Jak použít model Zero Trust pomocí Entra ID a Intune

Jak použít model Zero Trust pomocí Entra ID a Intune

02/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci bezpečnostního modelu Zero Trust pomocí možností Microsoft Entra ID (dříve Azure Active Directory) a Microsoft Intune. Model nulové důvěry, založený na principu „nikdy nedůvěřuj, vždy ověř“, je moderním bezpečnostním přístupem, který předpokládá, že žádné žádosti o přístup by neměly být automaticky důvěřovány, bez ohledu na to, odkud pochází nebo ke kterému zdroji se pokouší získat přístup [1].

Úvod

S expanzí práce na dálku, rozšířením osobních zařízení a migrací do cloudu tradiční bezpečnostní perimetr podnikových sítí zastaral. Jako odpověď na tento nový scénář se objevuje model Zero Trust, který vyžaduje explicitní ověření pro každý pokus o přístup, uděluje přístup s nejmenšími oprávněními a vždy předpokládá porušení. Microsoft Entra ID a Microsoft Intune jsou klíčové komponenty pro vybudování robustní architektury Zero Trust, ochrany identit a koncových bodů [2].

Tato praktická příručka pokryje principy Zero Trust a ukáže, jak nakonfigurovat a integrovat Microsoft Entra ID a Microsoft Intune, aby se tyto principy uplatňovaly. Budou poskytnuty podrobné pokyny, příklady konfigurace a metody ověřování, aby čtenář mohl implementovat a posílit bezpečnostní pozici své organizace pomocí přístupu Zero Trust.

Principy nulové důvěry

Model Zero Trust je postaven na třech základních principech [3]:

  1. Ověřit explicitně: Vždy se ověřujte a autorizujte na základě všech dostupných datových bodů, včetně identity uživatele, polohy, stavu zařízení, citlivosti zdrojů a anomálií.
  2. Použít přístup s nejmenšími oprávněními: Omezte přístup uživatele pouze na to, co je nezbytné. Používejte Just-In-Time (JIT) a Just-Enough Access (JEA), adaptivní politiky založené na rizicích a ochranu dat k ochraně dat a produktivity.
  3. Assume Breach: Minimalizujte rádius výbuchu a přístup k segmentům. Ověřte šifrování typu end-to-end a použijte analýzy k získání viditelnosti, detekci hrozeb a zlepšení obrany.

Předpoklady

K implementaci modelu Zero Trust s Microsoft Entra ID a Intune budete potřebovat následující položky:

  1. Licencování: Licence vhodné pro Microsoft Entra ID Premium P1 nebo P2 (pro podmíněný přístup) a Microsoft Intune (obvykle součást balíčků Microsoft 365 E3/E5 nebo EMS E3/E5) [4].
  2. Administrativní přístup: Účty s oprávněními Global Administrator, Security Administrator nebo Intune Administrator na portálech centra pro správu Microsoft Entra (entra.microsoft.com) a Microsoft Endpoint Manager (endpoint.microsoft.com).
  3. Zařízení registrovaná v Intune: Zařízení s Windows 10/11 již zaregistrovaná a spravovaná Microsoft Intune.
  4. Identity v Microsoft Entra ID: Uživatelé a skupiny synchronizovaní nebo vytvoření v Microsoft Entra ID.

Krok za krokem: Použití modelu nulové důvěry

Zaměříme se na to, jak Microsoft Entra ID a Intune spolupracují při prosazování zásad Zero Trust, zejména „Explicitly Verify“ a „Use Least Privilege Access“.

1. Posílení identity pomocí Microsoft Entra ID

Microsoft Entra ID je páteří Zero Trust pro identity, což zajišťuje, že přístup mají pouze ověření uživatelé.

1.1. Implementujte vícefaktorové ověřování (MFA)

Makrofinanční pomoc je základní složkou zásady „výslovné kontroly“.

  1. Konfigurace MFA prostřednictvím podmíněného přístupu: Jak je podrobně popsáno v článku 3, vytvořte politiku podmíněného přístupu, která bude vyžadovat MFA pro všechny uživatele nebo pro konkrétní skupiny nebo pro přístup zvenčí podnikové sítě.
    • V centru pro správu přihlášení Microsoft přejděte na Ochrana > Podmíněný přístup.
    • Vytvořte novou zásadu s následujícím nastavením:
      • Přiřazení > Uživatelé identity nebo pracovní zátěž: Vyberte Všichni uživatelé (kromě nouzových účtů).
      • Cloudové zdroje nebo akce: Všechny cloudové aplikace.
      • Grant: Zaškrtněte Vyžadovat vícefaktorové ověření.
      • Povolit zásady: Povoleno.

1.2. Povolte Azure AD Identity Protection

Identity Protection zjišťuje zranitelná místa, která ovlivňují identity vaší organizace, konfiguruje automatické zásady založené na rizicích k ochraně těchto identit a zkoumá rizikové aktivity [5].

  1. V centru pro správu přihlášení Microsoft přejděte na Ochrana > Ochrana identity.
  2. Zásady rizika uživatele: Nakonfigurujte tuto zásadu tak, aby vyžadovala MFA nebo resetování hesla pro středně nebo vysoce rizikové uživatele.
    • Role > Uživatelé: Vyberte Všichni uživatelé.
    • Podmínky > Riziko uživatele: Vyberte Střední a vyšší.
    • Ovládací prvky > Přístup: Udělit přístup a Vyžadovat reset hesla nebo Vyžadovat vícefaktorové ověření.
    • Povolit zásady: Povoleno.
  3. Zásady rizika vstupu: Nakonfigurujte tuto zásadu tak, aby blokovala nebo vyžadovala MFA pro rizikové vstupy.
    • Role > Uživatelé: Vyberte Všichni uživatelé.
    • Podmínky > Vstupní riziko: Vyberte Střední a vyšší.
    • Ovládací prvky > Přístup: Udělit přístup a Vyžadovat vícefaktorové ověření (nebo Blokovat přístup pro vysoké riziko).
    • Povolit zásady: Povoleno.

2. Zajištění integrity koncového bodu s Microsoft Intune

Intune zajišťuje, že zařízení, která přistupují k podnikovým zdrojům, jsou zdravá a kompatibilní tím, že na zařízení aplikuje princip „explicitní kontroly“.

2.1. Vytvořte zásady shody zařízení

Zásady souladu definují požadavky na zabezpečení, které musí zařízení splňovat, aby bylo považováno za vyhovující. Nekompatibilní zařízení mohou mít přístup blokovaný nebo omezený prostřednictvím podmíněného přístupu.

  1. V centru pro správu Microsoft Endpoint Manager (https://endpoint.microsoft.com) přejděte na Endpoint Security > Soulad zařízení > Zásady.
  2. Klikněte na Vytvořit zásady.
  3. Platforma: Windows 10 a novější.
  4. Nastavení souladu:
    • Integrita zařízení: Vyžaduje BitLocker, Secure Boot atd.
    • Zabezpečení zařízení: Vyžaduje antivirus (např. Microsoft Defender Antivirus), firewall, složitá hesla atd.
    • Vlastnosti zařízení: Vyžaduje minimální verzi operačního systému.
  5. Akce pro nesoulad: Nakonfigurujte akce, jako je označení zařízení jako nevyhovujícího okamžitě nebo po uplynutí doby odkladu.
  6. Přiřazení: Přiřaďte zásady příslušným skupinám zařízení Windows.

2.2. Vytvořte profily konfigurace zařízení

Konfigurační profily umožňují nasadit specifická nastavení zabezpečení, jako je nastavení brány firewall, nastavení zabezpečení programu Microsoft Defender a omezení zařízení.

  1. V centru pro správu Microsoft Endpoint Manager přejděte na Zařízení > Windows > Konfigurační profily.
  2. Klikněte na Vytvořit profil.
  3. Platforma: Windows 10 a novější.
  4. Typ profilu: Vyberte šablony, jako je „Ochrana koncového bodu“ pro konfiguraci antivirového programu Microsoft Defender a brány firewall nebo „Omezení zařízení“ pro zakázání konkrétních funkcí.
  5. Nakonfigurujte nastavení zabezpečení podle osvědčených postupů vaší organizace.
  6. Přiřazení: Přiřaďte profil příslušným skupinám zařízení Windows.

3. Integrace Entra ID a Intune s podmíněným přístupem

Podmíněný přístup je motor, který spojuje zásady identity (Entra ID) a zařízení (Intune) k vynucení nulové důvěry.

3.1. Vytvořte zásadu podmíněného přístupu, která bude vyžadovat kompatibilní zařízení

Tato zásada zajistí, že ke cloudovým aplikacím budou mít přístup pouze zařízení, která splňují standardy Intune.

  1. V centru pro správu přihlášení Microsoft přejděte na Ochrana > Podmíněný přístup.
  2. Klikněte na Nová zásada > Vytvořit novou zásadu.
  3. Název: Vyžadovat kompatibilní zařízení pro přístup.
  4. Přiřazení > Identity Users or Workloads: Vyberte All Users (s výjimkou nouzových účtů).
  5. Cloudové zdroje nebo akce: Všechny cloudové aplikace.
  6. Podmínky (Volitelné): Můžete přidat podmínky jako „Platformy zařízení“ pro Windows.
  7. Grant:
    • Vyberte Udělit přístup.
    • Zaškrtněte Vyžadovat označení zařízení jako podporované. Klikněte na Vybratatd*.
  8. Povolit zásady: Povoleno.
  9. Klikněte na Vytvořit.

Validace a testování

Ověření implementace Zero Trust je zásadní pro zajištění toho, aby zásady fungovaly podle očekávání.

1. Otestujte přístup z kompatibilního zařízení

  1. Na zařízení s Windows, které je spravované Intune, se pokuste získat přístup ke cloudové aplikaci (např.: portal.office.com).
  2. Přístup musí být udělen po ověření uživatele (a MFA, je-li nakonfigurováno).

2. Otestujte přístup z nevyhovujícího zařízení

  1. Na zařízení Windows, které není kompatibilní (např. deaktivujte bránu firewall, změňte verzi operačního systému na verzi, která není povolena zásadami dodržování předpisů Intune, nebo použijte nespravované zařízení).
  2. Zkuste získat přístup ke cloudové aplikaci (např. portal.office.com).
  3. Přístup musí být zablokován a uživatel musí obdržet zprávu, že zařízení není kompatibilní a nemůže přistupovat ke zdroji.

3. Monitorujte zprávy o podmíněném přístupu

  1. V centru pro správu přihlášení Microsoft přejděte na Ochrana > Podmíněný přístup > Zprávy.
  2. Zkontrolujte vstupní protokoly a zjistěte, které zásady podmíněného přístupu byly použity, a výsledek (úspěch, selhání, pouze zpráva).

Bezpečnostní tipy a doporučené postupy

  • Začínejte v malém, rozšiřujte postupně: Implementujte zásady nulové důvěry v testovacích skupinách před rozšířením na celou organizaci, abyste minimalizovali narušení provozu.
  • Vzdělávání a komunikace: Jasně sdělujte změny uživatelům a poskytujte školení o tom, jak udržovat jejich zařízení kompatibilní a jak používat MFA.
  • Nepřetržité monitorování: Pravidelně sledujte zprávy o shodě Intune a protokoly podmíněného přístupu a ochrany identity, abyste zjistili případné mezery nebo anomálie.
  • Least Privilege Access: Kombinujte zásady podmíněného přístupu s PIM (Privileged Identity Management), abyste zajistili, že privilegovaný přístup bude právě včas a stačí.
  • Assume Breach: Nakonfigurujte Microsoft Defender pro Endpoint pro pokročilé zjišťování hrozeb pro koncové body a Microsoft Sentinel pro orchestraci zabezpečení a automatizovanou odezvu.
  • Pravidelná kontrola: Pravidelně kontrolujte a upravujte své zásady nulové důvěry, abyste se přizpůsobili změnám v prostředí hrozeb a obchodním požadavkům.

Běžné odstraňování problémů

  • Přístup byl neočekávaně blokován: Zkontrolujte protokoly přihlášení podmíněného přístupu a zjistěte, které zásady blokují přístup. Zkontrolujte zásady souladu Intune pro dotčené zařízení.
  • Zařízení nekompatibilní: Zkontrolujte stav kompatibility vašeho zařízení v Intune. Je možné, že zařízení neobdrželo zásady nebo že některá konfigurace brání shodě (např. deaktivovaný antivirus, stará verze operačního systému).
  • Konflikty zásad: Projděte si všechny zásady podmíněného přístupu a dodržování předpisů, abyste se ujistili, že neexistují žádná konfliktní vyloučení nebo zahrnutí, která by mohla vést k neočekávanému chování.
  • Problémy se synchronizací: Ujistěte se, že se zařízení a uživatelé správně synchronizují s Intune a Azure AD.

Závěr

Použití modelu Zero Trust je základní bezpečnostní strategií pro ochranu organizací v současném digitálním prostředí. Využitím Microsoft Entra ID ke správě identit a Microsoft Intune k zajištění integrity koncových bodů mohou společnosti implementovat robustní bezpečnostní přístup, který explicitně kontroluje každý požadavek na přístup a funguje na principu nejmenších oprávnění. Integrace těchto nástrojů prostřednictvím podmíněného přístupu vytváří výkonnou, adaptivní obranu, která zajišťuje, že pouze důvěryhodní uživatelé a zařízení mají přístup k podnikovým zdrojům bez ohledu na jejich umístění. Cesta k nulové důvěře pokračuje a vyžaduje neustálé sledování a zdokonalování, ale přínosy ve smyslu snížení rizika a posílení bezpečnosti jsou neocenitelné.

Reference:

[1] Microsoft Learn. Co je nulová důvěra?. Dostupné na: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Learn. Nulová důvěra s Microsoft Intune. Dostupné na: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn. Hlavní zásady nulové důvěry. Dostupné na: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn. Licencování pro Microsoft Enter ID. Dostupné na: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Learn. Co je ochrana identity?. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection