TECH Talk: Villkorlig åtkomst i Azure Ad

Författare: Goce Argirov,

 

Azure AD i centrum för din Zero Trust-strategi

Långt borta är de dagar då säkerheten var inriktad på en stark omkrets försvar för att hålla illvilliga hackare ut. Allt utanför omkretsen behandlades som fientligt, medan inuti väggen, en organisations system var betrodda.

Dagens säkerhetsposition är att anta brott, ett tänkesätt som vägleder säkerhetsinvesteringar, designbeslut och operativa säkerhetsrutiner. I sitt väsen, antas brott vägleder dig att tänka annorlunda, att ändra ditt tänkesätt: du är redan brutit, eller du kommer att vara- det finns inget annat resultat.

I 2012 under en intervju tidigare chef för CIA och National Security Agency Pensionerad Gen sade: "I grunden, om någon vill komma in, de får i. Okej, bra. Acceptera det."

Under den tiden, många människor inte riktigt förstå vad han egentligen menade, men denna mening är kärnan i anta brott strategi.

Dataintrång kan orsaka förödande ekonomiska förluster och påverka en organisations rykte i flera år. Dataintrång har långtgående konsekvenser, från förlorade företag till lagstadgade böter och saneringskostnader. Dataintrångsstudien för 2019, utförd av Ponemon Institute sponsrad av IBM, visade att den globala genomsnittliga kostnaden för ett dataintrång för 2019-studien är 3,92 miljoner dollar, en ökning med 1,5 procent från 2018 års studie.

Studie om dataintrång 2019

Med allt detta i åtanke, säger du förmodligen: ok, vad händer nu? Ur min synvinkel, genomföra Zero Trust Architecture är nästa sak att sträva efter!

Oavsett vilken säkerhetsexpert du frågar om "noll-förtroende-modellen" de kommer alla överens om att detta är det bästa sättet att stoppa dataintrång och effektivisera vägen till efterlevnad i din organisation. "Lita aldrig på, verifiera alltid" Zero Trust hjälper till att skydda företagets resurser genom att eliminera okända och ohanterade enheter och begränsa laterala rörelser.

År 2010 skapade John Kindervag, chefsanalytiker på Forrester Research, Zero Trust-modellen. Den här modellen anger att du aldrig ska ta förtroende utan i stället kontinuerligt validera förtroende. När användare, enheter och data alla fanns i organisationens brandvägg, antogs de vara betrodda. Detta förutsätter förtroende tillåtet för enkel lateral rörelse efter en illvillig hackare äventyras en slutpunkt enhet.

Implementera en sann Zero Trust-modell eller Zero Trust Architecture kräver att alla komponenter – användaridentitet, enhet, nätverk och program – valideras och bevisas vara tillförlitliga. Zero Trust verifierar identitets- och enhetshälsa innan åtkomst beviljas till företagsresurser. När åtkomst beviljas begränsar tillämpningen av principen om lägsta behörighet användarnas åtkomst till endast de resurser som uttryckligen är auktoriserade för varje användare, vilket minskar risken för laterala rörelser i miljön. I en idealisk Zero Trust-miljö är följande fyra element nödvändiga:

  • Stark identitetsautentisering överallt (användarverifiering via autentisering)
  • Enheter registreras i enhetshantering och deras hälsa valideras
  • Användarrättigheter med lägsta behörighet(åtkomsten är begränsad till endast vad som behövs)
  • Hälsovården kontrolleras (framtida mål)

Implementera en zero trust security-modell

Migrera till en Zero Trust säkerhetsmodell ger samtidig förbättring av säkerheten över konventionella nätverksbaserade metoder och bättre möjliggöra användare där de behöver åtkomst. En Zero Trust-modell kräver signaler för att informera beslut, principer för att fatta åtkomstbeslut och tvingande funktioner för att genomföra dessa beslut på ett effektivt sätt.

Zero Trust Security-modell

Villkorlig åtkomst i Azure AD i centrum för strategin

I dagens arbetsmiljö har vi sett att användare kan arbeta på vilken enhet som helst, oavsett om de använder en bärbar dator som tillhandahålls av organisationen eller använder en personlig smartphone och från vilken plats som helst, arbetar hemifrån, på kontoret eller på resande fot. Anställda förväntar sig att ha sömlös tillgång till vad de behöver för att göra sitt jobb. Även om behovet av produktivitet inte förändras med åtkomstförhållanden, utvecklas risknivån för varje anslutning. Alla enheter, program eller nätverk är inte säkra och angripare kommer sannolikt att utnyttja alla säkerhetsproblem som ger dem åtkomst till dina användare och/eller resurser. Det är därför nödvändigt att skydda identiteter, men det räcker inte. Att hantera och verifiera identiteter är det första steget för att skydda din miljö. Etablera användaridentiteter via Azure AD och ansluta din lokala Active Directory-tjänst om det behövs, gör att du kan centralisera identiteter för varje användare att kunna upprätta principer baserat på enheter, grupper och program.

Som tidigare diskuterats kräver metoden "Nollförtroende" flexibla säkerhetsprinciper som uppfyller kraven för användaråtkomst till data och resurser. Dessutom är en av de viktigaste aspekterna av en "bra" säkerhet att den ska vara nästan osynlig för legitima användare. Överdriven friktion hämmar produktiviteten, och legitima användare kommer att hitta sätt att kringgå bestämmelser som blockerar deras produktivitet, vilket skapar (ytterligare) risker. Även om du kan framtvinga MFA (Multi Factor Authentication) för varje användare, förväntas maximera produktiviteten helst för att tillåta legitima användare att utföra sitt jobb med minimala störningar samtidigt som skadliga personer blockeras. Azure AD kan du ange principer för villkorlig åtkomst för användare i organisationen för att skydda din hybrid- eller molnmiljö. Villkorlig åtkomst är det verktyg som används av Azure Active Directory för att sammanföra signaler, fatta beslut och tillämpa organisationsprinciper.

Konfigurera principer för villkorlig åtkomst i Azure Ad

Konfigurera principer för villkorlig åtkomst i Azure Ad

Vi rekommenderar att du tillämpar lämpliga principer för din organisation under följande villkor:

  • Användare och användargrupper: för att minska risken för känsligt dataläckage, definiera vilka användare eller grupper av användare som kan komma åt program eller resurser, med särskild uppmärksamhet på mycket känsliga informationskällor som mänskliga resurser eller ekonomiska data.
Användare och användargrupper
  • Anslutningsrisk: Maskininlärningsalgoritmer i Azure AD utvärderar varje anslutning och ger den en låg, medelhög eller hög risk poäng baserat på sannolikheten att någon annan än den legitima ägaren av kontot försöker ansluta. Alla med en medelstor risk måste utmanas med multifaktorautentisering (MFA) vid anslutning. Om anslutningen är högrisk måste åtkomsten blockeras. Detta tillstånd kräver Azure AD-identitetsskydd.
Anslutningsrisk
  • Enhetsplattform: För det här villkoret kan du definiera en princip för varje enhetsplattform som blockerar åtkomst, kräver till exempel efterlevnad av Microsoft Intune, eller kräver att enheten ska anslutas till domänen.
Enhetsplattform
  • Plats: En plats kan vara riskabelt om det är ett land med begränsade säkerhetsprinciper eller om det trådlösa nätverket är osäkert. Dessutom kan det vara riskabelt bara för att det inte är en plats där organisationen vanligtvis har sin verksamhet. Du kan ändra åtkomstkraven för anslutningar från platser som inte finns med i en lista över säkra IP-adresser eller som är riskfyllda av andra skäl. Användare som använder en tjänst när de befinner sig utanför företagsnätverket måste tvingas använda multifaktorautentisering.
Plats
  • Enhetsstatus: Du kan använda det här villkoret för att ange principer för enheter som inte hanteras av din organisation.
Status för enhet
  • Klientprogram: Användare kan komma åt många program med hjälp av olika klientprogramtyper, till exempel webbprogram, mobilappar eller office-produktivitetsprogram. Du kan tillämpa säkerhetsprinciper om ett åtkomstförsök görs med hjälp av en klientprogramtyp som orsakar kända problem, eller så kan du kräva att endast hanterade enheter får åtkomst till vissa typer av program.
Klientprogram
  • Molnprogram: det här villkoret anger unika principer för känsliga program. Du kan till exempel kräva att HR-program som Workday blockeras om Azure AD upptäcker en riskfylld anslutning eller om en användare försöker komma åt den med en ohanterd enhet.
Molnprogram

När ett villkor är uppfyllt kan du välja den policy som Azure AD kommer att genomdriva när det gäller kontroll:

  • Kräv multifaktorautentisering för att bevisa identitet;
  • Ändra de åtgärder som användaren kan vidta i molnprogrammen.
  • Begränsa åtkomsten till känsliga data, till exempel begränsa nedladdningar eller delningsfunktioner.
  • Kräv återställning av lösenord.
  • Blockera åtkomst.
Azure Annonsprincip

Villkorlig åtkomst i Azure AD kan du genomdriva dina "regler för engagemang" genom att definiera en uppsättning principer som anger villkor och kontroller. Du kan ange åtkomstnivåer efter medarbetare, enhet eller efter grupp. Villkorlig åtkomst i Azure AD är ett nav för identitetsbaserade säkerhetsprinciper. Tidigare bör du ha angett: "ingen åtkomst utanför företagsnätverket" eller "ingen åtkomst från en personlig enhet"; idag erbjuds möjligheten att blockera eller auktorisera åtkomst på villkor.

Implementera en Zero Trust-metod med Azure Villkorsåtkomst för Active Directory i Azure AD gör det möjligt att tillämpa säkerhetsprinciper som utlöses automatiskt när vissa villkor är uppfyllda. Du kan blockera åtkomst om kontextdata tyder på att användaren har komprometterats, eller om det är mycket osannolikt att användaren ska logga in under dessa villkor. Du kan tillämpa ytterligare autentiseringskrav när systemet upptäcker en medelhög risk baserat på anslutningsvillkor.

Observera att villkorlig åtkomst i Azure AD är en Azure AD Premium-funktionen (P1 eller P2). Alla användare som använder ett program eller resursbegränsat av principer för villkorlig åtkomst måste ha en Azure AD Premium-licens.

VILLKORLIG ÅTKOMST I AZURE ACTIVE DIRECTORY: https://docs.microsoft.com/en-us/ Azure /active-directory/active-directoryconditional-access

"Lita aldrig på, verifiera alltid"

Enhetshantering med Azure
Menyn