулығы .
  • Гибридті Azure AD қосылуын немесе Azure AD қосылуын қосыңыз:
    пайдаланушының ноутбугін/компьютерін басқарсаңыз, бұл ақпаратты Azure AD жүйесіне жылжытыңыз және оны жақсырақ шешімдер қабылдау үшін пайдаланыңыз. Мысалы, егер пайдаланушы ұйымыңыз басқаратын компьютерден жүйеге кіріп жатқанын білсеңіз, кеңейтілген клиент деректеріне (компьютерде желіден тыс көшірмелері бар клиенттерге) рұқсат бере аласыз. Олай етпесеңіз, пайдаланушылардың қауіпсіздігіңізді айналып өтуіне немесе көлеңкелі АТ пайдалануға әкелуі мүмкін толық мүмкіндіктері бар клиенттерден кіруді бұғаттауды таңдауыңыз мүмкін. Біздің ресурстарымызды тексеріңіз гибридті Azure AD қосылуы немесе қосылу Azure AD .
  • Қосу Microsoft Intune пайдаланушылардың мобильді құрылғыларын (EMS) басқару үшін.
    Ноутбуктар сияқты пайдаланушылардың мобильді құрылғылары туралы да солай айтуға болады. Олар туралы неғұрлым көбірек білсеңіз (патч деңгейі, джейлбрейк, түбірлік және т.б.), соғұрлым оларға сенуге немесе сенбеуге және кіруге неліктен блоктау/рұқсат етуді негіздеуге болады. Біздің Intune құрылғысын тіркеу нұсқаулығы, бастау үшін.
  • Құпиясөзсіз тіркелгі деректерін қолдануды бастаңыз.
    Енді Azure AD FIDO 2.0 және құпия сөзсіз телефон арқылы кіруді қолдайтындықтан, пайдаланушыларыңыз (әсіресе сезімтал/артықшылықты пайдаланушылар) күнделікті пайдаланатын тіркелгі деректерін өзгерте аласыз. Бұл тіркелгі деректері тәуекелді азайтатын күшті аутентификация факторлары болып табылады. Біздің нұсқаулықта Құпия сөзсіз аутентификацияны қолдану ұйымыңызда құпия сөзсіз тіркелгі деректерін енгізу жолын үйретеді.

3. Әрқашан бұзушылық болды деп есептеңіз.

Azure AD пайдаланушыны тексеру үшін пайдалана алатын тіркелгі деректері мен басқару элементтерінің кең ауқымын қамтамасыз етіңіз.

  • Azure AD құпия сөзін қорғауды қолданыңыз.
    Пайдаланушыларды нақты тексерудің басқа әдістерін қосқанда, әлсіз құпия сөздерді, құпия сөзді бүркуді және қайталау шабуылдарын ұмытпау керек. Оқы осы блог Классикалық күшті құпия сөз саясаттары ең көп таралған құпия сөз шабуылдарын жеңе алмайтынын білу. Содан кейін пайдаланушылар үшін алдымен Azure AD құпия сөзін қорғауды қосу үшін осы нұсқаулықты орындаңыз бұлтта, сосын және жергілікті .
  • Бұрынғы аутентификацияларды блоктау.
    Шабуылдаушыларға арналған ең көп тараған шабуыл векторларының бірі қазіргі қауіпсіздік мәселелеріне төтеп бере алмайтын SMTP сияқты бұрынғы протоколдарға қарсы ұрланған/қайта жасалған тіркелгі деректерін пайдалану болып табылады. Біз сізге ұсынамыз бұрынғы аутентификацияны блоктау сіздің ұйымыңызда.
  • Құпиялықты қорғауды қосыңыз (Azure AD Premium 2).
    Құпиялықты қорғауды қосыңыз сіздің пайдаланушыларыңыз үшін сеанс/пайдаланушы тәуекелі туралы нақтырақ сигнал береді. Сіз тәуекелді зерттей аласыз және ымыраға келуді растай аласыз немесе сигналды қабылдамайсыз, бұл қозғалтқышқа сіздің ортаңызда тәуекелдің қалай көрінетінін жақсы түсінуге көмектеседі.
  • Қол жеткізу шешімдерінде пайдалану үшін шектелген сеансты қосыңыз .
    Көрнекілік үшін Exchange Online және SharePoint Online (P1) бағдарламаларындағы басқару элементтерін қарастырыңыз: пайдаланушы тәуекелі төмен болса, бірақ олар белгісіз құрылғыдан жүйеге кірсе, оларға маңызды ресурстарға кіруге рұқсат бере аласыз, бірақ қалдыратын әрекеттерге рұқсат бермеңіз. ұйымыңыз дұрыс емес жағдайда. Енді Exchange Online және SharePoint Online қолданбаларын пайдаланушыға электрондық хаттарды оқуға немесе файлдарды көруге, бірақ оларды жүктеп алуға немесе сенімсіз құрылғыға сақтамауға мүмкіндік беретін шектеулі сеансты ұсыну үшін теңшеуге болады. Шектеулі кіруді қалай қосу керектігі туралы нұсқаулықтарымызды қараңыз SharePoint Online Және Exchange Online .
  • Microsoft Cloud App Security (MCAS) (E5) көмегімен шартты кіру интеграциясын қосыңыз.
    Аутентификациядан кейінгі сигналдар мен MCAS қолданбасының прокси сұрауларын пайдалану арқылы SaaS қолданбаларына баратын сеанстарды бақылауға және шектеулерді орындауға болады. Біздің MCAS және шартты қол жеткізуді біріктіру нұсқаулығы және бұл қалай мүмкін екенін табыңыз тіпті жергілікті қолданбаларға да таралады .
  • Identity Protection (E5) көмегімен Microsoft Cloud App Security (MCAS) интеграциясын қосыңыз:
    Microsoft Cloud App Security — пайдаланушы әрекетін бақылайтын UEBA өнімі В SaaS және заманауи қолданбалар. Бұл Azure AD жүйесіне сигналды және пайдаланушының аутентификациясынан және таңбалауышты алғаннан кейін не болғаны туралы ақпаратты береді. Егер пайдаланушы үлгісі күдікті болып көрінсе (пайдаланушы OneDrive жүйесінен гигабайттық деректерді жүктеп ала бастаса немесе Exchange Online жүйесінде спам электрондық пошталарын жібере бастаса), пайдаланушының қауіп төнгенін немесе жоғары қауіпсіздікке ұшырағанын хабарлайтын ескертуді Azure AD жүйесіне жіберуге болады. тәуекелдер. тәуекел. және сол пайдаланушының келесі рұқсат сұрауы бойынша; Azure AD пайдаланушыны тексеру немесе пайдаланушыны блоктау үшін дұрыс әрекетті жасай алады. Жай ғана MCAS мониторингін қосу сәйкестендіруді қорғау сигналын байытады. Біздің интеграциялық нұсқаулықалдымен.
  • Azure Advanced Threat Protection (ATP) бағдарламасын Microsoft Cloud App Security бағдарламасымен біріктіріңіз.
    Azure ATP сәтті орналастыру және конфигурациялаудан кейін интеграциялауға мүмкіндік береді жергілікті сигналды пайдаланушы туралы білетін қауіп сигналына қосу үшін Microsoft Cloud App Security көмегімен. Бұл Azure AD қолданбасына жергілікті, ескірген ресурстарға (файл бөлісулері сияқты) қатынасу кезінде пайдаланушы қауіпті әрекетке баратынын білуге мүмкіндік береді, бұл кейін бұлтқа одан әрі кіруді бұғаттау үшін пайдаланушының жалпы тәуекелі ретінде есептелуі мүмкін. Сіз көре аласыз біріктірілген басымдықты бағалау тәуекелге ұшыраған әрбір пайдаланушы үшін сіздің SOC қайсысына назар аудару керектігі туралы тұтас көзқарас алу үшін.
  • Microsoft Defender ATP (E5) қосыңыз:
    Microsoft Defender ATP бағдарламасы Windows компьютерлерінің сау немесе бұзылғанын растауға мүмкіндік береді және оны орындалу қаупін азайту үшін пайдаланыңыз. Доменге қосылу сізге бақылау сезімін береді, ал Defender ATP бірнеше пайдаланушы құрылғылары сенімсіз сайттарға түскен кездегі үлгілерді анықтау арқылы зиянды бағдарлама шабуылына жақын арада жауап беруге және келесі мекенжайдағы құрылғыларға/пайдаланушыларға қауіпті арттыру арқылы жауап беруге мүмкіндік береді. орындалу уақыты. Біздің нұсқаулықты қараңыз Defender ATP жүйесінде шартты қатынасты орнату .

Қорытынды

Жоғарыдағы нұсқаулықтар сәтті Zero Trust стратегиясының кілті болып табылатын сәйкестендіру элементтерін орналастыруға көмектеседі деп үміттенеміз. Осы үш үздік тәжірибе Zero Trust үлгісін енгізу үшін берік негіз береді. Дегенмен, олар нөлдік сенімге «жетуге» арналған бақылау тізімі емес екенін ескеріңіз. Шынында да, қауіпсіздіктің кез келген үлгісін енгізу бірнеше ең жақсы тәжірибені қабылдау немесе бір бағдарламалық шешімді қолдану мәселесі емес; керісінше, ол кең ауқымды технологияларды, процестерді және саясаттарды қамтитын деңгейлі қауіпсіздік негізін құруды және АТ ортаңыздың, бизнес талаптарыңыздың және қауіп ландшафтының дамуы кезінде оны үнемі бағалауды және жетілдіруді талап етеді. Active Directory қауіпсіздігі сияқты Zero Trust үлгісі тағайындау емес, саяхат екенін есте сақтаңыз.

kkҚазақ тілі
ru_RUРусский en_GBEnglish (UK) kirКыргызча uz_UZO‘zbekcha kkҚазақ тілі