Osvědčené postupy správy identit a zabezpečení řízení přístupu v Azure
V tomto článku probereme kolekci osvědčených postupů pro správu identit Azure a řízení přístupu. Tyto osvědčené postupy se odvozují z našich zkušeností s MICROSOFT Entra ID a zkušenostmi zákazníků, jako jste vy sami.
Pro každý osvědčený postup vysvětlujeme:
- Co je osvědčeným postupem
- Proč chcete povolit tento osvědčený postup
- Co může být výsledkem, pokud nepovolíte osvědčený postup
- Možné alternativy k osvědčeným postupům
- Jak se naučit povolit osvědčený postup
Tento článek osvědčených postupů pro správu identit Azure a řízení přístupu vychází ze názorů na konsensus a možností platformy Azure a sad funkcí, protože existují v době, kdy byl tento článek napsán.
Záměrem psaní tohoto článku je poskytnout obecný plán pro robustnější stav zabezpečení po nasazení s využitím našich kontrolních seznamů "5 kroků k zabezpečení infrastruktury identit", který vás provede některými základními funkcemi a službami.
Názory a technologie se v průběhu času mění a tento článek se pravidelně aktualizuje, aby tyto změny odrážely.
Mezi osvědčené postupy zabezpečení řízení přístupu a správy identit Azure, které jsou popsány v tomto článku, patří:
- Zacházení s identitou jako s primární hraniční hranici zabezpečení
- Centralizovaná správa identit
- Správa připojených tenantů
- Povolení jednotného přihlašování
- Zapnutí podmíněného přístupu
- Plánování běžných vylepšení zabezpečení
- Povolení správy hesel
- Vynucení vícefaktorového ověřování pro uživatele
- Použití řízení přístupu na základě rolí
- Nižší expozice privilegovaných účtů
- Řízení umístění, kde se nacházejí prostředky
- Použití ID Microsoft Entra pro ověřování úložiště
Zacházení s identitou jako s primární hraniční hranici zabezpečení
Mnoho z nich považuje identitu za primární hraniční síť zabezpečení. Jedná se o posun od tradičního zaměření na zabezpečení sítě. Hraniční sítě se stále více zobrazují a že hraniční ochrana nemůže být tak efektivní jako před explozí zařízení BYOD a cloudových aplikací.
Microsoft Entra ID je řešení Azure pro správu identit a přístupu. Microsoft Entra ID je víceklient, cloudová adresářová služba a služba pro správu identit od Microsoftu. Kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jednoho řešení.
Následující části obsahují seznam osvědčených postupů pro zabezpečení identit a přístupu pomocí Microsoft Entra ID.
Osvědčený postup: Kontrolní mechanismy zabezpečení a detekce center pro identity uživatelů a služeb. Podrobnosti: Použití Microsoft Entra ID ke kolaci ovládacích prvků a identit.
Centralizovaná správa identit
Ve scénáři hybridní identity doporučujeme integrovat místní a cloudové adresáře. Integrace umožňuje vašemu IT týmu spravovat účty z jednoho umístění bez ohledu na to, kde se účet vytvoří. Integrace také pomáhá uživatelům zvýšit produktivitu tím, že poskytuje společnou identitu pro přístup ke cloudovým i místním prostředkům.
Osvědčený postup: Vytvoření jedné instance Microsoft Entra Konzistence a jeden autoritativní zdroj zvýší přehlednost a sníží rizika zabezpečení z lidských chyb a složitosti konfigurace.
Podrobnosti: Určete jeden adresář Microsoft Entra jako autoritativní zdroj pro podnikové a organizační účty.
Osvědčený postup: Integrace místních adresářů s ID Microsoft Entra
Podrobnosti: Použijte Microsoft Entra Připojení k synchronizaci místního adresáře s cloudovým adresářem.
Poznámka:
Existují faktory, které ovlivňují výkon microsoft Entra Připojení. Ujistěte se, že microsoft Entra Připojení má dostatečnou kapacitu, aby udržel pod výkonem systémů před narušením zabezpečení a produktivity. Velké nebo složité organizace (organizace zřizují více než 100 000 objektů) by měly postupovat podle doporučení pro optimalizaci implementace Microsoft Entra Připojení.
Osvědčený postup: Nesynchronizovat účty s ID Microsoft Entra s vysokými oprávněními ve vaší stávající instanci Active Directory.
Podrobnosti: Neměňte výchozí konfiguraci Microsoft Entra Připojení, která tyto účty vyfiltruje. Tato konfigurace snižuje riziko nežádoucích osoba, které se můžou přecházet z cloudu na místní prostředky (což by mohlo způsobit velký incident).
Osvědčený postup: Zapněte synchronizaci hodnot hash hesel.
Podrobnosti: Synchronizace hodnot hash hesel je funkce, která slouží k synchronizaci hodnot hash hesel uživatelů z instance místní Active Directory do cloudové instance Microsoft Entra. Tato synchronizace pomáhá chránit před únikem přihlašovacích údajů, které se přehrávají z předchozích útoků.
I když se rozhodnete použít federaci s Active Directory Federation Services (AD FS) (AD FS) nebo jinými zprostředkovateli identity, můžete volitelně nastavit synchronizaci hodnot hash hesel jako zálohu v případě, že místní servery selžou nebo dočasně nedostupné. Tato synchronizace umožňuje uživatelům přihlásit se ke službě pomocí stejného hesla, které používají k přihlášení ke své instanci místní Active Directory. Umožňuje také službě Identity Protection zjišťovat ohrožené přihlašovací údaje porovnáním synchronizovaných hodnot hash hesel s hesly, o kterých je známo, že jsou ohrožená, pokud uživatel použil stejnou e-mailovou adresu a heslo u jiných služeb, které nejsou připojené k MICROSOFT Entra ID.
Další informace naleznete v tématu Implementace synchronizace hodnot hash hesel s Microsoft Entra Připojení Sync.
Osvědčený postup: Pro vývoj nových aplikací použijte k ověřování ID Microsoft Entra.
Podrobnosti: Použití správných možností pro podporu ověřování:
- Microsoft Entra ID pro zaměstnance
- Microsoft Entra B2B pro uživatele typu host a externí partnery
- Azure AD B2C umožňuje řídit, jak se zákazníci zaregistrují, přihlásí a spravují své profily při používání vašich aplikací.
Organizace, které neintegrují místní identitu se svou cloudovou identitou, můžou mít větší režii při správě účtů. Tato režie zvyšuje pravděpodobnost chyb a porušení zabezpečení.
Poznámka:
Musíte zvolit, ve kterých adresářích se budou kritické účty nacházet a jestli je použitá pracovní stanice správce používaná novými cloudovými službami nebo existujícími procesy. Použití existujících procesů správy a zřizování identit může snížit některá rizika, ale může také způsobit riziko ohrožení místního účtu a přechodu do cloudu. Pro různé role můžete chtít použít jinou strategii (například správci IT vs. správci obchodních jednotek). Máte dvě možnosti. První možností je vytvořit účty Microsoft Entra, které se nesynchronují s vaší instancí místní Active Directory. Připojte se k pracovní stanici správce k Microsoft Entra ID, které můžete spravovat a opravovat pomocí Microsoft Intune. Druhou možností je použít existující účty správců tak, že se synchronizuje s vaší instancí místní Active Directory. Pro správu a zabezpečení používejte existující pracovní stanice v doméně služby Active Directory.
Správa připojených tenantů
Vaše organizace zabezpečení potřebuje viditelnost k posouzení rizika a k určení toho, jestli se dodržují zásady vaší organizace a případné zákonné požadavky. Měli byste zajistit, aby vaše organizace zabezpečení měla přehled o všech předplatných připojených k produkčnímu prostředí a síti (přes Azure ExpressRoute nebo VPN typu site-to-site). Globální Správa istrator v Microsoft Entra ID může zvýšit svůj přístup k roli User Access Správa istrator a zobrazit všechna předplatná a spravované skupiny připojené k vašemu prostředí.
Podívejte se na zvýšení úrovně přístupu ke správě všech předplatných a skupin pro správu Azure, abyste měli jistotu, že vy i vaše skupina zabezpečení můžete zobrazit všechna předplatná nebo skupiny pro správu připojená k vašemu prostředí. Po posouzení rizik byste tento zvýšený přístup měli odebrat.
Povolení jednotného přihlašování
V mobilním cloudovém světě chcete povolit jednotné přihlašování k zařízením, aplikacím a službám odkudkoli, aby vaši uživatelé mohli být produktivní kdekoli a kdykoli. Pokud máte více řešení identit ke správě, stane se to administrativním problémem nejen pro IT, ale i pro uživatele, kteří si musí pamatovat více hesel.
Pomocí stejného řešení identit pro všechny vaše aplikace a prostředky můžete dosáhnout jednotného přihlašování. A vaši uživatelé můžou použít stejnou sadu přihlašovacích údajů k přihlášení a přístupu k prostředkům, které potřebují, ať už jsou prostředky umístěné místně nebo v cloudu.
Osvědčený postup: Povolení jednotného přihlašování
Podrobnosti: Microsoft Entra ID rozšiřuje místní Active Directory do cloudu. Uživatelé můžou použít svůj primární pracovní nebo školní účet pro svá zařízení připojená k doméně, firemní prostředky a všechny webové aplikace a aplikace SaaS, které potřebují k práci. Uživatelé si nemusí pamatovat více sad uživatelských jmen a hesel a jejich přístup k aplikacím se dá automaticky zřídit (nebo zrušit zřízení) na základě členství ve skupinách organizace a jejich stavu jako zaměstnanec. A můžete řídit přístup k aplikacím z galerie nebo pro vlastní místní aplikace, které jste vyvinuli a publikovali prostřednictvím proxy aplikací Microsoft Entra.
Jednotné přihlašování umožňuje uživatelům přístup k aplikacím SaaS na základě pracovního nebo školního účtu v Microsoft Entra ID. To platí nejen pro aplikace Microsoft SaaS, ale i pro jiné aplikace, jako jsou Google Apps a Salesforce. Aplikaci můžete nakonfigurovat tak, aby jako zprostředkovatele identity založeného na SAML používala ID Microsoft Entra. Jako bezpečnostní prvek Microsoft Entra ID nevydá token, který uživatelům umožňuje přihlásit se k aplikaci, pokud jim nebyl udělen přístup prostřednictvím Microsoft Entra ID. Přístup můžete udělit přímo nebo prostřednictvím skupiny, ve které jsou uživatelé členem.
Organizace, které nevytvoří společnou identitu pro vytvoření jednotného přihlašování pro uživatele a aplikace, jsou přístupnější ke scénářům, kdy mají uživatelé více hesel. Tyto scénáře zvyšují pravděpodobnost opakovaného použití hesel uživatelů nebo používání slabých hesel.
Zapnutí podmíněného přístupu
Uživatelé můžou přistupovat k prostředkům vaší organizace pomocí různých zařízení a aplikací odkudkoli. Jako správce IT chcete zajistit, aby tato zařízení splňovala vaše standardy zabezpečení a dodržování předpisů. Stačí se zaměřit na to, kdo může získat přístup k prostředku, už nestačí.
Pokud chcete zajistit rovnováhu mezi zabezpečením a produktivitou, musíte se zamyslet nad tím, jak se k prostředku přistupuje, abyste mohli rozhodnout o řízení přístupu. Pomocí podmíněného přístupu Microsoft Entra můžete tento požadavek vyřešit. Pomocí podmíněného přístupu můžete provádět automatizovaná rozhodnutí o řízení přístupu na základě podmínek pro přístup ke cloudovým aplikacím.
Osvědčený postup: Správa a řízení přístupu k podnikovým prostředkům
Podrobnosti: Konfigurace běžných zásad podmíněného přístupu Microsoft Entra na základě skupiny, umístění a citlivosti aplikace pro aplikace SaaS a aplikace připojené k Microsoft Entra ID.
Osvědčený postup: Blokování starších ověřovacích protokolů
Podrobnosti: Útočníci využívají slabá místa ve starších protokolech každý den, zejména pro útoky password spray. Nakonfigurujte podmíněný přístup tak, aby blokoval starší protokoly.
Plánování běžných vylepšení zabezpečení
Zabezpečení se neustále vyvíjí a je důležité začlenit do architektury cloudové správy a správy identit způsob, jak pravidelně zobrazovat růst a objevovat nové způsoby zabezpečení vašeho prostředí.
Bezpečnostní skóre identity je sada doporučených kontrolních mechanismů zabezpečení, které Microsoft publikuje, aby vám poskytlo číselné skóre k objektivnímu měření stavu zabezpečení a plánování budoucích vylepšení zabezpečení. Skóre můžete zobrazit také v porovnání s skóre v jiných odvětvích a také s vlastními trendy v průběhu času.
Osvědčený postup: Naplánujte rutinní kontroly zabezpečení a vylepšení na základě osvědčených postupů ve vašem odvětví.
Podrobnosti: K hodnocení vylepšení v průběhu času použijte funkci Skóre zabezpečení identity.
Povolení správy hesel
Pokud máte více tenantů nebo chcete uživatelům povolit resetování vlastních hesel, je důležité použít odpovídající zásady zabezpečení, abyste zabránili zneužití.
Osvědčený postup: Nastavení samoobslužného resetování hesla (SSPR) pro uživatele
Podrobnosti: Použijte funkci samoobslužného resetování hesla Microsoft Entra ID.
Osvědčený postup: Monitorujte, jak nebo jestli se SSPR skutečně používá.
Podrobnosti: Monitorujte uživatele, kteří se registrují, pomocí sestavy aktivity registrace k resetování hesla Microsoft Entra ID. Funkce vytváření sestav, kterou poskytuje Microsoft Entra ID, vám pomůže zodpovědět otázky pomocí předem připravených sestav. Pokud máte odpovídající licenci, můžete také vytvářet vlastní dotazy.
Osvědčený postup: Rozšíření cloudových zásad hesel na místní infrastrukturu
Podrobnosti: Vylepšení zásad hesel ve vaší organizaci provedením stejných kontrol změn místních hesel jako u cloudových změn hesel. Nainstalujte ochranu heslem Microsoft Entra pro místní agenty služby Windows Server Active Directory, abyste rozšířili seznamy zakázaných hesel na vaši stávající infrastrukturu. Uživatelé a správci, kteří mění, nastavují nebo resetují hesla místně, musí dodržovat stejné zásady hesel jako uživatelé jenom v cloudu.
Vynucení vícefaktorového ověřování pro uživatele
Doporučujeme, abyste pro všechny uživatele vyžadovali dvoustupňové ověření. To zahrnuje správce a další uživatele ve vaší organizaci, kteří můžou mít významný dopad, pokud dojde k ohrožení jejich účtu (například finanční pracovníci).
Existuje několik možností, jak vyžadovat dvoustupňové ověření. Nejlepší možnost pro vás závisí na vašich cílech, edici Microsoft Entra, kterou používáte, a na licenčním programu. Přečtěte si, jak pro uživatele vyžadovat dvoustupňové ověření, abyste určili nejlepší možnost. Další informace o licencích a cenách najdete na stránkách s cenami vícefaktorového ověřování Microsoft Entra a Microsoft Entra.
Tady jsou možnosti a výhody pro povolení dvoustupňového ověřování:
Možnost 1: Povolení vícefaktorového ověřování pro všechny uživatele a metody přihlášení s výchozími nastaveními zabezpečení Microsoft Entra
Výhoda: Tato možnost umožňuje snadno a rychle vynutit vícefaktorové ověřování pro všechny uživatele ve vašem prostředí s přísnými zásadami pro:
- Výzva k účtům pro správu a mechanismům přihlašování pro správu
- Vyžadování výzvy vícefaktorového ověřování přes Microsoft Authenticator pro všechny uživatele
- Omezte starší ověřovací protokoly.
Tato metoda je k dispozici pro všechny úrovně licencování, ale není možné je kombinovat s existujícími zásadami podmíněného přístupu. Další informace najdete v výchozích nastaveních zabezpečení Microsoft Entra.
Možnost 2: Povolení vícefaktorového ověřování změnou stavu uživatele
Výhoda: Jedná se o tradiční metodu pro vyžadování dvoustupňového ověření. Funguje s vícefaktorovým ověřováním Microsoft Entra v cloudu i se serverem Azure Multi-Factor Authentication. Použití této metody vyžaduje, aby uživatelé provedli dvoustupňové ověření při každém přihlášení a přepsání zásad podmíněného přístupu.
Pokud chcete zjistit, kde je potřeba povolit vícefaktorové ověřování, přečtěte si téma Která verze vícefaktorového ověřování Microsoft Entra je pro moji organizaci správná?.
Možnost 3: Povolení vícefaktorového ověřování pomocí zásad podmíněného přístupu
Výhoda: Tato možnost umožňuje zobrazit výzvu k dvoustupňovému ověření za určitých podmínek pomocí podmíněného přístupu. Konkrétní podmínky můžou být přihlášení uživatele z různých umístění, nedůvěryhodných zařízení nebo aplikací, které považujete za rizikové. Definování konkrétních podmínek, kdy vyžadujete dvoustupňové ověření, vám umožní vyhnout se neustálé výzvě pro uživatele, což může být nepříjemné uživatelské prostředí.
Toto je nejflexibilnější způsob, jak uživatelům povolit dvoustupňové ověřování. Povolení zásad podmíněného přístupu funguje jenom pro vícefaktorové ověřování Microsoft Entra v cloudu a je prémiovou funkcí Microsoft Entra ID. Další informace o této metodě najdete v tématu Nasazení cloudového vícefaktorového ověřování Microsoft Entra.
Možnost 4: Povolení vícefaktorového ověřování pomocí zásad podmíněného přístupu vyhodnocením zásad podmíněného přístupu na základě rizik
Výhoda: Tato možnost umožňuje:
- Detekujte potenciální ohrožení zabezpečení, která ovlivňují identity vaší organizace.
- Nakonfigurujte automatizované odpovědi tak, aby detekovaly podezřelé akce, které souvisejí s identitami vaší organizace.
- Prozkoumejte podezřelé incidenty a proveďte příslušná opatření k jejich vyřešení.
Tato metoda používá vyhodnocení rizik microsoft Entra ID Protection k určení, jestli se vyžaduje dvoustupňové ověření na základě rizika uživatele a přihlášení pro všechny cloudové aplikace. Tato metoda vyžaduje licencování Microsoft Entra ID P2. Další informace o této metodě najdete v microsoft Entra ID Protection.
Poznámka:
Možnost 2, která umožňuje vícefaktorové ověřování změnou stavu uživatele, přepíše zásady podmíněného přístupu. Protože možnosti 3 a 4 používají zásady podmíněného přístupu, nemůžete s nimi použít možnost 2.
Organizace, které nepřidají další vrstvy ochrany identit, jako je dvoustupňové ověřování, jsou náchylnější k útoku na krádež přihlašovacích údajů. Útok na krádež přihlašovacích údajů může vést k ohrožení dat.
Použití řízení přístupu na základě rolí
Správa přístupu pro cloudové prostředky je důležitá pro všechny organizace, které cloud používají. Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup.
Navrhování skupin nebo jednotlivých rolí zodpovědných za konkrétní funkce v Azure pomáhá vyhnout se nejasnostem, které můžou vést k chybám lidské a automatizace, které vytvářejí bezpečnostní rizika. Omezení přístupu na základě potřeby znát zásady zabezpečení a zabezpečení s nejnižšími oprávněními je nezbytné pro organizace, které chtějí vynucovat zásady zabezpečení pro přístup k datům.
Váš bezpečnostní tým potřebuje přehled o vašich prostředcích Azure, aby bylo možné vyhodnotit a napravit rizika. Pokud má bezpečnostní tým provozní povinnosti, potřebuje k práci další oprávnění.
Azure RBAC můžete použít k přiřazení oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu. Role se dají přidělovat na úrovni předplatného, skupiny prostředků nebo konkrétního prostředku.
Osvědčený postup: Oddělení povinností v rámci vašeho týmu a udělení přístupu pouze uživatelům, kteří potřebují provádět své úlohy. Místo udělení neomezených oprávnění všem ve vašem předplatném nebo prostředcích Azure povolte pouze určité akce v určitém rozsahu.
Podrobnosti: K přiřazení oprávnění uživatelům použijte předdefinované role Azure v Azure.
Poznámka:
Konkrétní oprávnění vytvářejí nepotřebné složitosti a nejasnosti, které se shromádí do "starší" konfigurace, která se obtížně opravuje bez obav z narušení něčeho. Vyhněte se oprávněním pro konkrétní prostředky. Místo toho použijte skupiny pro správu pro oprávnění a skupiny prostředků v rámci celého podniku pro oprávnění v rámci předplatných. Vyhněte se uživatelským oprávněním. Místo toho přiřaďte přístup ke skupinám v Microsoft Entra ID.
Osvědčený postup: Udělte týmům zabezpečení přístup k zodpovědnostem Azure, aby viděli prostředky Azure, aby mohli vyhodnotit a napravit rizika.
Podrobnosti: Udělte týmům zabezpečení roli Čtenář zabezpečení Azure RBAC. V závislosti na rozsahu zodpovědností můžete použít kořenovou skupinu pro správu nebo skupinu pro správu segmentů:
- Kořenová skupina pro správu pro týmy zodpovědné za všechny podnikové prostředky
- Skupina pro správu segmentů pro týmy s omezeným rozsahem (běžně kvůli zákonným nebo jiným hranicím organizace)
Osvědčený postup: Udělte příslušné oprávnění týmům zabezpečení, které mají přímé provozní povinnosti.
Podrobnosti: Projděte si předdefinované role Azure pro příslušné přiřazení role. Pokud předdefinované role nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role Azure. Stejně jako u předdefinovaných rolí můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v rámci předplatného, skupiny prostředků a rozsahů prostředků.
Osvědčené postupy: Udělte Microsoft Defenderu pro cloud přístup k rolím zabezpečení, které ho potřebují. Defender for Cloud umožňuje týmům zabezpečení rychle identifikovat a napravit rizika.
Podrobnosti: Přidejte týmy zabezpečení s těmito potřebami do role azure RBAC Security Správa, aby mohli zobrazovat zásady zabezpečení, zobrazovat stavy zabezpečení, upravovat zásady zabezpečení, zobrazovat výstrahy a doporučení a zamítnout výstrahy a doporučení. Můžete to provést pomocí kořenové skupiny pro správu nebo skupiny pro správu segmentů v závislosti na rozsahu zodpovědností.
Organizace, které nevynucují řízení přístupu k datům pomocí funkcí, jako je Azure RBAC, můžou uživatelům poskytnout více oprávnění, než je potřeba. To může vést k ohrožení dat tím, že uživatelům umožní přístup k typům dat (například s vysokým obchodním dopadem), které by neměli mít.
Nižší expozice privilegovaných účtů
Zabezpečení privilegovaného přístupu je důležitým prvním krokem k ochraně obchodních prostředků. Minimalizace počtu lidí, kteří mají přístup k zabezpečeným informacím nebo prostředkům, snižuje riziko, že uživatel se zlými úmysly získá přístup nebo neoprávněný uživatel neúmyslně ovlivní citlivý prostředek.
Privilegované účty jsou účty, které spravují a spravují IT systémy. Kybernetickí útočníci cílí na tyto účty, aby získali přístup k datům a systémům organizace. Pokud chcete zabezpečit privilegovaný přístup, měli byste účty a systémy izolovat od rizika vystavení škodlivému uživateli.
Doporučujeme vyvíjet a postupovat podle plánu zabezpečení privilegovaného přístupu proti kybernetickým útočníkům. Informace o vytvoření podrobného plánu zabezpečení identit a přístupu, které jsou spravované nebo hlášené v Microsoft Entra ID, Microsoft Azure, Microsoft 365 a dalších cloudových službách, najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.
Následující souhrn osvědčených postupů zjištěných v zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID:
Osvědčený postup: Správa, řízení a monitorování přístupu k privilegovaným účtům
Podrobnosti: Zapněte Microsoft Entra Privileged Identity Management. Po zapnutí Privileged Identity Management obdržíte e-mailové zprávy s oznámením o změnách role privilegovaného přístupu. Tato oznámení poskytují včasné upozornění, když se do vysoce privilegovaných rolí ve vašem adresáři přidají další uživatelé.
Osvědčený postup: Ujistěte se, že všechny důležité účty správců jsou spravované účty Microsoft Entra. Podrobnosti: Odeberte všechny uživatelské účty z důležitých rolí správců (například účty Microsoft, jako jsou hotmail.com, live.com a outlook.com).
Osvědčený postup: Zajistěte, aby všechny důležité role správce měly samostatný účet pro úlohy správy, aby se zabránilo útokům phishing a dalším útokům, které by mohly ohrozit oprávnění správce.
Podrobnosti: Vytvořte samostatný účet správce, který má přiřazená oprávnění potřebná k provádění úloh správy. Zablokujte používání těchto účtů pro správu pro každodenní kancelářské nástroje, jako je e-mail Microsoftu 365 nebo libovolné procházení webu.
Osvědčený postup: Identifikace a kategorizace účtů, které jsou ve vysoce privilegovaných rolích.
Podrobnosti: Po zapnutí služby Microsoft Entra Privileged Identity Management zobrazte uživatele, kteří jsou v globálním správci, správci privilegovaných rolí a dalších vysoce privilegovaných rolích. Odeberte všechny účty, které už tyto role nepotřebujete, a zařazovat zbývající účty, které jsou přiřazené k rolím správce:
- Individuálně přiřazené administrativním uživatelům a lze ho použít pro nesprávě (například osobní e-mail).
- Individuálně přiřazené administrativním uživatelům a určeným pouze pro administrativní účely
- Sdíleno mezi více uživateli
- Scénáře nouzového přístupu
- Pro automatizované skripty
- Pro externí uživatele
Osvědčený postup: Implementujte přístup ZA běhu (JIT), abyste snížili dobu vystavení oprávnění a zvýšili viditelnost používání privilegovaných účtů.
Podrobnosti: Microsoft Entra Privileged Identity Management umožňuje:
- Omezit uživatele pouze na jejich oprávnění JIT.
- Přiřaďte role po kratší dobu s jistotou, že se oprávnění automaticky odvolají.
Osvědčený postup: Definujte alespoň dva účty pro nouzový přístup.
Podrobnosti: Účty pro nouzový přístup pomáhají organizacím omezit privilegovaný přístup v existujícím prostředí Microsoft Entra. Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na scénáře, kdy se nedají použít běžné účty pro správu. Organizace musí omezit využití účtu tísňového volání jenom na potřebnou dobu.
Vyhodnoťte účty, které jsou přiřazené nebo které mají nárok na roli globálního správce. Pokud nevidíte žádné účty jenom pro cloud pomocí *.onmicrosoft.com
domény (určené pro nouzový přístup), vytvořte je. Další informace naleznete v tématu Správa účtů pro správu tísňového přístupu v Microsoft Entra ID.
Osvědčený postup: V případě tísňového volání je zaveden proces "rozbitého skla".
Podrobnosti: Postupujte podle kroků v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.
Osvědčený postup: Vyžadovat, aby všechny důležité účty správců byly méně hesla (upřednostňované) nebo vyžadovaly vícefaktorové ověřování.
Podrobnosti: Pomocí aplikace Microsoft Authenticator se přihlaste k libovolnému účtu Microsoft Entra bez použití hesla. Podobně jako Windows Hello pro firmy používá Microsoft Authenticator ověřování na základě klíčů k povolení přihlašovacích údajů uživatele, které jsou svázané se zařízením, a používá biometrické ověřování nebo PIN kód.
Vyžadovat vícefaktorové ověřování Microsoft Entra při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více rolím správce Microsoft Entra: Globální Správa istrator, Privileged Role Správa istrator, Exchange Online Správa istrator a SharePoint Online Správa istrator. Povolte vícefaktorové ověřování pro účty správců a ujistěte se, že uživatelé účtu správce zaregistrovali.
Osvědčený postup: U kritických účtů správců máte pracovní stanici správce, kde nejsou povolené produkční úlohy (například procházení a e-mail). Tím ochráníte účty správců před vektory útoku, které používají procházení a e-maily, a výrazně snížíte riziko závažného incidentu.
Podrobnosti: Použijte pracovní stanici správce. Zvolte úroveň zabezpečení pracovní stanice:
- Vysoce zabezpečená zařízení pro produktivitu poskytují pokročilé zabezpečení pro procházení a další úlohy produktivity.
- Pracovní stanice s privilegovaným přístupem poskytují vyhrazený operační systém chráněný před internetovými útoky a vektory hrozeb pro citlivé úlohy.
Osvědčený postup: Zrušení zřízení účtů správců, když zaměstnanci opustí vaši organizaci.
Podrobnosti: Máte zaveden proces, který zakáže nebo odstraní účty správců, když zaměstnanci opustí vaši organizaci.
Osvědčený postup: Pravidelně testujte účty správců pomocí aktuálních technik útoku.
Podrobnosti: Pomocí simulátoru útoku Microsoft 365 nebo nabídky třetí strany můžete ve vaší organizaci spouštět reálné scénáře útoku. To vám může pomoct najít zranitelné uživatele předtím, než dojde k skutečnému útoku.
Osvědčený postup: Proveďte kroky ke zmírnění nejčastěji používaných napadených technik.
Podrobnosti: Identifikace účtů Microsoft v rolích pro správu, které je potřeba přepnout na pracovní nebo školní účty
Zajištění samostatných uživatelských účtů a přeposílání pošty pro účty globálního správce
Ujistěte se, že se nedávno změnila hesla účtů pro správu.
Zapnutí synchronizace hodnot hash hesel
Získejte bezpečnostní skóre Microsoftu 365 (pokud používáte Microsoft 365).
Projděte si pokyny k zabezpečení Microsoftu 365 (pokud používáte Microsoft 365).
Konfigurace monitorování aktivit Microsoftu 365 (pokud používáte Microsoft 365)
Vytvoření vlastníků plánu reakce na incidenty nebo tísňové volání
Zabezpečení místních privilegovaných účtů pro správu
Pokud nezabezpečíte privilegovaný přístup, můžete zjistit, že máte příliš mnoho uživatelů ve vysoce privilegovaných rolích a že jsou zranitelnější vůči útokům. Aktéři se zlými úmysly, včetně kybernetických útočníků, často cílí na účty správců a další prvky privilegovaného přístupu, aby získali přístup k citlivým datům a systémům pomocí krádeže přihlašovacích údajů.
Řízení umístění, kde se vytvářejí prostředky
Povolení cloudových operátorů provádět úlohy a zároveň jim brání v zásadních konvencích, které jsou potřeba ke správě prostředků vaší organizace, je velmi důležité. Organizace, které chtějí řídit umístění, kde se prostředky vytvářejí, by měly pevně zakódovat tato umístění.
Pomocí Azure Resource Manageru můžete vytvořit zásady zabezpečení, jejichž definice popisují akce nebo prostředky, které jsou výslovně odepřeny. Tyto definice zásad přiřadíte v požadovaném oboru, jako je předplatné, skupina prostředků nebo jednotlivý prostředek.
Poznámka:
Zásady zabezpečení nejsou stejné jako Azure RBAC. K autorizaci uživatelů k vytvoření těchto prostředků ve skutečnosti používají Azure RBAC.
Organizace, které nekontrolují způsob vytváření prostředků, jsou náchylnější k uživatelům, kteří mohou službu zneužít vytvořením více prostředků, než potřebují. Posílení procesu vytváření prostředků je důležitým krokem k zabezpečení víceklientského scénáře.
Aktivně monitorovat podezřelé aktivity
Aktivní systém monitorování identit může rychle detekovat podezřelé chování a aktivovat výstrahu pro další šetření. Následující tabulka uvádí možnosti Microsoft Entra, které můžou organizacím pomoct monitorovat své identity:
Osvědčený postup: Použití metody k identifikaci:
- Pokusí se přihlásit bez trasování.
- Útoky hrubou silou na konkrétní účet.
- Pokusí se přihlásit z více umístění.
- Přihlášení z napadených zařízení
- Podezřelé IP adresy.
Podrobnosti: Použijte sestavy anomálií Microsoft Entra ID P1 nebo P2. Mají zavedené procesy a postupy pro správce IT, aby tyto sestavy spouštěly každý den nebo na vyžádání (obvykle ve scénáři reakce na incidenty).
Osvědčený postup: Máte aktivní monitorovací systém, který vás upozorní na rizika a může upravit úroveň rizika (vysoká, střední nebo nízká) vašim obchodním požadavkům.
Podrobnosti: Použijte Microsoft Entra ID Protection, která označí aktuální rizika na vlastním řídicím panelu a odesílá denní souhrnná oznámení e-mailem. Pokud chcete lépe chránit identity vaší organizace, můžete nakonfigurovat zásady založené na rizicích, které automaticky reagují na zjištěné problémy při dosažení zadané úrovně rizika.
Organizace, které aktivně nemonitorují své systémy identit, riskují ohrožení přihlašovacích údajů uživatele. Bez znalostí, že prostřednictvím těchto přihlašovacích údajů probíhají podezřelé aktivity, organizace nemůžou tento typ hrozby zmírnit.
Použití ID Microsoft Entra pro ověřování úložiště
Azure Storage podporuje ověřování a autorizaci s ID Microsoft Entra pro úložiště objektů blob a Queue Storage. Pomocí ověřování Microsoft Entra můžete pomocí řízení přístupu na základě role v Azure udělit konkrétním oprávněním uživatelům, skupinám a aplikacím v rozsahu jednotlivých kontejnerů objektů blob nebo fronty.
Pro ověřování přístupu k úložišti doporučujeme použít ID Microsoft Entra.
Další krok
Podívejte se na osvědčené postupy a vzory zabezpečení Azure, kde najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.