×

    Recomandările Microsoft Security pentru Identity and Access management

    distribuie:

      

    Infrastructurile IT tradiționale se bazau pe soluții firewall și securizarea rețelei la punctele de ieșire în Internet pentru protecția împotriva amenințărilor externe, controale mult mai puțin eficiente în architecturile de cloud unde serviciile sunt accesate prin provideri de conectivitate în Internet ce asigură accesul la datacenterele Microsoft distribuite global. 

    Întrucât organizația ce portează resursele în cloud nu are controlul asupra infrastructurii vendorului este dificil să adaptezi regulile unui firewall, mai ales ca asigurarea redundanței, scalabilității și toleranței la defecte a serviciilor se realizează prin poziționarea acestora în locații geografice diferite. Prin urmare, controlul accesului trebuie realizat prin platforma de autentificare a identității și prin controale de autorizare incluse în serviciile de cloud cu rol de protecție activă și adaptivă la datele și resursele companiei. 

    Utilizarea unei soluții de identitate cloud based ca Azure AD oferă și caracteristici suplimentare de securitate indisponibile în serviciile de identitate vechi, întrucât pot folosi ca bază de identificare informații despre amenințări identificate într-un volum mare de solicitări de access procesate pentru milioane de clienți. 

    Care sunt serviciile cloud identity disponibile în platformele Microsoft? 

    Spre deosebire de infrastructurile locale ce au la bază platforma de identitate Active Directory Domain Services (ADDS), Microsoft pune la dispoziția utilizatorilor o varietate mare de servicii specializate pentru a îndeplini diferite nevoi: 

    • Azure Active Directory (Azure AD) oferă o structură unică de date la nivel de organizație pentru gestionarea identității angajaților permanenți și a resurselor acesteia, mărind claritatea și coerența pentru rolurile IT și mecanismele de securitate și reducând riscurile de securitate cauzate de erorile umane 
    • Azure AD Connect – permite sincronizarea Azure AD cu ADDS existentă în infrastructuile locale și sprijină infrastructurile hibride și migrarea la office 365 
    • Azure AD B2B – dedicat colaborării între afaceri (Business to Business) pentru a găzdui conturi pentru furnizori și parteneri și customizării nivelului de acces pentru aceștia diferit de cel moștenit implicit la nivelul angajaților permanenți, ceea ce simplifică prevenirea și detecția atacurilor provenite de la entități externe 
    • Azure AD B2C – este un serviciu de gestionare a identității ce permite controlul personalizat al profilurilor clienților IOS, Android, .NET 

    Microsoft Security Identity and Access management 1

    Care sunt capabilitățile de securitate disponibile în platforma de identity cloud based? 

    Microsoft a inclus în servicile de identity amintite anterior următoarele capabilități de securitate: 

    • MFA – Multi-Factor Autentication oferă securitate suplimentară prin implementarea unei metode secundare de validare a identității 
    • Accesul condiționat (Conditional Access) evaluează condițiile de conectare a utilizatorului și folosește politicile de acces condiționat pentru controlul accesului și stă la baza modelului Zero Trust Security 
    • Resetarea parolei de către utilizator (SSPR) permite resetarea parolei fără suportul specialiștilor IT după ce se verifică mai multe metode de identificare a solicitantului 
    • Azure ID Identity protection permite detectarea potențialelor vulnerabilități ce afectează utilizatorii organizației pe baza politicilor de utilizator și autentificare, asociind nivele diferite de risc acestora în funcție de comportamentul depistat 
    • Protecția conturilor ADDS locale prin parolă Azure AD, blochează și detectează parolele slabe sau expuse blocând utilizarea acestora 
    • Azure AD Priviledged Identity Management permite asocierea de roluri de acces pe bază de aprobare limitat în timp și auditat în scopul atenuării asignării de permisiuni inutile sau greșite (Just In Time și  Just Enought Administration). 
    • Managed Identities elimină nevoia de a folosi parole pentru aplicațiile la care se asociază aceste obiecte Azure AD, în scopul asignării d epermisiuni. 
      Microsoft Security Identity and Access management 2

     

    Care sunt principalele metode de atac asociate cu serviciile de identity? 

    În primele trei metode de atac folosite frecvent asupra serviciilor de identity se află Password Spray cu peste 200000 de conturi compromise anual, Phishing-ul cu peste 44 de milioane de evenimente considerate factori de risc într-un singur an și Breach Replay care a expus peste 650000 de conturi anual. 

    Un atac tipic Password Spray exploatează folosirea de către utilizatori a unor parole comune sau identice la mai multe conturi din baza de date identity, phishing-ul exploatează naivitatea utilizatorilor iar breach replay se bazează pe interceptare și retrimiterea mesajelor de la utilizatori legitimi. În lista celor mai cunoscute 20 tipuri de atac in 2022 conform Fortinet, sunt listate nu mai puțin de trei modalități diferite de phishing alături de atacurile ce vizează parolele utilizatorilor și de cele de interceptare (eavesdropping) , prin urmare securitatea platformei de identity este mai mult ca oricând o preocupare majoră. 

     

    Care sunt cele mai bune practici de securizare a platformei de identity? 

    Microsoft recomandă implementarea următoarelor practici pentru a avea garanția activării unor măsuri eficiente împotriva atacurilor ce targhetează platformele de identity locale și din cloud: 

    • Păstrarea consistenței platformei Identity: prin folosirea unei baze de date unitare de identity (directory), sincronizarea securizată a informațiilor ADDS cu Azure AD prin folosirea Azure AD Connect și integrarea directă a aplicațiilor companiei cu Azure AD pentru angajații permanenți, cu Azure AD B2B pentru parteneri și cu Azure AD B2C pentru clienți sau colaboratori 
    • Blocarea metodelor de autentificare vechi: prin folosirea accesului condițional pentru a bloca protocoalele de autentificare lipsite de securitate 
    • Nesincronizarea conturilor administrative: acestea sunt blocate implicit în Azure AD Connect însă se pot defini filtre customizate în acest scop 
    • Sincronizarea user password hashes din ADDS în Azure AD: prin configurarea Azure AD Connect în scopul protecției împotriva interceptării credențialelor compromise fără a afecta activitatea utilizatorilor în timpul sincronizării  
      Microsoft Security Identity and Access management 3
    • Protecția parolelor din cloud prin politici de parole Azure AD: întrucât capabilitățile de protecție din on-premises nu mai pot proteja conturile bazate pe parole, ideală fiind folosirea soluțiilor passwordless. Acest mecanism poate fi aplicat obligatoriu prin acces condițional și monitorizat, raporta și remediat prin testele și mecanismele Azure AD Identity Protection 
    • Folosirea Identity Protection Risk Events API pentru a obține acces în cod la informațiile de detecție a problemelor de securitate prin folosirea Microsoft Graph. 
    • Folosirea Azure AD pentru autentificarea mașinilor virtuale Linux din Azure pentru a simplifica administrarea și a asigura un nivel ridicat de securitate 
    • Protecția ADDS prin mecanismele de securitate din cloud: prin protecția parolelor din ADDS on-premises prin AzureAD
       

    Pentru specializarea Identity and Access Administrator, Microsoft vă pune la dispoziție cursul oficial Microsoft SC-300 Microsoft Identity and Access Administrator asociat certificării role based Microsoft Certified: Identity and Access Administrator Associate.  

     

     

     

     

    marian-pandilica

     
     

     

     

     

     

     

     

    New call-to-action


     

    distribuie: