Azure 標(biāo)識(shí)管理和訪問(wèn)控制安全最佳實(shí)踐,微軟azure云虛擬服務(wù)器

Azure 標(biāo)識(shí)管理和訪問(wèn)控制安全最佳實(shí)踐

本文介紹一系列Azure標(biāo)識(shí)管理和訪問(wèn)控制安全最佳實(shí)踐。這些最佳做法衍生自我們的Azure AD經(jīng)驗(yàn)和客戶經(jīng)驗(yàn)。

對(duì)于每項(xiàng)最佳做法，本文將說(shuō)明：

·最佳實(shí)踐是什么

·為何要啟用該最佳實(shí)踐

·如果無(wú)法啟用該最佳實(shí)踐，可能的結(jié)果是什么

·最佳實(shí)踐的可能替代方案

·如何學(xué)習(xí)啟用最佳實(shí)踐

這篇Azure標(biāo)識(shí)管理和訪問(wèn)控制安全最佳實(shí)踐以共識(shí)以及Azure平臺(tái)功能和特性集（因?yàn)樵诰帉?xiě)本文時(shí)已存在）為基礎(chǔ)。

撰寫(xiě)本文的目的是，以引導(dǎo)你了解我們的一些核心功能和服務(wù)的“保護(hù)標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)的5個(gè)步驟”清單為指導(dǎo)，提供在部署后實(shí)現(xiàn)更可靠的安全狀況的總體路線圖。

看法和技術(shù)將隨著時(shí)間改變，本文會(huì)定期更新以反映這些更改。

本文中介紹的Azure標(biāo)識(shí)管理和訪問(wèn)控制安全最佳實(shí)踐包括：

·將標(biāo)識(shí)視為主要安全邊界

·集中化標(biāo)識(shí)管理

·管理已連接的租戶

·啟用單一登錄

·啟用條件訪問(wèn)

·計(jì)劃例程安全改進(jìn)

·啟用密碼管理

·對(duì)用戶強(qiáng)制執(zhí)行多重身份驗(yàn)證

·使用基于角色的訪問(wèn)控制

·降低特權(quán)帳戶的泄露風(fēng)險(xiǎn)

·控制資源所在的位置

·使用Azure AD進(jìn)行存儲(chǔ)身份驗(yàn)證

將標(biāo)識(shí)視為主要安全邊界

許多人認(rèn)為標(biāo)識(shí)是主要安全邊界。這與以網(wǎng)絡(luò)安全為重點(diǎn)的傳統(tǒng)做法不同。網(wǎng)絡(luò)邊界出現(xiàn)越來(lái)越多的漏洞，在BYOD設(shè)備和云應(yīng)用程序激增之前相比，邊界防御不再那樣有效。

Azure Active Directory(Azure AD)是用于標(biāo)識(shí)和訪問(wèn)管理的Azure解決方案。Azure AD是Microsoft提供的多租戶、基于云的目錄和標(biāo)識(shí)管理服務(wù)。它將核心目錄服務(wù)、應(yīng)用程序訪問(wèn)管理和標(biāo)識(shí)保護(hù)融入一個(gè)解決方案中。

以下部分列出了使用Azure AD實(shí)現(xiàn)標(biāo)識(shí)和訪問(wèn)安全性的最佳做法。

最佳做法：圍繞用戶和服務(wù)標(biāo)識(shí)進(jìn)行安全控制和檢測(cè)。詳細(xì)信息：使用Azure AD并置控制和標(biāo)識(shí)。

集中化標(biāo)識(shí)管理

在混合標(biāo)識(shí)方案中，我們建議集成本地目錄和云目錄。通過(guò)集成，IT團(tuán)隊(duì)可以在一個(gè)位置集中管理帳戶，而不管帳戶是在哪里創(chuàng)建的。集成還通過(guò)提供用于訪問(wèn)云和本地資源的通用標(biāo)識(shí)，從而幫助用戶提高工作效率。

最佳做法：建立一個(gè)Azure AD實(shí)例。一致性和一個(gè)權(quán)威源不僅會(huì)提高簡(jiǎn)明性，還會(huì)減少人為錯(cuò)誤和配置復(fù)雜性帶來(lái)的安全風(fēng)險(xiǎn)。詳細(xì)信息：指定一個(gè)Azure AD目錄作為企業(yè)帳戶和組織帳戶的權(quán)威源。

最佳做法：將本地目錄與Azure AD進(jìn)行集成。

詳細(xì)信息：使用Azure AD Connect將本地目錄與云目錄同步。

備注

存在影響Azure AD Connect性能的因素。確保Azure AD Connect有足夠的容量來(lái)防止性能不佳的系統(tǒng)影響安全性和工作效率。大型或復(fù)雜的組織（預(yù)配超過(guò)100,000個(gè)對(duì)象的組織）應(yīng)遵循建議來(lái)優(yōu)化其Azure AD Connect實(shí)現(xiàn)。

最佳做法：不要將現(xiàn)有Active Directory實(shí)例中擁有高權(quán)限的帳戶同步到Azure AD。詳細(xì)信息：不要更改用于篩選掉這些帳戶的默認(rèn)Azure AD Connect配置。這種配置降低了對(duì)手從云轉(zhuǎn)向本地資產(chǎn)的風(fēng)險(xiǎn)（這可能引發(fā)重大事件）。

最佳做法：?jiǎn)⒂妹艽a哈希同步。

詳細(xì)信息：密碼哈希同步是用于將用戶密碼哈希從本地Active Directory實(shí)例同步到基于云的Azure AD實(shí)例的功能。此同步有助于防止重放先前攻擊中泄露的憑據(jù)。

即使決定使用Active Directory聯(lián)合身份驗(yàn)證服務(wù)(AD FS)或其他標(biāo)識(shí)提供者進(jìn)行聯(lián)合身份驗(yàn)證，也可以選擇性地設(shè)置密碼哈希同步作為備用機(jī)制，以應(yīng)對(duì)本地服務(wù)器發(fā)生故障或臨時(shí)不可用的情況。借助此同步，用戶可以使用與登錄本地Active Directory實(shí)例相同的密碼來(lái)登錄服務(wù)。如果用戶對(duì)其他未連接到Azure AD的服務(wù)使用過(guò)相同的電子郵件地址和密碼，此同步還可便于標(biāo)識(shí)保護(hù)將同步的密碼哈希與已知被盜用的密碼進(jìn)行比較，從而檢測(cè)被盜用的憑據(jù)。

有關(guān)詳細(xì)信息，請(qǐng)參閱使用Azure AD Connect同步實(shí)現(xiàn)密碼哈希同步。

最佳做法：對(duì)于新的應(yīng)用開(kāi)發(fā)，使用Azure AD進(jìn)行身份驗(yàn)證。詳細(xì)信息：使用正確的功能來(lái)支持身份驗(yàn)證：

·面向員工的Azure AD

·面向來(lái)賓用戶和外部合作伙伴的Azure AD B2B

·用于控制客戶在使用應(yīng)用時(shí)如何注冊(cè)、登錄和管理配置文件的Azure AD B2C

未將其本地標(biāo)識(shí)與云標(biāo)識(shí)集成的組織在管理帳戶方面可能開(kāi)銷(xiāo)更大。這種開(kāi)銷(xiāo)增加了出錯(cuò)和安全漏洞的可能性。

備注

你需要選擇關(guān)鍵帳戶將駐留在哪些目錄中，以及所使用的管理工作站是由新的云服務(wù)托管，還是由現(xiàn)有進(jìn)程托管。使用現(xiàn)有的管理和標(biāo)識(shí)預(yù)配流程可以降低一些風(fēng)險(xiǎn)，但也可能會(huì)造成攻擊者入侵本地帳戶并轉(zhuǎn)向云的風(fēng)險(xiǎn)。不妨對(duì)不同的角色（例如，IT管理員與業(yè)務(wù)部門(mén)管理員）使用不同的策略。您有兩種選擇：第一種選擇是，創(chuàng)建不與本地Active Directory實(shí)例同步的Azure AD帳戶。將管理工作站加入到Azure AD，這樣可以使用Microsoft Intune進(jìn)行管理和修補(bǔ)。第二種選擇是，通過(guò)同步到本地Active Directory實(shí)例來(lái)使用現(xiàn)有的管理員帳戶。使用Active Directory域中的現(xiàn)有工作站來(lái)實(shí)現(xiàn)管理和安全性。

管理已連接的租戶

你的安全組織需要能夠查看訂閱來(lái)評(píng)估風(fēng)險(xiǎn)，并確定是否遵循了組織的策略和任何法規(guī)要求。你應(yīng)確保安全組織能夠查看所有（通過(guò)Azure ExpressRoute或站點(diǎn)到站點(diǎn)VPN）連接到生產(chǎn)環(huán)境和網(wǎng)絡(luò)的訂閱。Azure AD中的全局管理員/公司管理員可以將自己的訪問(wèn)權(quán)限提升為用戶訪問(wèn)管理員角色，并查看所有連接到環(huán)境的訂閱和管理組。

請(qǐng)參閱提升訪問(wèn)權(quán)限以管理所有Azure訂閱和管理組，以確保你和你的安全組可以查看所有連接到環(huán)境的訂閱或管理組。你應(yīng)該在評(píng)估風(fēng)險(xiǎn)后撤消此提升的訪問(wèn)權(quán)限。

啟用單一登錄

在移動(dòng)優(yōu)先、云優(yōu)先的世界中，你希望能夠從任意位置實(shí)現(xiàn)對(duì)設(shè)備、應(yīng)用和服務(wù)的單一登錄(SSO)，以便你的用戶隨時(shí)隨地都能高效工作。如果要管理多個(gè)標(biāo)識(shí)解決方案，則不僅會(huì)給IT人員造成管理問(wèn)題，而且用戶還必須記住多個(gè)密碼。

通過(guò)對(duì)所有應(yīng)用和資源使用相同的標(biāo)識(shí)解決方案，可以實(shí)現(xiàn)SSO。并且不論資源是位于本地還是云中，用戶均可以使用相同憑據(jù)集登錄和訪問(wèn)所需資源。

最佳做法：?jiǎn)⒂肧SO。

詳細(xì)信息：Azure AD將本地Active Directory擴(kuò)展到云。用戶可以將他們的主要工作或?qū)W校帳戶用于他們加入域的設(shè)備、公司資源以及完成工作所需的所有Web和SaaS應(yīng)用程序。用戶無(wú)需記住多組用戶名和密碼，系統(tǒng)會(huì)根據(jù)組織的組成員身份和員工身份的狀態(tài)，自動(dòng)預(yù)配（或取消設(shè)置）應(yīng)用程序訪問(wèn)權(quán)限。可以針對(duì)庫(kù)應(yīng)用或者通過(guò)Azure AD應(yīng)用程序代理自行開(kāi)發(fā)和發(fā)布的本地應(yīng)用控制訪問(wèn)權(quán)限。

用戶可使用SSO基于Azure AD中的工作或?qū)W校帳戶訪問(wèn)SaaS應(yīng)用程序。這不僅適用于Microsoft SaaS應(yīng)用，還適用于其他應(yīng)用，例如Google Apps和Salesforce。應(yīng)用程序可配置為使用Azure AD作為基于SAML的標(biāo)識(shí)提供者。作為安全控制機(jī)制，Azure AD不會(huì)發(fā)出允許用戶登錄應(yīng)用程序的令牌，除非用戶已通過(guò)Azure AD獲取了訪問(wèn)權(quán)限。可以直接或者通過(guò)用戶所屬的組授予訪問(wèn)權(quán)限。

如果組織沒(méi)有通過(guò)創(chuàng)建通用標(biāo)識(shí)來(lái)為用戶和應(yīng)用程序?qū)崿F(xiàn)SSO，那么用戶擁有多個(gè)密碼的情況就更容易出現(xiàn)。這種情況增加了用戶重復(fù)使用同一密碼或使用弱密碼的可能性。

啟用條件訪問(wèn)

用戶可能會(huì)從任意位置使用各種設(shè)備和應(yīng)用訪問(wèn)組織的資源。作為一名IT管理員，你需要確保這些設(shè)備符合安全性和符合性標(biāo)準(zhǔn)。僅關(guān)注誰(shuí)可以訪問(wèn)資源不再能滿足需求。

為了平衡安全性與工作效率，在做出訪問(wèn)控制決策之前，需要考慮如何訪問(wèn)資源。使用Azure AD條件訪問(wèn)，可以滿足這一需求。使用條件訪問(wèn)，可以根據(jù)訪問(wèn)云應(yīng)用的條件做出自動(dòng)訪問(wèn)控制決策。

最佳做法：管理和控制對(duì)公司資源的訪問(wèn)。

詳細(xì)信息：根據(jù)SaaS應(yīng)用和Azure AD連接的應(yīng)用的組、位置和應(yīng)用敏感度，配置通用Azure AD條件訪問(wèn)策略。

最佳做法：阻止舊身份驗(yàn)證協(xié)議。詳細(xì)信息：攻擊者每天都在利用舊協(xié)議中的弱點(diǎn)，尤其是密碼噴射攻擊。配置條件訪問(wèn)來(lái)阻止舊協(xié)議。

計(jì)劃例程安全改進(jìn)

安全性一直在不斷發(fā)展，在云和標(biāo)識(shí)管理框架中構(gòu)建一種定期顯示安全性發(fā)展并發(fā)現(xiàn)保護(hù)環(huán)境的新方法是很重要的。

標(biāo)識(shí)安全分?jǐn)?shù)是Microsoft發(fā)布的一組建議的安全控制，旨在為你提供一個(gè)數(shù)字分?jǐn)?shù)，以便客觀地度量你的安全狀況，并幫助計(jì)劃未來(lái)的安全改進(jìn)。你還可以查看你的分?jǐn)?shù)與其他行業(yè)分?jǐn)?shù)的比較，以及你自己的分?jǐn)?shù)在一段時(shí)間內(nèi)的趨勢(shì)。

最佳做法：根據(jù)你所在行業(yè)的最佳做法來(lái)計(jì)劃例程安全評(píng)審和改進(jìn)。詳細(xì)信息：使用標(biāo)識(shí)安全分?jǐn)?shù)功能對(duì)你在一段時(shí)間內(nèi)的改進(jìn)進(jìn)行排名。

啟用密碼管理

如果有多個(gè)租戶或者你想要允許用戶重置自己的密碼，則必須使用適當(dāng)?shù)陌踩呗詠?lái)防止濫用。

最佳做法：為用戶設(shè)置自助式密碼重置(SSPR)。

詳細(xì)信息：使用Azure AD自助式密碼重置功能。

最佳做法：監(jiān)視是否在使用SSPR及其使用情況。

詳細(xì)信息：通過(guò)使用Azure AD密碼重置注冊(cè)活動(dòng)報(bào)表監(jiān)視正在注冊(cè)的用戶。Azure AD提供的報(bào)表功能可幫助使用預(yù)生成的報(bào)表來(lái)回答問(wèn)題。如果有相應(yīng)的授權(quán)，還可以創(chuàng)建自定義查詢。

最佳做法：將基于云的密碼策略擴(kuò)展到本地基礎(chǔ)結(jié)構(gòu)。詳細(xì)信息：通過(guò)對(duì)本地密碼更改執(zhí)行與對(duì)基于云的密碼更改執(zhí)行的相同檢查，增強(qiáng)組織中的密碼策略。為本地Windows Server Active Directory代理安裝Azure AD密碼保護(hù)，以將禁止的密碼列表擴(kuò)展到現(xiàn)有基礎(chǔ)結(jié)構(gòu)。更改、設(shè)置或重置本地密碼的用戶或管理員必須與僅限云的用戶遵循相同的密碼策略。

對(duì)用戶強(qiáng)制執(zhí)行多重身份驗(yàn)證

建議對(duì)所有用戶要求進(jìn)行雙重驗(yàn)證。這包括組織中的管理員和其他人員，如果他們的帳戶泄露，可能會(huì)產(chǎn)生重大影響（例如，財(cái)務(wù)官員）。

要求雙重驗(yàn)證有多種選項(xiàng)。最佳選項(xiàng)取決于你的目標(biāo)、正在運(yùn)行的Azure AD版本以及許可計(jì)劃。請(qǐng)參閱如何要求對(duì)用戶進(jìn)行雙重驗(yàn)證了解最佳選項(xiàng)。有關(guān)許可證和定價(jià)的詳細(xì)信息，請(qǐng)參閱Azure AD和Azure AD多重身份驗(yàn)證定價(jià)頁(yè)。

以下是啟用雙重驗(yàn)證的選項(xiàng)和優(yōu)勢(shì)：

選項(xiàng)1：使用Azure AD安全默認(rèn)值為所有用戶和登錄方法啟用MFA優(yōu)勢(shì)：借助此選項(xiàng)，可以輕松、快速地為環(huán)境中的所有用戶強(qiáng)制執(zhí)行MFA，同時(shí)采用嚴(yán)格的策略來(lái)執(zhí)行以下操作：

·質(zhì)詢管理帳戶和管理登錄機(jī)制

·要求通過(guò)Microsoft Authenticator對(duì)所有用戶進(jìn)行MFA質(zhì)詢

·限制舊身份驗(yàn)證協(xié)議。

此方法可用于所有許可層，但不能與現(xiàn)有的條件訪問(wèn)策略混合使用。你可以在Azure AD安全默認(rèn)值中找到更多信息

選項(xiàng)2：通過(guò)更改用戶狀態(tài)啟用多重身份驗(yàn)證。

優(yōu)勢(shì)：這是要求進(jìn)行雙重驗(yàn)證的傳統(tǒng)方法。它適用于云中的Azure AD多重身份驗(yàn)證和Azure多重身份驗(yàn)證服務(wù)器。使用此方法要求用戶在每次登錄時(shí)都執(zhí)行雙重驗(yàn)證，并且會(huì)替代條件訪問(wèn)策略。

若要確定需要啟用多因素身份驗(yàn)證的位置，請(qǐng)參閱哪個(gè)版本的AZURE AD MFA適用于組織？。

選項(xiàng)3：使用條件訪問(wèn)策略啟用多重身份驗(yàn)證。優(yōu)勢(shì)：借助此選項(xiàng)，可以使用條件訪問(wèn)在特定條件下提示進(jìn)行雙重驗(yàn)證。特定條件可以是用戶從不同位置、不受信任的設(shè)備或你認(rèn)為存在風(fēng)險(xiǎn)的應(yīng)用程序登錄。定義要求雙重驗(yàn)證的特定條件可以避免不斷提示用戶這種令人不快的用戶體驗(yàn)。

這是為用戶啟用雙重驗(yàn)證最靈活的方式。啟用條件性訪問(wèn)策略僅適用于云中Azure AD多重身份驗(yàn)證，并且是Azure AD的高級(jí)功能。可以在部署基于云的Azure AD多重身份驗(yàn)證中找到有關(guān)此方法的詳細(xì)信息。

選項(xiàng)4：通過(guò)評(píng)估基于風(fēng)險(xiǎn)的條件訪問(wèn)策略，使用條件訪問(wèn)策略啟用多重身份驗(yàn)證。

優(yōu)勢(shì)：此選項(xiàng)使你能夠：

·檢測(cè)影響組織標(biāo)識(shí)的潛在漏洞。

·配置自動(dòng)響應(yīng)與組織標(biāo)識(shí)相關(guān)的可疑操作。

·調(diào)查可疑事件，并采取適當(dāng)?shù)拇胧┻M(jìn)行解決。

此方法使用“Azure AD標(biāo)識(shí)保護(hù)”風(fēng)險(xiǎn)評(píng)估來(lái)確定是否需要基于所有云應(yīng)用程序的用戶和登錄風(fēng)險(xiǎn)進(jìn)行雙重驗(yàn)證。此方法需要Azure Active Directory P2授權(quán)。有關(guān)此方法的詳細(xì)信息，請(qǐng)參閱Azure Active Directory標(biāo)識(shí)保護(hù)。

備注

選項(xiàng)2，通過(guò)更改用戶狀態(tài)啟用多重身份驗(yàn)證會(huì)替代條件訪問(wèn)策略。由于選項(xiàng)3和4使用條件性訪問(wèn)策略，因此不能將選項(xiàng)2與它們一起使用。

未添加額外標(biāo)識(shí)保護(hù)層（如雙重驗(yàn)證）的組織將更容易受到憑據(jù)竊取攻擊。憑據(jù)竊取攻擊可能導(dǎo)致數(shù)據(jù)泄漏。

使用基于角色的訪問(wèn)控制

對(duì)于任何使用云的組織而言，云資源的訪問(wèn)管理至關(guān)重要。Azure RBAC)的基于角色的訪問(wèn)控制(可幫助你管理有權(quán)訪問(wèn)Azure資源的人員、他們可以對(duì)這些資源執(zhí)行哪些操作以及他們有權(quán)訪問(wèn)哪些區(qū)域。

在Azure中指定負(fù)責(zé)特定職能的組或各個(gè)角色有助于避免混亂，這些混亂可能會(huì)導(dǎo)致造成安全風(fēng)險(xiǎn)的人為錯(cuò)誤和自動(dòng)化錯(cuò)誤。對(duì)于想要實(shí)施數(shù)據(jù)訪問(wèn)安全策略的組織而言，必須根據(jù)需要知道和最低權(quán)限安全策略限制訪問(wèn)權(quán)限。

你的安全團(tuán)隊(duì)需要能夠查看Azure資源，以便評(píng)估和修正風(fēng)險(xiǎn)。如果安全團(tuán)隊(duì)具有運(yùn)營(yíng)職責(zé)，則需要額外的權(quán)限來(lái)完成他們的作業(yè)。

可以使用AZURE RBAC向特定范圍內(nèi)的用戶、組和應(yīng)用程序分配權(quán)限。角色分配的范圍可以是訂閱、資源組或單個(gè)資源。

最佳做法：在團(tuán)隊(duì)中分離職責(zé)，只向用戶授予執(zhí)行作業(yè)所需的訪問(wèn)權(quán)限。只允許在特定范圍內(nèi)執(zhí)行特定操作，而不要在Azure訂閱或資源中向每個(gè)人都授予無(wú)限制權(quán)限。詳細(xì)信息：使用Azure中的Azure內(nèi)置角色向用戶分配權(quán)限。

備注

特定的權(quán)限會(huì)造成不必要的復(fù)雜性和混亂，進(jìn)而積累為很難在不擔(dān)心造成破壞的情況下進(jìn)行修復(fù)的“舊”配置。避免特定于資源的權(quán)限。而是將管理組用于企業(yè)范圍內(nèi)的權(quán)限，并將資源組用于訂閱中的權(quán)限。避免用戶特定的權(quán)限。而是向Azure AD中的組分配權(quán)限。

最佳做法：向具有Azure職責(zé)的安全團(tuán)隊(duì)授予對(duì)Azure資源的訪問(wèn)權(quán)限，以便他們可以評(píng)估和修正風(fēng)險(xiǎn)。詳細(xì)信息：授予安全團(tuán)隊(duì)Azure RBAC安全讀者角色。可以使用根管理組或段管理組，具體視職責(zé)范圍而定：

根管理組：用于負(fù)責(zé)所有企業(yè)資源的團(tuán)隊(duì)

段管理組：用于范圍有限的團(tuán)隊(duì)（通常是由于法規(guī)或其他組織邊界所致）

最佳做法：向具有直接運(yùn)營(yíng)職責(zé)的安全團(tuán)隊(duì)授予適當(dāng)?shù)臋?quán)限。詳細(xì)信息：查看適用于角色分配的Azure內(nèi)置角色。如果內(nèi)置角色不能滿足組織的具體需求，則可以創(chuàng)建Azure自定義角色。與內(nèi)置角色一樣，可以在訂閱、資源組和資源范圍內(nèi)向用戶、組和服務(wù)主體分配自定義角色。

最佳做法：向需要的安全角色授予Azure安全中心訪問(wèn)權(quán)限。使用安全中心，安全團(tuán)隊(duì)可以快速發(fā)現(xiàn)和修正風(fēng)險(xiǎn)。詳細(xì)信息：將這些安全團(tuán)隊(duì)添加到Azure RBAC安全管理員角色，以便他們可以查看安全策略、查看安全狀態(tài)、編輯安全策略、查看警報(bào)和建議，以及消除警報(bào)和建議。你可以使用根管理組或段管理組來(lái)執(zhí)行此操作，具體取決于職責(zé)范圍。

不通過(guò)使用Azure RBAC等功能實(shí)施數(shù)據(jù)訪問(wèn)控制的組織可能會(huì)向其用戶提供比所需權(quán)限更多的特權(quán)。允許用戶訪問(wèn)他們不應(yīng)該有權(quán)訪問(wèn)的數(shù)據(jù)類(lèi)型（例如，對(duì)業(yè)務(wù)有重大影響的數(shù)據(jù)）可能會(huì)導(dǎo)致數(shù)據(jù)泄露。

降低特權(quán)帳戶的泄露風(fēng)險(xiǎn)

保護(hù)特權(quán)訪問(wèn)是保護(hù)業(yè)務(wù)資產(chǎn)的首要步驟。減少擁有訪問(wèn)權(quán)限的人員以保護(hù)信息或資源安全，這樣可以減小惡意用戶獲得訪問(wèn)權(quán)限，或者已授權(quán)用戶無(wú)意中影響敏感資源的可能性。

特權(quán)帳戶是指掌控和管理IT系統(tǒng)的帳戶。網(wǎng)絡(luò)攻擊者會(huì)攻擊這些帳戶來(lái)獲取組織數(shù)據(jù)和系統(tǒng)的訪問(wèn)權(quán)限。為了保護(hù)特權(quán)訪問(wèn)，應(yīng)隔離此類(lèi)帳戶和系統(tǒng)，使其免受惡意用戶的威脅。

建議制定并遵循一個(gè)路線圖，防止特權(quán)訪問(wèn)受到網(wǎng)絡(luò)攻擊者的攻擊。若要詳細(xì)了解如何在Azure AD、Microsoft Azure、Microsoft 365和其他云服務(wù)中管理或報(bào)告的安全身份和訪問(wèn)，請(qǐng)參閱Azure AD中的保護(hù)混合和云部署的特權(quán)訪問(wèn)。

以下內(nèi)容總結(jié)了確保Azure AD中混合部署和云部署的特權(quán)訪問(wèn)安全性中介紹的最佳做法：

最佳做法：管理、控制和監(jiān)視對(duì)特權(quán)帳戶的訪問(wèn)。

詳細(xì)信息：?jiǎn)⒂肁zure AD Privileged Identity Management。啟用Privileged Identity Management以后，會(huì)收到有關(guān)特權(quán)訪問(wèn)角色更改的通知電子郵件。向目錄中的高特權(quán)角色添加更多用戶時(shí)，這些通知相當(dāng)于早期警告。

最佳做法：確保所有關(guān)鍵管理員帳戶都是托管的Azure AD帳戶。詳細(xì)信息：從關(guān)鍵管理員角色中刪除所有使用者帳戶（例如，hotmail.com、live.com和outlook.com等Microsoft帳戶）。

最佳做法：確保所有關(guān)鍵管理員角色都有一個(gè)單獨(dú)的帳戶來(lái)執(zhí)行管理任務(wù)，以免發(fā)生網(wǎng)絡(luò)釣魚(yú)和其他入侵管理權(quán)限的攻擊。詳細(xì)信息：創(chuàng)建一個(gè)單獨(dú)的管理員帳戶，向其分配執(zhí)行管理任務(wù)所需的權(quán)限。阻止使用這些管理帳戶進(jìn)行Microsoft 365電子郵件或任意web瀏覽等日常生產(chǎn)力工具。

最佳做法：對(duì)特許權(quán)限高的角色中的帳戶進(jìn)行標(biāo)識(shí)和分類(lèi)。

詳細(xì)信息：?jiǎn)⒂肁zure AD Privileged Identity Management后，請(qǐng)查看角色為全局管理員、特權(quán)角色管理員和其他高特權(quán)角色的用戶。請(qǐng)刪除在這些角色中不再需要的任何帳戶，并對(duì)剩余的分配給管理員角色的帳戶分類(lèi)：

·單獨(dú)分配給管理用戶，可用于非管理性目的（例如，個(gè)人電子郵件）

·單獨(dú)分配給管理用戶，按規(guī)定只能用于管理目的

·跨多個(gè)用戶共享

·適用于緊急訪問(wèn)情況

·適用于自動(dòng)化腳本

·適用于外部用戶

最佳做法：實(shí)行“實(shí)時(shí)”(JIT)訪問(wèn)可進(jìn)一步降低特權(quán)的曝光時(shí)間，并提高對(duì)特權(quán)帳戶使用情況的可見(jiàn)性。

詳細(xì)信息：利用Azure AD Privileged Identity Management，可以：

限制用戶只接受他們的權(quán)限JIT。

分配時(shí)限更短的角色，確信權(quán)限會(huì)自動(dòng)撤消。

最佳做法：定義至少兩個(gè)緊急訪問(wèn)帳戶。

詳細(xì)信息：可以使用緊急訪問(wèn)帳戶來(lái)幫助組織限制現(xiàn)有Azure Active Directory環(huán)境中的特權(quán)訪問(wèn)。這些帳戶擁有極高的特權(quán)，不要將其分配給特定的個(gè)人。緊急訪問(wèn)帳戶只能用于不能使用正常管理帳戶的情況。組織必須將緊急賬戶的使用限制在必要時(shí)間范圍內(nèi)。

評(píng)估已經(jīng)獲得或有資格獲得全局管理員角色的帳戶。如果使用*.onmicrosoft.com域（用于緊急訪問(wèn)）看不到任何僅限云的帳戶，請(qǐng)創(chuàng)建此類(lèi)帳戶。有關(guān)詳細(xì)信息，請(qǐng)參閱在Azure AD中管理緊急訪問(wèn)管理帳戶。

最佳做法：準(zhǔn)備“破窗”流程，以備緊急情況時(shí)使用。詳細(xì)信息：按照確保Azure AD中混合部署和云部署的特權(quán)訪問(wèn)安全性中的步驟操作。

最佳做法：要求所有關(guān)鍵管理員帳戶都是無(wú)密碼的（首選），或要求進(jìn)行多重身份驗(yàn)證。詳細(xì)信息：使用Microsoft Authenticator應(yīng)用登錄任何Azure AD帳戶，而不需要使用密碼。與Windows Hello for Business一樣，Microsoft Authenticator使用基于密鑰的身份驗(yàn)證來(lái)啟用與設(shè)備綁定的用戶憑據(jù)，并使用生物識(shí)別身份驗(yàn)證或PIN。

對(duì)于永久分配給一個(gè)或多個(gè)Azure AD管理員角色的單個(gè)用戶，要求在登錄時(shí)進(jìn)行Azure AD多重身份驗(yàn)證：全局管理員、特權(quán)角色管理員、Exchange Online管理員和SharePoint Online管理員。為管理員帳戶啟用多重身份驗(yàn)證，并確保管理員帳戶用戶已注冊(cè)。

最佳做法：對(duì)于關(guān)鍵管理員帳戶，需要有不允許執(zhí)行生產(chǎn)任務(wù)（例如，瀏覽和電子郵件）的管理工作站。這會(huì)保護(hù)你的管理員帳戶免受使用瀏覽和電子郵件的攻擊途徑的侵害，并大大降低發(fā)生重大事件的風(fēng)險(xiǎn)。詳細(xì)信息：使用管理工作站。選擇工作站安全級(jí)別：

·高度安全的效率提升設(shè)備為瀏覽和其他效率提升任務(wù)提供高級(jí)安全性。

·特權(quán)訪問(wèn)工作站(PAW)為敏感任務(wù)提供免受Internet攻擊和威脅攻擊途徑侵害的專(zhuān)用操作系統(tǒng)。

最佳做法：在員工離開(kāi)組織時(shí)，取消設(shè)置管理員帳戶。詳細(xì)信息：準(zhǔn)備一個(gè)流程，在員工離開(kāi)組織時(shí)禁用或刪除管理員帳戶。

最佳做法：使用最新的攻擊技術(shù)定期測(cè)試管理員帳戶。詳細(xì)信息：使用Microsoft 365攻擊模擬器或第三方產(chǎn)品/服務(wù)在你的組織中運(yùn)行現(xiàn)實(shí)的攻擊方案。這樣有助于在真正攻擊發(fā)生之前發(fā)現(xiàn)易受攻擊的用戶。

最佳做法：采取措施來(lái)緩解最常用的攻擊技術(shù)的沖擊。

詳細(xì)信息：確定管理角色中那些需要切換到工作或?qū)W校帳戶的Microsoft帳戶

對(duì)于全局管理員帳戶，請(qǐng)確保使用單獨(dú)的用戶帳戶和郵件轉(zhuǎn)發(fā)功能

確保最近更改過(guò)管理帳戶的密碼

啟用密碼哈希同步

要求對(duì)所有特權(quán)角色用戶和公開(kāi)的用戶進(jìn)行多重身份驗(yàn)證

獲取Microsoft 365安全分?jǐn)?shù)（如果使用Microsoft 365）

查看Microsoft 365安全指導(dǎo)(如果使用Microsoft 365)

配置Microsoft 365活動(dòng)監(jiān)視（如果使用Microsoft 365）

確定事件/緊急情況響應(yīng)計(jì)劃所有者

保護(hù)本地特權(quán)管理帳戶

如果不保護(hù)特權(quán)訪問(wèn)，你可能會(huì)擁有過(guò)多高特權(quán)角色用戶，并且更易受到攻擊。惡意操作者（包括網(wǎng)絡(luò)攻擊者）通常會(huì)以管理員帳戶和特權(quán)訪問(wèn)的其他元素為目標(biāo)，通過(guò)憑據(jù)竊取獲得敏感數(shù)據(jù)和系統(tǒng)的訪問(wèn)權(quán)限。

控制創(chuàng)建資源的位置

非常重要的一點(diǎn)是，既要允許云操作員執(zhí)行任務(wù)，同時(shí)又要防止他們違反管理組織資源所需的慣例。想要控制創(chuàng)建資源的位置的組織應(yīng)該對(duì)這些位置進(jìn)行硬編碼。

可以使用Azure資源管理器創(chuàng)建安全策略，其中的定義描述了會(huì)明確遭到拒絕的操作或資源。可以在所需范圍（例如訂閱、資源組或是單個(gè)資源）分配這些策略定義。

備注

安全策略不同于Azure RBAC。他們實(shí)際使用Azure RBAC來(lái)授權(quán)用戶創(chuàng)建這些資源。

無(wú)法控制資源創(chuàng)建方式的組織更容易因用戶創(chuàng)建的資源超過(guò)所需數(shù)目，而產(chǎn)生濫用服務(wù)的情況。強(qiáng)化資源創(chuàng)建過(guò)程是保護(hù)多租戶方案的重要步驟。

主動(dòng)監(jiān)視可疑活動(dòng)

主動(dòng)身份監(jiān)視系統(tǒng)可以快速檢測(cè)可疑行為并觸發(fā)警報(bào)以進(jìn)行進(jìn)一步調(diào)查。下表列出了兩個(gè)可幫助組織監(jiān)視其標(biāo)識(shí)的Azure AD功能：

最佳做法：采用一種方法來(lái)確定：

·未受跟蹤的登錄嘗試。

·針對(duì)特定帳戶的暴力攻擊。

·從多個(gè)位置的登錄嘗試。

·從受感染的設(shè)備登錄。

·可疑IP地址。

詳細(xì)信息：使用Azure AD Premium異常報(bào)告。制定相應(yīng)的流程和過(guò)程，使IT管理員每天或按需（通常在事件響應(yīng)方案中）運(yùn)行這些報(bào)告。

最佳做法：安裝一個(gè)主動(dòng)監(jiān)視系統(tǒng)，用于通知風(fēng)險(xiǎn)，并且可以根據(jù)業(yè)務(wù)需求調(diào)整風(fēng)險(xiǎn)等級(jí)（高、中或低）。

詳細(xì)信息：使用Azure AD標(biāo)識(shí)保護(hù)，它會(huì)在自己的儀表板上標(biāo)記當(dāng)前風(fēng)險(xiǎn)并通過(guò)電子郵件發(fā)快遞每日摘要通知。要幫助保護(hù)組織的標(biāo)識(shí)，可以配置基于風(fēng)險(xiǎn)的策略，該策略可在達(dá)到指定風(fēng)險(xiǎn)級(jí)別時(shí)自動(dòng)響應(yīng)檢測(cè)到的問(wèn)題。

不主動(dòng)監(jiān)視其標(biāo)識(shí)系統(tǒng)的組織將面臨用戶憑據(jù)泄露的風(fēng)險(xiǎn)。如果不知道有人通過(guò)這些憑據(jù)實(shí)施可疑活動(dòng)，組織就無(wú)法緩解這種類(lèi)型的威脅。

使用Azure AD進(jìn)行存儲(chǔ)身份驗(yàn)證

Azure存儲(chǔ)支持使用Azure AD對(duì)Blob存儲(chǔ)和隊(duì)列存儲(chǔ)進(jìn)行身份驗(yàn)證和授權(quán)。借助Azure AD身份驗(yàn)證，可以使用基于Azure角色的訪問(wèn)控制向用戶、組和應(yīng)用（一直到各個(gè)Blob容器或隊(duì)列的范圍）授予特定權(quán)限。

建議使用Azure AD驗(yàn)證對(duì)存儲(chǔ)的訪問(wèn)。

文章推薦
Azure 門(mén)戶的 SQL 數(shù)據(jù)庫(kù)動(dòng)態(tài)數(shù)據(jù)掩碼入門(mén),azure 時(shí)序數(shù)據(jù)庫(kù)
Google Play發(fā)布流程以及Google Inapp Billing支付的接入,googleplay支付接入流程
Azure DevOps —— Azure Artifacts包管理平臺(tái),azuredevopsrelease測(cè)試環(huán)境
App變現(xiàn)最有效的五種模式,app商業(yè)模式有哪些內(nèi)容

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。