LLPA

TECH Talk: Условный доступ в Azure AD

Автор: Гоце Аргиров, Microsoft сертифицированный тренер | Консультант | Архитектор решений | Azure Инфраструктура и безопасность | Инфраструктура и безопасность по адресу Semos Education

 

Azure AD в сердце твоей стратегии "Нулевого доверия".

Давным-давно прошли те времена, когда безопасность была сосредоточена на сильной защите периметра, чтобы держать злоумышленников подальше от злоумышленников. Все, что находилось за пределами периметра, рассматривалось как враждебное, в то время как внутри стены системе организации доверяли.

Сегодняшняя позиция в области безопасности заключается в том, чтобы предполагать нарушение, менталитет, который направляет инвестиции в безопасность, проектные решения и методы обеспечения операционной безопасности. По своей сути, предполагаемое нарушение направляет вас, чтобы думать по-другому, чтобы изменить ваше мышление: вы уже нарушены, или вы будете - нет никакого другого результата.

В 2012 году во время интервью бывший директор ЦРУ и Агентства национальной безопасности в отставке генерал в отставке заявил: "В принципе, если кто-то хочет попасть внутрь, то он попадает внутрь". Хорошо, хорошо. Прими это".

За это время многие люди не совсем понимали, что он на самом деле имел в виду, но это предложение лежит в основе предполагаемого подхода к нарушению.

Нарушения данных могут привести к разрушительным финансовым потерям и повлиять на репутацию организации в течение многих лет. От утраченного бизнеса до штрафов, налагаемых регулирующими органами, и затрат на восстановление - нарушения данных имеют далеко идущие последствия. По данным исследования "Нарушение данных в 2019 году", проведенного Ponemon Institute при спонсорской поддержке IBM, средняя стоимость нарушения данных в 2019 году составила 3,92 миллиона долларов США, что на 1,5 процента больше, чем в 2018 году.

2019 Исследование информационного охвата

Имея все это в виду, ты, наверное, скажешь: ладно, что теперь? С моей точки зрения, внедрение архитектуры с нулевым доверием - это следующая цель!

Независимо от того, какого эксперта по безопасности вы спросите относительно "модели нулевого доверия", все они согласятся, что это лучший способ остановить нарушения данных и рационализировать путь к соблюдению норм в вашей организации. "Никогда не доверяйте, всегда проверяйте" Нулевое доверие помогает обеспечить безопасность корпоративных ресурсов за счет устранения неизвестных и неуправляемых устройств и ограничения бокового движения.

В 2010 году Джон Киндерваг, главный аналитик компании Forrester Research, создал модель нулевого доверия. В этой модели говорится, что никогда не следует полагаться на доверие, а следует постоянно проверять его. Когда все пользователи, устройства и данные находятся внутри брандмауэра организации, считается, что им доверяют. Это предполагаемое доверие допускало легкое боковое движение после того, как злоумышленник взломал конечное устройство.

Реализация истинной модели нулевого доверия или архитектуры нулевого доверия требует, чтобы все компоненты - идентификация пользователя, устройство, сеть и приложения - были проверены и доказали свою надежность. Нулевое доверие (Zero Trust) проверяет идентичность и здоровье устройств, прежде чем предоставлять доступ к корпоративным ресурсам. При предоставлении доступа применение принципа наименьших привилегий ограничивает доступ пользователей только к тем ресурсам, которые явно авторизованы для каждого пользователя, тем самым снижая риск бокового перемещения в пределах среды. В идеальной среде с нулевым доверием необходимы следующие четыре элемента:

  • Повсюду сильная аутентификация личности (проверка пользователей с помощью аутентификации).
  • Устройства зарегистрированы в системе управления устройствами и их состояние подтверждено.
  • Наименее привилегированные права пользователей (доступ ограничивается только тем, что необходимо).
  • Здоровье услуг проверено (будущая цель)

Внедрение модели безопасности с нулевым доверием

Переход к модели безопасности с нулевым доверием обеспечивает одновременное улучшение безопасности по сравнению с традиционными сетевыми подходами, а также более эффективное обеспечение пользователей там, где им необходим доступ. Модель Zero Trust требует сигналов для принятия обоснованных решений, политик для принятия решений о доступе, а также возможностей для эффективного внедрения этих решений.

Модель безопасности с нулевым доверием

Условный доступ в Azure AD в основе стратегии

В сегодняшней рабочей среде мы увидели, что пользователи могут работать на любом устройстве, будь то ноутбук, предоставленный организацией, или личный смартфон, и из любого места, работая дома, в офисе или в дороге. Сотрудники ожидают, что у них будет беспрепятственный доступ к тому, что им необходимо для выполнения своей работы. В то время как потребность в производительности не меняется в зависимости от обстоятельств доступа, уровень риска каждого соединения меняется. Не все устройства, приложения или сети безопасны, и злоумышленники, скорее всего, воспользуются любыми уязвимостями, которые дадут им доступ к вашим пользователям и/или ресурсам. Поэтому очень важно защищать личность, но этого недостаточно. Управление и проверка идентичностей является первым шагом в защите вашей среды. Предоставление пользовательских идентификационных данных через Azure AD и подключение местной службы Active Directory при необходимости позволяет вам централизовать идентификационные данные для каждого пользователя, чтобы он мог создавать политики на основе устройств, групп и приложений.

Как обсуждалось ранее, подход "нулевого доверия" требует гибких политик безопасности, отвечающих требованиям доступа пользователей к данным и ресурсам. Более того, одним из основных аспектов "хорошей" безопасности является то, что она должна быть практически незаметна для легитимных пользователей. Чрезмерное трение тормозит производительность, и законные пользователи найдут способы обойти положения, которые блокируют их производительность, создавая тем самым (дополнительные) риски. Хотя вы можете внедрить многофакторную аутентификацию (MFA) для каждого пользователя, максимальная производительность в идеале должна позволять законным пользователям выполнять свою работу с минимальными сбоями, блокируя при этом вредоносных людей. Azure AD позволяет вам устанавливать политики условного доступа для пользователей в вашей организации, чтобы помочь защитить гибридную или облачную среду. Условный доступ (Conditional Access) - это инструмент, используемый Azure Active Directory для объединения сигналов, принятия решений и применения политик организации.

Настройка политик условного доступа в Azure AD

Настройка политик условного доступа в Azure AD

Рекомендуется применять соответствующие политики в отношении вашей организации при соблюдении следующих условий:

  • Пользователи и группы пользователей: чтобы снизить риск утечки конфиденциальных данных, определите, какие пользователи или группы пользователей могут получить доступ к приложениям или ресурсам, уделяя особое внимание таким источникам конфиденциальной информации, как человеческие ресурсы или финансовые данные.
Пользователи и группы пользователей
  • Риск подключения: Алгоритмы машинного обучения в Azure AD оценивают каждое соединение и дают ему оценку низкого, среднего или высокого риска, основываясь на вероятности того, что кто-то другой, кроме законного владельца счета, пытается подключиться. Любой человек со средним уровнем риска должен быть оспорен многофакторной аутентификацией (MFA) при подключении. Если соединение связано с высоким риском, доступ должен быть заблокирован. Это условие требует Azure AD Identity Protection.
Риск подключения
  • Платформа устройства: для этого условия вы можете определить политику для каждой платформы устройства, которая блокирует доступ, требует, например, соответствия Microsoft Intune, или требует, чтобы устройство было присоединено к домену.
Платформа устройства
  • Местоположение: место может быть рискованным, если это страна с ограниченными политиками безопасности или если беспроводная сеть небезопасна. Также это место может быть рискованным просто потому, что это не то место, где организация обычно осуществляет свою деятельность. Можно изменять требования к доступу для подключений из мест, которые не входят в список безопасных IP адресов, или которые являются рискованными по другим причинам. Пользователи, получающие доступ к службе, когда они находятся за пределами корпоративной сети, должны быть вынуждены использовать многофакторную аутентификацию.
Местоположение
  • Статус устройства: вы можете использовать это условие для установки политик для устройств, которые не управляются вашей организацией.
Состояние устройства
  • Клиентские приложения: пользователи могут получить доступ ко многим приложениям, используя различные типы клиентских приложений, таких как веб-приложения, мобильные приложения или приложения для повышения производительности офиса. Можно внедрить политики безопасности, если попытка доступа осуществляется с помощью типа клиентского приложения, который вызывает известные проблемы, или можно потребовать, чтобы только управляемые устройства получали доступ к определенным типам приложений.
Клиентские приложения
  • Облачные приложения: это условие определяет уникальные политики для чувствительных приложений. Например, вы можете потребовать, чтобы приложения HR, такие как Workday, были заблокированы, если Azure AD обнаружит рискованное соединение или если пользователь пытается получить доступ к нему с неуправляемым устройством.
Облачные приложения

Когда условие выполнено, вы можете выбрать политику, которую Azure AD будет применять с точки зрения контроля:

  • Требование многофакторной аутентификации для подтверждения идентификации;
  • Измените действия, которые пользователь может выполнять в облачных приложениях;
  • Ограничение доступа к конфиденциальным данным, например, ограничение загрузки или совместного использования;
  • Требуется сброс пароля;
  • Блокировать доступ.
Azure Политика AD

Условный доступ в Azure AD позволяет вам обеспечивать соблюдение ваших "правил ведения боя" путем определения набора политик, которые определяют условия и средства контроля. Вы можете установить уровни доступа по сотруднику, по устройству или по группе. Условный доступ в Azure AD является концентратором политик безопасности, основанных на идентификации. Ранее вы должны были указать: "нет доступа вне корпоративной сети" или "нет доступа с персонального устройства"; сегодня возможность блокирования или авторизации доступа предлагается на условиях.

Применение подхода нулевого доверия (Zero Trust) с условным доступом к Azure Active Directory Conditional Access в Azure AD позволяет внедрять политики безопасности, которые запускаются автоматически при выполнении определенных условий. Можно блокировать доступ, если контекстные данные предполагают, что пользователь был скомпрометирован, или если очень маловероятно, что пользователь должен войти в систему при таких условиях. Можно применять дополнительные требования аутентификации, когда система обнаруживает средний риск на основе условий подключения.

Обратите внимание, что условный доступ в Azure AD является функцией Azure AD Premium (P1 или P2). Все пользователи, получающие доступ к приложению или ресурсам, ограниченным политиками условного доступа, должны иметь лицензию Azure AD Premium.

КОНДИЦИОНАЛЬНЫЙ ДИСКУСС В АКТИВНОМ ДИРЕКТОРЕ: https://docs.microsoft.com/en-us/Azure/активно-директорный/активно-директорный дополнительный доступ

"Никогда не доверяй, всегда проверяй"

Управление устройствами с Azure
Сообщений Просмотров: 7,422
Меню