Biz bilan bog'lanish

Microsoft Azure Active Directory-da Zero Trust xavfsizlik modelini joriy qilish

tomonidan | 2023 yil 25 yanvar | Azure, xavfsizlik

Agar qiziqsangiz  Active Directory xavfsizligi , siz, shubhasiz, Zero Trust modeli haqida eshitgansiz. Bugungi tashkilotlar bugungi muhitning murakkabligiga yanada samaraliroq moslashuvchi, gibrid ish joyini qamrab oluvchi va odamlarni, qurilmalarni, ilovalarni va maʼlumotlarni qaerda boʻlishidan qatʼiy nazar himoya qiladigan yangi xavfsizlik modeliga muhtoj. 

Azure AD sizning Nol ishonch strategiyangizning asosidir

Azure AD nol ishonch strategiyangiz uchun muhim xususiyatlarni taqdim etadi. U kuchli autentifikatsiyani, qurilma xavfsizligini ta'minlash uchun integratsiya nuqtasini va past imtiyozli kirishni ta'minlash uchun foydalanuvchiga yo'naltirilgan siyosat tizimini taqdim etadi. Azure AD shartli kirish imkoniyatlari foydalanuvchi identifikatori, atrof-muhit, qurilma salomatligi va xavflarga asoslangan manbalarga kirish siyosati uchun qaror nuqtasidir. kirish nuqtasida aniq tekshiriladi. Keyingi bo'limlarda biz sizga Azure AD yordamida nol ishonch strategiyasini qanday amalga oshirishingiz mumkinligini ko'rsatamiz.

Azure AD yordamida identifikatoringizni asoslang

Strategiya nol ishonch bizdan aniq test o'tkazishimizni, eng kam imtiyozli kirish tamoyillaridan foydalanishimizni va buzilishni qabul qilishimizni talab qiladi. Azure Active Directory foydalanuvchi, qurilma, maqsadli resurs va atrof-muhit ma'lumotlariga asoslangan kirish siyosatini qo'llash uchun siyosat qaror nuqtasi sifatida harakat qilishi mumkin. Buning uchun biz Azure Active Directory-ni har bir kirish so'rovi yo'liga qo'yishimiz kerak, har bir foydalanuvchi va har bir ilova yoki manbani ushbu identifikatsiyani boshqarish tekisligi orqali ulash. Yagona tizimga kirish (SSO) va izchil siyosat cheklovlari orqali ish unumdorligini oshirish va foydalanuvchi tajribasini yaxshilashdan tashqari, barcha foydalanuvchilar va ilovalarni ulash Azure AD ga autentifikatsiya/avtorizatsiya xavfi bo‘yicha mumkin bo‘lgan eng yaxshi qarorlarni qabul qilish uchun signal beradi.

  • Foydalanuvchilar, guruhlar va qurilmalarni ulang:
    Sizning xodimlaringiz uchun sog'lom identifikatsiya quvurini, shuningdek, zarur xavfsizlik artefaktlarini (avtorizatsiya uchun guruhlar va qo'shimcha kirish siyosatini boshqarish uchun qurilmalar) saqlash sizni izchil identifikatorlardan foydalanish uchun yaxshiroq joyga qo'yadi va foydalanuvchilaringiz allaqachon mahalliy va bulutda:
    1. Tashkilotingiz uchun to'g'ri autentifikatsiya variantini tanlash bilan boshlang. Biz asosan Azure AD dan foydalanadigan autentifikatsiya usulidan foydalanishni qat'iy afzal ko'rsak ham (sizni qo'pol kuch, DDoS va parol purkashdan eng yaxshi himoya qilish uchun), bizning tavsiyalar tashkilotingiz va muvofiqlik talablaringiz uchun to'g'ri bo'lgan qarorni qabul qilish.
    2. O'zingiz bilan faqat sizga kerak bo'lgan hujjatlarni oling. Masalan, bulutga o'tishdan faqat mahalliy muhitda mantiqiy bo'lgan xizmat hisoblaridan uzoqlashish imkoniyati sifatida foydalaning; mahalliy imtiyozli rollarni ortda qoldiring (imtiyozli kirish bo'limida bu haqda batafsilroq) va hokazo.
    3. Agar korxonangizda 100 000 dan ortiq foydalanuvchilar, guruhlar va qurilmalar mavjud bo'lsa, biz sizga rioya qilishingizni tavsiya qilamiz tavsiyalar hayot siklingizni yangilab turadigan yuqori samarali sinxronizatsiya mexanizmini yaratish.
  • Azure AD bilan barcha ilovalaringizni integratsiyalash:
    Yuqorida aytib o'tilganidek, bir martalik tizimga kirish nafaqat foydalanuvchilaringiz uchun qulaylik, balki xavfsizlik xususiyati hamdir, chunki u foydalanuvchilarning turli ilovalarda o'z hisob ma'lumotlari nusxalarini qoldirishiga yo'l qo'ymaydi va ularga haddan tashqari ko'p sabablar tufayli o'z hisob ma'lumotlaridan voz kechish odatidan qochishga yordam beradi. induktsiyalar. Atrofingizda bir nechta IAM mexanizmlari mavjud emasligiga ishonch hosil qiling. Bu nafaqat Azure AD ko‘radigan signallar sonini kamaytiradi va tajovuzkorlarga ikkita IAM dvigateli o‘rtasida yashashga imkon beradi, balki foydalanuvchi tajribasining yomonlashishiga va biznes hamkorlaringiz strategiyangizga birinchi bo‘lib shubha tug‘dirishiga olib keladi. nol ishonch. Azure AD turli xil ilovalarni autentifikatsiya qilish usullarini qo'llab-quvvatlaydi:
    1. Zamonaviy korporativ ilovalarni integratsiyalash OAuth2.0 yoki SAML-ni qo'llab-quvvatlaydi.
    2. Kerberos va shakllar autentifikatsiya ilovalari uchun siz mumkin Azure AD ilovasi proksi-serveri yordamida integratsiyalash .
    3. Agar eski ilovalaringizni tarmoqlar/ilovalarni yetkazib berish nazoratchilari yordamida nashr qilsangiz, Azure AD integratsiyalash eng asosiylari bilan (masalan, Citrix, Akamai, F5 va boshqalar).
    4. Ilovalaringizni mavjud/eski IAM mexanizmlaridan koʻchirishga yordam berish uchun biz taqdim etamiz bir qator resurslar , shu jumladan ADFS’dan ilovalarni topish va ko‘chirishga yordam beradigan vositalar.
  • Ilovalarni tayyorlashni avtomatlashtirish.
    Azure AD’da foydalanuvchi identifikatorlariga ega bo‘lganingizdan so‘ng, endi Azure AD’dan ushbu foydalanuvchi identifikatorlarini turli bulut ilovalariga tarqatish uchun foydalanishingiz mumkin. Bu ushbu ilovalar bo'ylab identifikatsiyaning hayot aylanishini yanada qattiqroq integratsiya qilish imkonini beradi. Buni ishlating batafsil qo'llanma SaaS ilovalariga ta'minotni o'rnatish uchun.
  • Jurnal va hisobotlaringizni tartibga soling. Sifatida Azure AD xossalaringizni autentifikatsiya, avtorizatsiya va taʼminlash bilan qurayotganingizda, katalogda nima sodir boʻlayotgani haqida ishonchli operatsion maʼlumotlarga ega boʻlish muhimdir. Kuzatish ushbu qo'llanma Azure-da yoki oʻzingiz tanlagan SIEM-dan foydalanib, Azure AD jurnallarini saqlash va tahlil qilishni oʻrganish.

1. Eng kam imtiyozlarni taqdim eting

Zero Trust falsafasining asosi:

  • Joylashtirishni rejalashtiring
    shartli kirish. Shartli kirish siyosatlarini oldindan rejalashtirish va faol bo'lganlar to'plamiga ega bo'lish Va qayta tiklash siyosatlari nol ishonchni joylashtirishda kirish siyosatini qo'llash uchun asosdir. Atrofingizdagi ishonchli IP manzillarni sozlash uchun vaqt ajrating. Shartli kirish siyosatida ulardan foydalanmasangiz ham, yuqorida aytib o'tilgan maxfiylik xavfini bildirish uchun ushbu IP manzillarni sozlang. Bizning joylashtirish bo'yicha qo'llanma Va tavsiyalar nosozliklarga chidamli shartli kirish siyosati bo'yicha.
  • Imtiyozli identifikatsiyani boshqarish bilan xavfsiz, imtiyozli kirishni ta'minlang.
    Imtiyozli kirish bilan siz oxirgi foydalanuvchilar bilan uchrashish uchun odatda boshqa yo'lni bosib o'tasiz, ular ma'lumotlarga muhtoj bo'lishlari va ulardan foydalanishlari mumkin. Odatda, siz foydalanuvchilar imtiyozli operatsiyalar/rollarga kirish uchun foydalanadigan qurilmalar, shartlar va hisobga olish ma'lumotlarini boshqarishni xohlaysiz. Bizning batafsil ko'rsatmalar Imtiyozli identifikatorlaringizni qanday nazorat qilishni va ularni himoya qilishni o'rganing. Shuni yodda tutingki, raqamli o'zgartirilgan tashkilotda imtiyozli kirish nafaqat ma'muriy kirish, balki muhim ilovalarning ishlashi va ma'lumotlarga ishlov berish usulini o'zgartirishi mumkin bo'lgan dastur egasi yoki ishlab chiquvchiga kirish huquqidir. Bizning batafsil qo'llanmamizni ko'rib chiqing Imtiyozli identifikatorlarni himoya qilish uchun Privileged Identity Management (P2) dan foydalanish.
  • Ilovalarga foydalanuvchi roziligini cheklash:
    Ilovalar uchun foydalanuvchi roziligi zamonaviy ilovalar uchun tashkilot resurslariga kirishning juda keng tarqalgan usuli hisoblanadi. Biroq, biz tavsiya qilamiz foydalanuvchi roziligini cheklash va rozilik so'rovlarini boshqarish tashkilotingiz ma'lumotlarining ilovalarga keraksiz oshkor etilishini oldini olish. Bu sizga kerak degan ma'noni ham anglatadi tashkilotingizdagi oldingi/mavjud rozilikni tekshiring haddan tashqari yoki yomon niyatli rozilik mavjudligi uchun.
  • Huquqlarni boshqarish (Azure AD Premium P2).
    Azure AD’dan markazlashtirilgan ilovalarni autentifikatsiya qilish va boshqarish bilan siz to‘g‘ri odamlarning to‘g‘ri kirish huquqiga ega bo‘lishini va tashkilotingizdagi foydalanuvchilar nima uchun ularga kirish huquqiga ega ekanligi haqida iz borligini ta’minlash uchun kirish so‘rovi, tasdiqlash va qayta sertifikatlash jarayonini soddalashtirishingiz kerak. Huquqlarni boshqarishdan foydalanib, ular turli jamoalar/loyihalarga qo'shilishda so'rashi mumkin bo'lgan kirish paketlarini yaratishingiz va ularga tegishli resurslarga (ilovalar, SharePoint saytlari, guruh a'zolari) kirishni belgilashingiz mumkin. Qanday qilib qila olishingizni bilib oling paketni ishga tushiring . Agar hozirda tashkilotingiz uchun huquqlarni boshqarishni joriy qilish imkoni boʻlmasa, hech boʻlmaganda tashkilotingizda oʻz-oʻziga xizmat koʻrsatish paradigmalarini ishga tushirishni tavsiya qilamiz.o'z-o'ziga xizmat guruhini boshqarish Va ilovalarga o'z-o'ziga xizmat ko'rsatish imkoniyati.

2. Azure ADni hisobga olish maʼlumotlari va boshqaruv elementlarining boy toʻplami bilan taʼminlang

  • Azure ko'p faktorli autentifikatsiyani (MFA) o'rnatish (P1):
    bu foydalanuvchi sessiyasi xavfini kamaytirishning asosiy elementidir. Foydalanuvchilar yangi qurilmalarda va yangi joylardan paydo bo'lganligi sababli, TIV topshirig'iga javob bera olish sizning foydalanuvchilaringiz bizga dunyo bo'ylab harakatlanayotganda tanish qurilmalar/joylar ekanligini o'rgatishining eng to'g'ridan-to'g'ri usullaridan biridir (administratorlar tomonidan tahlil qilinmasdan). alohida signallar). Tekshirib ko'r joylashtirish bo'yicha qo'llanma .
  • Gibrid Azure AD qo‘shilishini yoki Azure AD qo‘shilishini yoqing:
    agar siz foydalanuvchining noutbukini/kompyuterini boshqarsangiz, ushbu ma'lumotni Azure AD-ga ko'chiring va undan yaxshiroq qarorlar qabul qilish uchun foydalaning. Masalan, agar foydalanuvchi tashkilotingiz tomonidan boshqariladigan kompyuterdan tizimga kirayotganini bilsangiz, kengaytirilgan mijoz ma'lumotlariga (kompyuterda oflayn nusxalari bo'lgan mijozlarga) ruxsat berishingiz mumkin. Aks holda, siz toʻliq xususiyatli mijozlardan kirishni bloklashni tanlashingiz mumkin, bu sizning foydalanuvchilaringiz xavfsizligingizni chetlab oʻtishi yoki soyali IT-dan foydalanishiga olib kelishi mumkin. Bizning resurslarimizni ko'rib chiqing gibrid Azure AD qo'shilishi yoki qo'shilish Azure AD .
  • Yoqish; ishga tushirish Microsoft Intune foydalanuvchilarning mobil qurilmalarini (EMS) boshqarish uchun.
    Xuddi shu narsani foydalanuvchilarning noutbuklar kabi mobil qurilmalari haqida ham aytish mumkin. Ular haqida qanchalik ko'p bilsangiz (yamoq darajasi, jailbreak, root va boshqalar), shunchalik ko'p ularga ishonishingiz yoki ishonmasligingiz va nima uchun kirishni bloklash/ruxsat berishingizni oqlashingiz mumkin. Bizning Intune qurilmasini ro'yxatdan o'tkazish bo'yicha qo'llanma, boshlash uchun.
  • Parolsiz hisobga olish ma'lumotlarini o'rnatishni boshlang.
    Endi Azure AD FIDO 2.0 va parolsiz telefon orqali tizimga kirishni qo‘llab-quvvatlaydi, siz foydalanuvchilaringiz (ayniqsa, sezgir/imtiyozli foydalanuvchilar) har kuni foydalanadigan hisob ma’lumotlarini o‘zgartirishingiz mumkin. Ushbu hisobga olish ma'lumotlari kuchli autentifikatsiya omillari bo'lib, ular ham xavfni kamaytiradi. Bizning qo'llanmamizda Parolsiz autentifikatsiyani o'rnatish sizga tashkilotingizda parolsiz hisobga olish ma'lumotlarini qanday joriy qilishni o'rgatadi.

3. Har doim qoidabuzarlik bo'lgan deb hisoblang.

Azure AD-ni foydalanuvchini tekshirish uchun foydalanishi mumkin bo'lgan keng doiradagi hisob ma'lumotlari va boshqaruv elementlari bilan ta'minlang.

  • Azure AD parol himoyasini o'rnating.
    Foydalanuvchilarni aniq tekshirish uchun boshqa usullarni yoqsangiz ham, zaif parollar, parol purkash va takroriy hujumlar haqida unutmasligingiz kerak. O'qing bu blog klassik kuchli parol siyosati nima uchun eng keng tarqalgan parol hujumlariga dosh bera olmasligini o'rganish. Keyin foydalanuvchilar uchun Azure AD parol himoyasini yoqish uchun ushbu qoʻllanmani bajaring bulutda, undan keyin va mahalliy .
  • Eski autentifikatsiyalarni bloklash.
    Buzg'unchilar uchun eng keng tarqalgan hujum vektorlaridan biri bu o'g'irlangan/qayta ishlab chiqarilgan hisob ma'lumotlaridan zamonaviy xavfsizlik muammolariga dosh bera olmaydigan SMTP kabi eski protokollarga qarshi foydalanishdir. Sizga tavsiya qilamiz eski autentifikatsiyani bloklash tashkilotingizda.
  • Maxfiylik himoyasini yoqing (Azure AD Premium 2).
    Maxfiylik himoyasini yoqing foydalanuvchilaringiz uchun seans/foydalanuvchi xavfi haqida batafsilroq signal beradi. Siz xavfni tekshirishingiz va murosani tasdiqlashingiz yoki signalni rad etishingiz mumkin, bu dvigatelga sizning muhitingizda xavf qanday ko'rinishini yaxshiroq tushunishga yordam beradi.
  • Kirish qarorlarida foydalanish uchun cheklangan seansni yoqing .
    Misol uchun, Exchange Online va SharePoint Online (P1) boshqaruv elementlarini ko‘rib chiqing: agar foydalanuvchi xavf darajasi past bo‘lsa, lekin u noma’lum qurilmadan tizimga kirsa, siz ularga muhim resurslarga kirishiga ruxsat berishingiz mumkin, lekin ularni tark etadigan narsalarni qilishiga yo‘l qo‘ymang. tashkilotingiz nomaqbul holatda. Endi siz Exchange Online va SharePoint Online’ni foydalanuvchiga elektron pochta xabarlarini o‘qish yoki fayllarni ko‘rish, lekin ularni yuklab olish yoki ishonchsiz qurilmaga saqlamaslik imkonini beruvchi cheklangan seansni taklif qilish uchun sozlashingiz mumkin. Cheklangan kirishni qanday yoqish bo'yicha ko'rsatmalarimizni ko'rib chiqing SharePoint Online Va Onlayn almashinuv .
  • Microsoft Cloud App Security (MCAS) (E5) bilan shartli kirish integratsiyasini yoqing.
    Autentifikatsiyadan keyingi signallar va MCAS ilovasi proksi-server soʻrovlaridan foydalanib, SaaS ilovalariga oʻtadigan seanslarni kuzatishingiz va cheklovlarni amalga oshirishingiz mumkin. Bizning MCAS va shartli kirish integratsiyasi bo'yicha qo'llanma va qanday qilib bu mumkinligini bilib oling hatto mahalliy ilovalarga ham taalluqli .
  • Identity Protection (E5) bilan Microsoft Cloud App Security (MCAS) integratsiyasini yoqing:
    Microsoft Cloud App Security bu foydalanuvchi xatti-harakatlarini kuzatib boradigan UEBA mahsulotidir V SaaS va zamonaviy ilovalar. Bu Azure AD ga signal va foydalanuvchi autentifikatsiya qilinganidan va token olganidan keyin nima sodir boʻlganligi haqida maʼlumot beradi. Agar foydalanuvchining namunasi shubhali ko‘rinsa (foydalanuvchi OneDrive’dan gigabaytlik ma’lumotlarni yuklab olishni boshlasa yoki Exchange Online’da spam xatlarini jo‘natishni boshlasa), Azure AD’ga foydalanuvchi xavf ostida yoki yuqori darajadagi xavfsizlikka duchor bo‘lganligi haqida ogohlantirish yuborilishi mumkin. xavf. xavf. va ushbu foydalanuvchining keyingi kirish so'rovi bo'yicha; Azure AD foydalanuvchini tekshirish yoki foydalanuvchini bloklash uchun toʻgʻri harakat qilishi mumkin. Shunchaki MCAS monitoringini yoqish identifikatorni himoya qilish signalini boyitadi. Bizning integratsiya bo'yicha qo'llanmaboshlanishiga.
  • Azure Advanced Threat Protection (ATP) ni Microsoft Cloud App Security bilan integratsiyalash.
    Azure ATP-ni muvaffaqiyatli joylashtirish va sozlashdan so'ng integratsiyani yoqish foydalanuvchi haqida biladigan xavf signaliga mahalliy signalni kiritish uchun Microsoft Cloud App Security bilan. Bu Azure AD-ga foydalanuvchi mahalliy, eskirgan resurslarga (masalan, fayl almashish) kirishda xavfli xatti-harakatlar qilayotganini bilish imkonini beradi, bu esa keyinchalik bulutga keyingi kirishni blokirovka qilish uchun foydalanuvchining umumiy xavfiga qarab hisoblanishi mumkin. Siz ko'rishingiz mumkin bo'ladi kombinatsiyalangan ustuvor baholash xavf ostida bo'lgan har bir foydalanuvchi uchun SOC qaysi biriga e'tibor qaratish kerakligi haqida yaxlit ko'rinishga ega bo'lish.
  • Microsoft Defender ATP (E5) ni yoqing:
    Microsoft Defender ATP sizga Windows kompyuterlarining sog'lom yoki buzilganligini tasdiqlash imkonini beradi va undan ish vaqti xavfini kamaytirish uchun foydalaning. Domenga qo‘shilish sizga nazorat tuyg‘usini berishi bilan birga, Defender ATP sizga bir nechta foydalanuvchi qurilmalari ishonchsiz saytlarga kirishi va qurilmangiz/foydalanuvchilaringiz uchun xavfni oshirish orqali javob berish orqali deyarli real vaqtda zararli dastur hujumiga javob berish imkonini beradi. ish vaqti. Bizning qo'llanmamiz bilan tanishib chiqing Defender ATP da shartli kirishni sozlash .

Xulosa

Umid qilamizki, yuqoridagi qo'llanmalar muvaffaqiyatli Zero Trust strategiyasining kaliti bo'lgan identifikatsiya elementlarini o'rnatishga yordam beradi. Ushbu uchta eng yaxshi amaliyot Zero Trust modelini amalga oshirish uchun mustahkam poydevor yaratadi. Biroq, unutmangki, ular ishonchni "qo'lga kiritish" uchun nazorat ro'yxati emas. Haqiqatan ham, har qanday xavfsizlik modelini amalga oshirish bir nechta ilg'or amaliyotlarni qabul qilish yoki bitta dasturiy yechimni qo'llash masalasi emas; aksincha, keng ko‘lamli texnologiyalar, jarayonlar va siyosatlarni o‘z ichiga olgan qatlamli xavfsizlik tizimini yaratish hamda IT muhitingiz, biznes talablaringiz va tahdidlar landshafti rivojlanishi bilan uni doimiy ravishda baholash va takomillashtirishni talab qiladi. Esda tutingki, Zero Trust modeli, Active Directory xavfsizligi kabi, maqsad emas, sayohatdir.

uz_UZO‘zbekcha
ru_RUРусский en_GBEnglish (UK) kkҚазақ тілі kirКыргызча uz_UZO‘zbekcha