LLPA

TECH Talk: Dostęp warunkowy w Azure AD

Autor: Goce Argirov, Microsoft Certyfikowany Trener | Konsultant | Architekt rozwiązań | Architekt Azure infrastruktury i bezpieczeństwa w Semos Education

 

Azure AD w sercu twojej strategii Zero Trust

Dawno minęły czasy, kiedy ochrona skupiała się na silnej obronie obwodowej, aby utrzymać złośliwych hakerów na zewnątrz. Wszystko poza obrębem było traktowane jako wrogie, podczas gdy wewnątrz muru systemy organizacji cieszyły się zaufaniem.

Dzisiejsza postawa w zakresie bezpieczeństwa polega na zakładaniu naruszenia, czyli na kierowaniu się inwestycjami w bezpieczeństwo, podejmowaniu decyzji projektowych i stosowaniu operacyjnych praktyk bezpieczeństwa. W swojej istocie, założenie naruszenia prowadzi do innego myślenia, do zmiany sposobu myślenia: jesteś już naruszony, albo będziesz - nie ma innego wyjścia.

W 2012 r. podczas wywiadu były dyrektor CIA i Agencji Bezpieczeństwa Narodowego stwierdził Generał na emeryturze: "Zasadniczo, jeśli ktoś chce wejść, to wchodzi". W porządku, dobrze. Zaakceptuj to."

W tym czasie wiele osób nie do końca rozumiało, o co mu naprawdę chodziło, ale to zdanie jest sednem podejścia zakładającego naruszenie.

Naruszenia danych mogą powodować niszczycielskie straty finansowe i wpływać na reputację organizacji przez lata. Naruszenia danych mają daleko idące konsekwencje, począwszy od strat w działalności gospodarczej, a skończywszy na grzywnach i kosztach naprawczych. W badaniu dotyczącym naruszenia danych w 2019 roku, przeprowadzonym przez Instytut Ponemon sponsorowany przez IBM, stwierdzono, że średni światowy koszt naruszenia danych w badaniu w 2019 roku wynosi 3,92 mln USD, co stanowi wzrost o 1,5% w porównaniu z badaniem w 2018 roku.

Badanie dotyczące naruszenia danych z 2019 r.

Mając to wszystko na uwadze, pewnie mówisz: ok, co teraz? Z mojego punktu widzenia, wdrożenie Zero Trust Architecture jest następną rzeczą, do której należy dążyć!

Niezależnie od tego, którego eksperta ds. bezpieczeństwa zapytasz o "model zerowego zaufania", wszyscy oni zgodzą się, że jest to najlepszy sposób na powstrzymanie naruszeń danych i usprawnienie ścieżki zgodności w Twojej organizacji. "Nigdy nie ufaj, zawsze weryfikuj" Zero Trust pomaga zabezpieczyć zasoby firmy poprzez eliminację nieznanych i niezarządzanych urządzeń oraz ograniczenie ruchów bocznych.

W 2010 roku John Kindervag, główny analityk w Forrester Research, stworzył model Zero Trust. Model ten stwierdza, że nie należy nigdy zakładać zaufania, lecz stale je potwierdzać. Kiedy użytkownicy, urządzenia i dane znajdowały się wewnątrz firewalla organizacji, zakładano, że są godne zaufania. Założenie to pozwalało na łatwe przemieszczanie się na boki po tym, jak złośliwy haker naruszył urządzenie końcowe.

Wdrożenie prawdziwego modelu Zero Trust lub Zero Trust Architecture wymaga, aby wszystkie komponenty - tożsamość użytkownika, urządzenie, sieć i aplikacje - były sprawdzone i godne zaufania. Zero Trust weryfikuje tożsamość i stan urządzeń przed przyznaniem dostępu do zasobów korporacyjnych. Kiedy dostęp jest udzielany, zastosowanie zasady najmniejszego prawdopodobieństwa ogranicza dostęp użytkownika tylko do tych zasobów, które są wyraźnie autoryzowane dla każdego użytkownika, zmniejszając tym samym ryzyko bocznego przemieszczania się w obrębie środowiska. W idealnym środowisku Zero Trust niezbędne są następujące cztery elementy:

  • Silne uwierzytelnienie tożsamości wszędzie (weryfikacja użytkownika poprzez uwierzytelnienie)
  • Urządzenia są rejestrowane w systemie zarządzania urządzeniami, a ich stan zdrowia jest weryfikowany.
  • Najmniej korzystne prawa użytkownika (dostęp jest ograniczony tylko do tego, co jest potrzebne)
  • Zdrowie usług jest weryfikowane (przyszły cel)

Wdrożenie modelu Zero Trust Security

Migracja do modelu bezpieczeństwa Zero Trust zapewnia jednoczesną poprawę bezpieczeństwa w porównaniu z konwencjonalnymi podejściami opartymi na sieci i lepiej umożliwia użytkownikom dostęp tam, gdzie go potrzebują. Model Zero Trust wymaga sygnałów informujących o decyzjach, polityce w zakresie podejmowania decyzji o dostępie oraz możliwościach egzekwowania tych decyzji w celu ich skutecznego wdrożenia.

Zero zaufania Model bezpieczeństwa

Dostęp warunkowy w Azure AD w centrum strategii

W dzisiejszym środowisku pracy widzieliśmy, że użytkownicy mogą pracować na dowolnym urządzeniu, czy to przy użyciu laptopa dostarczonego przez organizację, czy też osobistego smartfona i z dowolnego miejsca, pracując w domu, w biurze lub w podróży. Pracownicy oczekują bezproblemowego dostępu do tego, czego potrzebują do wykonywania swojej pracy. O ile zapotrzebowanie na wydajność nie zmienia się wraz z okolicznościami dostępu, o tyle poziom ryzyka związanego z każdym połączeniem zmienia się. Nie wszystkie urządzenia, aplikacje lub sieci są bezpieczne, a napastnicy prawdopodobnie wykorzystają wszelkie luki, które dadzą im dostęp do użytkowników i/lub zasobów. Ochrona tożsamości jest zatem niezbędna, ale to nie wystarczy. Zarządzanie tożsamością i jej weryfikacja to pierwszy krok w ochronie środowiska. Udostępnianie tożsamości użytkowników za pośrednictwem Azure AD i w razie potrzeby łączenie się z usługą Active Directory w lokalu użytkownika pozwala na scentralizowanie tożsamości każdego użytkownika, co pozwala na tworzenie polityk opartych na urządzeniach, grupach i aplikacjach.

Jak już wcześniej wspomniano, podejście "Zero Trust" wymaga elastycznej polityki bezpieczeństwa, która spełnia wymagania dotyczące dostępu użytkowników do danych i zasobów. Co więcej, jednym z istotnych aspektów "dobrego" bezpieczeństwa jest to, że powinno być ono prawie niewidoczne dla prawowitych użytkowników. Nadmierne tarcie hamuje wydajność, a legalni użytkownicy znajdą sposoby na obejście przepisów, które blokują ich wydajność, tworząc tym samym (dodatkowe) zagrożenia. Chociaż można wyegzekwować wieloczynnikowe uwierzytelnianie (MFA) dla każdego użytkownika, optymalnym rozwiązaniem jest zmaksymalizowanie wydajności, aby umożliwić legalnym użytkownikom wykonywanie ich pracy przy minimalnych zakłóceniach przy jednoczesnym blokowaniu złośliwych osób. Azure AD umożliwia ustawienie zasad dostępu warunkowego dla użytkowników w Twojej organizacji, aby pomóc w zabezpieczeniu środowiska hybrydowego lub chmury. Dostęp warunkowy jest narzędziem wykorzystywanym przez Azure Active Directory do łączenia sygnałów, podejmowania decyzji i egzekwowania polityk organizacyjnych.

Konfigurowanie zasad dostępu warunkowego w Azure AD

Konfigurowanie zasad dostępu warunkowego w Azure AD

Zaleca się stosowanie odpowiednich zasad w swojej organizacji w odniesieniu do następujących warunków:

  • Użytkownicy i grupy użytkowników: aby zmniejszyć ryzyko wycieku danych szczególnie chronionych, należy określić, którzy użytkownicy lub grupy użytkowników mają dostęp do aplikacji lub zasobów, zwracając szczególną uwagę na wysoce wrażliwe źródła informacji, takie jak zasoby ludzkie lub dane finansowe.
Użytkownicy i grupy użytkowników
  • Ryzyko połączenia: Algorytmy Machine Learning w Azure AD oceniają każde połączenie i dają mu niski, średni lub wysoki wynik ryzyka na podstawie prawdopodobieństwa, że ktoś inny niż prawowity właściciel konta próbuje się połączyć. Każdy, kto ma średnie ryzyko, musi podczas łączenia się zakwestionować uwierzytelnianie wieloczynnikowe (MFA). Jeżeli połączenie wiąże się z wysokim ryzykiem, dostęp musi zostać zablokowany. Ten warunek wymaga Azure AD Identity Protection.
Ryzyko związane z połączeniem
  • Platforma urządzeń: dla tego warunku można zdefiniować politykę dla każdej platformy urządzeń, która blokuje dostęp, wymaga np. zgodności z aplikacją Microsoft Intune lub wymaga dołączenia urządzenia do domeny.
Platforma urządzenia
  • Lokalizacja: lokalizacja może być ryzykowna, jeśli jest to kraj o ograniczonej polityce bezpieczeństwa lub jeśli sieć bezprzewodowa nie jest zabezpieczona. Ponadto, może być ryzykowna po prostu dlatego, że nie jest to miejsce, w którym organizacja zazwyczaj prowadzi swoją działalność. Możesz zmienić wymagania dotyczące dostępu do połączeń z lokalizacji, które nie znajdują się na liście bezpiecznych adresów IP lub które są ryzykowne z innych powodów. Użytkownicy uzyskujący dostęp do usługi, gdy znajdują się poza siecią firmową, muszą być zmuszeni do korzystania z uwierzytelniania wieloczynnikowego.
Lokalizacja
  • Stan urządzenia: można użyć tego warunku do ustawienia zasad dla urządzeń, które nie są zarządzane przez organizację.
Status urządzenia
  • Aplikacje klienckie: użytkownicy mogą uzyskać dostęp do wielu aplikacji za pomocą różnych typów aplikacji klienckich, takich jak aplikacje internetowe, mobilne lub aplikacje biurowe. W przypadku próby uzyskania dostępu do aplikacji klienckiej, która powoduje znane problemy, można egzekwować przestrzeganie zasad bezpieczeństwa lub wymagać, aby tylko zarządzane urządzenia miały dostęp do określonych typów aplikacji.
Wnioski klientów
  • Aplikacje w chmurze: ten warunek określa unikalne zasady dla wrażliwych aplikacji. Na przykład, można wymagać, aby aplikacje HR, takie jak Workday, były blokowane, jeśli Azure AD wykryje ryzykowne połączenie lub jeśli użytkownik spróbuje uzyskać do nich dostęp za pomocą niezarządzanego urządzenia.
Aplikacje chmurowe

Kiedy warunek jest spełniony, można wybrać politykę, którą Azure AD będzie egzekwować w zakresie kontroli:

  • Wymagają wieloczynnikowego uwierzytelnienia w celu udowodnienia tożsamości;
  • Zmodyfikuj działania, które użytkownik może podejmować w aplikacjach chmury;
  • Ograniczenie dostępu do danych wrażliwych, np. ograniczenie pobierania lub funkcji udostępniania;
  • Wymaga zresetowania hasła;
  • Zablokuj dostęp.
Azure AD Polityka

Dostęp warunkowy w Azure AD umożliwia egzekwowanie "zasad zaangażowania" poprzez zdefiniowanie zestawu zasad, które określają warunki i kontrole. Poziomy dostępu mogą być ustawiane przez pracownika, przez urządzenie lub przez grupę. Dostęp warunkowy w Azure AD to centrum polityk bezpieczeństwa opartych na tożsamości. Wcześniej powinieneś był je określić: "brak dostępu poza siecią firmową" lub "brak dostępu z urządzenia osobistego"; obecnie możliwość blokowania lub autoryzacji dostępu jest oferowana na warunkach.

Wdrożenie podejścia Zero Trust z dostępem warunkowym do Azure Active Directory w Azure AD pozwala na egzekwowanie polityk bezpieczeństwa, które są uruchamiane automatycznie po spełnieniu określonych warunków. Można zablokować dostęp, jeśli dane kontekstowe sugerują, że użytkownik został narażony na szwank, lub jeśli jest bardzo mało prawdopodobne, że użytkownik powinien zalogować się na tych warunkach. Można zastosować dodatkowe wymagania dotyczące uwierzytelniania, gdy system wykryje średnie ryzyko w oparciu o warunki połączenia.

Należy pamiętać, że dostęp warunkowy w Azure AD jest funkcją Azure AD Premium (P1 lub P2). Wszyscy użytkownicy korzystający z aplikacji lub zasobów ograniczonych przez zasady dostępu warunkowego muszą posiadać licencję Azure AD Premium.

WARUNKOWY DOSTĘP W DYREKTORZE AKTYWNYM AZURY: https://docs.microsoft.com/en-us/Azure/active-directory/active-directory-conditional-access

"Nigdy nie ufaj, zawsze sprawdzaj"

Zarządzanie urządzeniami z Azure
Post Views: 7,299
Menu