Защита идентификации с помощью принципа "Никому не доверяй"

Прежде чем большинство организаций начинают путешествие нулевого доверия, их подход к идентификации может быть фрагментирован различными поставщиками удостоверений, отсутствие единого входа между облачными и локальными приложениями и ограниченной видимостью риска идентификации.

Облачные приложения и мобильные работники требуют нового способа мышления, когда речь идет о безопасности. Многие сотрудники приносят свои собственные устройства и работают в гибридном режиме. Данные регулярно обращаются за пределами традиционного периметра корпоративной сети и совместно используются внешними партнерами, такими как партнеры и поставщики. Традиционные корпоративные приложения и данные перемещаются из локальной среды в гибридные и облачные среды.

Традиционные сетевые элементы управления для обеспечения безопасности больше не достаточно.

Удостоверения представляют людей, служб или устройств в сетях, конечных точках и приложениях. В модели безопасности нулевого доверия они работают как мощные, гибкие и детализированные средства для управления доступом к ресурсам.

Перед попыткой получить доступ к ресурсу с помощью удостоверения организации должны:

• проверить удостоверение с помощью строгой проверки подлинности;
• убедиться, что доступ соответствует требованиям и является типичным для этого удостоверения;
• Придерживайтесь принципа минимально необходимого уровня доступа.

После проверки удостоверения мы можем управлять доступом к ресурсам на основе политик организации, текущего анализа рисков и других средств.

Цели развертывания системы идентификации на основе модели "Никому не доверяй"

При внедрении комплексной инфраструктуры "Никому не доверяй" для идентификации мы рекомендуем в первую очередь сосредоточиться на следующих начальных целях развертывания:

• Настройка федерации облачных удостоверений с локальными системами идентификации.
• Управление доступом к шлюзам и предоставление действий по исправлению с помощью политик условного доступа.
• Расширение возможностей наблюдения с помощью аналитики.

После решения предыдущих областей сосредоточьтесь на следующих задачах развертывания:

• Управление удостоверениями и привилегиями доступа с помощью системы управления идентификацией.
• Пользователь, устройство, расположение и поведение анализируются в режиме реального времени.
• Интеграция сигналов угроз из других решений безопасности.

I. Настройка федерации облачных удостоверений с локальными системами идентификации

Идентификатор Microsoft Entra обеспечивает надежную проверку подлинности, точку интеграции для безопасности конечных точек и ядро политик, ориентированных на пользователей, чтобы гарантировать наименее привилегированный доступ. Условный доступ Microsoft Entra — это механизм политики, используемый для принятия решений о доступе к ресурсам на основе удостоверения пользователя, среды, работоспособности устройств и риска, проверенного явным образом во время доступа. Вы можете реализовать стратегию идентификации нулевого доверия с помощью идентификатора Microsoft Entra.

Подключение всех пользователей к идентификатору Microsoft Entra и федеративной среде с локальными системами удостоверений

Поддержание работоспособного конвейера удостоверений сотрудников и необходимых артефактов безопасности, включая группы для авторизации и конечных точек для элементов управления политикой доступа, помещает вас в лучшее место для использования согласованных удостоверений и элементов управления в облаке.

Выполните следующие действия:

1. Выберите способ проверки подлинности. Идентификатор Microsoft Entra предоставляет лучшие методы подбора, DDoS и защиту паролей, но принять решение, подходящее для вашей организации и ваших потребностей в соответствии с требованиями.
2. Используйте только удостоверения, которые точно необходимы. Используйте облако в качестве возможности покинуть учетные записи службы, которые используются только в локальной среде. Оставьте локальные привилегированные роли локальными.
3. Убедитесь, что требования к оборудованию для синхронизации Microsoft Entra Connect соответствуют размеру вашей организации.

Настройка Identity Foundation с помощью идентификатора Microsoft Entra

Стратегия "Никому не доверяй" требует явного выполнения проверки, применения принципов доступа с минимальными привилегиями и предположения о нарушении. Идентификатор Microsoft Entra может выступать в качестве точки принятия решений политики, чтобы применить политики доступа на основе аналитических сведений о пользователе, конечной точке, целевом ресурсе и среде.

Поместите идентификатор Microsoft Entra в путь к каждому запросу на доступ. Этот процесс подключает каждого пользователя, приложения и ресурсы через общую плоскость управления удостоверениями и предоставляет идентификатор Microsoft Entra с сигналами, чтобы принять наилучшие решения о риске проверки подлинности и авторизации. Кроме того, единый вход (SSO) и согласованные политики обеспечивают более удобный интерфейс пользователя и способствуют повышению производительности.

Интеграция всех приложений с идентификатором Microsoft Entra

Единый вход запрещает пользователям покидать копии своих учетных данных в различных приложениях и помогает избежать фишинговых атак или усталости MFA из-за чрезмерного запроса.

Убедитесь, что в вашей среде нет нескольких решений управления удостоверениями и доступом (IAM). Это дублирование уменьшает сигналы о том, что идентификатор Microsoft Entra ID видит, позволяет плохим субъектам жить в тени между двумя двигателями IAM и приводит к плохому взаимодействию с пользователем. Эта сложность может привести к тому, что ваши бизнес-партнеры становятся сомневаться в вашей стратегии нулевого доверия.

Выполните следующие действия:

1. Интегрируйте современные корпоративные приложения, которые поддерживают OAuth 2.0 или SAML.
2. Для приложений проверки подлинности на основе форм и kerberos интегрируйте их с помощью прокси приложения Microsoft Entra.
3. Если вы публикуете устаревшие приложения с помощью сетей доставки приложений или контроллеров, используйте идентификатор Microsoft Entra для интеграции с большинством основных (например, Citrix, Akamai и F5).
4. Чтобы узнать и перенести приложения из ADFS и существующих и старых обработчиков IAM, ознакомьтесь с ресурсами для переноса приложений в идентификатор Microsoft Entra.
5. Автоматизация подготовки пользователей.

Явная проверка с помощью строгой проверки подлинности

Выполните следующие действия:

1. Развертывание многофакторной проверки подлинности Microsoft Entra. Это основная часть снижения риска сеанса пользователя. По мере добавления пользователей на новых устройствах и в новых расположениях возможность ответить на запрос проверки MFA является одним из наиболее прямых способов, которым пользователи, работающие по всему миру, могут подтвердить, что это известные устройства и расположения (без необходимости анализа отдельных сигналов администраторами).
2. Блокируйте устаревшие методы проверки подлинности. Одним из наиболее распространенных векторов атак вредоносных субъектов является использование украденных и воспроизведения учетных данных для устаревших протоколов, таких как SMTP, которые не могут выполнять современные проблемы безопасности.

II. Управление доступом к шлюзам и предоставление действий по исправлению с помощью политик условного доступа

Условный доступ Microsoft Entra анализирует такие сигналы, как пользователь, устройство и расположение, чтобы автоматизировать решения и применять политики доступа организации для ресурса. Политики условного доступа можно использовать для применения таких элементов управления доступом, как многофакторная проверка подлинности (MFA). Политики условного доступа позволяют запрашивать пользователей многофакторной идентификации при необходимости для обеспечения безопасности и оставаться вне возможности пользователей, если это не требуется.

Корпорация Майкрософт предоставляет стандартные условные политики, называемые параметрами безопасности по умолчанию, которые обеспечивают базовый уровень безопасности. Однако вашей организации может потребоваться больше гибкости, чем предложение по умолчанию для безопасности. Условный доступ можно использовать, чтобы настроить параметры безопасности по умолчанию с большей степенью детализации и установить новые политики, соответствующих вашим требованиям.

Заблаговременное планирование политик условного доступа и применение набора активных и резервных политик — вот базовый принцип применения политик доступа в развертывании на основе модели "Никому не доверяй". Время на настройку известных сетевых расположений в вашей среде. Даже если эти сетевые расположения не используются в политике условного доступа, настройка этих IP-адресов сообщает о риске Защита идентификации Microsoft Entra.

Действия

• Ознакомьтесь с нашим руководством по развертыванию и рекомендациями по созданию устойчивых политик условного доступа.

Регистрация устройств с помощью идентификатора Microsoft Entra для ограничения доступа от уязвимых и скомпрометированных устройств

Выполните следующие действия:

1. Включите гибридное соединение Microsoft Entra или присоединение Microsoft Entra. Если вы управляете ноутбуком или компьютером пользователя, доведите эти сведения в идентификатор Microsoft Entra и используйте его для принятия лучших решений. Например, позволяя богатым клиентам, которые имеют автономные копии на компьютере, доступ к данным, если вы знаете, что пользователь поступает с компьютера, который управляет вашей организацией и управляет ими.
2. Включите службу Intune в Microsoft Endpoint Manager (EMS) для управления мобильными устройствами пользователей и регистрации устройств. То же самое можно сказать о мобильных устройствах пользователей, как о ноутбуках: чем больше вы знаете о них (уровень исправлений, тюрьма, корень и т. д.), тем больше вы можете указать, почему вы блокируете или разрешаете доступ.

III. Расширение возможностей наблюдения с помощью аналитики

При создании своего имущества в идентификаторе Microsoft Entra с проверкой подлинности, авторизацией и подготовкой важно иметь надежную оперативную информацию о том, что происходит в каталоге.

Настройка ведения журнала и отчетов для улучшения видимости

Действия

• Запланируйте развертывание отчетов и мониторинга Microsoft Entra, чтобы иметь возможность сохранять и анализировать журналы из идентификатора Microsoft Entra, в Azure или с помощью выбранной системы SIEM.

IV. Управление удостоверениями и привилегиями доступа с помощью системы управления идентификацией

После достижения первоначальных целей сосредоточьтесь на других задачах, таких как более надежное управление удостоверениями.

Защита привилегированного доступа с помощью управления привилегированными пользователями

Управляйте конечными точками, условиями и учетными данными, используемыми пользователями для доступа к привилегированным операциям и ролям.

Выполните следующие действия:

1. Возьмите на себя управление привилегированными удостоверениями. Привилегированный доступ — это не только административный доступ, но и доступ к приложению или разработчику, который может изменить способ запуска и обработки данных критически важных приложений.
2. Используйте управление привилегированными пользователями для защиты привилегированных удостоверений.

Ограничение применения согласия пользователя для приложений

Согласие пользователей на приложения — это распространенный способ для современных приложений для получения доступа к ресурсам организации, но существуют некоторые рекомендации, которые следует учитывать.

Выполните следующие действия:

1. Ограничьте применение согласия пользователя и управляйте запросами на согласие, чтобы предотвратить ненужную передачу данных вашей организации в приложения.
2. Изучите данные о предоставленных ранее или на текущий момент согласиях в организации, чтобы выявить случаи чрезмерных или вредоносных запросов на согласие.

Дополнительные сведения о средствах защиты от тактики доступа к конфиденциальной информации см. в разделе "Strengthen protection against cyber threats and rogue apps" (Усиление защиты от кибератак и мошеннических приложений) в нашем руководстве по реализации стратегии "Никому не доверяй" для системы идентификации.

Управление правами

Благодаря централизованной проверке подлинности приложений с помощью идентификатора Microsoft Entra можно упростить запрос на доступ, утверждение и повторное сертификацию, чтобы убедиться, что у правильных пользователей есть правильный доступ, и у вас есть след, почему пользователи в организации имеют доступ.

Выполните следующие действия:

1. Используйте управление правами для создания пакетов доступа, которые пользователи смогут запрашивать при присоединении к различным командам или проектам, чтобы получить доступ к связанным ресурсам (таким как приложения, сайты SharePoint, членство в группах).
2. Если развертывание управления правами в вашей организации в настоящее время невозможно, по крайней мере реализуйте парадигмы самообслуживания, развернув самостоятельное управление группами и самостоятельный доступ к приложениям.

Использование проверки подлинности без пароля для снижения риска фишинговых атак и взлома паролей

С помощью идентификатора Microsoft Entra, поддерживающего вход FIDO 2.0 и без пароля, вы можете переместить иглу на учетные данные, которые пользователи (особенно конфиденциальные и привилегированные пользователи) используются ежедневно. Эти учетные данные являются факторами строгой проверки подлинности, которые могут дополнительно снизить риски.

Действия

• Начните развертывание учетных данных без пароля в организации.

V. Анализ в реальном времени пользователей, устройств, расположений и поведения для определения риска и обеспечения постоянной защиты

Анализ в реальном времени является критически важным для определения рисков и защиты от них.

Развертывание защиты паролей Microsoft Entra

Реализовав прочие явные методы проверки пользователей, не следует пренебрегать угрозами взлома ненадежных паролей, распыления паролей и атаками методом воспроизведения бреши. И классические сложные политики паролей не предотвращают наиболее распространенные атаки паролей.

Действия

• Включите защиту паролей Microsoft Entra для пользователей в облаке и локальной среде.

Включение Защита идентификации Microsoft Entra

Получение более детализированного сигнала о риске сеанса или пользователя с помощью Защита идентификации Microsoft Entra. Вы можете включить варианты исследования рисков и исправления на основе изменяющихся потребностей вашей организации в области безопасности.

Действия

• Включите Защита идентификации Microsoft Entra.

Включение интеграции приложений Microsoft Defender для облака с Защита идентификации Microsoft Entra

Microsoft Cloud App Security (MCAS) отслеживает поведение пользователей в приложениях SaaS и современных приложениях. Этот сигнал сообщает идентификатору Microsoft Entra о том, что произошло с пользователем после проверки подлинности и получения маркера. Если шаблон пользователя начинает выглядеть подозрительно, сигнал может передаваться Защита идентификации Microsoft Entra и условному доступу, уведомляя его о том, что пользователь, кажется, скомпрометирован или высокий риск. При следующем запросе доступа от этого пользователя идентификатор Microsoft Entra может правильно выполнить действия, чтобы проверить пользователя или заблокировать их.

Действия

• Включите мониторинг Defender для облака Приложений для обогащения сигнала Защита идентификации Microsoft Entra.

Включение интеграции условного доступа с приложениями Microsoft Defender для облака

Использование сигналов, создаваемых после проверки подлинности и с помощью запросов прокси-сервера приложений Defender для облака для приложений, вы сможете отслеживать сеансы, поступающие в приложения SaaS, и применять ограничения.

Выполните следующие действия:

1. Включите интеграцию условного доступа.

2. Расширьте применение условного доступа на локальные приложения.

Применение ограниченного сеанса в решениях о предоставлении доступа

Если риск пользователя низкий, но он входит из неизвестной конечной точки, может потребоваться разрешить доступ к ресурсам, но не позволить им выполнять действия, которые предоставляют вашей организации рискованные действия. Вы можете настроить Exchange Online и SharePoint Online, чтобы предложить пользователю ограниченный сеанс, позволяющий им читать сообщения электронной почты или просматривать файлы, но не скачивать их и сохранять их на ненадежном устройстве.

Действия

• Включите ограниченный доступ к SharePoint Online и Exchange Online.

VI. Объединение сигналов об угрозе из других решений по обеспечению безопасности для улучшения обнаружения, защиты и реагирования

Наконец, можно интегрировать другие решения по обеспечению безопасности для повышения эффективности.

Интеграция Microsoft Defender для удостоверений с приложениями Microsoft Defender для облака

Интеграция с Microsoft Defender для удостоверений позволяет идентификатору Microsoft Entra знать, что пользователь в рискованном поведении при доступе к локальным немодерным ресурсам (например, к общим папкам). Этот сигнал может быть учтен в общем риске, возможно, блокирует дальнейший доступ в облаке.

Выполните следующие действия:

1. Включите Microsoft Defender для удостоверений с Microsoft Defender для облака Apps для передачи локальных сигналов в сигнал риска, который мы знаем о пользователе.
2. Проверьте объединенную оценку приоритета анализа для каждого рискового пользователя, чтобы получить целостное представление о том, на ком из них должно сосредоточиться ваше приложение SOC.

Включение Microsoft Defender для конечной точки

Microsoft Defender для конечной точки позволяет проверить работоспособность компьютеров Windows и определить, проходят ли они компромисс. Затем эти сведения можно передать в службу снижения рисков во время выполнения. Присоединение к домену дает вам ощущение контроля, а Defender для конечной точки позволяет реагировать на атаки вредоносных программ практически в реальном времени, выявляя закономерности, в которых несколько пользовательских устройств попадают на ненадежные сайты, и реагируя на них повышением уровня риска устройств или пользователей во время выполнения.

Действия

• Настройка условного доступа в Microsoft Defender для конечной точки

Защита удостоверения в соответствии с исполнительным указом 14028 по кибербезопасности и меморандуму OMB 22-09

Исполнительный указ 14028 по улучшению кибербезопасности и меморандума OMB 22-09 включает конкретные действия по нулю доверия. Действия с удостоверениями включают использование централизованных систем управления удостоверениями, использование строгой фишинго-устойчивой MFA и включение по крайней мере одного сигнала на уровне устройства в решениях по авторизации. Подробные инструкции по реализации этих действий с идентификатором Microsoft Entra см. в разделе "Соответствие требованиям к удостоверениям меморандума 22-09 с идентификатором Microsoft Entra".

Продукты, описанные в данном руководстве

• Microsoft Entra ID
• Microsoft Defender для удостоверений
• Microsoft Endpoint Manager (включает в себя Microsoft Intune);
• Microsoft Defender для конечной точки
• SharePoint Online
• Exchange Online

Заключение

Идентификация является ключевой составляющей успешной реализации стратегии "Никому не доверяй". Для получения дополнительных сведений или справки по реализации обратитесь к вашей группе успеха клиентов или продолжайте читать другие разделы этого руководства, охватывающие все основные принципы нулевого доверия.

Серия руководств по развертыванию с использованием модели "Никому не доверяй"