Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В модели "Никому не доверяй" идентичность является базовой плоскостью управления. Каждое решение о предоставлении доступа к устройству, приложению или ресурсу данных начинается с проверки того, кто такой пользователь, какими привилегиями он обладает и соответствует ли его контекст политике.
Аспект Identity в семинаре "Никому не доверяй" гарантирует, что организации следуют принципам "Никому не доверяй" (явно проверять, соблюдать принцип минимально необходимых привилегий и исходить из возможности компрометации) в отношении всех удостоверений. Он предоставляет приоритизированный список задач по внедрению с конкретными действиями для модернизации средств управления идентификацией.
Руководство по проведению семинара по компоненту Identity посвящено оценке текущего состояния системы управления идентификацией, выявлению пробелов и определению приоритетных действий для модернизации средств контроля идентификации, снижения рисков и обеспечения безопасного, бесперебойного доступа во всей вашей среде.
Реализация семинаров
Семинар по идентификации охватывает области реализации, приведенные в таблице.
| Area | Сведения |
|---|---|
| Проведите инвентаризацию активов идентификации и изучите их | Составьте полный перечень пользователей, приложений, субъектов-служб, групп и атрибутов идентификации. Назначьте владельцев, определите ответственность и классифицируйте критически важные идентификационные активы, чтобы обеспечить управление и прозрачность во всей идентификационной среде. |
| Создание надежной основы условного доступа | Реализуйте комплексную стратегию условного доступа, которая постоянно оценивает удостоверение, состояние устройства, сигналы риска и контекст сеанса. Определите и примените согласованные политики доступа для пользователей, приложений и сценариев, включая рабочую силу, гостей и устаревшие пути доступа. |
| Модернизация проверки подлинности и устранение устаревших протоколов | Стандартизируйте современную проверку подлинности во всех приложениях и службах. Исключите устаревшие методы проверки подлинности и перенесите существующие системы в безопасные протоколы проверки подлинности на основе стандартов, чтобы снизить уязвимость к атакам на основе учетных данных. |
| Преобразование инфраструктуры приложений и удостоверений | Уменьшите зависимость от локальных систем идентификации за счет переноса приложений на аутентификацию на основе Microsoft Entra ID и единый вход (SSO). Выведите из эксплуатации устаревшую инфраструктуру федерации и управления веб-доступом. Модернизация шаблонов доступа к приложениям для поддержки "Никому не доверяй". |
| Обеспечьте принцип наименьших привилегий и ролевое управление доступом | Назначайте доступ в соответствии с должностными функциями с помощью ролевого управления доступом (RBAC) и пакетов доступа. Определите модели ролей, примените минимальные привилегии и непрерывно проверяйте доступ с помощью проверок доступа и управления на основе политик, чтобы гарантировать, что у пользователей есть только необходимые разрешения. |
| Защитите привилегированные идентификационные данные и идентификационные данные рабочих нагрузок | Защитите административные учетные записи и учетные записи с высоким уровнем риска с помощью доступа точно в срок (JIT), управление привилегированными пользователями (PIM), надежной аутентификации и усиленно защищенных путей доступа. Расширьте управление и меры защиты для удостоверений рабочих нагрузок и субъектов-службы, чтобы снизить риск, связанный с избыточно привилегированными или неуправляемыми удостоверениями. |
| Настройте управление идентификационными данными и процессы их подготовки | Определите авторитетные источники данных об идентичности, схемы атрибутов и потоки данных между системами. Реализуйте процессы подготовки учетных записей и коннекторы, чтобы идентификационные данные оставались согласованными, точными и надежно синхронизировались между приложениями и службами. |
| Автоматизируйте жизненный цикл учетных записей и их предоставление | Реализуйте автоматизированные процессы предоставления и управления жизненным циклом (прием, перевод, увольнение) в системах-источниках данных, таких как HR-платформы. Убедитесь, что доступ предоставляется, обновляется и удаляется автоматически на основе событий жизненного цикла с мониторингом и проверкой процессов подготовки. |
| Повышение безопасности учетных данных с помощью проверки подлинности без пароля | Сократите зависимость от паролей, внедрив защиту паролей и развернув устойчивые к фишингу методы беспарольной аутентификации, такие как FIDO2, Windows Hello for Business и Microsoft Authenticator. Внедрение надежных методов проверки подлинности в организации. |
| Управление внешними и партнерскими удостоверениями | Установите контролируемые процессы подключения, назначения доступа и жизненного цикла для внешних пользователей и партнерских организаций. Реализуйте пакеты доступа, механизмы спонсорства и мониторинг, чтобы обеспечить надлежащее управление внешними удостоверениями в соответствии с политиками организации. |
| Очистка и исправление существующего доступа | Выявите и устраните учетные записи с избыточными правами, неиспользуемые цифровые удостоверения и устаревшие членства в группах. Проводите проверки доступа и реализуйте текущие процессы управления, чтобы обеспечить минимальные привилегии и снизить накопленный риск идентификации с течением времени. |
| Включение мониторинга безопасности идентификации и реагирования (SecOps) | Интеграция сигналов идентификации в операции безопасности путем включения защиты идентификации, обнаружения угроз и централизованного ведения журнала. Отслеживайте состояние безопасности учетных записей, обнаруживайте подозрительные действия, а также расследуйте угрозы, связанные с учетными записями, и реагируйте на них с помощью аналитики безопасности и операционных сценариев. |
Проверка личности
Инструмент оценки "Никому не доверяй" позволяет оценить конфигурацию системы управления идентификацией на соответствие ряду рекомендаций по обеспечению безопасности. Подробнее.
Дальнейшие действия
Запустите оценку и начните семинар по вопросам идентификации.