Рекомендации по обеспечению безопасности управления удостоверениями Azure и управления доступом

В этой статье мы обсудим коллекцию рекомендаций по управлению удостоверениями Azure и управлению доступом. Эти рекомендации являются производными от нашего опыта работы с Microsoft Entra ID и опыта клиентов, таких как вы.

Для каждой рекомендации будет предоставлено объяснение следующих аспектов:

• какова наилучшая практика
• почему необходимо применять эту рекомендацию;
• Каков может быть результат, если вы не примените лучшие практики
• Возможные варианты оптимальной практики
• Как вы можете научиться применять лучшие практики

Эта статья по управлению удостоверениями Azure и рекомендациям по обеспечению безопасности доступа основана на консенсусном мнении и возможностях платформы Azure и наборах функций, так как они существуют в то время, когда эта статья была написана.

Цель этой статьи — предоставить общий план для более надежного положения безопасности после развертывания, согласно нашему контрольному списку "5 шагов по защите инфраструктуры удостоверений", которые проводят вас через некоторые из наших основных функций и услуг.

Мнения и технологии изменяются со временем, и эта статья будет обновлена регулярно, чтобы отразить эти изменения.

Рекомендации по управлению удостоверениями Azure и управлению доступом, рассмотренные в этой статье:

• Рассматривать удостоверение как основной периметр безопасности
• Централизация управления идентификацией
• Управление подключенными клиентами
• Включение единого входа
• Включение условного доступа
• Планирование стандартных улучшений безопасности
• Включение управления паролями
• Принудительное применение многофакторной проверки для пользователей
• Используйте управление доступом на основе ролей
• Более низкая уязвимость привилегированных учетных записей
• Управляйте местоположениями, где находятся ресурсы
• Использование идентификатора Microsoft Entra для проверки подлинности хранилища

Рассматривать удостоверение как основной периметр безопасности

Многие считают удостоверение основным периметром безопасности. Это сдвиг от традиционного фокуса на сетевой безопасности. Периметры сети становятся более пористыми, и защита периметра не может быть столь эффективной, как до всплеска устройств BYOD и облачных приложений.

Идентификатор Microsoft Entra — это решение Azure для управления удостоверениями и доступом. Microsoft Entra ID — это мультитенантная облачная система управления каталогами и идентичностью от Майкрософт. Это решение объединяет в себе базовые службы каталогов, управление доступом к приложению и защиту идентификации.

В следующих разделах приведены рекомендации по обеспечению безопасности удостоверений и доступа с помощью идентификатора Microsoft Entra.

Лучшая практика: Центрируйте управление безопасностью и обнаружение вокруг удостоверений пользователей и служб. Детали: Используйте Microsoft Entra ID для объединения элементов управления и удостоверений.

Централизация управления идентификацией

В сценарии гибридной идентификации мы рекомендуем интегрировать ваши локальные и облачные каталоги. Интеграция позволяет ИТ-группе управлять учетными записями из одного расположения независимо от того, где создается учетная запись. Интеграция также помогает пользователям работать эффективнее, предоставляя общее удостоверение для доступа как к облачным, так и к локальным ресурсам.

Рекомендация. Создание одного экземпляра Microsoft Entra. Согласованность и единый авторитетный источник повышают ясность и снижают риски безопасности от человеческих ошибок и сложности конфигурации.
Сведения. Назначение одного каталога Microsoft Entra в качестве авторитетного источника для корпоративных и организационных учетных записей.

Рекомендуется интегрировать локальные каталоги с идентификатором Microsoft Entra.
Сведения. Использование Microsoft Entra Connect для синхронизации локального каталога с облачным каталогом.

Рекомендуется не синхронизировать учетные записи с идентификатором Microsoft Entra, имеющими высокие привилегии в существующем экземпляре Active Directory.
Сведения. Не изменяйте конфигурацию Microsoft Entra Connect по умолчанию, которая фильтрует эти учетные записи. Эта конфигурация снижает риск того, что злоумышленники переходит от облака к локальным ресурсам (что может привести к крупному инциденту).

Рекомендуется включить синхронизацию хэша паролей.
Сведения. Синхронизация хэша паролей — это функция, используемая для синхронизации хэшей паролей пользователей из локального экземпляра Active Directory в облачный экземпляр Microsoft Entra. Эта синхронизация помогает защитить от утечки учетных данных, воспроизводимых из предыдущих атак.

Даже если вы решите использовать федерацию с Active Directory Federation Services (AD FS) или с другими поставщиками удостоверений, вы при необходимости можете настроить синхронизацию хэша паролей в качестве резервной копии на случай отказа локальных серверов или их временной недоступности. Эта синхронизация позволяет пользователям входить в службу с помощью того же пароля, что и для входа в локальный экземпляр Active Directory. Кроме того, защита идентификации позволяет обнаруживать скомпрометированные учетные данные, сравнивая синхронизированные хэши паролей с паролями, известными как скомпрометированные, если пользователь использовал тот же адрес электронной почты и пароль в других службах, которые не подключены к идентификатору Microsoft Entra.

Дополнительные сведения см. в разделе "Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".

Рекомендация. Для разработки новых приложений используйте идентификатор Microsoft Entra для проверки подлинности.
Подробные сведения. Используйте правильные возможности для поддержки проверки подлинности:

• Идентификатор Microsoft Entra для сотрудников
• Microsoft Entra B2B для гостевых пользователей и внешних партнеров
• Внешний идентификатор Microsoft Entra для управления способом регистрации, входа и управления профилями пользователей при использовании приложений

Организации, которые не интегрируют локальное удостоверение с облачным удостоверением, могут иметь больше накладных расходов на управление учетными записями. В этом случае увеличивается вероятность возникновения ошибок и брешей в системе безопасности.

Управление подключенными клиентами

Ваша организация безопасности нуждается в видимости для оценки риска и определения того, выполняются ли политики вашей организации, а также любые нормативные требования. Необходимо убедиться, что ваша организация безопасности имеет видимость всех подписок, подключенных к рабочей среде и сети (через Azure ExpressRoute или VPN типа "сеть — сеть". Глобальный администратор в идентификаторе Microsoft Entra может повысить уровень доступа к роли администратора доступа пользователей и просмотреть все подписки и управляемые группы, подключенные к вашей среде.

Ознакомьтесь с повышенным уровнем доступа для управления всеми подписками Azure и группами управления , чтобы убедиться, что вы и ваша группа безопасности могут просматривать все подписки или группы управления, подключенные к вашей среде. После оценки рисков необходимо удалить этот повышенный доступ.

Включение единого входа

В мобильном, облачном мире вы хотите включить единый вход (SSO) на устройства, приложения и службы из любого места, чтобы пользователи могли работать в любом месте. При наличии нескольких решений для управления удостоверениями это становится проблемой администрирования не только для ИТ-специалистов, но и для пользователей, которые должны запоминать несколько паролей.

Используя одну и ту же систему удостоверения личности для всех ваших приложений и ресурсов, вы можете реализовать SSO. И пользователи могут использовать один и тот же набор учетных данных для входа и доступа к нужным ресурсам, независимо от того, находятся ли ресурсы в локальной среде или в облаке.

Рекомендация. Включение единого входа.
Сведения. Идентификатор Microsoft Entra расширяет локальный Каталог Active Directory в облако. Пользователи могут использовать свою основную рабочую или учебную учетную запись для устройств, подключенных к домену, ресурсов компании и всех веб-приложений и приложений SaaS, которые им необходимы для выполнения рабочих задач. Пользователям не нужно запоминать несколько наборов имен пользователей и паролей, а их доступ к приложению может быть автоматически подготовлен (или отменен) на основе членства в группах организации и их статуса в качестве сотрудника. И вы можете управлять доступом для приложений коллекции или для собственных локальных приложений, которые вы разработали и опубликовали с помощью прокси приложения Microsoft Entra.

Используйте единый вход, чтобы пользователи могли получать доступ к приложениям SaaS на основе рабочей или учебной учетной записи в идентификаторе Microsoft Entra. Это применимо не только для приложений Microsoft SaaS, но и для других приложений, таких как Google Apps и Salesforce. Вы можете настроить приложение для использования Microsoft Entra ID как провайдера удостоверения на основе SAML. В качестве элемента управления безопасностью идентификатор Microsoft Entra не выдает маркер, позволяющий пользователям входить в приложение, если им не предоставлен доступ через идентификатор Microsoft Entra. Вы можете предоставить доступ напрямую или через группу, в которую входят пользователи.

Организации, которые не создают общее удостоверение, чтобы установить единый вход для своих пользователей и приложений, более подвержены сценариям, в которых у пользователей есть несколько паролей. Эти сценарии повышают вероятность повторного использования паролей пользователей или использования слабых паролей.

Включение условного доступа

Пользователи могут получить доступ к ресурсам вашей организации с помощью различных устройств и приложений из любого места. Как ИТ-администратор, вы хотите, чтобы эти устройства соответствовали стандартам безопасности и соответствия требованиям. Уже недостаточно просто сосредоточиться на том, кто может получить доступ к ресурсу.

Чтобы установить баланс между безопасностью и производительностью, перед выбором решения по управлению доступом необходимо подумать о способе доступа к ресурсам. С помощью условного доступа Microsoft Entra вы можете устранить это требование. Благодаря условному доступу вы можете внедрять автоматизированные решения управления доступом на основе условий доступа к облачным приложениям.

Рекомендация. Управление доступом к корпоративным ресурсам и управление ими.
Подробные сведения. Настройка общих политик условного доступа Microsoft Entra на основе группы, расположения и конфиденциальности приложений SaaS и подключенных приложений Microsoft Entra ID.

Рекомендуется: блокировать устаревшие протоколы проверки подлинности.
Подробные сведения: злоумышленники используют слабые места в старых протоколах каждый день, особенно для атак спрея паролей. Настройте условный доступ для блокировки устаревших протоколов.

Планирование стандартных улучшений безопасности

Безопасность всегда развивается, и важно создать в облачной платформе и системе управления удостоверениями способ регулярно демонстрировать развитие и находить новые методы для защиты вашей среды.

Оценка безопасности удостоверений — это набор рекомендуемых элементов управления безопасностью, которые корпорация Майкрософт публикует, чтобы предоставить числовую оценку для объективной оценки состояния безопасности и помочь спланировать будущие улучшения безопасности. Вы также можете просмотреть свою оценку по сравнению с оценками в других отраслях, а также сравнительную динамику во времени.

Рекомендация. Планирование стандартных проверок безопасности и улучшений на основе рекомендаций в вашей отрасли.
Подробные сведения. Используйте функцию оценки безопасности удостоверений для ранжирования улучшений с течением времени.

Включение управления паролями

Если у вас несколько клиентов или вы хотите разрешить пользователям сбрасывать свои пароли, важно использовать соответствующие политики безопасности для предотвращения злоупотреблений.

Рекомендация. Настройка самостоятельного сброса пароля (SSPR) для пользователей.
Сведения. Используйте функцию самостоятельного сброса пароля идентификатора Microsoft Entra.

Лучшая практика: следите за тем, как и используется ли на самом деле SSPR.
Подробные сведения: Отслеживайте пользователей, которые регистрируются, используя отчет о действиях при регистрации сброса пароля в Microsoft Entra ID. Функция создания отчетов, которую предоставляет идентификатор Microsoft Entra, помогает ответить на вопросы с помощью предварительно созданных отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.

Рекомендуется расширить облачные политики паролей в локальной инфраструктуре.
Подробные сведения. Улучшение политик паролей в организации путем выполнения одних и того же проверки на наличие локальных изменений паролей, что и для изменения паролей на основе облака. Установите защиту паролей Microsoft Entra для агентов Windows Server Active Directory в локальной среде, чтобы расширить списки запрещенных паролей в существующей инфраструктуре. Пользователи и администраторы, которые изменяют, задают или сбрасывают пароли в локальной среде, должны соответствовать той же политике паролей, что и пользователи только в облаке.

Принудительное применение многофакторной проверки для пользователей

Рекомендуется требовать многофакторную проверку подлинности (MFA) для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).

Рекомендуемые практики: отдавайте предпочтение методам MFA, устойчивым к фишингу, таким как ключи безопасности FIDO2, ключи доступа, Windows Hello для бизнеса и аутентификация на основе сертификатов.
Подробные сведения: методы проверки подлинности, устойчивые к фишингу, обеспечивают самую надежную защиту от сложных атак. Эти методы используют аппаратные криптографические ключи, которые не могут перехватывать или воспроизводиться злоумышленниками. Корпорация Майкрософт рекомендует развертывать устойчивую к фишингу многофакторную аутентификацию как базовый стандарт для обеспечения безопасности идентификационных данных. Инструкции см. в разделе "Планирование фишинго-устойчивого развертывания проверки подлинности без пароля".

Существует несколько вариантов для многофакторной проверки подлинности. Лучший вариант зависит от целей, выпуска Microsoft Entra, который вы используете, и вашей программы лицензирования. Узнайте , как требовать двухфакторную проверку подлинности для пользователя , чтобы определить оптимальный вариант. Дополнительные сведения о лицензиях и ценах см. на страницах цен Microsoft Entra ID и многофакторной проверки подлинности Microsoft Entra.

Ниже приведены варианты и преимущества включения многофакторной проверки подлинности:

Вариант 1: Включить MFA для всех пользователей и методов входа с помощью Microsoft Entra Security Defaults
Преимущество. Этот параметр позволяет легко и быстро применять MFA для всех пользователей в вашей среде с строгой политикой:

• запрос административных учетных записей и административных механизмов входа;
• обязательный запрос многофакторной проверки подлинности через Microsoft Authenticator для всех пользователей;
• ограничение использования устаревших протоколов проверки подлинности.

Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. Дополнительные сведения см. в Microsoft Entra Security Defaults

Вариант 2. Включение многофакторной проверки подлинности путем изменения состояния пользователя.
Преимущество. Это традиционный метод применения двухфакторной проверки подлинности. Он работает с многофакторной проверкой подлинности Microsoft Entra в облаке и сервере Многофакторной идентификации Azure. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.

Чтобы определить, где требуется включить многофакторную проверку подлинности, см. раздел "Какая версия многофакторной проверки подлинности Microsoft Entra подходит для моей организации?".

Вариант 3.Включение многофакторной проверки подлинности с помощью политики условного доступа.
Преимущество. Этот параметр позволяет запрашивать двухфакторную проверку в определенных условиях с помощью условного доступа. Специфическими условиями могут быть вход пользователей из разных местоположений, с ненадежных устройств или приложений, которые вы считаете рискованными. Определение конкретных условий, в которых следует требовать двухэтапную проверку, позволяет избежать постоянных обращений к пользователю, что может быть неприятным опытом.

Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для многофакторной проверки подлинности Microsoft Entra в облаке и является премиум-функцией идентификатора Microsoft Entra. Дополнительные сведения об этом методе см. в разделе "Развертывание облачной многофакторной проверки подлинности Microsoft Entra".

Вариант 4. Включение многофакторной проверки подлинности с помощью политик условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот вариант позволяет:

• Выявите потенциальные уязвимости, которые могут повлиять на идентичности вашей организации.
• Настройте автоматические ответы на выявленные подозрительные действия, связанные с идентификацией вашей организации.
• анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Этот метод использует оценку риска Защита идентификации Microsoft Entra для определения необходимости двухфакторной проверки подлинности на основе риска входа для всех облачных приложений. Для этого метода требуется лицензирование Microsoft Entra ID P2. Дополнительные сведения об этом методе можно найти в службе защиты идентификаторов Microsoft Entra.

Рекомендуется перенести учетные записи служб, основанные на пользователях, в идентификаторы рабочей нагрузки.
Сведения. Некоторые клиенты используют учетные записи пользователей в идентификаторе Microsoft Entra в качестве учетных записей служб для автоматизации. При обязательном применении MFA важно перенести эти учетные записи служб на основе пользователей на безопасные облачные учетные записи служб с удостоверениями рабочей нагрузки. Удостоверения рабочей нагрузки, такие как управляемые удостоверения и служебные главные компоненты, предназначены для сценариев автоматизации и не требуют многофакторной аутентификации, что обеспечивает более безопасное и управляемое решение. Инструкции по миграции см. в разделах «Вход в Azure с управляемым удостоверением с помощью Azure CLI» и «Неинтерактивный вход в Azure PowerShell для автоматизации сценариев».

Организации, которые не добавляют дополнительные уровни защиты идентификации, такие как многофакторная проверка подлинности, более подвержены атаке кражи учетных данных. Атаки такого типа могут привести к компрометации данных.

Используйте управление доступом на основе ролей

Управление доступом к облачным ресурсам крайне важно для любой организации, которая использует облако. Управление доступом на основе ролей Azure (Azure RBAC) помогает управлять доступом к ресурсам Azure, что они могут сделать с этими ресурсами и к каким областям они имеют доступ.

Назначение групп или отдельных ролей, ответственных за определенные функции в Azure, помогает избежать путаницы, что может привести к ошибкам человека и автоматизации, которые создают риски безопасности. Ограничение доступа на основе необходимости знать и принципы безопасности с наименьшими привилегиями является обязательным для организаций, которые хотят применить политики безопасности для доступа к данным.

Для оценки и устранения рисков ваша команда безопасности нуждается в просмотре ресурсов Azure. Если у команды безопасности есть рабочие обязанности, им требуются дополнительные разрешения для выполнения своих заданий.

Azure RBAC можно использовать для назначения разрешений пользователям, группам и приложениям в определенной области. Областью назначения роли может быть подписка, группа ресурсов или отдельный ресурс.

Рекомендуется: разделение обязанностей в вашей команде и предоставление доступа только пользователям, которым они должны выполнять свои задания. Вместо предоставления всем неограниченным разрешениям в подписке или ресурсах Azure разрешают только определенные действия в определенной области.
Сведения: Используйте встроенные роли Azure в Azure для назначения привилегий пользователям.

Рекомендуется предоставить группам безопасности доступ к ресурсам Azure, чтобы они могли оценить и устранить риск.
Подробности: Предоставьте командам безопасности роль Читатель безопасности в Azure RBAC. Вы можете использовать корневую группу управления или группу управления сегментами в зависимости от области обязанностей:

• Корневая группа управления для команд, ответственных за все корпоративные ресурсы
• Группа управления сегментами для команд с ограниченной областью (обычно из-за нормативных или других границ организации)

Рекомендация. Предоставьте соответствующие разрешения группам безопасности, у которых есть прямые рабочие обязанности.
Подробные сведения. Просмотрите встроенные роли Azure для соответствующего назначения ролей. Если встроенные роли не соответствуют конкретным потребностям вашей организации, можно создать пользовательские роли Azure. Как и в случае со встроенными ролями, вы можете назначать пользовательские роли пользователям, группам и сервисным принципалам на уровнях подписки, группы ресурсов и области ресурсов.

Рекомендации. Предоставление Microsoft Defender для облака доступа к ролям безопасности, которым он нужен. Defender для облака позволяет командам по безопасности быстро выявлять и устранять риски.
Подробные сведения. Добавьте команды безопасности с этими потребностями в роль администратора безопасности Azure RBAC, чтобы они могли просматривать политики безопасности, просматривать состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также отклонять оповещения и рекомендации. Это можно сделать с помощью корневой группы управления или группы управления сегментами в зависимости от области обязанностей.

Организации, не применяющие управление доступом к данным, с помощью таких возможностей, как Azure RBAC, могут предоставлять больше привилегий, чем необходимо пользователям. Это может привести к компрометации данных, позволяя пользователям получать доступ к типам данных (например, с высоким влиянием на бизнес), которые они не должны иметь.

Более низкая уязвимость привилегированных учетных записей

Защита привилегированного доступа — это критически важный первый шаг к защите бизнес-ресурсов. Сведение к минимуму числа пользователей, имеющих доступ к защищенным сведениям или ресурсам, снижает вероятность того, что такой доступ получит злоумышленник или что авторизованный пользователь непреднамеренно повлияет на критический ресурс.

Привилегированные учетные записи — это учетные записи, которые администрируют ИТ-системы и управляют ими. Злоумышленники в Интернете обычно используют эти учетные записи для доступа к данным и системам организации. Чтобы защитить привилегированный доступ, необходимо исключить риск доступа пользователей-злоумышленников к учетным записям и системам.

Мы рекомендуем разработать и следовать дорожной карте для защиты привилегированного доступа от кибер-злоумышленников. Дополнительные сведения о создании подробной дорожной карты по защите удостоверений и доступа, обслуживаемых или контролируемых в Microsoft Entra ID, Microsoft Azure, Microsoft 365 и других облачных службах, прочтите статью о защите привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID.

Ниже приведены рекомендации по защите привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra ID:

Рекомендация: Управлять, контролировать и мониторить доступ к привилегированным учетным записям.
Сведения: Включите Microsoft Entra для управления привилегированными удостоверениями. После включения этой функции вы получите уведомления по электронной почте об изменении ролей привилегированного доступа. Эти уведомления обеспечивают раннее предупреждение при добавлении новых пользователей в высокопривилегированные роли в каталоге.

Рекомендация. Убедитесь, что все критически важные учетные записи администратора управляются учетными записями Microsoft Entra. Сведения: удалите все учетные записи потребителей из критически важных ролей администратора (например, учетные записи Майкрософт, такие как hotmail.com, live.com и outlook.com).

Рекомендуется: убедитесь, что все критически важные роли администратора имеют отдельную учетную запись для административных задач, чтобы избежать фишинга и других атак для компрометации прав администратора.
Сведения: Создайте отдельную учетную запись администратора, которой назначены привилегии, необходимые для выполнения административных задач. Запретите использовать эти административные учетные записи для повседневной работы со средствами повышения производительности, такими как электронная почта Microsoft 365, или для произвольного просмотра веб-страниц.

Рекомендуется определить и классифицировать учетные записи, которые находятся в ролях с высоким уровнем привилегий.
Сведения. После включения microsoft Entra Privileged Identity Management просмотрите пользователей, которые находятся в глобальном администраторе, администраторе привилегированных ролей и других высоко привилегированных ролях. Удалите все учетные записи, которые больше не нужны в этих ролях, и классифицируйте остальные учетные записи, назначенные ролям администратора:

• Отдельно назначается администраторам и может использоваться для не административных целей (например, для личных электронных писем)
• индивидуально назначается пользователями с правами администратора и предназначена только для административных целей;
• совместно используется несколькими пользователями;
• для сценариев аварийного доступа;
• для автоматических скриптов;
• для внешних пользователей.

Лучшие практики: Реализовать доступ «точно в срок» (JIT), чтобы дополнительно сократить время доступности привилегий и повысить контроль за использованием привилегированных учетных записей.
Подробные сведения: Microsoft Entra Privileged Identity Management позволяет:

• Ограничьте пользователей доступом только к своим привилегиям JIT.
• назначать роли на короткий период с автоматическим отзывом привилегий.

Рекомендация. Определение по крайней мере двух учетных записей аварийного доступа.
Сведения. Учетные записи аварийного доступа помогают организациям ограничить привилегированный доступ в существующей среде Microsoft Entra. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи аварийного доступа ограничены сценариями, в которых обычные административные учетные записи нельзя использовать. Организации должны ограничивать использование экстренной учетной записи только на необходимый срок.

Оцените учетные записи, назначенные или подходящие для роли глобального администратора. Если вы не видите облачные учетные записи только в домене *.onmicrosoft.com (предназначенном для аварийного доступа), создайте их. Дополнительные сведения см. в разделе "Управление учетными записями администрирования аварийного доступа" в идентификаторе Microsoft Entra.

Рекомендуется: в случае чрезвычайной ситуации имеется процесс "разбить стекло".
Подробные сведения. Выполните действия, описанные в разделе "Защита привилегированного доступа для гибридных и облачных развертываний" в идентификаторе Microsoft Entra ID.

Рекомендуется: предпочтительнее требовать, чтобы все критически важные учетные записи администратора были без пароля, или требовать многофакторную аутентификацию.
Сведения. Используйте приложение Microsoft Authenticator для входа в любую учетную запись Microsoft Entra без использования пароля. Как и Windows Hello для бизнеса, Microsoft Authenticator использует проверку подлинности на основе ключей для включения учетных данных пользователя, привязанных к устройству, и использует биометрическую проверку подлинности или ПИН-код.

Требовать многофакторную проверку подлинности Microsoft Entra при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra: глобальный администратор, администратор привилегированных ролей, администратор Exchange Online и администратор SharePoint Online. Включите многофакторную проверку подлинности для учетных записей администратора и убедитесь, что пользователи учетной записи администратора зарегистрированы.

Рекомендуется: для критически важных учетных записей администратора есть рабочая станция администрирования, в которой рабочие задачи не разрешены (например, просмотр и электронная почта). Это позволит защитить учетные записи администратора от векторов атак, использующих просмотр и электронную почту, и значительно снизить риск крупного инцидента.
Детали: Используйте рабочую станцию администратора. Выберите уровень безопасности рабочей станции:

• Высокобезопасные устройства повышения производительности обеспечивают расширенную безопасность для просмотра и других задач производительности.
• Привилегированные рабочие станции доступа (PAW) предоставляют выделенную операционную систему, которая защищается от интернет-атак и векторов угроз для конфиденциальных задач.

Лучшие практики: удаление учетных записей администратора при увольнении сотрудников из организации.
Подробные сведения. У вас есть процесс, который отключает или удаляет учетные записи администратора, когда сотрудники покидают организацию.

Рекомендуется: регулярно тестировать учетные записи администратора с помощью текущих методов атаки.
Подробные сведения. Используйте симулятор атак Microsoft 365 или стороннее предложение для выполнения реалистичных сценариев атак в вашей организации. Это поможет вам найти уязвимых пользователей до возникновения реальной атаки.

Рекомендация. Выполните действия по устранению наиболее часто используемых методов атак.
Сведения: Определите учетные записи Майкрософт в административных ролях, которые необходимо переключить на рабочие или учебные учетные записи.

Обеспечение отдельных учетных записей пользователей и пересылки почты для учетных записей глобального администратора

Убедитесь, что пароли учетных записей администратора недавно изменились

Включение синхронизации хэша паролей

Требовать многофакторную проверку подлинности для пользователей во всех привилегированных ролях, а также для предоставленных пользователей

Получите оценку безопасности Microsoft 365 (при использовании Microsoft 365)

Ознакомьтесь с рекомендациями по безопасности Microsoft 365 (при использовании Microsoft 365)

Настройка мониторинга активности Microsoft 365 (при использовании Microsoft 365)

Назначить владельцев плана реагирования на инциденты и чрезвычайные ситуации

Безопасные локальные привилегированные учетные записи администратора

Если вы не защищаете привилегированный доступ, вы можете обнаружить, что у вас слишком много пользователей в высоко привилегированных ролях и более уязвимы для атак. Злоумышленники, включая кибер-атакующих, часто нацелены на учетные записи администраторов и другие элементы привилегированного доступа, чтобы получить доступ к конфиденциальной информации и системам через кражу учетных записей.

Управление расположениями, в которых создаются ресурсы

Предоставление облачным операторам возможности выполнять задачи, предотвращая их нарушение установленных норм, необходимых для эффективного управления ресурсами вашей организации, является важной задачей. Организации, которые хотят контролировать расположения, в которых создаются ресурсы, должны жестко кодировать эти расположения.

Azure Resource Manager можно использовать для создания политик безопасности, определения которых описывают действия или ресурсы, которые специально запрещены. Вы назначаете эти определения политики на нужную область, например, на подписку, группу ресурсов или отдельный ресурс.

Организации, которые не управляют тем, как создаются ресурсы, более подвержены пользователям, которые могут злоупотреблять службой, создавая больше ресурсов, чем они нуждаются. Защита процесса создания ресурсов является важным шагом для защиты мультитенантного сценария.

Активный мониторинг подозрительных действий

Активная система мониторинга удостоверений может быстро обнаружить подозрительное поведение и активировать оповещение для дальнейшего изучения. В следующей таблице перечислены возможности Microsoft Entra, которые могут помочь организациям отслеживать свои идентификации.

Рекомендуется использовать метод для идентификации:

• Пытается войти без отслеживания.
• Атака методом перебора на определенную учетную запись.
• Предпринимаются попытки входа из нескольких мест.
• Вход с зараженных устройств.
• Подозрительные IP-адреса.

Подробности: Используйте отчеты об аномалиях Microsoft Entra ID P1 или P2. Имеют процессы и процедуры, чтобы ИТ-администраторы выполняли эти отчеты ежедневно или по запросу (обычно в сценарии реагирования на инциденты).

Рекомендуется использовать активную систему мониторинга, которая уведомляет вас о рисках и может настроить уровень риска (высокий, средний или низкий) в соответствии с вашими бизнес-требованиями.
Подробные сведения. Используйте защиту идентификаторов Microsoft Entra, которая помечает текущие риски на собственной панели мониторинга и отправляет ежедневные уведомления сводки по электронной почте. Чтобы защитить идентичности вашей организации, можно настроить политики, основанные на оценке рисков, которые автоматически реагируют на обнаруженные проблемы при достижении заданного уровня риска.

Организации, которые не активно контролируют свои системы идентификации, могут подвергнуть риску компрометации учетные данные пользователей. Без знания о том, что подозрительные действия выполняются с помощью этих учетных данных, организации не могут устранить эту угрозу.

Использование идентификатора Microsoft Entra для проверки подлинности хранилища

Служба хранилища Azure поддерживает проверку подлинности и авторизацию с помощью идентификатора Microsoft Entra для хранилища BLOB-объектов и хранилища очередей. С помощью аутентификации Microsoft Entra вы можете использовать управление доступом на основе ролей Azure, чтобы предоставлять конкретные разрешения пользователям, группам и приложениям, вплоть до уровня отдельного контейнера BLOB или очереди.

Мы рекомендуем использовать идентификатор Microsoft Entra для проверки подлинности доступа к хранилищу.

Следующий шаг

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.