Лучшие практики безопасности управления удостоверениями и контролем доступа в Azure

В этой статье мы обсудим коллекцию рекомендаций по управлению удостоверениями и управлению доступом Azure. Эти рекомендации основаны на нашем опыте работы с Microsoft Entra ID и опыте таких же клиентов, как вы.

Эта статья соответствует модели безопасности microsoft "Никому не доверяй", которая рассматривает удостоверение как основной периметр безопасности и требует явной проверки для каждого запроса доступа. Инструкции по управлению безопасностью с применением Политика Azure см. в разделе Microsoft Cloud Security Benchmark версии 2 — Управление удостоверениями.

Эта статья о лучших практиках безопасности управления идентификацией и контроля доступа Azure основана на консенсусном мнении, а также возможностях платформы Azure и наборах функций, существующих на момент написания этой статьи.

Цель этой статьи — предоставить общий план для более надежного положения безопасности после развертывания, согласно нашему контрольному списку "5 шагов по защите инфраструктуры удостоверений", которые проводят вас через некоторые из наших основных функций и услуг.

Мнения и технологии изменяются со временем, и эта статья будет обновлена регулярно, чтобы отразить эти изменения.

Рассмотренные в этой статье лучшие практики безопасности управления удостоверениями и доступом в Azure включают:

• Рассматривать удостоверение как основной периметр безопасности
• Централизация управления идентификацией
• Управление подключенными клиентами
• Включение единого входа
• Включение условного доступа
• Планирование стандартных улучшений безопасности
• Включение управления паролями
• Принудительное применение многофакторной проверки для пользователей
• Используйте управление доступом на основе ролей
• Более низкая уязвимость привилегированных учетных записей
• Управляйте местоположениями, где находятся ресурсы
• Использование Microsoft Entra ID для проверки подлинности хранилища

Рассматривать удостоверение как основной периметр безопасности

Многие считают удостоверение основным периметром безопасности. Это сдвиг от традиционного фокуса на сетевой безопасности. Периметры сети становятся более пористыми, и защита периметра не может быть столь эффективной, как до всплеска устройств BYOD и облачных приложений.

Microsoft Entra ID — это решение Azure для управления удостоверениями и доступом. Microsoft Entra ID — это облачная мультитенантная служба управления каталогами и удостоверениями от Microsoft. Это решение объединяет в себе базовые службы каталогов, управление доступом к приложению и защиту идентификации.

В следующих разделах приведены рекомендации по обеспечению безопасности идентификации и доступа с помощью Microsoft Entra ID.

• Сосредоточьте средства управления безопасностью и обнаружение угроз на удостоверениях пользователей и служб.. Используйте Microsoft Entra ID для объединения средств управления и удостоверений.

Централизация управления идентификацией

В сценарии гибридной идентификации мы рекомендуем интегрировать ваши локальные и облачные каталоги. Интеграция позволяет ИТ-группе управлять учетными записями из одного расположения независимо от того, где создается учетная запись. Интеграция также помогает пользователям работать эффективнее, предоставляя общее удостоверение для доступа как к облачным, так и к локальным ресурсам.

• Создайте один экземпляр Microsoft Entra. Согласованность и единый авторитетный источник повышают ясность и снижают риски безопасности от человеческих ошибок и сложности конфигурации.: укажите один Microsoft Entra каталог в качестве авторитетного источника для корпоративных и организационных учетных записей.

• Интегрируйте ваши локальные каталоги с помощью Microsoft Entra ID.: Используйте Microsoft Entra Connect для синхронизации вашего локального каталога с вашим облачным каталогом.

• Не синхронизируйте учетные записи с Microsoft Entra ID, которые имеют высокие привилегии в вашем существующем экземпляре Active Directory. Конфигурация Microsoft Entra Connect по умолчанию исключает только встроенную учетную запись администратора (RID 500). Чтобы защитить другие высоко привилегированные учетные записи, такие как администраторы домена и администраторы предприятия, используйте фильтрацию на основе подразделений или фильтрацию на основе атрибутов , чтобы исключить их из синхронизации. Эта конфигурация снижает риск того, что злоумышленники переходит от облака к локальным ресурсам (что может привести к крупному инциденту).

• Включите синхронизацию хэша паролей.: Синхронизация хэша паролей используется для передачи хэшей паролей пользователей из локального экземпляра Active Directory в облачный экземпляр Microsoft Entra. Эта синхронизация помогает защитить от утечки учетных данных, воспроизводимых из предыдущих атак.

Даже если вы решите использовать федерацию с службы федерации Active Directory (AD FS) (AD FS) или другими поставщиками удостоверений, вы можете опционально настроить синхронизацию хэша паролей в качестве резервной копии в случае сбоя или временной недоступности ваших локальных серверов. Эта синхронизация позволяет пользователям входить в службу с помощью того же пароля, который они используют для входа в локальный экземпляр Active Directory. Кроме того, защита идентификации позволяет обнаруживать скомпрометированные учетные данные, сравнивая синхронизированные хэши паролей с паролями, известными как скомпрометированные, если пользователь использовал тот же адрес электронной почты и пароль в других службах, которые не подключены к Microsoft Entra ID.

Для получения дополнительной информации см. Реализация синхронизации хэширования паролей с Microsoft Entra Connect Sync.

• Для нового разработки приложений используйте Microsoft Entra ID для аутентификации.: воспользуйтесь правильными функциями для обеспечения аутентификации.

  • Microsoft Entra ID для сотрудников
  • Microsoft Entra B2B для гостевых пользователей и внешних партнеров
  • Внешняя идентификация Microsoft Entra для управления способом регистрации, входа и управления профилями клиентов при использовании приложений

Организации, которые не интегрируют локальное удостоверение с облачным удостоверением, могут иметь больше накладных расходов на управление учетными записями. В этом случае увеличивается вероятность возникновения ошибок и брешей в системе безопасности.

Управление подключенными клиентами

Ваша организация безопасности нуждается в видимости для оценки риска и определения того, выполняются ли политики вашей организации, а также любые нормативные требования. Необходимо убедиться, что ваша организация безопасности имеет доступ ко всем подпискам, подключенным к производственной среде и сети (через Azure ExpressRoute или VPN между сайтами. Глобальный администратор в Microsoft Entra ID может повысить доступ к роли администратора доступа пользователей и иметь возможность просматривать все подписки и управляемые группы, подключенные к вашей среде.

Обратитесь к документации по повышению уровня доступа для управления всеми подписками и группами управления Azure, чтобы гарантировать, что вы и ваша группа безопасности можете просматривать все подписки или группы управления, подключенные к вашей среде. После оценки рисков необходимо удалить этот повышенный доступ.

Включение единого входа

В мобильном, облачном мире вы хотите включить единый вход (SSO) на устройства, приложения и службы из любого места, чтобы пользователи могли работать в любом месте. При наличии нескольких решений для управления удостоверениями это становится проблемой администрирования не только для ИТ-специалистов, но и для пользователей, которые должны запоминать несколько паролей.

Используя одну и ту же систему удостоверения личности для всех ваших приложений и ресурсов, вы можете реализовать SSO. И пользователи могут использовать один и тот же набор учетных данных для входа и доступа к нужным ресурсам, независимо от того, находятся ли ресурсы в локальной среде или в облаке.

• Enable SSO.: Microsoft Entra ID расширяет возможности локального Active Directory для работы в облаке. Пользователи могут использовать свою основную рабочую или учебную учетную запись для устройств, подключенных к домену, ресурсов компании и всех веб-приложений и приложений SaaS, которые им необходимы для выполнения рабочих задач. Пользователям не нужно запоминать несколько наборов имен пользователей и паролей, а их доступ к приложению может быть автоматически подготовлен (или отменен) на основе членства в группах организации и их статуса в качестве сотрудника. И вы можете управлять доступом к галерейным приложениям или собственным локальным приложениям, которые вы разработали и опубликовали через Microsoft Entra application proxy.

Используйте единый вход, чтобы пользователи могли получать доступ к приложениям SaaS на основе своей рабочей или учебной учетной записи в Microsoft Entra ID. Это применимо не только для приложений Microsoft SaaS, но и для других приложений, таких как Google Apps и Salesforce. Приложение можно настроить для использования Microsoft Entra ID в качестве поставщика удостоверений на основе SAML. В качестве элемента управления безопасностью Microsoft Entra ID не выдает маркер, который позволяет пользователям входить в приложение, если им не предоставлен доступ через Microsoft Entra ID. Вы можете предоставить доступ напрямую или через группу, в которую входят пользователи.

Организации, которые не создают общее удостоверение, чтобы установить единый вход для своих пользователей и приложений, более подвержены сценариям, в которых у пользователей есть несколько паролей. Эти сценарии повышают вероятность повторного использования паролей пользователей или использования слабых паролей.

Включение условного доступа

Пользователи могут получить доступ к ресурсам вашей организации с помощью различных устройств и приложений из любого места. Как ИТ-администратор, вы хотите, чтобы эти устройства соответствовали стандартам безопасности и соответствия требованиям. Уже недостаточно просто сосредоточиться на том, кто может получить доступ к ресурсу.

Чтобы установить баланс между безопасностью и производительностью, перед выбором решения по управлению доступом необходимо подумать о способе доступа к ресурсам. С помощью условного доступа Microsoft Entra, вы можете решить это требование. Благодаря условному доступу вы можете внедрять автоматизированные решения управления доступом на основе условий доступа к облачным приложениям.

• Управление и контроль доступа к корпоративным ресурсам.: Настройка общих политик условного доступа Microsoft Entra на основе групп, расположения и конфиденциальности приложений для SaaS-приложений и подключенных приложений Microsoft Entra ID.

• Блокировать устаревшие протоколы проверки подлинности. Злоумышленники используют слабые места в старых протоколах каждый день, особенно для атак спрея паролей. Настройте условный доступ для блокировки устаревших протоколов.

Планирование стандартных улучшений безопасности

Безопасность всегда развивается, и важно создать в облачной платформе и системе управления удостоверениями способ регулярно демонстрировать развитие и находить новые методы для защиты вашей среды.

Оценка безопасности удостоверений — это набор рекомендуемых средств управления безопасностью, которые корпорация Майкрософт публикует, чтобы предоставить вам числовую оценку для объективной оценки состояния безопасности и помочь спланировать будущие улучшения безопасности. Вы также можете просмотреть свою оценку по сравнению с оценками в других отраслях, а также сравнительную динамику во времени.

• Планируйте регулярные проверки безопасности и улучшения на основе передовых практик в вашей отрасли. Используйте функцию Identity Secure Score для ранжирования улучшений с течением времени.

Включение управления паролями

Если у вас несколько клиентов или вы хотите разрешить пользователям сбрасывать свои пароли, важно использовать соответствующие политики безопасности для предотвращения злоупотреблений.

• Настройте самослужебное восстановление пароля (SSPR) для ваших пользователей: используйте функцию самослужебного восстановления пароля Microsoft Entra ID.

• Отслеживайте, как именно или используется ли SSPR.: Следите за пользователями, которые регистрируются, используя отчет о регистрации на сброс пароля в Microsoft Entra ID Password Reset Registration Activity. Функция создания отчетов, которая Microsoft Entra ID предоставляет, помогает ответить на вопросы с помощью предварительно созданных отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.

• Расширьте облачные политики паролей для вашей локальной инфраструктуры.: Улучшите политики паролей в организации, выполняя те же проверки при изменении локальных паролей, что и при изменении облачных паролей. Установите Microsoft Entra защиту паролей для локальных агентов Windows Server Active Directory, чтобы расширить списки запрещенных паролей в существующей инфраструктуре. Пользователи и администраторы, которые изменяют, задают или сбрасывают пароли в локальной среде, должны соответствовать той же политике паролей, что и пользователи только в облаке.

Принудительное применение многофакторной проверки для пользователей

Рекомендуется требовать многофакторную проверку подлинности (MFA) для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).

• Отдайте приоритет стойким к фишингу методам аутентификации MFA, таким как ключи безопасности FIDO2, ключи доступа, Windows Hello для бизнеса и аутентификация на основе сертификатов.: Методы аутентификации, устойчивые к фишингу, предоставляют наиболее надежную защиту от сложных атак. Эти методы используют аппаратные криптографические ключи, которые не могут перехватывать или воспроизводиться злоумышленниками. Корпорация Майкрософт рекомендует развертывать устойчивую к фишингу многофакторную аутентификацию как базовый стандарт для обеспечения безопасности идентификационных данных. Инструкции см. в разделе "Планирование фишинго-устойчивого развертывания проверки подлинности без пароля".

Существует несколько вариантов для многофакторной проверки подлинности. Лучший вариант зависит от целей, выпуска Microsoft Entra, который вы используете, и программы лицензирования. Узнайте , как требовать двухфакторную проверку подлинности для пользователя , чтобы определить оптимальный вариант. Дополнительные сведения о лицензиях и ценах см. на страницах с информацией о ценах на Microsoft Entra ID и Microsoft Entra многофакторную аутентификацию.

Ниже приведены варианты и преимущества включения многофакторной проверки подлинности:

Option 1: Включите MFA для всех пользователей и методов входа с настройками безопасности Microsoft Entra по умолчанию.
Преимущество. Этот параметр позволяет легко и быстро применять MFA для всех пользователей в вашей среде с строгой политикой:

• запрос административных учетных записей и административных механизмов входа;
• Требовать вызов многофакторной аутентификации (MFA) через Microsoft Authenticator для всех пользователей
• ограничение использования устаревших протоколов проверки подлинности.

Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. Дополнительную информацию можно найти в документе Параметры безопасности по умолчанию Microsoft Entra

Вариант 2.Включение многофакторной проверки подлинности путем изменения состояния пользователя.
Преимущество. Это традиционный метод применения двухфакторной проверки подлинности. Он работает как с Microsoft Entra многофакторной проверкой подлинности в облаке, так и с Azure сервером многофакторной идентификации. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.

Чтобы определить, где требуется включить многофакторную проверку подлинности, см. раздел Какая версия многофакторной аутентификации Microsoft Entra подходит для моей организации?

Вариант 3.Включение многофакторной проверки подлинности с помощью политики условного доступа.
Преимущество. Этот параметр позволяет запрашивать двухфакторную проверку в определенных условиях с помощью условного доступа. Специфическими условиями могут быть вход пользователей из разных местоположений, с ненадежных устройств или приложений, которые вы считаете рискованными. Определение конкретных условий, в которых следует требовать двухэтапную проверку, позволяет избежать постоянных обращений к пользователю, что может быть неприятным опытом.

Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для Microsoft Entra многофакторной проверки подлинности в облаке и является премиум-функцией Microsoft Entra ID. Дополнительные сведения об этом методе можно найти в развертывании основанной на облаке многофакторной аутентификации Microsoft Entra.

Вариант 4. Включение многофакторной проверки подлинности с помощью политик условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот параметр позволяет:

• Выявите потенциальные уязвимости, которые могут повлиять на идентичности вашей организации.
• Настройте автоматические ответы на выявленные подозрительные действия, связанные с идентификацией вашей организации.
• анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Этот метод использует оценку риска Защита Microsoft Entra ID для определения необходимости двухфакторной проверки подлинности на основе риска входа для всех облачных приложений. Для этого метода требуется лицензия Microsoft Entra ID P2. Дополнительные сведения об этом методе можно найти в Защита Microsoft Entra ID.

• Перенос сервисных учетных записей, основанных на пользователях, на удостоверения рабочих нагрузок.. Некоторые клиенты используют учетные записи пользователей в Microsoft Entra ID в качестве сервисных учетных записей для автоматизации. При обязательном применении MFA важно перенести эти учетные записи служб на основе пользователей на безопасные облачные учетные записи служб с удостоверениями рабочей нагрузки. Удостоверения рабочей нагрузки, такие как управляемые удостоверения и служебные главные компоненты, предназначены для сценариев автоматизации и не требуют многофакторной аутентификации, что обеспечивает более безопасное и управляемое решение. Рекомендации по миграции см. в статье Вход в Azure с управляемым удостоверением через Azure CLI и Вход в Azure PowerShell в неинтерактивном режиме для автоматизированных сценариев.

Организации, которые не добавляют дополнительные уровни защиты идентификации, такие как многофакторная проверка подлинности, более подвержены атаке кражи учетных данных. Атаки такого типа могут привести к компрометации данных.

Используйте управление доступом на основе ролей

Управление доступом к облачным ресурсам крайне важно для любой организации, которая использует облако. Azure управление доступом на основе ролей (Azure RBAC) помогает вам управлять тем, кто имеет доступ к ресурсам Azure, что можно делать с этими ресурсами и к каким областям можно получить доступ.

Назначение групп или отдельных ролей, ответственных за определенные функции в Azure, помогает избежать путаницы, что может привести к ошибкам человека и автоматизации, которые создают риски безопасности. Ограничение доступа на основе необходимости знать и принципы безопасности с наименьшими привилегиями является обязательным для организаций, которые хотят применить политики безопасности для доступа к данным.

Ваша команда безопасности должна просматривать Azure ресурсы, чтобы оценить и устранить риск. Если у команды безопасности есть рабочие обязанности, им требуются дополнительные разрешения для выполнения своих заданий.

Вы можете использовать Azure RBAC для назначения разрешений пользователям, группам и приложениям в определенной области. Областью назначения роли может быть подписка, группа ресурсов или отдельный ресурс.

• Разделите обязанности в вашей команде и предоставляйте пользователям только тот объем доступа, который необходим для выполнения их обязанностей. Вместо предоставления всем неограниченным разрешениям в подписке или ресурсах Azure разрешать только определенные действия в определенной области.: используйте встроенные роли Azure в Azure для назначения прав пользователям.

• Дайте командам безопасности с обязанностями в Azure доступ к ресурсам Azure, чтобы они могли оценивать и устранять риски.: Дайте командам безопасности роль Azure RBAC Security Reader. Вы можете использовать корневую группу управления или группу управления сегментами в зависимости от области обязанностей:

• Корневая группа управления для команд, ответственных за все корпоративные ресурсы
• Группа управления сегментами для команд с ограниченной областью (обычно из-за нормативных или других границ организации)

• Предоставьте соответствующие разрешения группам безопасности, имеющим непосредственные операционные обязанности.. Ознакомьтесь со встроенными ролями Azure для надлежащего назначения ролей. Если встроенные роли не соответствуют конкретным потребностям вашей организации, можно создать Azure пользовательские роли. Как и в случае со встроенными ролями, вы можете назначать пользовательские роли пользователям, группам и сервисным принципалам на уровнях подписки, группы ресурсов и области ресурсов.

• Предоставьте Microsoft Defender для облака доступ к ролям безопасности, которым он нужен. Defender для облака позволяет командам по безопасности быстро выявлять и устранять риски.: добавьте команды безопасности с этими потребностями в роль Azure RBAC security admin, чтобы они могли просматривать политики безопасности, просматривать состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также отклонять оповещения и рекомендации. Это можно сделать с помощью корневой группы управления или группы управления сегментами в зависимости от области обязанностей.

Организации, которые не применяют управление доступом к данным, используя такие возможности, как Azure RBAC, могут предоставлять больше привилегий, чем необходимо для своих пользователей. Это может привести к компрометации данных, позволяя пользователям получать доступ к типам данных (например, с высоким влиянием на бизнес), которые они не должны иметь.

Более низкая уязвимость привилегированных учетных записей

Защита привилегированного доступа — это критически важный первый шаг к защите бизнес-ресурсов. Сведение к минимуму числа пользователей, имеющих доступ к защищенным сведениям или ресурсам, снижает вероятность того, что такой доступ получит злоумышленник или что авторизованный пользователь непреднамеренно повлияет на критический ресурс.

Привилегированные учетные записи — это учетные записи, которые администрируют ИТ-системы и управляют ими. Злоумышленники в Интернете обычно используют эти учетные записи для доступа к данным и системам организации. Чтобы защитить привилегированный доступ, необходимо исключить риск доступа пользователей-злоумышленников к учетным записям и системам.

Мы рекомендуем разработать и следовать дорожной карте для защиты привилегированного доступа от кибер-злоумышленников. Сведения о создании подробной стратегии защиты удостоверений и доступа, управляемых или учитываемых в Microsoft Entra ID, Microsoft Azure, Microsoft 365 и других облачных сервисах, просмотрите Защита привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID.

Следующий текст содержит обобщение лучших практик, указанных в Обеспечение привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID:

• Управляйте, контролируйте и следите за доступом к привилегированным учетным записям.: Включите Microsoft Entra управление привилегированными пользователями. После включения управление привилегированными пользователями вы получите уведомления об изменениях роли привилегированного доступа. Эти уведомления обеспечивают раннее предупреждение при добавлении новых пользователей в высокопривилегированные роли в каталоге.

• Убедитесь, что все критически важные учетные записи администратора управляются через Microsoft Entra accounts.: Удалите все потребительские учетные записи из критически важных ролей администратора (например, учетные записи Майкрософт, такие как hotmail.com, live.com и outlook.com).

• Убедитесь, что все критически важные роли администратора имеют отдельную учетную запись для административных задач, чтобы избежать фишинга и других атак для компрометации прав администратора. Создайте отдельную учетную запись администратора, назначаемую привилегиям, необходимым для выполнения административных задач. Блокировать использование этих административных учетных записей для ежедневных инструментов повышения производительности, таких как электронная почта Microsoft 365 или случайный серфинг в интернете.

• Идентифицируйте и классифицируйте учетные записи, которые находятся в высокопривилегированных ролях.. После включения Microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в глобальных администраторах, администраторах привилегированных ролей и других высокопривилегированных ролях. Удалите все учетные записи, которые больше не нужны в этих ролях, и классифицируйте остальные учетные записи, назначенные ролям администратора:

  • Отдельно назначается администраторам и может использоваться для не административных целей (например, для личных электронных писем)
  • индивидуально назначается пользователям с правами администратора и предназначена только для административных целей.
  • совместно используется несколькими пользователями;
  • для сценариев аварийного доступа;
  • для автоматических скриптов;
  • для внешних пользователей.

• Реализуйте доступ "just in time" (JIT) для дальнейшего сокращения времени действия привилегий и увеличения контроля за использованием привилегированных учетных записей.: Microsoft Entra управление привилегированными пользователями позволяет:

• Ограничьте пользователей доступом только к своим привилегиям JIT.
• назначать роли на короткий период с уверенностью в том, что привилегии будут автоматически отозваны.

• Определите не менее двух учетных записей аварийного доступа.: учетные записи аварийного доступа помогают организациям ограничить привилегированный доступ в существующей среде Microsoft Entra. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи аварийного доступа ограничены сценариями, в которых обычные административные учетные записи нельзя использовать. Организации должны ограничивать использование экстренной учетной записи только на необходимый срок.

Оцените учетные записи, назначенные или подходящие для роли глобального администратора. Если вы не видите облачные учетные записи только в домене *.onmicrosoft.com (предназначенном для аварийного доступа), создайте их. Для получения дополнительной информации см. раздел Управление учетными записями административного доступа в экстренных ситуациях в Microsoft Entra ID.

• Имейте процесс аварийного доступа на случай чрезвычайной ситуации. Следуйте шагам, описанным в Защита привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID.

• Требуйте от всех критически важных учетных записей администратора быть без паролей (предпочтительно), или требуйте многофакторную аутентификацию.. Используйте приложение Microsoft Authenticator для входа в любую учетную запись Microsoft Entra без пароля. Как и Windows Hello for Business, Microsoft Authenticator использует проверку подлинности на основе ключей для включения учетных данных пользователя, привязанных к устройству, и использует биометрическую проверку подлинности или ПИН-код.

Требовать при входе многофакторную проверку подлинности Microsoft Entra для всех пользователей, которые постоянно назначены в одну или несколько ролей администратора Microsoft Entra: глобальный администратор, администратор привилегированных ролей, администратор Exchange Online и администратор SharePoint Online. Включите многофакторную проверку подлинности для учетных записей администратора и убедитесь, что пользователи учетной записи администратора зарегистрированы.

• Для критически важных учетных записей администратора укажите рабочую станцию администрирования, в которой не разрешены рабочие задачи (например, просмотр и электронная почта). Это позволит защитить учетные записи администратора от векторов атак, использующих просмотр и электронную почту, и значительно снизить риск крупного инцидента.: используйте рабочую станцию администратора. Выберите уровень безопасности рабочей станции:

• Высокобезопасные устройства повышения производительности обеспечивают расширенную безопасность для просмотра и других задач производительности.

• Привилегированные рабочие станции доступа (PAW) предоставляют выделенную операционную систему, которая защищается от интернет-атак и векторов угроз для конфиденциальных задач.

• Отключение или удаление учетных записей администраторов при выходе сотрудников из организации. Процесс, который отключает или удаляет учетные записи администраторов, должен быть настроен в вашей организации.

• Регулярно тестируют учетные записи администраторов с помощью текущих методов атаки.: используйте симулятор атак Microsoft 365 или стороннее предложение для выполнения реалистичных сценариев атак в организации. Это поможет вам найти уязвимых пользователей до возникновения реальной атаки.

• Выполните действия по устранению наиболее часто используемых методов атак.Определение учетных записей Майкрософт в административных ролях, которые необходимо переключить на рабочие или учебные учетные записи.

Обеспечение отдельных учетных записей пользователей и пересылки почты для учетных записей глобального администратора

Убедитесь, что пароли учетных записей администратора недавно изменились

Включение синхронизации хэша паролей

Требовать многофакторную проверку подлинности для пользователей во всех привилегированных ролях, а также для предоставленных пользователей

Получите Microsoft 365 Secure Score (если вы используете Microsoft 365)

Изучите руководство по безопасности Microsoft 365 (если вы используете Microsoft 365)

Настройка мониторинга действий в Microsoft 365 (если используется Microsoft 365)

Назначить владельцев плана реагирования на инциденты и чрезвычайные ситуации

Безопасные локальные привилегированные учетные записи администратора

Если вы не защищаете привилегированный доступ, вы можете обнаружить, что у вас слишком много пользователей в высоко привилегированных ролях и более уязвимы для атак. Злоумышленники, включая кибер-атакующих, часто нацелены на учетные записи администраторов и другие элементы привилегированного доступа, чтобы получить доступ к конфиденциальной информации и системам через кражу учетных записей.

Управление расположениями, в которых создаются ресурсы

Предоставление облачным операторам возможности выполнять задачи, предотвращая их нарушение установленных норм, необходимых для эффективного управления ресурсами вашей организации, является важной задачей. Организации, которые хотят контролировать расположения, в которых создаются ресурсы, должны жестко кодировать эти расположения.

Вы можете использовать Azure Resource Manager для создания политик безопасности, определения которых описывают действия или ресурсы, которые специально запрещены. Вы назначаете эти определения политики на нужную область, например, на подписку, группу ресурсов или отдельный ресурс.

Организации, которые не управляют тем, как создаются ресурсы, более подвержены пользователям, которые могут злоупотреблять службой, создавая больше ресурсов, чем они нуждаются. Защита процесса создания ресурсов является важным шагом для защиты мультитенантного сценария.

Активный мониторинг подозрительных действий

Активная система мониторинга удостоверений может быстро обнаружить подозрительное поведение и активировать оповещение для дальнейшего изучения. В следующей таблице перечислены возможности Microsoft Entra, которые могут помочь организациям следить за своими удостоверениями.

• Иметь метод для выявления подозрительных действий при входе: отслеживайте попытки входа без отслеживания, атак методом подбора паролей против конкретной учетной записи, попытки входа из нескольких местоположений, входы с зараженных устройств и с подозрительных IP-адресов. Используйте отчеты об аномалиях в Microsoft Entra ID P1 или P2. Имеют процессы и процедуры, чтобы ИТ-администраторы выполняли эти отчеты ежедневно или по запросу (обычно в сценарии реагирования на инциденты).

• Имейте активную систему слежения, которая уведомляет вас о рисках и может регулировать уровень риска (высокий, средний или низкий) в соответствии с требованиями бизнеса.: используйте Защита Microsoft Entra ID, которая помечает текущие риски на собственной панели мониторинга и отправляет ежедневные уведомления сводки по электронной почте. Чтобы защитить идентичности вашей организации, можно настроить политики, основанные на оценке рисков, которые автоматически реагируют на обнаруженные проблемы при достижении заданного уровня риска.

Организации, которые не активно контролируют свои системы идентификации, могут подвергнуть риску компрометации учетные данные пользователей. Без знания о том, что подозрительные действия выполняются с помощью этих учетных данных, организации не могут устранить эту угрозу.

Использование Microsoft Entra ID для проверки подлинности хранилища

служба хранилища Azure поддерживает аутентификацию и авторизацию с помощью Microsoft Entra ID для объектного хранилища и хранилища очередей. С помощью аутентификации Microsoft Entra можно использовать управление доступом, основанное на ролях Azure, для предоставления определенных разрешений пользователям, группам и приложениям, вплоть до области отдельного контейнера или очереди объектов BLOB.

Мы рекомендуем использовать Microsoft Entra ID для проверки подлинности доступа к хранилищу.

Дальнейшие шаги

• См. Рекомендации и шаблоны по обеспечению безопасности в Azure для получения дополнительных рекомендаций по обеспечению безопасности, которые можно использовать при разработке, развертывании и управлении облачными решениями с использованием Azure.
• Просмотрите Microsoft Cloud Security Benchmark версии 2 (предварительная версия) — управление удостоверениями для получения комплексных рекомендаций по обеспечению безопасности удостоверений с помощью сопоставлений Политика Azure.
• Узнайте о инициативе Microsoft Secure Future (SFI), внутренних лучших практиках безопасности компании Майкрософт для защиты удостоверений и секретов, которые мы также рекомендуем клиентам.