Обзор. Защита удостоверений и секретов

Инициатива "Безопасное будущее" (SFI) — это многопользовательская инициатива кросс-Майкрософт для повышения безопасности того, как корпорация Майкрософт разрабатывает, создает, тестирует и управляет своими продуктами и службами. SFI основан на:

  • Набор принципов безопасности, которые управляют тем, как мы внедряем инновации в проектировании безопасности, реализуем эти инновации в продуктах Майкрософт в качестве безопасных по умолчанию и стандартам, а также предоставляют внутренние и внешние рекомендации по безопасности. Подробнее.
  • Набор приоритетных принципов безопасности и целей. Подробнее.

В этой статье представлен обзор компонента SFI "Защита удостоверений и секретов".

Перед началом работы

Основные принципы и цели

Столп "Защита удостоверений и секретов" направлен на достижение следующих целей:

  • Повышение доверия к каждому удостоверению и учетным данным, используемым в системах Майкрософт, устраняя недостатки в том, как учетные записи, маркеры и секреты выдаются, хранятся и используются.
  • Уменьшите риск несанкционированного доступа, применяя стандарты для защиты инфраструктуры удостоверений и секретов, а также контроля проверки подлинности пользователей и приложений и авторизации.

Цели Майкрософт и сопоставление нулевого доверия и NIST для этого компонента приведены в следующей таблице.

Цель "Столп" "Никому не доверяй" Сопоставление NIST
1. Защита ключей шифрования подписывания

Защита ключей инфраструктуры удостоверений и платформы с помощью быстрого и автоматического поворота ключей инфраструктуры удостоверений с помощью аппаратного хранилища и защиты.		 Проверяйте явно: защита идентификационных данных. Встраивайте надежное подтверждение ключей в рабочие процессы.

Предположим, что нарушение: защищайте ключи так, как если бы могла произойти компрометация, используя аппаратно-основанную изоляцию.		 PR. AA-04 (Доступ ограничен с помощью сегментации и наименьших привилегий)
Защита ключей зависит от строгой сегментации доступа и авторизации с минимальными привилегиями, чтобы ограничить использование ключей изолированными, выделенными средами хранилища ключей и удалять ненужные пути доступа и бокового перемещения к хранилищу ключей.

PR.PS-01 (активы официально оцениваются, чтобы обеспечить соответствие требованиям безопасности перед утверждением для использования)
Ключи должны создаваться и храниться в соответствии со стандартами безопасности по умолчанию.
2. Внедрение стандартных пакетов SDK для удостоверений

Укрепление стандартов идентификационных данных и внедрение стандартов с использованием стандартных пакетов SDK для приложений, чтобы приложения и службы использовали единую, усиленную библиотеку для проверки токенов.		 Проводите явную проверку: проверенные библиотеки по стандартам снижают вариативность и риск. Используйте согласованную проверку.

Предположение о взломе: снижает поверхность атаки для кастомных реализаций.		 PR. AA-01 (удостоверения проходят проверку подлинности соизмеримы с риском)
Использование стандартных пакетов SDK обеспечивает надежные и согласованные потоки проверки подлинности.

PR. AA-02 (Доступ авторизован с помощью атрибутов на основе ролей)
Стандартные пакеты SDK интегрируются с Microsoft Entra RBAC и применяют ролевые утверждения токенов.

PR.AA-03 (Доступ авторизован на основе атрибутов и контекстных атрибутов)
Стандартные пакеты SDK автоматически применяют условный доступ, контекст устройства, требования MFA и сигналы риска для контекстной авторизации.
3. Обеспечение устойчивой к фишингу многофакторной аутентификации (MFA)

Убедитесь, что учетные записи пользователей защищены с помощью безопасного manEnforcaged, фишингозащищенного MFA.		 Проверяйте явно: сильные методы аутентификации проверяют удостоверение пользователя при каждой попытке доступа.

Использование наименьших привилегий: MFA укрепляет принудительное применение наименее привилегированных прав, уменьшая несанкционированный доступ.		 PR. AA-01 (удостоверения проходят проверку подлинности соизмеримы с риском)
Устойчивый к фишингу MFA использует надежную проверку подлинности, соответствующую уровню риска.

PR.AA-03 (Доступ авторизован на основе атрибутов и контекстных атрибутов)
Фишинго-устойчивый MFA усиливает контекстуальные решения по доступу.
4. Стандарт безопасности секретов

Измените подход от использования длительно действующих секретов, таких как учетные данные учетных записей служб, к защите приложений с помощью учетных данных, управляемых системой, таких как управляемые удостоверения.		 Используйте наименьшие привилегии: ограничить доступ к секретам. Избегайте жестко закодированных или постоянных учетных данных.

Предположим, нарушение: относитесь к каждому секрету как потенциально скомпрометированному, если он не надежно охраняется.		 PR. AA-04 (Доступ ограничен с помощью сегментации и принципа наименьших привилегий)
Стандарты безопасного обращения с секретами ограничивают, какие идентификаторы и службы могут получать доступ или использовать секреты, обеспечивая принцип наименьших привилегий и устраняя пути бокового перемещения, вызванные статическими учетными данными.

PR.DS-01 (данные управляются в соответствии с корпоративными требованиями)
Секреты обрабатываются в соответствии с требованиями жизненного цикла и хранилища, такими как централизованное хранилище, смена и ведение журнала.

PR.PS-01 (активы официально оцениваются, чтобы обеспечить соответствие требованиям безопасности перед утверждением для использования)
Использование безопасных секретов означает, что приложения и службы должны соответствовать базовым параметрам безопасности.
5. Проверка состояния для токенов идентификации

Убедитесь, что токены идентификации защищены с помощью проверки состояния и времени действия.		 Явная проверка: полностью проверяйте токены идентификации в каждой контрольной точке.

Предположим, нарушение. Убедитесь, что недопустимые или неправильные маркеры отклоняются.		 PR.AA-03 (Доступ авторизован на основе атрибутов и контекстных атрибутов)
Проверка токенов предоставляет контекст идентификации в режиме реального времени для принятия решений об авторизации.

ДЕ. AE-02 (обнаруженные события анализируются для понимания целевых и методов атак)
Проверка с отслеживанием состояния обнаруживает аномальные действия, такие как поддельные токены и необычное использование токенов.

ДЕ. AE-07 (процессы обнаружения и анализа аномальных действий для поддержки ответа и восстановления)
Так как маркеры проверяются непрерывно, SFI может быстро выявлять и реагировать на несанкционированное действие маркеров, чтобы улучшить обнаружение и уменьшить время ожидания злоумышленника.
6. Тонкое секционирование ключей

Более точное секционирование ключей подписывания удостоверений и ключей платформы.		 Используйте наименьшие привилегии: секционирование ограничивает области привилегий для использования ключей.

Предполагаемое нарушение: ограничивает последствия, если ключевой сегмент скомпрометирован.		 PR. AA-04 (Доступ ограничен с помощью принципов сегментации и наименьших привилегий)
Детальное секционирование ключей обеспечивает строгое сегментирование ключевых материалов, предотвращая латеральное перемещение по ключевым ресурсам.

PR. AA-05 (разрешения и авторизация управляются, применяются и периодически проверяются)
Секционированные ключи требуют жесткого контроля авторизации, непрерывной проверки и соблюдения границ, чтобы обеспечить доступ к изолированным разделам ключей только правильным удостоверениям служб.
7. Квантовые безопасные системы PKI

Убедитесь, что системы PKI удостоверений и сертификатов готовы к использованию после квантового криптографического мира.		 Убедитесь явно: используйте пост-квантовую криптографию для удостоверений личности.

Предполагаем нарушение: предвидьте будущие угрозы; подготовьтесь к более сильному сопротивлению.		 PR. AA-04 (Доступ ограничен с помощью принципов сегментации и наименьших привилегий)
Квантовый безопасный PKI требует сегментированного, наименее привилегированного доступа к системам подписывания ключей, ЦС, HSMS и т. д.

Дальнейшие шаги

  • Last updated on