Биз менен байланышуу

Microsoft Azure Active Directoryде Zero Trust коопсуздук моделин ишке ашыруу

тарабынан | 25-январь, 2023-жыл | Azure, коопсуздук

Кызык болсоңуз  Active Directory коопсуздугу , сиз Zero Trust модели жөнүндө уккансыз. Бүгүнкү күндө уюмдар азыркы чөйрөнүн татаалдыгына эффективдүү ыңгайлашкан, гибриддик жумуш ордун камтыган жана адамдарды, түзмөктөрдү, тиркемелерди жана маалыматтарды алар кайда болбосун коргогон жаңы коопсуздук моделине муктаж. 

Azure AD сиздин Zero Trust стратегияңыздын негизи болуп саналат

Azure AD нөлдүк ишеним стратегияңыз үчүн маанилүү функцияларды камсыз кылат. Ал күчтүү аутентификацияны, аппараттын коопсуздугун камсыз кылуу үчүн интеграциялоо пунктун жана аз артыкчылыктуу кирүү мүмкүнчүлүгүн камсыз кылуу үчүн колдонуучуга багытталган саясаттын негизин камсыз кылат. Azure AD шарттуу мүмкүнчүлүктөрү колдонуучунун иденттүүлүгүнө, айлана-чөйрөгө, түзмөктүн ден соолугуна жана тобокелдиктерге негизделген ресурстарга кирүү саясаттары үчүн чечим чекити болуп саналат. кирүү пунктунда ачык текшерилет. Кийинки бөлүмдөрдө биз Azure AD аркылуу нөлдүк ишеним стратегиясын кантип ишке ашыра аларыңызды көрсөтөбүз.

Azure AD менен инсандыгыңызды негиздеңиз

Стратегия ишеним нөл ачык тестирлөө жүргүзүүбүздү, эң аз артыкчылыктуу кирүү принциптерин колдонууну жана бузууну кабыл алышыбызды талап кылат. Azure Active Directory колдонуучунун, түзмөктүн, максаттуу ресурстун жана айлана-чөйрөнүн маалыматына негизделген мүмкүндүк алуу саясатын ишке ашыруу үчүн саясаттын чечим чекити катары иштей алат. Бул үчүн, биз Azure Active Directory'ди ар бир кирүү сурамынын жолуна коюшубуз керек, ар бир колдонуучуну жана ар бир тиркемени же ресурсту ушул инсандык башкаруу учагы аркылуу туташтыруу. Бир жолу кирүү (SSO) жана ырааттуу саясат чектөөлөрү аркылуу жакшыртылган аткаруучулук жана колдонуучу тажрыйбасынан тышкары, бардык колдонуучуларды жана колдонмолорду бириктирүү Azure AD сигналдарын аутентификация/авторизациялоо тобокелдигине байланыштуу эң жакшы чечимдерди кабыл алуу үчүн берет.

  • Колдонуучуларыңызды, топторуңузду жана түзмөктөрүңүздү туташтырыңыз:
    Кызматкерлериңиз үчүн дени сак индивидуалдык түтүктү, ошондой эле зарыл болгон коопсуздук артефакттарын (авторизациялоо үчүн топтор жана кирүү саясатын кошумча көзөмөлдөө үчүн түзмөктөр) сактоо сизге ырааттуу идентификацияларды колдонуу үчүн жакшыраак жерге коет жана колдонуучуларыңыз мурунтан эле жер-жерлерде колдонгонун көзөмөлдөйт. булутта:
    1. Уюмуңуз үчүн туура аутентификация опциясын тандоо менен баштаңыз. Биз биринчи кезекте Azure ADди колдонгон аутентификация ыкмасын колдонууну каалайбыз (сизге орой күч, DDoS жана сырсөздү чачуудан эң жакшы коргоону берүү үчүн), биздин сунуштар Сиздин уюмуңузга жана шайкештик талаптарыңызга туура келген чечимди кабыл алуу.
    2. Өзүңүз менен абдан керектүү документтерди гана ала кетиңиз. Мисалы, булутка өтүүнү жергиликтүү чөйрөдө гана мааниси бар кызмат эсептеринен алыстоо мүмкүнчүлүгү катары колдонуңуз; жергиликтүү артыкчылыктуу ролдорду калтыруу (бул тууралуу кененирээк артыкчылыктуу кирүү бөлүмүндө) ж.б.
    3. Эгерде сиздин ишканаңызда 100 000ден ашык колдонуучулар, топтор жана түзмөктөр болсо, биз сизге биздин сунушубузду аткарууну сунуштайбыз сунуштар жашоо циклиңизди жаңыртып турган жогорку натыйжалуу синхрондоштуруу кыймылдаткычын түзүү.
  • Бардык колдонмолоруңузду Azure AD менен интеграциялаңыз:
    Мурда айтылгандай, бир жолу кирүү сиздин колдонуучуларыңыз үчүн ыңгайлуулук гана эмес, коопсуздук функциясы да болуп саналат, анткени ал колдонуучуларга өздөрүнүн эсептик дайындарынын көчүрмөлөрүн ар кандай тиркемелерде калтырууга жол бербейт жана аларга ашыкча эсептик маалыматтардан баш тартуу адатынан качууга жардам берет. индукциялар. Сиздин чөйрөңүздө бир нече IAM механизмдери жок экенин текшериңиз. Бул Azure AD көргөн сигналдардын санын азайтып, чабуулчуларга эки IAM кыймылдаткычынын ортосундагы тилкеде жашоого мүмкүндүк бербестен, колдонуучунун начар тажрыйбасына жана бизнес өнөктөштөрүңүздүн стратегияңызга биринчилерден болуп шек келтиришине алып келиши мүмкүн. ишеним нөл. Azure AD колдонмонун аутентификациясынын ар кандай ыкмаларын колдойт:
    1. Заманбап ишкана колдонмолорун интеграциялоо OAuth2.0 же SAML колдогон.
    2. Kerberos жана формалардын аныктыгын текшерүү колдонмолору үчүн сиз жасай аласыз Azure AD Application Proxy аркылуу интеграциялоо .
    3. Эгер сиз эски колдонмолоруңузду Тармактар/Колдонмого Жеткирүү Контроллери аркылуу жарыяласаңыз, Azure AD интеграциялоо көпчүлүк негизгилери менен (мисалы, Citrix, Akamai, F5 ж.б.).
    4. Колдонмолоруңузду учурдагы/мурдагы IAM механизмдеринен көчүрүүгө жардам берүү үчүн биз камсыз кылабыз бир катар ресурстар , анын ичинде ADFS тиркемелерин табууга жана көчүрүүгө жардам берүүчү куралдар.
  • Колдонмону камсыздоону автоматташтыруу.
    Azure ADде колдонуучунун идентификаторлоруна ээ болгондон кийин, сиз азыр Azure ADди ошол колдонуучунун идентификациясын ар кандай булут колдонмолоруна жайылтуу үчүн колдоно аласыз. Бул бул тиркемелер боюнча иденттүүлүктүн жашоо циклин тыгызыраак интеграциялоого мүмкүндүк берет. Муну колдон деталдуу колдонмо SaaS тиркемелерине камсыздоону жайылтуу.
  • Журналдарды жана отчетторду уюштуруңуз. As Сиз Azure AD касиеттериңизди аутентификация, авторизация жана камсыздоо менен курганыңызда, каталогдо эмне болуп жаткандыгы жөнүндө ишенимдүү оперативдүү маалыматка ээ болуу маанилүү. ээрчүү бул колдонмо Azure ADден журналдарды кантип сактоону жана талдоону үйрөнүү үчүн, же Azureде же өзүңүз каалаган SIEM аркылуу.

1. Эң аз артыкчылыктарды бериңиз

Zero Trust философиясынын өзөгүн муктаж болгондорго гана керектүү учурда, туура мүмкүнчүлүк менен камсыз кылуу:

  • Жайгаштырууну пландаштырыңыз
    шарттуу кирүү. Шарттуу жетүү саясаттарын алдын ала пландаштыруу жана активдүү саясаттарга ээ болуу Жана кайра кайтаруу саясаттары нөлдүк ишенимди жайылтууда мүмкүндүк алуу саясатын ишке ашыруу үчүн негиз болуп саналат. Айланаңыздагы ишенимдүү IP даректерди конфигурациялоого убакыт бөлүңүз. Шарттуу мүмкүндүк алуу саясатыңызда аларды колдонбосоңуз да, жогоруда айтылган купуялык коркунучун билдирүү үчүн бул IP даректерди конфигурациялаңыз. Биздин текшерүү жайылтуу боюнча колдонмо Жана сунуштар каталарга чыдамдуу шарттуу жетүү саясаттары боюнча.
  • Артыкчылыктуу идентификацияны башкаруу менен коопсуз, артыкчылыктуу кирүү мүмкүнчүлүгүн камсыз кылыңыз.
    Артыкчылыктуу жетүү менен, сиз адатта акыркы колдонуучуларга маалымат керек болгон жана колдонууга мүмкүн болгон жерде жолугуу үчүн башка жолду тандайсыз. Адатта, сиз колдонуучулар артыкчылыктуу операцияларга/ролдорго жетүү үчүн колдонгон түзмөктөрдү, шарттарды жана эсептик дайындарды көзөмөлдөгүңүз келет. Биздин текшерүү деталдуу көрсөтмөлөр Артыкчылыктарыңызды кантип көзөмөлдөөнү жана аларды коргоону үйрөнүңүз. Санариптик трансформацияланган уюмда артыкчылыктуу жетүү бул жөн гана административдик жетүү эмес, ошондой эле колдонмонун ээси же иштеп чыгуучунун мүмкүнчүлүгү, ал сиздин миссия үчүн маанилүү тиркемелерди иштетүү жана берилиштерди иштетүү ыкмасын өзгөртүшү мүмкүн экенин унутпаңыз. Биздин деталдуу жолду карап көрүңүз Артыкчылыктуу иденттүүлүктөрдү коргоо үчүн Privileged Identity Management (P2) колдонуу.
  • Колдонмолорго колдонуучунун макулдугун чектөө:
    Колдонмолор үчүн колдонуучунун макулдугу - бул заманбап колдонмолордун уюштуруу ресурстарына жетүү үчүн кеңири таралган жолу. Бирок, биз сунуштайбыз колдонуучунун макулдугун чектөө жана макулдук сурамдарын башкаруу Сиздин уюмуңуздун маалыматтарынын колдонмолорго ашыкча ачыкка чыгышына жол бербөө үчүн. Бул да сизге керек дегенди билдирет уюмуңуздун ичиндеги алдын ала/бар болгон макулдукту текшерүү ашыкча же кара ниет макулдуктун болушу үчүн.
  • Укуктарды башкаруу (Azure AD Premium P2).
    Azure ADден борборлоштурулган тиркемелердин аутентификациясы жана башкаруусу менен, сиз туура адамдардын туура кирүү мүмкүнчүлүгүнө ээ болушун жана уюмуңуздагы колдонуучулардын эмне үчүн алар кирүү мүмкүнчүлүгүнө ээ болушун камсыз кылуу үчүн кирүү өтүнүчүн, бекитүү жана кайра сертификаттоо процессин тартипке келтиришиңиз керек. Укуктарды башкарууну колдонуу менен, алар ар кандай топторго/долбоорлорго кошулганда сурай ала турган кирүү пакеттерин түзүп, аларга тиешелүү ресурстарга (колдонмолор, SharePoint сайттары, топ мүчөлүгү) кирүү мүмкүнчүлүгүн дайындай аласыз. Кантип кыла аларыңызды билип алыңыз пакетти иштетүү . Укуктарды башкарууну жайылтуу уюмуңуз үчүн учурда мүмкүн болбосо, жок дегенде уюмуңузда өзүн-өзү тейлөө парадигмаларын иштетүүнү сунуштайбызөзүн-өзү тейлөө тобун башкаруу Жана колдонмолорго өзүн-өзү тейлөө мүмкүнчүлүгү.

2. Azure ADти эсептик дайындардын жана башкаруу элементтеринин бай топтомун камсыз кылыңыз

  • Azure көп факторлуу аутентификацияны (MFA) жайылтуу (P1):
    бул колдонуучунун сессиясынын коркунучун азайтуунун негизги элементи. Колдонуучулар жаңы түзмөктөрдө жана жаңы жерлерден пайда болгондо, ТИМдин чакырыгына жооп бере алуу сиздин колдонуучуларыңыз бизге булар дүйнө жүзү боюнча көчүп жүргөндө тааныш түзмөктөр/жайгашкан жерлер экенин үйрөтө ала турган эң түз жолдордун бири болуп саналат (администраторлор тарабынан талдоо жок). өзүнчө сигналдар). Муну карап көр жайылтуу боюнча колдонмо .
  • Гибриддик Azure AD кошулуусун же Azure AD кошулуусун иштетүү:
    эгер сиз колдонуучунун ноутбугун/компьютерин башкарсаңыз, бул маалыматты Azure ADге жылдырып, аны жакшыраак чечим кабыл алуу үчүн колдонуңуз. Мисалы, колдонуучу уюмуңуз башкарган компьютерден кирип жатканын билсеңиз, сиз өркүндөтүлгөн кардар маалыматтарына (компьютерде оффлайн көчүрмөлөрү бар кардарларга) уруксат бере аласыз. Эгер андай кылбасаңыз, сиз толук мүмкүнчүлүктөрү бар кардарлардын кирүү мүмкүнчүлүгүн бөгөттөп коюшуңуз мүмкүн, бул колдонуучуларыңыздын коопсуздугуңузду айланып өтүшүнө же көмүскө IT колдонуусуна алып келиши мүмкүн. Биздин ресурстарды карап көрүңүз гибрид Azure AD кошулуу же кошулуу Azure AD .
  • Күйгүзүү Microsoft Intune колдонуучуларыңыздын мобилдик түзмөктөрүн (EMS) башкаруу үчүн.
    Ошол эле ноутбуктар сыяктуу колдонуучулардын мобилдик түзүлүштөрү жөнүндө да ушуну айтууга болот. Алар жөнүндө канчалык көбүрөөк билсеңиз (патч деңгээли, джейлбрейк, root ж. Биздин текшерүү Intune түзмөгүн каттоо көрсөтмөсү, баштоо үчүн.
  • Сырсөзсүз эсеп дайындарын жайылта баштаңыз.
    Эми Azure AD FIDO 2.0 жана сырсөзсүз телефон кирүүнү колдойт, сиз колдонуучуларыңыз (өзгөчө сезимтал/артыкчылыктуу колдонуучулар) күн сайын колдонгон эсептик дайындарды өзгөртө аласыз. Бул ишеним каттары коркунучту азайта турган күчтүү аутентификация факторлору болуп саналат. Биздин колдонмодо Сырсөзсүз аутентификацияны жайылтуу сизге уюмуңузда сырсөзсүз эсептик дайындарды кантип ишке ашырууну үйрөтөт.

3. Ар дайым мыйзам бузуу болду деп ойло.

Azure ADти колдонуучуну текшерүү үчүн колдоно ала турган эсептик дайындардын жана башкаруу элементтеринин кеңири спектри менен камсыз кылыңыз.

  • Azure AD сырсөзүн коргоону жайылтыңыз.
    Колдонуучуларды ачык текшерүү үчүн башка ыкмаларды иштетип жатканыңыз менен, алсыз сырсөздөрдү, сырсөздөрдү чачуу жана чабуулдарды кайталоону унутпашыңыз керек. Оку бул блог классикалык күчтүү сырсөз саясаты эмне үчүн эң кеңири таралган сырсөз чабуулдарына туруштук бере албасын билүү. Андан кийин колдонуучулар үчүн Azure AD сырсөзүн коргоону иштетүү үчүн бул колдонмону аткарыңыз булуттун ичинде, жана андан кийин жана жергиликтуу .
  • Эски аутентификацияларды бөгөттөө.
    Чабуулчулар үчүн эң кеңири таралган чабуул векторлорунун бири - бул SMTP сыяктуу эски протоколдорго каршы уурдалган/кайра өндүрүлгөн эсептик дайындарды колдонуу, алар заманбап коопсуздук көйгөйлөрүн көтөрө албайт. Биз сизге сунуштайбыз эски аутентификацияны бөгөттөө сиздин уюмуңузда.
  • Купуялыкты коргоону иштетүү (Azure AD Premium 2).
    Купуялыкты коргоону иштетүү Сиздин колдонуучуларыңыз үчүн сеанс/колдонуучу тобокелдиги жөнүндө көбүрөөк сигнал берет. Сиз тобокелдикти иликтеп, компромиссти ырастай аласыз же сигналды четке кагасыз, бул кыймылдаткычка сиздин чөйрөңүздө коркунуч кандай болорун жакшыраак түшүнүүгө жардам берет.
  • Кирүү чечимдеринде колдонуу үчүн чектелген сессияны иштетүү .
    Мисал үчүн, Exchange Online жана SharePoint Online (P1) башкаруу элементтерин карап көрөлү: колдонуучунун тобокелдиги төмөн болсо, бирок алар белгисиз түзмөктөн киргенде, сиз аларга маанилүү ресурстарга кирүүгө уруксат бере аласыз, бирок аларды калтырган нерселерди жасоосуна жол бербеңиз. Сиздин уюм туура эмес абалда. Эми сиз Exchange Online жана SharePoint Online'ду колдонуучуга электрондук каттарды окууга же файлдарды көрүүгө, бирок аларды жүктөө же ишенимсиз түзмөккө сактоого мүмкүндүк берген чектелген сеансты сунуштоо үчүн конфигурациялай аласыз. Чектелген кирүү мүмкүнчүлүгүн кантип иштетүү боюнча биздин колдонмолорду карап чыгыңыз SharePoint Online Жана Exchange Online .
  • Microsoft Cloud App Security (MCAS) менен шарттуу мүмкүндүк интеграциясын иштетүү (E5).
    Аутентификациядан кийинки сигналдарды жана MCAS тиркемесинин прокси сурамдарын колдонуу менен, сиз SaaS тиркемелерине өтүүчү сеанстарды көзөмөлдөп, чектөөлөрдү киргизе аласыз. Биздин текшерүү MCAS жана шарттуу мүмкүндүк интеграциялоо колдонмосу жана бул кандайча мүмкүн экенин билип алыңыз жергиликтүү колдонмолорго да жайылтылат .
  • Identity Protection (E5) менен Microsoft Cloud App Security (MCAS) интеграциясын иштетүү:
    Microsoft Cloud App Security колдонуучунун жүрүм-турумун көзөмөлдөгөн UEBA продуктусу В SaaS жана заманбап колдонмолор. Бул Azure ADге сигнал жана колдонуучу аныктыгын текшерип, белги алгандан кийин эмне болгону тууралуу маалымат берет. Колдонуучунун үлгүсү шектүү көрүнө баштаса (колдонуучу OneDrive'дан гигабайттык маалыматтарды жүктөй баштаса же Exchange Online'да спам электрондук каттарын жөнөтө баштаса), анда Azure ADге эскертүү жөнөтүлүп, колдонуучу коркунучтуу же жогорку коопсуздукка дуушар болуп жаткандай сезилет. тобокелдиктер. тобокелдиктер. жана ошол колдонуучунун кийинки кирүү талабы боюнча; Azure AD колдонуучуну текшерүү же колдонуучуну бөгөттөө үчүн туура иш-аракетти жасай алат. Жөн гана MCAS мониторингин иштетүү инсандыкты коргоо сигналын байытат. Биздин текшерүү интеграциялык колдонмобаштоо.
  • Azure Advanced Threat Protection (ATP) программасын Microsoft Cloud App Security менен интеграциялаңыз.
    Azure ATP ийгиликтүү жайгаштыруу жана конфигурациялоодон кийин интеграцияны иштетүү Колдонуучу жөнүндө биз билген коркунуч сигналына жергиликтүү сигналды кошуу үчүн Microsoft Cloud App Security менен. Бул Azure ADге колдонуучу жергиликтүү, эски ресурстарга (мисалы, файл бөлүшүүлөрү) кирүү учурунда кооптуу жүрүм-турум менен алектенип жатканын билүүгө мүмкүндүк берет, бул андан кийин булуттагы андан ары кирүү мүмкүнчүлүгүн бөгөттөө үчүн колдонуучунун жалпы тобокелдигине карай эсептелиши мүмкүн. Сиз көрө аласыз бириккен артыкчылыктуу баа берүү Тобокелге дуушар болгон ар бир колдонуучу үчүн сиздин SOC кайсынысына көңүл бурушу керектиги жөнүндө толук маалымат алуу.
  • Microsoft Defender ATP (E5) иштетүү:
    Microsoft Defender ATP сизге Windows компьютерлеринин дени сак же бузулганын ырастоого жана аны иштөө убактысынын коркунучун азайтуу үчүн колдонууга мүмкүндүк берет. Доменге кошулуу сизге башкаруу сезимин берип жатканда, Defender ATP сизге зыяндуу программа чабуулуна реалдуу убакыт режиминде жооп кайтарууга мүмкүндүк берет жана бир нече колдонуучунун түзмөктөрү ишенимсиз сайттарга түшүп калганда үлгүлөрдү аныктап, түзмөктөрүңүз/колдонуучуларыңыз үчүн коркунучту жогорулатуу менен жооп берет. иштөө убактысы. Биздин жолду карап көрүңүз Defender ATP шарттуу мүмкүнчүлүгүн орнотуу .

Корутунду

Жогорудагы колдонмолор сизге ийгиликтүү Zero Trust стратегиясынын ачкычы болгон иденттүүлүк элементтерин жайылтууга жардам берет деп үмүттөнөбүз. Бул үч мыкты тажрыйба Zero Trust моделин ишке ашыруу үчүн бекем негиз түзөт. Бирок, алар нөл ишеним "жетиштүү" үчүн текшерүү тизмеси эмес экенин эске алыңыз. Чынында эле, кандайдыр бир коопсуздук моделин ишке ашыруу бир нече мыкты тажрыйбаларды кабыл алуу же бир программалык чечимди жайылтуу эмес; Тескерисинче, ал технологиялардын, процесстердин жана саясаттардын кеңири спектрин камтыган катмарлуу коопсуздук негизин түзүүнү жана IT чөйрөңүздүн, бизнесиңиздин талаптарыңыздын жана коркунучтун ландшафтынын өнүгүшүнө жараша аны тынымсыз баалоону жана өркүндөтүүнү талап кылат. Active Directory коопсуздугу сыяктуу Zero Trust модели көздөгөн жер эмес, саякат экенин унутпаңыз.

kirКыргызча
ru_RUРусский en_GBEnglish (UK) kkҚазақ тілі uz_UZO‘zbekcha kirКыргызча