Реализация условного доступа в Azure AD для повышения безопасности

Реализация условного доступа в Azure AD для повышения безопасности

01.05.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам реализовать и оптимизировать условный доступ в Microsoft Entra ID (ранее Azure Active Directory). Условный доступ — это флагманский механизм реализации политики нулевого доверия Microsoft, позволяющий организациям контролировать доступ к ресурсам на основе условий в реальном времени, таких как личность пользователя, местоположение, работоспособность устройства и риск сеанса [1].

Введение

В сегодняшней среде безопасности, где киберугрозы сложны и преобладает удаленная работа, традиционной защиты периметра сети уже недостаточно. Условный доступ Azure AD позволяет организациям перейти от статического подхода к обеспечению безопасности к динамическому, адаптивному подходу, при котором каждая попытка доступа оценивается перед ее предоставлением. Это гарантирует, что доступ предоставляется только доверенным пользователям и устройствам при определенных условиях, что обеспечивает более эффективную защиту данных и приложений компании [2].

В этом практическом руководстве будет рассмотрено создание и настройка политик условного доступа, включая требование многофакторной аутентификации (MFA), поддерживаемых устройств, надежных расположений и блокировки устаревшей аутентификации. Будут предоставлены пошаговые инструкции, примеры конфигурации и методы проверки, чтобы читатель мог реализовать и укрепить уровень безопасности своей организации, гарантируя, что доступ к ресурсам является безопасным и соответствующим требованиям.

Почему условный доступ так важен?

  • Нулевое доверие: это механизм политики для реализации модели нулевого доверия, явно проверяющий каждый запрос на доступ.
  • Адаптивный контроль: позволяет политикам доступа динамически адаптироваться на основе сигналов о рисках в реальном времени.
  • Комплексная защита: защищает личные данные, устройства, данные и приложения в облаке и локально.
  • Соответствие MFA и устройств: упрощает внедрение MFA и требует наличия совместимых устройств или устройств, подключенных к Azure AD, для доступа.
  • Снижение рисков: помогает снизить такие риски, как кража учетных данных, доступ с неавторизованных устройств и доступ из подозрительных мест.

Предварительные условия

Для реализации условного доступа в Azure AD вам потребуются следующие элементы:

  1. Лицензирование: лицензия Microsoft Enroll ID Premium P1 или P2 (ранее Azure AD Premium P1 или P2). Условный доступ — уникальная особенность этих лицензий [3].
  2. Административный доступ: учетная запись с ролью «Администратор условного доступа», «Администратор безопасности» или «Глобальный администратор» в центре администрирования Microsoft Entra (https://entra.microsoft.com).
  3. Пользователи и группы: пользователи и группы безопасности в Microsoft Entra ID для тестирования политик.
  4. Настроена многофакторная аутентификация (MFA). Для политик, требующих MFA, пользователи должны настроить и зарегистрировать MFA.
  5. Управляемые устройства (необязательно). Для политик, требующих поддерживаемых устройств или устройств, присоединенных к Azure AD/гибридному соединению, устройства должны управляться с помощью Microsoft Intune или присоединенных к Azure AD.

Шаг за шагом: настройка политик условного доступа

Давайте создадим несколько важных политик условного доступа для повышения безопасности.

1. Доступ к порталу Microsoft Войдите в центр администрирования

  1. Откройте браузер и перейдите по адресу https://entra.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. На левой панели навигации выберите Защита > Условный доступ.

2. Создание политики, требующей MFA для всех пользователей (за исключением экстренных учетных записей)

Это фундаментальная политика для большинства организаций, гарантирующая, что MFA требуется для всех попыток доступа, за исключением учетных записей экстренного доступа или доступа с возможностью взлома.

  1. На странице условного доступа нажмите Новая политика > Создать новую политику.
  2. Имя: 01 — Требовать MFA для всех пользователей.

  3. Назначения > Идентификация пользователей или рабочих нагрузок:

    • В разделе Включить выберите Все пользователи.
    • В разделе Удалить выберите Пользователи и группы и добавьте свои учетные записи emer access.агентство/разбить стекло (учетные записи с высоким уровнем защиты, которые можно использовать для доступа к арендатору в случае сбоя MFA или недоступности каталога).

  4. Облачные ресурсы или действия:

    • В разделе Включить выберите Все облачные приложения.

  5. Грант:

    • Выберите Предоставить доступ.
    • Установите флажок Требовать многофакторную аутентификацию.
    • Нажмите Выбрать.

  6. Включить политику: выберите «Только отчет» (чтобы проверить влияние перед применением) или «Включено».

    • Совет: Всегда начинайте с параметра «Только отчет», чтобы отслеживать влияние политики, не применяя ее, проверяя входные журналы на предмет возможных нежелательных блоков.
  7. Нажмите Создать.

3. Создание политики для блокировки устаревшей аутентификации

Устаревшая проверка подлинности (например, POP, IMAP, SMTP, базовая проверка подлинности) не поддерживает MFA и является распространенным вектором атак. Крайне важно заблокировать его.

  1. На странице условного доступа нажмите Новая политика > Создать новую политику.
  2. Имя: 02 — Блокировать устаревшую аутентификацию.
  3. Назначения > Идентификационные пользователи или рабочие нагрузки: выберите Все пользователи (за исключением учетных записей для экстренных случаев).
  4. Облачные ресурсы или действия: выберите Все облачные приложения.

  5. Условия > Клиентские приложения:

    • Установите для параметра «Клиентские приложения» значение «Да».
    • Проверьте «Клиенты Exchange ActiveSync» и «Другие клиенты».

  6. Контроль доступа > Предоставить:

    • Выберите Заблокировать доступ.
    • Нажмите Выбрать.

  7. Включить политику: выберите «Только отчет» или «Включено».

  8. Нажмите Создать.

4. Создание политики, требующей совместимого устройства для доступа к критически важным приложениям

Эта политика гарантирует, что доступ к конфиденциальным приложениям смогут получить только устройства, соответствующие стандартам безопасности (например, управляемые Intune).

  1. На странице условного доступа нажмите Новая политика > Создать новую политику.
  2. Название: 03 — Требуется совместимое устройство для критически важных приложений.
  3. Назначения > Удостоверения пользователей или рабочие нагрузки: выберите Все пользователи (или конкретную группу).

  4. Облачные ресурсы или действия:

    • В разделе Включить выберите Выбрать приложения и выберите критически важные приложения (например, SharePoint Online, Dynamics 365, бизнес-приложения).

  5. Грант:

    • Выберите Предоставить доступ.
    • Установите флажок Требовать, чтобы устройство было помечено как поддерживаемое.
    • Нажмите Выбрать.

  6. Включить политику: выберите «Только отчет» или «Включено».

  7. Нажмите Создать.

5. Создание политики для блокировки доступа из ненадежных мест

Эта политика помогает защититься от доступа из географических регионов или IP-адресов, которые, как известно, являются источниками атак.

  1. Сначала вам необходимо создать Именованные расположения (Именованные расположения) в Azure AD, чтобы определить доверенные расположения (например, офисы компании, VPN).

    • В центре администрирования входа в Microsoft выберите Защита > Условный доступ > Именованные расположения.
    • Нажмите Новое местоположение стран/регионов или Новое местоположение диапазонов IP-адресов, чтобы указать доверенные местоположения.

  2. На странице условного доступа нажмите Новая политика > Создать новую политику.

  3. Имя: 04 — Блокировать доступ из ненадежных мест.
  4. Назначения > Идентификация пользователей или рабочих нагрузок: выберите Все пользователи.
  5. Облачные ресурсы или действия: выберите Все облачные приложения.

  6. Условия > Местоположения:

    • Установите для параметра «Местоположения» значение «Да».
    • В разделе Включить выберите Любое местоположение.
    • В разделе Исключить выберите Выбранные местоположения и выберите «Именованные местоположения», которые вы определили как доверенные.

  7. Контроль доступа > Предоставить:

    • Выберите Заблокировать доступ.
    • Нажмите Выбрать.
  8. Включить политику: выберите «Только отчет» или «Включено».
  9. Нажмите Создать.

Проверка и тестирование

Проверка политик условного доступа имеет решающее значение для обеспечения их правильной работы и отсутствия нежелательных блокировок.

1. Использование инструмента «Что, если»

Инструмент «Что, если» позволяет моделировать влияние ваших политик условного доступа на конкретного пользователя или сценарий.

  1. На странице условного доступа нажмитеА если.
  2. Настройте сценарий тестирования (пользователь, приложение, IP-адрес, устройство и т. д.).
  3. Нажмите Что, если, чтобы увидеть, какие политики будут применены и какой результат (предоставить или заблокировать доступ).

2. Проверка журналов ввода

Журналы входящих событий предоставляют подробную информацию о каждой попытке доступа, в том числе о том, какие политики условного доступа были оценены, и о результате.

  1. В центре администрирования входа в Microsoft выберите Мониторинг и работоспособность > Входящие журналы.
  2. Фильтруйте журналы по пользователю, приложению или статусу (например, «Не удалось») для расследования попыток доступа.
  3. Нажмите на запись журнала, чтобы просмотреть подробные сведения, включая вкладку Условный доступ, на которой показаны примененные политики и результат.

3. Реальные тесты с участием тестовых пользователей

Проведите тестирование с тестовыми пользователями в различных сценариях (например, доступ из ненадежного местоположения, с неподдерживаемого устройства, без MFA), чтобы подтвердить ожидаемое поведение политик.

Советы и рекомендации по безопасности

  • Тщательное планирование. Планируйте политики условного доступа с учетом потребностей вашей организации и принципов нулевого доверия. Начните с небольшого набора политик и постепенно расширяйте его.
  • **Режим «Только отчет». Всегда сначала развертывайте новые политики в режиме «Только отчет», чтобы оценить их влияние и внести коррективы, прежде чем применять их во включенном режиме.
  • Экстренные учетные записи: всегда исключайте учетные записи экстренного доступа или доступа к разбитому стеклу из всех политик условного доступа, чтобы избежать случайных блокировок.
  • Блокировать устаревшую аутентификацию: это одна из наиболее эффективных политик для уменьшения поверхности атаки.
  • Требовать MFA для всех пользователей: важная политика для защиты личных данных.
  • Управляемые устройства: для доступа к конфиденциальным ресурсам необходимо, чтобы устройства были управляемыми (присоединенными к Azure AD или с включенной поддержкой Intune).
  • Именованные местоположения: используйте именованные местоположения, чтобы определить доверенные сети и заблокировать доступ из ненадежных мест.
  • Постоянный анализ и корректировка. Регулярно проверяйте и корректируйте политики условного доступа, чтобы адаптироваться к изменениям в среде угроз и бизнес-требованиям.
  • Документация. Ведите четкую документацию по политикам условного доступа, включая их цели, область применения и любые исключения.

Распространенное устранение неполадок

  • Неожиданно заблокированные пользователи. Используйте инструмент «Что если» и журналы входа в систему, чтобы определить, какая политика вызывает блокировку. Проверьте включения и исключения политики.
  • Политики не применяются. Убедитесь, что политика находится в режиме «Включено» и что пользователь и приложение находятся в области действия политики. Проверьте журналы ввода, чтобы узнать, была ли оценена политика.
  • Проблемы MFA. Убедитесь, что пользователи зарегистрировали методы MFA. Проверьте наличие проблем с подключением у поставщиков MFA.
  • Проблемы с совместимым устройством. Проверьте статус соответствия вашего устройства в Intune. Убедитесь, что устройство присоединено к Azure AD или зарегистрировано в Intune.
  • Конфликты политик: Условный доступ оценивает все политики и применяет наиболее строгую из них. Если существуют противоречивые политики, скорректируйте их, чтобы обеспечить желаемое поведение.

Заключение

Реализация условного доступа в Azure AD — это фундаментальная основа построения надежной и адаптивной архитектуры безопасности, основанной на модели нулевого доверия. Предоставляя организациям возможность устанавливать детальные политики доступа на основе различных условий, условный доступ значительно усиливает защиту личных данных и ресурсов от киберугроз. Конфигурация стратегической политики в сочетании со строгим тестированием и непрерывным циклом проверки и оптимизации дает командам безопасности возможность гарантировать, что доступ всегда проверяется, имеет минимальные привилегии и адаптирован к контексту риска. Благодаря условному доступу компании могут защитить свои наиболее ценные активы, одновременно предоставляя своим пользователям возможность безопасно и продуктивно работать из любого места и на любом устройстве.

Ссылки:

[1] Microsoft Learn. Что такое условный доступ?. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Learn. Планируйте реализацию условного доступа. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn. Требования к лицензии для условного доступа. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements