Azure 標識管理和訪問控制安全最佳實踐,微軟azure云搭建服務器Azure 標識管理和訪問控制安全最佳實踐本文介紹一系列Azure標識管理和訪問控制安全最佳實踐。這些最佳做法衍生自我們的Azure AD經驗和客戶經驗。對于每項最佳做法,本文將說明:·最佳實踐是什么·為何要啟用該最佳實踐·如果無法啟用該最佳實踐,可......
本文介紹一系列Azure標識管理和訪問控制安全最佳實踐。這些最佳做法衍生自我們的Azure AD經驗和客戶經驗。
對于每項最佳做法,本文將說明:
·最佳實踐是什么
·為何要啟用該最佳實踐
·如果無法啟用該最佳實踐,可能的結果是什么
·最佳實踐的可能替代方案
·如何學習啟用最佳實踐
這篇Azure標識管理和訪問控制安全最佳實踐以共識以及Azure平臺功能和特性集(因為在編寫本文時已存在)為基礎。
撰寫本文的目的是,以引導你了解我們的一些核心功能和服務的“保護標識基礎結構的5個步驟”清單為指導,提供在部署后實現更可靠的安全狀況的總體路線圖。
看法和技術將隨著時間改變,本文會定期更新以反映這些更改。
本文中介紹的Azure標識管理和訪問控制安全最佳實踐包括:
·將標識視為主要安全邊界
·集中化標識管理
·管理已連接的租戶
·啟用單一登錄
·啟用條件訪問
·計劃例程安全改進
·啟用密碼管理
·對用戶強制執行多重身份驗證
·使用基于角色的訪問控制
·降低特權帳戶的泄露風險
·控制資源所在的位置
·使用Azure AD進行存儲身份驗證
將標識視為主要安全邊界
許多人認為標識是主要安全邊界。這與以網絡安全為重點的傳統做法不同。網絡邊界出現越來越多的漏洞,在BYOD設備和云應用程序激增之前相比,邊界防御不再那樣有效。
Azure Active Directory(Azure AD)是用于標識和訪問管理的Azure解決方案。Azure AD是Microsoft提供的多租戶、基于云的目錄和標識管理服務。它將核心目錄服務、應用程序訪問管理和標識保護融入一個解決方案中。
以下部分列出了使用Azure AD實現標識和訪問安全性的最佳做法。
最佳做法:圍繞用戶和服務標識進行安全控制和檢測。詳細信息:使用Azure AD并置控制和標識。
集中化標識管理
在混合標識方案中,我們建議集成本地目錄和云目錄。通過集成,IT團隊可以在一個位置集中管理帳戶,而不管帳戶是在哪里創建的。集成還通過提供用于訪問云和本地資源的通用標識,從而幫助用戶提高工作效率。
最佳做法:建立一個Azure AD實例。一致性和一個權威源不僅會提高簡明性,還會減少人為錯誤和配置復雜性帶來的安全風險。詳細信息:指定一個Azure AD目錄作為企業帳戶和組織帳戶的權威源。
最佳做法:將本地目錄與Azure AD進行集成。
詳細信息:使用Azure AD Connect將本地目錄與云目錄同步。
備注
存在影響Azure AD Connect性能的因素。確保Azure AD Connect有足夠的容量來防止性能不佳的系統影響安全性和工作效率。大型或復雜的組織(預配超過100,000個對象的組織)應遵循建議來優化其Azure AD Connect實現。
最佳做法:不要將現有Active Directory實例中擁有高權限的帳戶同步到Azure AD。詳細信息:不要更改用于篩選掉這些帳戶的默認Azure AD Connect配置。這種配置降低了對手從云轉向本地資產的風險(這可能引發重大事件)。
最佳做法:啟用密碼哈希同步。
詳細信息:密碼哈希同步是用于將用戶密碼哈希從本地Active Directory實例同步到基于云的Azure AD實例的功能。此同步有助于防止重放先前攻擊中泄露的憑據。
即使決定使用Active Directory聯合身份驗證服務(AD FS)或其他標識提供者進行聯合身份驗證,也可以選擇性地設置密碼哈希同步作為備用機制,以應對本地服務器發生故障或臨時不可用的情況。借助此同步,用戶可以使用與登錄本地Active Directory實例相同的密碼來登錄服務。如果用戶對其他未連接到Azure AD的服務使用過相同的電子郵件地址和密碼,此同步還可便于標識保護將同步的密碼哈希與已知被盜用的密碼進行比較,從而檢測被盜用的憑據。
有關詳細信息,請參閱使用Azure AD Connect同步實現密碼哈希同步。
最佳做法:對于新的應用開發,使用Azure AD進行身份驗證。詳細信息:使用正確的功能來支持身份驗證:
·面向員工的Azure AD
·面向來賓用戶和外部合作伙伴的Azure AD B2B
·用于控制客戶在使用應用時如何注冊、登錄和管理配置文件的Azure AD B2C
未將其本地標識與云標識集成的組織在管理帳戶方面可能開銷更大。這種開銷增加了出錯和安全漏洞的可能性。
備注
你需要選擇關鍵帳戶將駐留在哪些目錄中,以及所使用的管理工作站是由新的云服務托管,還是由現有進程托管。使用現有的管理和標識預配流程可以降低一些風險,但也可能會造成攻擊者入侵本地帳戶并轉向云的風險。不妨對不同的角色(例如,IT管理員與業務部門管理員)使用不同的策略。您有兩種選擇:第一種選擇是,創建不與本地Active Directory實例同步的Azure AD帳戶。將管理工作站加入到Azure AD,這樣可以使用Microsoft Intune進行管理和修補。第二種選擇是,通過同步到本地Active Directory實例來使用現有的管理員帳戶。使用Active Directory域中的現有工作站來實現管理和安全性。
管理已連接的租戶
你的安全組織需要能夠查看訂閱來評估風險,并確定是否遵循了組織的策略和任何法規要求。你應確保安全組織能夠查看所有(通過Azure ExpressRoute或站點到站點VPN)連接到生產環境和網絡的訂閱。Azure AD中的全局管理員/公司管理員可以將自己的訪問權限提升為用戶訪問管理員角色,并查看所有連接到環境的訂閱和管理組。
請參閱提升訪問權限以管理所有Azure訂閱和管理組,以確保你和你的安全組可以查看所有連接到環境的訂閱或管理組。你應該在評估風險后撤消此提升的訪問權限。
啟用單一登錄
在移動優先、云優先的世界中,你希望能夠從任意位置實現對設備、應用和服務的單一登錄(SSO),以便你的用戶隨時隨地都能高效工作。如果要管理多個標識解決方案,則不僅會給IT人員造成管理問題,而且用戶還必須記住多個密碼。
通過對所有應用和資源使用相同的標識解決方案,可以實現SSO。并且不論資源是位于本地還是云中,用戶均可以使用相同憑據集登錄和訪問所需資源。
最佳做法:啟用SSO。
詳細信息:Azure AD將本地Active Directory擴展到云。用戶可以將他們的主要工作或學校帳戶用于他們加入域的設備、公司資源以及完成工作所需的所有Web和SaaS應用程序。用戶無需記住多組用戶名和密碼,系統會根據組織的組成員身份和員工身份的狀態,自動預配(或取消設置)應用程序訪問權限。可以針對庫應用或者通過Azure AD應用程序代理自行開發和發布的本地應用控制訪問權限。
用戶可使用SSO基于Azure AD中的工作或學校帳戶訪問SaaS應用程序。這不僅適用于Microsoft SaaS應用,還適用于其他應用,例如Google Apps和Salesforce。應用程序可配置為使用Azure AD作為基于SAML的標識提供者。作為安全控制機制,Azure AD不會發出允許用戶登錄應用程序的令牌,除非用戶已通過Azure AD獲取了訪問權限。可以直接或者通過用戶所屬的組授予訪問權限。
如果組織沒有通過創建通用標識來為用戶和應用程序實現SSO,那么用戶擁有多個密碼的情況就更容易出現。這種情況增加了用戶重復使用同一密碼或使用弱密碼的可能性。
啟用條件訪問
用戶可能會從任意位置使用各種設備和應用訪問組織的資源。作為一名IT管理員,你需要確保這些設備符合安全性和符合性標準。僅關注誰可以訪問資源不再能滿足需求。
為了平衡安全性與工作效率,在做出訪問控制決策之前,需要考慮如何訪問資源。使用Azure AD條件訪問,可以滿足這一需求。使用條件訪問,可以根據訪問云應用的條件做出自動訪問控制決策。
最佳做法:管理和控制對公司資源的訪問。
詳細信息:根據SaaS應用和Azure AD連接的應用的組、位置和應用敏感度,配置通用Azure AD條件訪問策略。
最佳做法:阻止舊身份驗證協議。詳細信息:攻擊者每天都在利用舊協議中的弱點,尤其是密碼噴射攻擊。配置條件訪問來阻止舊協議。
計劃例程安全改進
安全性一直在不斷發展,在云和標識管理框架中構建一種定期顯示安全性發展并發現保護環境的新方法是很重要的。
標識安全分數是Microsoft發布的一組建議的安全控制,旨在為你提供一個數字分數,以便客觀地度量你的安全狀況,并幫助計劃未來的安全改進。你還可以查看你的分數與其他行業分數的比較,以及你自己的分數在一段時間內的趨勢。
最佳做法:根據你所在行業的最佳做法來計劃例程安全評審和改進。詳細信息:使用標識安全分數功能對你在一段時間內的改進進行排名。
啟用密碼管理
如果有多個租戶或者你想要允許用戶重置自己的密碼,則必須使用適當的安全策略來防止濫用。
最佳做法:為用戶設置自助式密碼重置(SSPR)。
詳細信息:使用Azure AD自助式密碼重置功能。
最佳做法:監視是否在使用SSPR及其使用情況。
詳細信息:通過使用Azure AD密碼重置注冊活動報表監視正在注冊的用戶。Azure AD提供的報表功能可幫助使用預生成的報表來回答問題。如果有相應的授權,還可以創建自定義查詢。
最佳做法:將基于云的密碼策略擴展到本地基礎結構。詳細信息:通過對本地密碼更改執行與對基于云的密碼更改執行的相同檢查,增強組織中的密碼策略。為本地Windows Server Active Directory代理安裝Azure AD密碼保護,以將禁止的密碼列表擴展到現有基礎結構。更改、設置或重置本地密碼的用戶或管理員必須與僅限云的用戶遵循相同的密碼策略。
對用戶強制執行多重身份驗證
建議對所有用戶要求進行雙重驗證。這包括組織中的管理員和其他人員,如果他們的帳戶泄露,可能會產生重大影響(例如,財務官員)。
要求雙重驗證有多種選項。最佳選項取決于你的目標、正在運行的Azure AD版本以及許可計劃。請參閱如何要求對用戶進行雙重驗證了解最佳選項。有關許可證和定價的詳細信息,請參閱Azure AD和Azure AD多重身份驗證定價頁。
以下是啟用雙重驗證的選項和優勢:
選項1:使用Azure AD安全默認值為所有用戶和登錄方法啟用MFA優勢:借助此選項,可以輕松、快速地為環境中的所有用戶強制執行MFA,同時采用嚴格的策略來執行以下操作:
·質詢管理帳戶和管理登錄機制
·要求通過Microsoft Authenticator對所有用戶進行MFA質詢
·限制舊身份驗證協議。
此方法可用于所有許可層,但不能與現有的條件訪問策略混合使用。你可以在Azure AD安全默認值中找到更多信息
選項2:通過更改用戶狀態啟用多重身份驗證。
優勢:這是要求進行雙重驗證的傳統方法。它適用于云中的Azure AD多重身份驗證和Azure多重身份驗證服務器。使用此方法要求用戶在每次登錄時都執行雙重驗證,并且會替代條件訪問策略。
若要確定需要啟用多因素身份驗證的位置,請參閱哪個版本的AZURE AD MFA適用于組織?。
選項3:使用條件訪問策略啟用多重身份驗證。優勢:借助此選項,可以使用條件訪問在特定條件下提示進行雙重驗證。特定條件可以是用戶從不同位置、不受信任的設備或你認為存在風險的應用程序登錄。定義要求雙重驗證的特定條件可以避免不斷提示用戶這種令人不快的用戶體驗。
這是為用戶啟用雙重驗證最靈活的方式。啟用條件性訪問策略僅適用于云中Azure AD多重身份驗證,并且是Azure AD的高級功能。可以在部署基于云的Azure AD多重身份驗證中找到有關此方法的詳細信息。
選項4:通過評估基于風險的條件訪問策略,使用條件訪問策略啟用多重身份驗證。
優勢:此選項使你能夠:
·檢測影響組織標識的潛在漏洞。
·配置自動響應與組織標識相關的可疑操作。
·調查可疑事件,并采取適當的措施進行解決。
此方法使用“Azure AD標識保護”風險評估來確定是否需要基于所有云應用程序的用戶和登錄風險進行雙重驗證。此方法需要Azure Active Directory P2授權。有關此方法的詳細信息,請參閱Azure Active Directory標識保護。
備注
選項2,通過更改用戶狀態啟用多重身份驗證會替代條件訪問策略。由于選項3和4使用條件性訪問策略,因此不能將選項2與它們一起使用。
未添加額外標識保護層(如雙重驗證)的組織將更容易受到憑據竊取攻擊。憑據竊取攻擊可能導致數據泄漏。
使用基于角色的訪問控制
對于任何使用云的組織而言,云資源的訪問管理至關重要。Azure RBAC)的基于角色的訪問控制(可幫助你管理有權訪問Azure資源的人員、他們可以對這些資源執行哪些操作以及他們有權訪問哪些區域。
在Azure中指定負責特定職能的組或各個角色有助于避免混亂,這些混亂可能會導致造成安全風險的人為錯誤和自動化錯誤。對于想要實施數據訪問安全策略的組織而言,必須根據需要知道和最低權限安全策略限制訪問權限。
你的安全團隊需要能夠查看Azure資源,以便評估和修正風險。如果安全團隊具有運營職責,則需要額外的權限來完成他們的作業。
可以使用AZURE RBAC向特定范圍內的用戶、組和應用程序分配權限。角色分配的范圍可以是訂閱、資源組或單個資源。
最佳做法:在團隊中分離職責,只向用戶授予執行作業所需的訪問權限。只允許在特定范圍內執行特定操作,而不要在Azure訂閱或資源中向每個人都授予無限制權限。詳細信息:使用Azure中的Azure內置角色向用戶分配權限。
備注
特定的權限會造成不必要的復雜性和混亂,進而積累為很難在不擔心造成破壞的情況下進行修復的“舊”配置。避免特定于資源的權限。而是將管理組用于企業范圍內的權限,并將資源組用于訂閱中的權限。避免用戶特定的權限。而是向Azure AD中的組分配權限。
最佳做法:向具有Azure職責的安全團隊授予對Azure資源的訪問權限,以便他們可以評估和修正風險。詳細信息:授予安全團隊Azure RBAC安全讀者角色。可以使用根管理組或段管理組,具體視職責范圍而定:
根管理組:用于負責所有企業資源的團隊
段管理組:用于范圍有限的團隊(通常是由于法規或其他組織邊界所致)
最佳做法:向具有直接運營職責的安全團隊授予適當的權限。詳細信息:查看適用于角色分配的Azure內置角色。如果內置角色不能滿足組織的具體需求,則可以創建Azure自定義角色。與內置角色一樣,可以在訂閱、資源組和資源范圍內向用戶、組和服務主體分配自定義角色。
最佳做法:向需要的安全角色授予Azure安全中心訪問權限。使用安全中心,安全團隊可以快速發現和修正風險。詳細信息:將這些安全團隊添加到Azure RBAC安全管理員角色,以便他們可以查看安全策略、查看安全狀態、編輯安全策略、查看警報和建議,以及消除警報和建議。你可以使用根管理組或段管理組來執行此操作,具體取決于職責范圍。
不通過使用Azure RBAC等功能實施數據訪問控制的組織可能會向其用戶提供比所需權限更多的特權。允許用戶訪問他們不應該有權訪問的數據類型(例如,對業務有重大影響的數據)可能會導致數據泄露。
降低特權帳戶的泄露風險
保護特權訪問是保護業務資產的首要步驟。減少擁有訪問權限的人員以保護信息或資源安全,這樣可以減小惡意用戶獲得訪問權限,或者已授權用戶無意中影響敏感資源的可能性。
特權帳戶是指掌控和管理IT系統的帳戶。網絡攻擊者會攻擊這些帳戶來獲取組織數據和系統的訪問權限。為了保護特權訪問,應隔離此類帳戶和系統,使其免受惡意用戶的威脅。
建議制定并遵循一個路線圖,防止特權訪問受到網絡攻擊者的攻擊。若要詳細了解如何在Azure AD、Microsoft Azure、Microsoft 365和其他云服務中管理或報告的安全身份和訪問,請參閱Azure AD中的保護混合和云部署的特權訪問。
以下內容總結了確保Azure AD中混合部署和云部署的特權訪問安全性中介紹的最佳做法:
最佳做法:管理、控制和監視對特權帳戶的訪問。
詳細信息:啟用Azure AD Privileged Identity Management。啟用Privileged Identity Management以后,會收到有關特權訪問角色更改的通知電子郵件。向目錄中的高特權角色添加更多用戶時,這些通知相當于早期警告。
最佳做法:確保所有關鍵管理員帳戶都是托管的Azure AD帳戶。詳細信息:從關鍵管理員角色中刪除所有使用者帳戶(例如,hotmail.com、live.com和outlook.com等Microsoft帳戶)。
最佳做法:確保所有關鍵管理員角色都有一個單獨的帳戶來執行管理任務,以免發生網絡釣魚和其他入侵管理權限的攻擊。詳細信息:創建一個單獨的管理員帳戶,向其分配執行管理任務所需的權限。阻止使用這些管理帳戶進行Microsoft 365電子郵件或任意web瀏覽等日常生產力工具。
最佳做法:對特許權限高的角色中的帳戶進行標識和分類。
詳細信息:啟用Azure AD Privileged Identity Management后,請查看角色為全局管理員、特權角色管理員和其他高特權角色的用戶。請刪除在這些角色中不再需要的任何帳戶,并對剩余的分配給管理員角色的帳戶分類:
·單獨分配給管理用戶,可用于非管理性目的(例如,個人電子郵件)
·單獨分配給管理用戶,按規定只能用于管理目的
·跨多個用戶共享
·適用于緊急訪問情況
·適用于自動化腳本
·適用于外部用戶
最佳做法:實行“實時”(JIT)訪問可進一步降低特權的曝光時間,并提高對特權帳戶使用情況的可見性。
詳細信息:利用Azure AD Privileged Identity Management,可以:
限制用戶只接受他們的權限JIT。
分配時限更短的角色,確信權限會自動撤消。
最佳做法:定義至少兩個緊急訪問帳戶。
詳細信息:可以使用緊急訪問帳戶來幫助組織限制現有Azure Active Directory環境中的特權訪問。這些帳戶擁有極高的特權,不要將其分配給特定的個人。緊急訪問帳戶只能用于不能使用正常管理帳戶的情況。組織必須將緊急賬戶的使用限制在必要時間范圍內。
評估已經獲得或有資格獲得全局管理員角色的帳戶。如果使用*.onmicrosoft.com域(用于緊急訪問)看不到任何僅限云的帳戶,請創建此類帳戶。有關詳細信息,請參閱在Azure AD中管理緊急訪問管理帳戶。
最佳做法:準備“破窗”流程,以備緊急情況時使用。詳細信息:按照確保Azure AD中混合部署和云部署的特權訪問安全性中的步驟操作。
最佳做法:要求所有關鍵管理員帳戶都是無密碼的(首選),或要求進行多重身份驗證。詳細信息:使用Microsoft Authenticator應用登錄任何Azure AD帳戶,而不需要使用密碼。與Windows Hello for Business一樣,Microsoft Authenticator使用基于密鑰的身份驗證來啟用與設備綁定的用戶憑據,并使用生物識別身份驗證或PIN。
對于永久分配給一個或多個Azure AD管理員角色的單個用戶,要求在登錄時進行Azure AD多重身份驗證:全局管理員、特權角色管理員、Exchange Online管理員和SharePoint Online管理員。為管理員帳戶啟用多重身份驗證,并確保管理員帳戶用戶已注冊。
最佳做法:對于關鍵管理員帳戶,需要有不允許執行生產任務(例如,瀏覽和電子郵件)的管理工作站。這會保護你的管理員帳戶免受使用瀏覽和電子郵件的攻擊途徑的侵害,并大大降低發生重大事件的風險。詳細信息:使用管理工作站。選擇工作站安全級別:
·高度安全的效率提升設備為瀏覽和其他效率提升任務提供高級安全性。
·特權訪問工作站(PAW)為敏感任務提供免受Internet攻擊和威脅攻擊途徑侵害的專用操作系統。
最佳做法:在員工離開組織時,取消設置管理員帳戶。詳細信息:準備一個流程,在員工離開組織時禁用或刪除管理員帳戶。
最佳做法:使用最新的攻擊技術定期測試管理員帳戶。詳細信息:使用Microsoft 365攻擊模擬器或第三方產品/服務在你的組織中運行現實的攻擊方案。這樣有助于在真正攻擊發生之前發現易受攻擊的用戶。
最佳做法:采取措施來緩解最常用的攻擊技術的沖擊。
詳細信息:確定管理角色中那些需要切換到工作或學校帳戶的Microsoft帳戶
對于全局管理員帳戶,請確保使用單獨的用戶帳戶和郵件轉發功能
確保最近更改過管理帳戶的密碼
啟用密碼哈希同步
要求對所有特權角色用戶和公開的用戶進行多重身份驗證
獲取Microsoft 365安全分數(如果使用Microsoft 365)
查看Microsoft 365安全指導(如果使用Microsoft 365)
配置Microsoft 365活動監視(如果使用Microsoft 365)
確定事件/緊急情況響應計劃所有者
保護本地特權管理帳戶
如果不保護特權訪問,你可能會擁有過多高特權角色用戶,并且更易受到攻擊。惡意操作者(包括網絡攻擊者)通常會以管理員帳戶和特權訪問的其他元素為目標,通過憑據竊取獲得敏感數據和系統的訪問權限。
控制創建資源的位置
非常重要的一點是,既要允許云操作員執行任務,同時又要防止他們違反管理組織資源所需的慣例。想要控制創建資源的位置的組織應該對這些位置進行硬編碼。
可以使用Azure資源管理器創建安全策略,其中的定義描述了會明確遭到拒絕的操作或資源。可以在所需范圍(例如訂閱、資源組或是單個資源)分配這些策略定義。
備注
安全策略不同于Azure RBAC。他們實際使用Azure RBAC來授權用戶創建這些資源。
無法控制資源創建方式的組織更容易因用戶創建的資源超過所需數目,而產生濫用服務的情況。強化資源創建過程是保護多租戶方案的重要步驟。
主動監視可疑活動
主動身份監視系統可以快速檢測可疑行為并觸發警報以進行進一步調查。下表列出了兩個可幫助組織監視其標識的Azure AD功能:
最佳做法:采用一種方法來確定:
·未受跟蹤的登錄嘗試。
·針對特定帳戶的暴力攻擊。
·從多個位置的登錄嘗試。
·從受感染的設備登錄。
·可疑IP地址。
詳細信息:使用Azure AD Premium異常報告。制定相應的流程和過程,使IT管理員每天或按需(通常在事件響應方案中)運行這些報告。
最佳做法:安裝一個主動監視系統,用于通知風險,并且可以根據業務需求調整風險等級(高、中或低)。
詳細信息:使用Azure AD標識保護,它會在自己的儀表板上標記當前風險并通過電子郵件發快遞每日摘要通知。要幫助保護組織的標識,可以配置基于風險的策略,該策略可在達到指定風險級別時自動響應檢測到的問題。
不主動監視其標識系統的組織將面臨用戶憑據泄露的風險。如果不知道有人通過這些憑據實施可疑活動,組織就無法緩解這種類型的威脅。
使用Azure AD進行存儲身份驗證
Azure存儲支持使用Azure AD對Blob存儲和隊列存儲進行身份驗證和授權。借助Azure AD身份驗證,可以使用基于Azure角色的訪問控制向用戶、組和應用(一直到各個Blob容器或隊列的范圍)授予特定權限。
建議使用Azure AD驗證對存儲的訪問。
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部