Защита всех клиентов и их ресурсов (безопасная инициатива будущего)

Имя компонента: защита клиентов и изоляция рабочих систем
Имя шаблона: защита всех арендаторов и их ресурсов

Чтобы снизить риски безопасности неотслеченных клиентов и отсутствия визуализации, корпорация Майкрософт реализовала шаблон защиты всех клиентов и их ресурсов. Это обеспечивает комплексное управление и безопасность для всех арендаторов в соответствии с принципами нулевого доверия.

Контекст и проблема

Первым шагом в обеспечении безопасности клиента является обнаружение. Без полной инвентаризации, безопасности и управления невозможно добиться успеха. Многие организации не имеют видимости для активных, устаревших и теневых клиентов, оставляя неуправляемые среды уязвимыми для эксплуатации.

Корпорация Майкрософт в значительной степени инвестировала в идентификацию и каталогизацию всех клиентов в своих средах. К ним относятся рабочие, производительность и тестирование, а также временные клиенты. Без надежного управления обнаружением и жизненным циклом даже клиенты с низким риском могут стать теневой инфраструктурой — неотслеживаемой, неисправленной и эксплуатируемой в качестве перевалочных пунктов для злоумышленников.

К ключевым рискам относятся:

  • Боковое перемещение из непроизводственных в рабочие клиенты.
  • Устаревшие или неактивные клиенты без базовых показателей безопасности или элементов управления жизненным циклом.
  • Секреты общего пользования и неправильные настройки позволяют повторно использовать учетные данные в разных тенантах.

Solution

В рамках инициативы безопасного будущего (SFI) корпорация Майкрософт реализовала безопасность всех клиентов и их ресурсов путем применения базовых показателей клиентов, управления жизненным циклом и стандартизации защиты в облачных средах.

  • Стандартизованная библиотека ведения журнала безопасности: обеспечивает согласованное сбор данных в службах, что снижает разрывы в наблюдаемости.
  • Централизованная коллекция журналов: специализированные учетные записи следователей обеспечивают единый доступ к журналам между службами, упрощая корреляцию и ускоряя исследования.
  • Расширенное хранение журналов: журналы аудита, сохраненные до двух лет в службах Майкрософт, чтобы обеспечить судебное расследование долгосрочных шаблонов атак.
  • Расширенная аналитика обнаружения. Интеграция моделей машинного обучения и искусственного интеллекта улучшает обнаружение сложных методов атаки и снижает ложные срабатывания.
  • Расширенное ведение журнала клиентов: корпорация Майкрософт увеличила стандартное хранение журналов аудита для клиентов Microsoft 365 до 180 дней с вариантами более длительного хранения.

Подход Корпорации Майкрософт включает в себя следующее:

  • Базовые показатели безопасности: предварительно настроенные шаблоны безопасности клиента для обеспечения согласованности и ускорения защиты.
  • Управление классификацией клиентов и жизненным циклом: классификация клиентов по назначению (производство, производительность, вспомогательные, временные) и применение элементов управления по умолчанию соответствующим образом. 
  • Внедрение условного доступа: управление процессом аутентификации и авторизации в масштабе, включая эфемерные клиенты и неуправляемые аккаунты.
  • Безопасные рабочие станции администрирования (SAWs): устройства, изолированные от оборудования, разделяющие привилегированный доступ от доступа к производительности.
  • Мониторинг и аналитика: Централизованные данные безопасности с помощью журналов аудита, оценки безопасности Майкрософт и интеграции Defender.
  • Управление секретами и изоляция учетных данных: предотвращение общего доступа к секретам между клиентами и применение фишинго-устойчивых MFA.
  • Предотвращение бокового движения: Предотвращение бокового перемещения путем изоляции рабочих и непроизводственных клиентов.
  • Устаревшие и неактивные арендаторы: Устаревшие и неактивные арендаторы были деактивированы через аудит жизненного цикла.
  • Видимость состояния защиты: Улучшена видимость состояния защиты с помощью Secure Score во всех филиалах клиентов.
  • Разрастание арендаторов: Сокращение масштабов разрастания арендаторов и применение строгих мер контроля при создании новых арендаторов.

Эти действия гарантируют, что все клиенты , независимо от цели или происхождения, являются видимыми, управляемыми и защищенными в соответствии с принципами нулевого доверия.

Руководство

Организации могут применять аналогичный шаблон, используя следующие практические методики:

Сценарий использования Рекомендуемое действие Resource
Базовые элементы управления безопасностью Применяйте параметры безопасности Майкрософт по умолчанию для всех клиентов, а затем расширяйте базовые показатели Microsoft 365 Lighthouse для обеспечения жесткой защиты в масштабе предприятия.
Условный доступ
  • Развертывание базовых политик условного доступа (ЦС): блокировка устаревшей проверки подлинности, требование MFA для всех пользователей и обеспечение соответствия устройств привилегированным ролям.
  • Расширьте политики, учитывающие риски и местоположение.
Управление привилегированным доступом Используйте управление привилегированными удостоверениями (PIM) для доступа по принципу «в нужный момент» (JIT) и «достаточного доступа» (JEA), чтобы свести к минимуму постоянные административные привилегии.
Изоляция клиента
  • Отдельные рабочие и нерабопроизводительные клиенты.
  • Устранение общих учетных записей администраторов и регистраций приложений в средах.
  • Применение отдельных базовых показателей условного доступа для каждого типа клиента.
Мониторинг и обнаружение угроз
  • Объедините Microsoft Defender для Identity (сигналы локальной AD) с защитой идентификаций Microsoft Entra (облачные сигналы риска).
  • Централизовать мониторинг для обнаружения бокового перемещения, кражи токенов и аномального поведения при входе.

Преимущества

  • Стандартизованное усиление: Базовые показатели безопасности гарантируют, что все арендаторы соответствуют минимальным уровням защиты.
  • Уменьшенная область атаки: Устаревшие, тени и неиспользуемые клиенты систематически удаляются.
  • Улучшенная система управления: Центральная инвентаризация и классификация поддерживают непрерывное соответствие требованиям и надзор.
  • Контролируемый доступ: Условный доступ, управление доступом на основе ролей (RBAC) и многофакторная проверка подлинности (MFA) защищают удостоверения и ограничивают риски внешнего общего доступа.
  • Расширенное обнаружение и ответ: Интегрированные данные безопасности и журналы обеспечивают видимость для всех клиентов.

Компромиссы

Для реализации этого подхода требуется:

  • Создание централизованного управления политиками жизненного цикла арендатора. 
  • Инвестиции в автоматизацию (приложение политики по умолчанию, рабочие процессы окончания срока действия).
  • Возможное изменение архитектуры моделей доступа (например, разделение prod/non-prod). Первоначальное внедрение SAW усложняет устройство и увеличивает его стоимость.
  • Обучение и контроль за соблюдением, необходимые для устранения скрытых арендаторов и повторного использования учетных данных.

Ключевые факторы успеха

Чтобы отслеживать успешность, выполните следующие действия.

  • Процент арендаторов с принудительно применяемыми базовыми показателями безопасности
  • Количество устаревших или теневых тенантов, выведенных из эксплуатации
  • Охват централизованной отчетности по инвентаризации и соответствию требованиям
  • Процент учетных записей с активированным MFA
  • Улучшение оценки безопасности в метриках оценки безопасности Майкрософт
  • Объем заблокированных попыток устаревшей аутентификации или несанкционированных событий общего доступа

Сводка

Защита всех клиентов и их ресурсов является основой для основных компонентов SFI Корпорации Майкрософт: secure by Design, Secure by Default и Secure Operations.

С помощью базовых политик, управления жизненным циклом и непрерывного надзора организации могут снизить риск, обеспечить согласованную защиту и предотвратить подрыв теневой инфраструктуры. В большом масштабе это гарантирует, что все удостоверения, точка доступа и клиент защищены с помощью проектирования.