此架構示範安全性作業中心 (SOC) 小組如何將Microsoft Entra 身分識別和存取功能納入整體整合且分層 的零信任 安全性策略。
當組織內受控網路上包含所有服務和裝置時,網路安全性主導了SOC作業。 不過, Gb 預測,到 2022 年,雲端服務的市場規模將以整體 IT 服務的近三倍的速度增長。 隨著更多公司接受雲端運算,將使用者身分識別視為主要安全性界限的轉變。
保護雲端中的身分識別是高優先順序。
Verizon 的 2020 年數據外洩調查報告 指出,37% 涉及使用遭竊認證,22% 的數據外洩涉及網路釣魚。
2019年 IBM 對數據外泄事件 的研究報告說,數據外泄的平均全球成本為390萬美元,美國平均成本接近820萬美元。
Microsoft 2019 年安全情報報告 報告報告說,2018 年 1 月至 12 月之間的網路釣魚攻擊增長了 250%。
零信任安全性模型會將所有主機視為因特網對向,並認為整個網路可能會遭到入侵和敵意。 此方法著重於建置強式驗證 (AuthN)、授權和加密,同時提供分隔式存取和更佳的作業靈活性。
Blob 會提升調適型安全性架構,以預防偵測-回應-預測模型取代事件回應型策略。 自適性安全性結合了訪問控制、行為監視、使用量管理和探索與持續監視和分析。
Microsoft網路安全性參考架構 (MCRA) 說明Microsoft的網路安全性功能,以及它們如何與現有的安全性架構整合,包括雲端和混合式環境,這些架構會針對身分識別即服務 (IDaaS) 使用 Microsoft Entra ID。
本文將零信任彈性安全性方法提升至 IDaaS,強調 Microsoft Entra 平臺上可用的元件。
潛在使用案例
- 設計新的安全性解決方案
- 增強或整合現有的實作
- 教育SOC小組
架構
工作流程
- 認證管理 會控制驗證。
- 布建 和 權利管理 會定義存取套件、將使用者指派給資源,以及推送數據以進行 證明。
- 授權 引擎 會 評估存取原則 以判斷存取權。 引擎也會評估 風險偵測,包括 使用者/實體行為分析 (UEBA) 數據,以及檢查裝置合規性以進行 端點管理。
- 如果獲得授權,用戶或裝置會取得每個 條件式存取原則和控制的存取權。
- 如果授權失敗,用戶可以進行 即時補救 ,以自行解除封鎖。
- 記錄所有工作階段數據以供分析和報告。
- SOC 小組 的安全性資訊和事件管理 (SIEM) 系統(安全性資訊和事件管理 (SIEM)會 從雲端和內部部署身分識別接收所有記錄、風險偵測和 UEBA 數據。
元件
下列安全性程式和元件會參與此Microsoft Entra IDaaS 架構。
認證管理
認證管理 包括發出、追蹤及更新資源或服務存取權的服務、原則和做法。 Microsoft Entra 認證管理包含下列功能:
自助式密碼重設 (SSPR) 可讓使用者自行提供服務,並重設自己遺失、忘記或遭入侵的密碼。 SSPR 不僅可減少技術服務人員通話,還能提供更大的用戶彈性和安全性。
密碼回寫 會即時同步處理雲端中變更的密碼與內部部署目錄。
禁用密碼 會分析公開常用弱式或遭入侵密碼的遙測數據,並禁止其在整個Microsoft Entra標識符全域使用。 您可以為您的環境自定義這項功能,並包含自訂密碼清單,以在您自己的組織內禁止。
智慧鎖定 會將合法的驗證嘗試與暴力密碼破解嘗試進行比較,以取得未經授權的存取。 在默認智慧鎖定原則下,帳戶會在10次登入嘗試失敗后鎖定一分鐘。 當登入嘗試繼續失敗時,帳戶鎖定時間會增加。 您可以使用原則來調整組織適當混合安全性和可用性的設定。
當使用者嘗試存取受保護的資源時,多重要素驗證 (MFA) 需要多種形式的驗證。 大部分的使用者在存取資源時都熟悉使用他們知道的內容,例如密碼。 MFA 會要求使用者也示範他們擁有的專案,例如可存取受信任的裝置,或像是生物特徵辨識標識碼等專案。 MFA 可以使用不同類型的驗證方法,例如透過驗證器應用程式撥打電話、簡訊或通知。
無密碼驗證 會將驗證工作流程中的密碼取代為智慧型手機或硬體令牌、生物識別標識碼或 PIN。 Microsoft無密碼驗證可與 azure 資源搭配運作,例如 Windows Hello 企業版,以及行動裝置上的 Microsoft Authenticator 應用程式。 您也可以使用 與 FIDO2 相容的安全性金鑰來啟用無密碼驗證,其使用 WebAuthn 和 FIDO 聯盟的用戶端對驗證器 (CTAP) 通訊協定。
應用程式布建和權利
權利管理 是一項Microsoft Entra 身分識別治理 功能,可讓組織大規模管理身分識別和存取生命週期。 權利管理會將存取要求工作流程、存取指派、檢閱和到期自動化。
Microsoft Entra 布 建可讓您在使用者需要存取的應用程式中自動建立使用者身分識別和角色。 您可以為第三方軟體即服務 (SaaS) 應用程式設定Microsoft Entra 布建,例如 SuccessFactors、Workday 等等。
無縫單一登錄 (SSO) 會在使用者登入公司裝置後,自動對雲端式應用程式驗證使用者。 您可以使用 Microsoft Entra 無縫 SSO 搭配 密碼哈希同步 處理或 傳遞驗證。
使用 Microsoft Entra 存取權檢閱 的證明有助於符合監視和稽核需求。 存取權檢閱可讓您執行類似快速識別系統管理員用戶數目、確定新員工可以存取所需的資源,或檢閱用戶的活動,以判斷他們是否需要存取權。
條件式存取原則和控件
條件式存取原則是指派和訪問控制的 if-then 語句。 您可以定義觸發原則的原因回應 (“如果發生這種情況),讓 授權引擎 做出強制執行組織原則的決策。 透過 Microsoft Entra 條件式存取,您可以控制授權使用者如何存取您的應用程式。 Microsoft Entra ID What If 工具 可協助您了解條件式存取原則為何或未套用,或原則在特定情況下會套用至使用者。
條件式訪問控制 可與條件式存取原則搭配運作,以協助強制執行組織原則。 Microsoft Entra 條件式訪問控制可讓您根據存取要求時偵測到的因素來實作安全性,而不是符合所有方法的大小。 藉由結合條件式訪問控制與存取條件,您可以減少建立其他安全性控件的需求。 一般範例是,您可以允許已加入網域的裝置上的使用者使用 SSO 存取資源,但需要使用者從網路外或使用自己的裝置使用 MFA。
Microsoft Entra ID 可以搭配條件式存取原則使用下列條件式存取控制:
Azure 角色型存取控制 (RBAC) 可讓您設定和指派適當的角色給需要使用 Azure 資源執行系統管理或特製化工作的使用者。 您可以使用 Azure RBAC 來建立或維護個別的專用系統管理員專用帳戶、設定的角色範圍存取、時間限制存取,或透過核准工作流程授與存取權。
Privileged Identity Management (PIM) 可讓您將額外的監視和保護新增至系統管理帳戶,以協助減少貴組織的攻擊媒介。 透過 Microsoft Entra PIM,您可以管理及控制 Azure 內資源的存取、Microsoft Entra ID,以及其他 Microsoft具有 Just-In-Time (JIT) 存取權和足夠管理 (JEA) 的 365 服務。 PIM 提供系統管理活動和變更記錄檔的歷程記錄,並在使用者從您定義的角色新增或移除時警示您。
您可以使用 PIM 來 要求核准 或理由來啟用系統管理角色。 使用者大部分時間都可以維護一般許可權,並要求和接收他們完成系統管理或特製化工作所需的角色存取權。 當他們完成工作並註銷,或其存取時間限制到期時,他們可以使用其標準用戶權力重新驗證。
適用於雲端的 Microsoft Defender Apps 是一種雲端存取安全性代理程式 (CASB),可分析流量記錄,以探索及監視組織中使用中的應用程式和服務。 透過 適用於雲端的 Defender Apps,您可以:
適用於雲端的 Defender 應用程式也可以使用存取原則和會話原則來控制使用者對SaaS應用程式的存取。 例如,您可以:
- 限制可存取應用程式的IP範圍
- 需要 MFA 才能存取應用程式
- 僅允許來自已核准應用程式內的活動
SharePoint 系統管理中心的訪問控制頁面提供數種方式來控制 SharePoint 和 OneDrive 內容的存取。 您可以選擇封鎖存取、允許來自非受控裝置的僅限網頁存取,或根據網路位置控制存取。
您可以從 Microsoft Graph API 使用 ApplicationAccessPolicy,將應用程式許可權限定為特定的 Exchange Online 信箱。
使用規定 (TOU) 提供一種方式來呈現用戶必須先同意的資訊,才能取得受保護資源的存取權。 您會將 TOU 檔上傳至 Azure 作為 PDF 檔案,然後在條件式存取原則中以控件形式提供。 藉由建立條件式存取原則,要求使用者在登入時同意 TOU,您可以輕鬆地稽核接受 TOU 的使用者。
端點管理 可控制授權使用者如何從各種裝置存取雲端應用程式,包括行動裝置和個人裝置。 您可以使用條件式存取原則來限制只存取符合特定安全性和合規性標準的裝置。 這些 受控裝置 需要 裝置身分識別。
風險偵測
Azure Identity Protection 包含數個原則,可協助您的組織管理對可疑用戶動作的回應。 用戶風險 是使用者身分識別遭到入侵的機率。 登入風險 是登入要求不是來自用戶的機率。 Microsoft Entra ID 會根據源自實際使用者登入要求的機率,根據行為分析計算登入風險分數。
Microsoft Entra 風險偵測 會使用調適型機器學習演算法和啟發學習法來偵測與用戶帳戶相關的可疑動作。 所偵測到的每個可疑動作都會儲存在名為風險偵測的記錄中。 Microsoft Entra ID 會使用此資料來計算使用者和登入風險機率,並透過Microsoft的內部和外部威脅情報來源和訊號來增強。
您可以使用 Microsoft Graph 中的 Identity Protection 風險偵測 API 來公開有風險的使用者和登入的相關信息。
即時補救 可讓使用者使用 SSPR 和 MFA 自行修復某些風險偵測來解除封鎖。
考量
當您使用此解決方案時,請記住這些要點。
記錄
Microsoft Entra 稽核報告 提供 Azure 活動的可追蹤性,其中包含稽核記錄、登入記錄,以及有風險的登入和有風險的用戶報告。 您可以根據數個參數來篩選和搜尋記錄數據,包括服務、類別、活動和狀態。
您可以將Microsoft Entra ID 記錄資料路由傳送至端點,例如:
- Azure 儲存體帳戶
- Azure 監視器記錄
- Azure 事件中樞
- SIEM 解決方案,例如 Microsoft Sentinel、 ArcSight、 Splunk、 SumoLogic、 其他外部 SIEM 工具,或您自己的解決方案。
您也可以使用 Microsoft Graph 報告 API ,在您自己的腳本中擷取及取用Microsoft Entra ID 記錄數據。
內部部署和混合式考慮
驗證方法是保護混合式案例中組織身分識別的關鍵。 Microsoft提供 選擇混合式驗證方法與Microsoft Entra ID 的特定指引 。
適用於身分識別的 Microsoft Defender 可以使用您的 內部部署的 Active Directory 訊號來識別、偵測及調查進階威脅、遭入侵的身分識別和惡意測試人員動作。 適用於身分識別的 Defender 會使用 UEBA 來識別內部威脅並標幟風險。 即使身分識別遭到入侵,適用於身分識別的 Defender 仍可協助根據不尋常的使用者行為來識別入侵。
適用於身分識別的Defender與 適用於雲端的 Defender Apps 整合,以將保護延伸至雲端應用程式。 您可以使用 適用於雲端的 Defender Apps 來建立會話原則,以保護下載時的檔。 例如,您可以自動設定特定使用者類型所下載之任何檔案的僅限檢視許可權。
您可以在 Microsoft Entra ID 中設定內部部署應用程式,以使用 適用於雲端的 Defender Apps 進行即時監視。 適用於雲端的 Defender 應用程式會使用條件式存取應用程式控制,根據條件式存取原則即時監視和控制工作階段。 您可以將這些原則套用到在 Microsoft Entra ID 中使用應用程式 Proxy 的內部部署應用程式。
Microsoft Entra 應用程式 Proxy 可讓使用者從遠端用戶端存取內部部署 Web 應用程式。 透過 應用程式 Proxy,您可以在單一位置監視應用程式的所有登入活動。
您可以使用適用於身分識別的Defender搭配 Microsoft Entra ID Protection ,協助保護與 Microsoft Entra Connect 同步處理至 Azure 的使用者身分識別。
如果您的部分應用程式已經使用現有的 傳遞控制器或網路控制站 來提供離網路存取,您可以將它們與Microsoft Entra 識別元整合。 數個合作夥伴,包括 Akamai、 Citrix、 F5 Networks 和 Zscaler ,提供與 Microsoft Entra ID 整合的解決方案和指引。
成本最佳化
Microsoft Entra 定價範圍從 SSO 和 MFA 等功能到進階 P2,例如 PIM 和權利管理等功能。 如需定價詳細數據,請參閱 Microsoft Entra 定價。
下一步
- 零信任 安全性
- Microsoft Entra ID 的零信任部署指南
- 安全性支柱概觀
- Microsoft Entra 示範租使用者 (需要Microsoft合作夥伴網路帳戶),或 Enterprise Mobility + Security 免費試用
- Microsoft Entra 部署計劃
相關資源
- Azure IoT Reference Architecture (Azure IoT 參考架構)
- Azure 中高度敏感性基礎結構即服務 (IaaS) 應用程式的安全性考慮