Ochrana privilegovaného přístupu pomocí PIM (Privileged Identity Management)

Ochrana privilegovaného přístupu pomocí PIM (Privileged Identity Management)

15.04.2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a správě Privileged Identity Management (PIM) v Microsoft Entra ID (dříve Azure Active Directory). PIM je služba, která vám umožňuje spravovat, řídit a monitorovat přístup k důležitým zdrojům ve vaší organizaci, poskytuje přístup Just-In-Time (JIT) a Just-Enough Access (JEA) k privilegovaným funkcím, čímž se minimalizuje riziko zneužití oprávnění [1].

Úvod

Účty s oprávněními správce jsou hlavním cílem kybernetických útoků, protože jejich kompromitace může vést k úplné kontrole nad systémy a daty organizace. Tradiční bezpečnostní model, kde jsou privilegované účty trvale přiřazeny, zvyšuje plochu útoku a riziko bočního pohybu útočníků. PIM řeší tento problém zavedením konceptu přístupu „just-in-time“ (JIT) a „just-enough-access“ (JEA), který zajišťuje, že uživatelé budou mít zvýšená oprávnění pouze v případě potřeby a na přísně požadovanou dobu [2].

Tato praktická příručka pokryje konfiguraci PIM v Microsoft Entra ID, od aktivace služby po přiřazení způsobilosti pro role, konfiguraci aktivačních zásad a proces aktivace privilegované role. Budou poskytnuty podrobné pokyny, praktické příklady a metody ověřování, aby čtenář mohl zavést a posílit zabezpečení privilegovaného přístupu ve svém prostředí společnosti Microsoft, snížit vystavení rizikům a zajistit shodu.

Proč je privilegovaná správa identit zásadní?

  • Attack Surface Reduction: Minimalizuje dobu, po kterou privilegované účty zůstávají aktivní, a snižuje tak příležitosti pro útočníky.
  • JIT/JEA Access: Poskytuje dočasný přístup s nejmenšími oprávněními v souladu s principy Zero Trust.
  • Viditelnost a audit: Poskytuje podrobné protokoly všech aktivací privilegovaných funkcí, což usnadňuje audit a shodu.
  • Tok schvalování: Umožňuje vyžadovat schválení pro aktivaci kritických funkcí a přidává další vrstvu zabezpečení.
  • Kontrola přístupu: Usnadňuje pravidelné kontroly přístupu, aby bylo zajištěno, že udělená oprávnění jsou stále přiměřená.

Předpoklady

K implementaci Privileged Identity Management (PIM) budete potřebovat následující položky:

  1. Licencování: Licence Microsoft Enroll ID Premium P2 (dříve Azure AD Premium P2). PIM je jedinečnou vlastností této licence [3].
  2. Administrativní přístup: Účet s rolí „Global Administrator“ nebo „Privileged Roles Administrator“ v Microsoft Enter ID pro konfiguraci PIM.
  3. Users and Groups: Uživatelé a/nebo bezpečnostní skupiny na Microsoft Entra ID, které budou vyžadovat privilegovaný přístup.

Krok za krokem: Konfigurace a používání PIM

Nakonfigurujeme PIM pro kritickou administrativní roli, jako je Globální správce, a předvedeme proces aktivace.

1. Aktivace PIM na Microsoft Entra ID

Pokud PIM ještě není ve vašem tenantovi aktivní, budete jej muset aktivovat.

  1. Přejděte na portál centra pro správu Microsoft Entra: https://entra.microsoft.com.
  2. V levém navigačním panelu vyberte Identity Governance > Privileged Identity Management.
  3. Pokud je to poprvé, zobrazí se možnost Povolit PIM. Klikněte na něj.

2. Přidělení způsobilosti pro roli

Nejprve udělejme uživateli nárok na roli „Globálního správce“.

  1. V levém navigačním panelu PIM vyberte Microsoft Entra Roles > Roles.
  2. V seznamu rolí vyhledejte Globální správce a klikněte na něj.

  3. Na stránce s podrobnostmi o roli Globální správce klikněte na Přidat role.

  4. V části Přidat přiřazení klikněte na Vybrat členy.

  5. Vyhledejte a vyberte uživatele nebo skupiny, kterým chcete tuto roli umožnit. Klikněte na Vybrat.
  6. V části Typ přiřazení vyberte možnost „Vhodné“.
  7. V části Trvalé přiřazení můžete nastavit počáteční a koncové datum způsobilosti nebo je nastavit jako trvalé. U vysoce privilegovaných rolí je třeba se vyhnout trvalému přidělení, ale pro tento účelPro demonstrační účely to můžeme nechat tak, jak je.
  8. Klikněte na Přiřadit.

3. Konfigurace nastavení role

Definice rolí řídí, jak mohou uživatelé aktivovat svá oprávnění.

  1. V levém navigačním panelu PIM vyberte Microsoft Entra Functions > Settings.

  2. V seznamu rolí vyhledejte Globální správce a klikněte na Upravit.

  3. V části Aktivace:

    • Maximální doba aktivace: Definujte maximální dobu, po kterou může mít uživatel funkci aktivní (např.: 4 hodiny). Doporučuje se krátké období.
    • Vyžadovat vícefaktorové ověření při aktivaci: Zaškrtněte tuto možnost. Vřele doporučujeme pro všechny privilegované role.
    • Při aktivaci vyžadovat odůvodnění: Vyberte tuto možnost. Uživatelé budou muset uvést důvod aktivace.
    • Vyžadovat schválení k aktivaci: Zaškrtnutím této možnosti přidáte tok schválení. Klikněte na Vybrat schvalovatele a přidejte jednoho nebo více uživatelů/skupin, kteří mohou schvalovat žádosti o aktivaci.
  4. V části Úkol:
    • Povolit trvalá vhodná přiřazení: V případě „Globálního správce“ zvažte vypnutí této možnosti, abyste vynutili, aby všechna přiřazení byla dočasná.
  5. V části Oznámení:
    • Nakonfigurujte, kdo má být informován o aktivaci funkce.
  6. Kliknutím na Aktualizovat uložte nastavení.

4. Povolení privilegované funkce (uživatelská zkušenost)

Nyní si ukážeme, jak oprávněný uživatel aktivuje roli „Globálního správce“.

  1. Oprávněný uživatel přistoupí na portál administrátorského centra Microsoft Entra: https://entra.microsoft.com.
  2. Přejděte na Identity Governance > Privileged Identity Management.
  3. V levém navigačním panelu vyberte Moje role > Role přihlášení k Microsoftu.
  4. Na kartě Eligible Roles se uživateli zobrazí role Globální správce.

  5. Klikněte na Povolit vedle role „Globální správce“.

  6. V aktivačním okně:

    • Trvání: Uživatel může zadat dobu trvání aktivace (omezenou maximální dobou trvání definovanou v definicích funkcí).
    • Důvod: Uživatel musí poskytnout zdůvodnění aktivace (např. „Provést údržbu na serveru X“).
    • (Pokud je nakonfigurováno) Kontrola zabezpečení: Uživatel může být vyzván k provedení kontroly MFA.

  7. Klikněte na Aktivovat.

  8. Pokud je vyžadováno schválení, bude žádost zaslána schvalovatelům. Uživatel uvidí stav „Čeká na schválení“.

5. Schválení žádosti o aktivaci (zkušenost schvalovatele)

Určený schvalovatel obdrží oznámení (e-mailem nebo na portálu PIM) o požadavku na aktivaci.

  1. Schvalovatel vstoupí na portál administrátorského centra Microsoft Entra: https://entra.microsoft.com.
  2. Přejděte na Identity Governance > Privileged Identity Management.
  3. V levém navigačním panelu vyberte Schválit požadavky.
  4. Schvalovatel uvidí nevyřízenou žádost. Kliknutím na něj zobrazíte podrobnosti.

  5. Schvalovatel může žádost Schválit nebo Odmítnout s uvedením odůvodnění.

  6. Po schválení bude mít žádající uživatel aktivní roli po uvedenou dobu.

Validace a testování

Ověření vaší implementace PIM je zásadní pro zajištění toho, aby řízení privilegovaného přístupu fungovalo podle očekávání.

1. Kontrola stavu aktivace

  1. Po aktivaci (a případném schválení) se uživatel může vrátit na stránku Moje role > Role přihlášení k Microsoftu v PIM.
  2. Na záložce Aktivní role by se měla objevit role „Globální správce“ se stavem „Aktivní“ a zbývajícím časem.

2. Testování přístupu se zvýšenými oprávněními

  1. S aktivovanou funkcí se uživatel musí pokusit získat přístup ke zdrojům nebo provést akce, které vyžadují roli „Globálního správce“ (např. vytvořit nového uživatele v Microsoft Entra ID).
  2. Akce musí být úspěšná.

3. Kontrola protokolů auditu PIM

  1. V levém navigačním panelu PIM vyberte Audit > Audit role Microsoft Entra.
  2. Filtrujte protokoly, abyste viděli aktivace rolí, schválení a další aktivity související s PIM. To poskytuje kompletní záznam o tom, kdo aktivoval kterou funkci, kdy, na jak dlouho as jakým odůvodněním.

4. Testování vypršení platnosti aktivace

Po uplynutí doby aktivace musí uživatel prohrátautomaticky zvýšená oprávnění. Zkuste provést privilegovanou akci znovu; musí selhat.

Bezpečnostní tipy a doporučené postupy

  • Princip nejmenšího privilegia: Přiřaďte pouze role nutné k tomu, aby uživatel mohl plnit své úkoly. Pokud by stačila méně privilegovaná role, nepřiřazujte „globálního správce“.
  • Přiřazení způsobilosti vs. Aktivní přiřazení: Kdykoli je to možné, používejte pro privilegované role spíše „Vhodné“ než trvalé „Aktivní“ přiřazení.
  • MFA Povinné: Vždy vyžadovat MFA k aktivaci privilegovaných funkcí. To přidává kritickou vrstvu zabezpečení.
  • Povinné odůvodnění: Vyžaduje, aby uživatelé poskytli odůvodnění každé aktivace. To pomáhá s auditováním a pochopením účelu přístupu.
  • Toky schvalování: U kritických funkcí nakonfigurujte toky schvalování, abyste zajistili, že aktivace budou zkontrolovány a schváleny někým jiným.
  • Kontrola přístupu: Naplánujte si pravidelné kontroly přístupu v PIM, abyste zajistili, že způsobilost pro privilegované role je stále vhodná, a odstraňte zbytečná přiřazení.
  • Oznámení: Nakonfigurujte oznámení pro administrátory, když jsou aktivovány privilegované role nebo dojde k podezřelé aktivitě.
  • Integrace s podmíněným přístupem: Podmíněný přístup použijte k vynucení dalších zásad při aktivaci funkcí PIM (např. vyžadování aktivace z podporovaného zařízení nebo důvěryhodného síťového umístění).

Běžné odstraňování problémů

  • Uživatel nemůže funkci aktivovat: Zkontrolujte, zda má uživatel licenci Microsoft Entra ID Premium P2. Zkontrolujte, zda je na seznamu oprávněných pro tuto roli. Zkontrolujte nastavení role (např. zda je vyžadována MFA a uživatel ji nenakonfiguroval).
  • Aktivace funkce se nezdařila: Zkontrolujte protokoly auditu PIM, zda neobsahují chybové zprávy. Může to být způsobeno selháním MFA, nedostatečným odůvodněním nebo zamítnutím schvalovatelem.
  • Schvalovatelé nedostávají oznámení: Zkontrolujte nastavení oznámení v nastavení role. Ujistěte se, že e-mailové adresy schvalovatelů jsou správné a že neexistují žádná pravidla pro doručenou poštu blokující oznámení.
  • Funkce se automaticky nedeaktivuje: Zkontrolujte maximální dobu aktivace v nastavení funkce. Pokud problém přetrvává, může to být způsobeno zpožděním synchronizace služby.
  • Konflikty oprávnění: Pokud má uživatel stejná oprávnění prostřednictvím role PIM a běžné role, bude mít přednost běžná role. Je dobrou praxí odstranit trvalé přiřazení privilegovaných rolí pro uživatele, kteří jsou také způsobilí prostřednictvím PIM.

Závěr

Microsoft Entra Privileged Identity Management (PIM) je nepostradatelným nástrojem pro jakoukoli organizaci, která chce chránit svůj privilegovaný přístup a posílit svou pozici zabezpečení. Přijetím principů Just-In-Time a Just-Enough Access pomáhá PIM výrazně snížit plochu útoku, poskytuje podrobnou auditní stopu a ukládá přísné kontroly nad administrativními funkcemi. Pečlivá implementace PIM v kombinaci s osvědčenými bezpečnostními postupy a školením uživatelů umožňuje IT a bezpečnostním týmům efektivně spravovat oprávnění, zmírňovat rizika spojená s kompromitovanými privilegovanými účty a zajistit bezpečnější a vyhovující prostředí.

Reference:

[1] Microsoft Learn. Co je Microsoft Entra Privileged Identity Management?. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn. Hlavní zásady nulové důvěry. Dostupné na: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn. Licenční požadavky pro Microsoft Entra Privileged Identity Management. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements