Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Имя компонента: защита клиентов и изоляция рабочих систем
Имя шаблона: защита всех арендаторов и их ресурсов
Чтобы снизить риски безопасности неотслеченных клиентов и отсутствия визуализации, корпорация Майкрософт реализовала шаблон защиты всех клиентов и их ресурсов. Это обеспечивает комплексное управление и безопасность для всех арендаторов в соответствии с принципами нулевого доверия.
Контекст и проблема
Первым шагом в обеспечении безопасности клиента является обнаружение. Без полной инвентаризации, безопасности и управления невозможно добиться успеха. Многие организации не имеют видимости для активных, устаревших и теневых клиентов, оставляя неуправляемые среды уязвимыми для эксплуатации.
Корпорация Майкрософт в значительной степени инвестировала в идентификацию и каталогизацию всех клиентов в своих средах. К ним относятся рабочие, производительность и тестирование, а также временные клиенты. Без надежного управления обнаружением и жизненным циклом даже клиенты с низким риском могут стать теневой инфраструктурой — неотслеживаемой, неисправленной и эксплуатируемой в качестве перевалочных пунктов для злоумышленников.
К ключевым рискам относятся:
- Боковое перемещение из непроизводственных в рабочие клиенты.
- Устаревшие или неактивные клиенты без базовых показателей безопасности или элементов управления жизненным циклом.
- Секреты общего пользования и неправильные настройки позволяют повторно использовать учетные данные в разных тенантах.
Solution
В рамках инициативы безопасного будущего (SFI) корпорация Майкрософт реализовала безопасность всех клиентов и их ресурсов путем применения базовых показателей клиентов, управления жизненным циклом и стандартизации защиты в облачных средах.
- Стандартизованная библиотека ведения журнала безопасности: обеспечивает согласованное сбор данных в службах, что снижает разрывы в наблюдаемости.
- Централизованная коллекция журналов: специализированные учетные записи следователей обеспечивают единый доступ к журналам между службами, упрощая корреляцию и ускоряя исследования.
- Расширенное хранение журналов: журналы аудита, сохраненные до двух лет в службах Майкрософт, чтобы обеспечить судебное расследование долгосрочных шаблонов атак.
- Расширенная аналитика обнаружения. Интеграция моделей машинного обучения и искусственного интеллекта улучшает обнаружение сложных методов атаки и снижает ложные срабатывания.
- Расширенное ведение журнала клиентов: корпорация Майкрософт увеличила стандартное хранение журналов аудита для клиентов Microsoft 365 до 180 дней с вариантами более длительного хранения.
Подход Корпорации Майкрософт включает в себя следующее:
- Базовые показатели безопасности: предварительно настроенные шаблоны безопасности клиента для обеспечения согласованности и ускорения защиты.
- Управление классификацией клиентов и жизненным циклом: классификация клиентов по назначению (производство, производительность, вспомогательные, временные) и применение элементов управления по умолчанию соответствующим образом.
- Внедрение условного доступа: управление процессом аутентификации и авторизации в масштабе, включая эфемерные клиенты и неуправляемые аккаунты.
- Безопасные рабочие станции администрирования (SAWs): устройства, изолированные от оборудования, разделяющие привилегированный доступ от доступа к производительности.
- Мониторинг и аналитика: Централизованные данные безопасности с помощью журналов аудита, оценки безопасности Майкрософт и интеграции Defender.
- Управление секретами и изоляция учетных данных: предотвращение общего доступа к секретам между клиентами и применение фишинго-устойчивых MFA.
- Предотвращение бокового движения: Предотвращение бокового перемещения путем изоляции рабочих и непроизводственных клиентов.
- Устаревшие и неактивные арендаторы: Устаревшие и неактивные арендаторы были деактивированы через аудит жизненного цикла.
- Видимость состояния защиты: Улучшена видимость состояния защиты с помощью Secure Score во всех филиалах клиентов.
- Разрастание арендаторов: Сокращение масштабов разрастания арендаторов и применение строгих мер контроля при создании новых арендаторов.
Эти действия гарантируют, что все клиенты , независимо от цели или происхождения, являются видимыми, управляемыми и защищенными в соответствии с принципами нулевого доверия.
Руководство
Организации могут применять аналогичный шаблон, используя следующие практические методики:
| Сценарий использования | Рекомендуемое действие | Resource |
|---|---|---|
| Базовые элементы управления безопасностью | Применяйте параметры безопасности Майкрософт по умолчанию для всех клиентов, а затем расширяйте базовые показатели Microsoft 365 Lighthouse для обеспечения жесткой защиты в масштабе предприятия. | |
| Условный доступ |
|
|
| Управление привилегированным доступом | Используйте управление привилегированными удостоверениями (PIM) для доступа по принципу «в нужный момент» (JIT) и «достаточного доступа» (JEA), чтобы свести к минимуму постоянные административные привилегии. | |
| Изоляция клиента |
|
|
| Мониторинг и обнаружение угроз |
|
Преимущества
- Стандартизованное усиление: Базовые показатели безопасности гарантируют, что все арендаторы соответствуют минимальным уровням защиты.
- Уменьшенная область атаки: Устаревшие, тени и неиспользуемые клиенты систематически удаляются.
- Улучшенная система управления: Центральная инвентаризация и классификация поддерживают непрерывное соответствие требованиям и надзор.
- Контролируемый доступ: Условный доступ, управление доступом на основе ролей (RBAC) и многофакторная проверка подлинности (MFA) защищают удостоверения и ограничивают риски внешнего общего доступа.
- Расширенное обнаружение и ответ: Интегрированные данные безопасности и журналы обеспечивают видимость для всех клиентов.
Компромиссы
Для реализации этого подхода требуется:
- Создание централизованного управления политиками жизненного цикла арендатора.
- Инвестиции в автоматизацию (приложение политики по умолчанию, рабочие процессы окончания срока действия).
- Возможное изменение архитектуры моделей доступа (например, разделение prod/non-prod). Первоначальное внедрение SAW усложняет устройство и увеличивает его стоимость.
- Обучение и контроль за соблюдением, необходимые для устранения скрытых арендаторов и повторного использования учетных данных.
Ключевые факторы успеха
Чтобы отслеживать успешность, выполните следующие действия.
- Процент арендаторов с принудительно применяемыми базовыми показателями безопасности
- Количество устаревших или теневых тенантов, выведенных из эксплуатации
- Охват централизованной отчетности по инвентаризации и соответствию требованиям
- Процент учетных записей с активированным MFA
- Улучшение оценки безопасности в метриках оценки безопасности Майкрософт
- Объем заблокированных попыток устаревшей аутентификации или несанкционированных событий общего доступа
Сводка
Защита всех клиентов и их ресурсов является основой для основных компонентов SFI Корпорации Майкрософт: secure by Design, Secure by Default и Secure Operations.
С помощью базовых политик, управления жизненным циклом и непрерывного надзора организации могут снизить риск, обеспечить согласованную защиту и предотвратить подрыв теневой инфраструктуры. В большом масштабе это гарантирует, что все удостоверения, точка доступа и клиент защищены с помощью проектирования.