Если вас интересует  безопасность Active Directory , вы, несомненно, слышали о модели Zero Trust. Современным организациям нужна новая модель безопасности, которая более эффективно адаптируется к сложности современной среды, охватывает гибридное рабочее место и защищает людей, устройства, приложения и данные, где бы они ни находились. 

Azure AD — основа вашей стратегии Zero trust

Azure AD предоставляет важные функции для вашей стратегии нулевого доверия. Он обеспечивает строгую аутентификацию, точку интеграции для обеспечения безопасности устройства и основу политик, ориентированных на пользователя, чтобы гарантировать доступ с минимальным уровнем привилегий. Возможности условного доступа Azure AD — это точка принятия решения о политике доступа к ресурсам на основе удостоверения пользователя, среды, работоспособности устройства и рисков, которые явно проверяются в точке доступа. В следующих разделах мы покажем, как можно реализовать стратегию нулевого доверия с помощью Azure AD.

Создайте основу своей идентификации с помощью Azure AD

Стратегия нулевого доверия требует, чтобы мы проводили явную проверку, использовали принципы наименее привилегированного доступа и предполагали нарушение. Azure Active Directory может выступать в качестве точки принятия решений по политике для обеспечения соблюдения политик доступа на основе сведений о пользователе, устройстве, целевом ресурсе и среде. Для этого нам нужно поместить Azure Active Directory в путь каждого запроса на доступ, соединяя каждого пользователя и каждое приложение или ресурс через эту плоскость управления идентификацией. Помимо повышения производительности и улучшения взаимодействия с пользователем благодаря единому входу (SSO) и согласованным ограничениям политик, подключение всех пользователей и приложений дает Azure AD сигнал для принятия наилучших возможных решений относительно риска аутентификации/авторизации.

  • Подключайте своих пользователей, группы и устройства:
    Поддержание работоспособного конвейера удостоверений ваших сотрудников, а также необходимых артефактов безопасности (групп для авторизации и устройств для дополнительных элементов управления политиками доступа) дает вам лучшее место для использования согласованных удостоверений и элементов управления, которые ваши пользователи уже используют локально и в облаке:
    1. Начните с выбора правильного варианта аутентификации для вашей организации. Хотя мы настоятельно предпочитаем использовать метод проверки подлинности, который в основном использует Azure AD (чтобы предоставить вам наилучшую защиту от грубой силы, DDoS и распыления пароля), следуйте нашим рекомендациям по принятию решения, подходящего для вашей организации и ваших требований к соответствию.
    2. Берите с собой только те удостоверения, которые вам абсолютно необходимы. Например, используйте переход в облако как возможность отказаться от учетных записей служб, которые имеют смысл только в локальной среде; оставить локальные привилегированные роли позади (подробнее об этом в разделе о привилегированном доступе) и т. д.
    3. Если на вашем предприятии насчитывается более 100 000 пользователей, групп и устройств, мы рекомендуем вам следовать нашим рекомендациям по созданию высокопроизводительного модуля синхронизации, который будет поддерживать актуальность вашего жизненного цикла.
  • Интегрируйте все свои приложения с Azure AD:
    как упоминалось ранее, единый вход — это не только удобная функция для ваших пользователей, но и средство безопасности, поскольку оно не позволяет пользователям оставлять копии своих учетных данных в различных приложениях и помогает им не привыкать к отказываются от своих полномочий из-за чрезмерных побуждений. Убедитесь, что в вашей среде нет нескольких механизмов IAM. Это не только уменьшает количество сигналов, которые видит Azure AD, и позволяет злоумышленникам жить в швах между двумя механизмами IAM, но также может привести к плохому взаимодействию с пользователем и к тому, что ваши деловые партнеры станут первыми, кто сомневается в вашей стратегии нулевого доверия. Azure AD поддерживает различные способы аутентификации приложений:
    1. Интегрируйте современные корпоративные приложения , поддерживающие OAuth2.0 или SAML.
    2. Для приложений проверки подлинности на основе Kerberos и форм их можно интегрировать с помощью прокси-сервера приложения Azure AD .
    3. Если вы публикуете свои устаревшие приложения с помощью сетей/контроллеров доставки приложений, Azure AD может интегрироваться с большинством основных (таких как Citrix, Akamai, F5 и т. д.).
    4. Чтобы помочь перенести ваши приложения с существующих/старых механизмов IAM, мы предоставляем ряд ресурсов , в том числе инструменты, которые помогут вам обнаружить и перенести приложения из ADFS.
  • Автоматизируйте подготовку к приложениям.
    Получив удостоверения пользователей в Azure AD, вы теперь можете использовать Azure AD для передачи этих удостоверений пользователей в различные облачные приложения. Это обеспечивает более тесную интеграцию жизненного цикла идентификации в этих приложениях. Используйте это подробное руководство для развертывания подготовки в приложениях SaaS.
  • Наведите порядок в журналах и отчетах. По мере того, как вы строите свое имущество в Azure AD с проверкой подлинности, авторизацией и подготовкой, важно иметь надежную операционную информацию о том, что происходит в каталоге. Следуйте этому руководству , чтобы узнать, как сохранять и анализировать журналы из Azure AD либо в Azure, либо с помощью выбранной системы SIEM.

1. Предоставляйте наименьшие привилегии

Предоставление нужного доступа в нужное время только тем, кто в нем нуждается, лежит в основе философии Zero Trust:

  • Спланируйте развертывание
    условного доступа. Заблаговременное планирование политик условного доступа и наличие набора активных и резервных политик — это основа применения политик доступа в развертывании с нулевым доверием. Потратьте время на настройку надежных IP-адресов в вашей среде. Даже если вы не используете их в политике условного доступа, настройте эти IP-адреса, чтобы сообщить об упомянутом выше риске защиты личных данных. Ознакомьтесь с нашим руководством по развертыванию и рекомендациями по отказоустойчивым политикам условного доступа.
  • Обеспечьте безопасный привилегированный доступ с привилегированным управлением идентификацией.
    При привилегированном доступе вы обычно выбираете другой путь для встречи с конечными пользователями там, где они, скорее всего, будут нуждаться в данных и использовать их. Обычно вы хотите контролировать устройства, условия и учетные данные, которые пользователи используют для доступа к привилегированным операциям/ролям. Ознакомьтесь с нашим подробным руководством о том, как взять под контроль свои привилегированные удостоверения и защитить их. Имейте в виду, что в организации, прошедшей цифровую трансформацию, привилегированный доступ — это не только административный доступ, но и доступ владельца или разработчика приложения, который может изменить способ запуска ваших критически важных приложений и обработки данных. Ознакомьтесь с нашим подробным руководством по использованию Privileged Identity Management (P2) для защиты привилегированных удостоверений.
  • Ограничьте согласие пользователей на приложения:
    согласие пользователя на приложения — это очень распространенный способ для современных приложений получить доступ к ресурсам организации. Тем не менее, мы рекомендуем ограничить согласие пользователей и управлять запросами согласия , чтобы предотвратить ненужное раскрытие данных вашей организации приложениям. Это также означает, что вам необходимо проверить предварительное/существующее согласие в вашей организации на наличие чрезмерного или злонамеренного согласия.
  • Управляйте правами (Azure AD Premium P2).
    Благодаря централизованной проверке подлинности приложений и управлению ими из Azure AD вам следует упростить процесс запросов на доступ, утверждения и повторной сертификации, чтобы убедиться, что нужные люди имеют правильный доступ и что у вас есть след, почему пользователи в вашей организации имеют доступ, который они имеют. Используя управление правами, вы можете создавать пакеты доступа, которые они могут запрашивать при присоединении к разным командам/проектам и назначать им доступ к связанным ресурсам (приложениям, сайтам SharePoint, членству в группах). Узнайте, как вы можете запустить пакет . Если в настоящее время развертывание управления правами невозможно для вашей организации, мы рекомендуем вам по крайней мере включить парадигмы самообслуживания в вашей организации, развернувсамообслуживание группового управления и самостоятельный доступ к приложениям.

2. Предоставьте Azure AD широкий набор учетных данных и элементов управления

  • Разверните многофакторную аутентификацию Azure (MFA) (P1):
    это основной элемент снижения риска сеанса пользователя. По мере того как пользователи появляются на новых устройствах и из новых местоположений, возможность ответить на вызов MFA — это один из самых прямых способов, с помощью которых ваши пользователи могут научить нас тому, что это знакомые устройства/местоположения, когда они перемещаются по миру (без разбора администраторами). отдельные сигналы). Ознакомьтесь с этим руководством по развертыванию .
  • Включите гибридное присоединение к Azure AD или присоединение к Azure AD:
    если вы управляете ноутбуком/компьютером пользователя, перенесите эту информацию в Azure AD и используйте ее для принятия более эффективных решений. Например, вы можете разрешить расширенный клиентский доступ к данным (клиенты, у которых есть автономные копии на компьютере), если вы знаете, что пользователь заходит с компьютера, которым управляет ваша организация. Если вы этого не сделаете, вы, скорее всего, решите заблокировать доступ от полнофункциональных клиентов, что может привести к тому, что ваши пользователи будут обходить вашу безопасность или использовать теневые ИТ. Ознакомьтесь с нашими ресурсами для гибридного присоединения к Azure AD или присоединения к Azure AD .
  • Включите Microsoft Intune для управления мобильными устройствами ваших пользователей (EMS).
    То же самое можно сказать о мобильных устройствах пользователей, таких как ноутбуки. Чем больше вы знаете о них (уровень исправления, джейлбрейк, рут и т. д.), тем больше вы можете им доверять или не доверять и обосновывать, почему вы блокируете/разрешаете доступ. Ознакомьтесь с нашим руководством по регистрации устройств Intune, чтобы приступить к работе.
  • Начните развертывание учетных данных без пароля.
    Теперь, когда Azure AD поддерживает FIDO 2.0 и вход по телефону без пароля, вы можете изменить учетные данные, которые ваши пользователи (особенно конфиденциальные/привилегированные пользователи) используют ежедневно. Эти учетные данные являются сильными факторами аутентификации, которые также могут снизить риск. В нашем руководстве по развертыванию проверки подлинности без пароля вы узнаете, как внедрить учетные данные без пароля в вашей организации.

3. Всегда предполагайте, что было нарушение

Предоставьте Azure AD широкий набор учетных данных и элементов управления, которые он может использовать для проверки пользователя.

  • Разверните защиту паролем Azure AD.
    Включив другие методы для явной проверки пользователей, вы не должны забывать о слабых паролях, распылении паролей и атаках повторного взлома. Прочитайте этот блог , чтобы узнать, почему классические политики сложных паролей не справляются с наиболее распространенными атаками на пароли. Затем следуйте этому руководству, чтобы сначала включить защиту паролем Azure AD для пользователей в облаке, а затем и локально .
  • Заблокируйте устаревшие аутентификации.
    Одним из наиболее распространенных векторов атак для злоумышленников является использование украденных/воспроизведенных учетных данных против устаревших протоколов, таких как SMTP, которые не могут справиться с современными проблемами безопасности. Мы рекомендуем вам заблокировать устаревшую аутентификацию в вашей организации.
  • Включить защиту личных данных (Azure AD Premium 2).
    Включение защиты личных данных для ваших пользователей предоставит вам более детализированный сигнал о риске сеанса/пользователя. Вы сможете исследовать риск и подтвердить компрометацию или отклонить сигнал, что поможет движку лучше понять, как выглядит риск в вашей среде.
  • Включите ограниченный сеанс для использования в решениях о доступе .
    Для иллюстрации рассмотрим элементы управления в Exchange Online и SharePoint Online (P1): когда риск пользователя невелик, но он входит в систему с неизвестного устройства, вы можете разрешить им доступ к критически важным ресурсам, но не позволяйте им делать то, что оставляет вашу организацию в несоответствующем состоянии. Теперь вы можете настроить Exchange Online и SharePoint Online, чтобы предложить пользователю ограниченный сеанс, который позволяет им читать электронные письма или просматривать файлы, но не загружать их и сохранять на ненадежном устройстве. Ознакомьтесь с нашими руководствами по включению ограниченного доступа в SharePoint Online и Exchange Online .
  • Включите интеграцию условного доступа с Microsoft Cloud App Security (MCAS) (E5).
    Используя сигналы, испускаемые после проверки подлинности, и прокси-запросы MCAS к приложению, вы сможете отслеживать сеансы, идущие к приложениям SaaS, и применять ограничения. Ознакомьтесь с нашим руководством по интеграции MCAS и условного доступа и узнайте, как это можно распространить даже на локальные приложения .
  • Включите интеграцию Microsoft Cloud App Security (MCAS) с защитой идентификации (E5):
    Microsoft Cloud App Security — это продукт UEBA, отслеживающий поведение пользователей в SaaS и современных приложениях. Это дает Azure AD сигнал и информацию о том, что произошло с пользователем после того, как он прошел проверку подлинности и получил токен. Если шаблон пользователя начинает выглядеть подозрительно (пользователь начинает загружать гигабайты данных из OneDrive или начинает рассылать спам по электронной почте в Exchange Online), то в Azure AD может быть отправлен сигнал, уведомляющий о том, что пользователь, по-видимому, скомпрометирован или подвергается высокому риску. и при следующем запросе на доступ от этого пользователя; Azure AD может предпринять правильные действия, чтобы проверить пользователя или заблокировать его. Простое включение мониторинга MCAS обогатит сигнал защиты идентификации. Ознакомьтесь с нашим руководством по интеграциидля начала.
  • Интегрируйте Azure Advanced Threat Protection (ATP) с Microsoft Cloud App Security.
    После успешного развертывания и настройки Azure ATP включите интеграцию с Microsoft Cloud App Security, чтобы включить локальный сигнал в сигнал риска, который мы знаем о пользователе. Это позволяет Azure AD узнать, что пользователь допускает рискованное поведение при доступе к локальным несовременным ресурсам (например, к файловым ресурсам), которые затем могут быть учтены в общем риске пользователя, чтобы заблокировать дальнейший доступ в облаке. Вы сможете увидеть комбинированную оценку приоритета для каждого пользователя, подверженного риску, чтобы получить целостное представление о том, на каких из них должен сосредоточиться ваш SOC.
  • Включите Microsoft Defender ATP (E5):
    Microsoft Defender ATP позволяет вам подтверждать работоспособность компьютеров Windows и подвергаться ли они компрометации и использовать это для снижения риска во время выполнения. В то время как присоединение к домену дает вам чувство контроля, Defender ATP позволяет реагировать на атаку вредоносных программ почти в реальном времени, обнаруживая закономерности, когда несколько пользовательских устройств попадают на ненадежные сайты, и реагировать, повышая риск для своих устройств/пользователей во время выполнения. Ознакомьтесь с нашим руководством по настройке условного доступа в Defender ATP .

Заключение

Мы надеемся, что приведенные выше руководства помогут вам развернуть элементы идентификации, являющиеся ключевыми для успешной стратегии «Нулевого доверия». Эти три передовых метода обеспечивают прочную основу для реализации  модели Zero Trust . Однако обратите внимание, что они не являются контрольным списком для «достижения» нулевого доверия. Действительно, внедрение любой модели безопасности — это не вопрос принятия нескольких лучших практик или развертывания одного программного решения; скорее, для этого требуется создание  многоуровневой структуры безопасности  , включающей широкий спектр технологий, процессов и политик, а также ее постоянная оценка и улучшение по мере развития вашей ИТ-среды, ваших бизнес-требований и ландшафта угроз. Помните, что модель Zero Trust, как и безопасность Active Directory, — это путь, а не пункт назначения.

ru_RUРусский