Dostęp uprzywilejowany: Pośrednicy

Zabezpieczenie urządzeń pośredniczących to krytyczny składnik zabezpieczania uprzywilejowanego dostępu.

Pośrednicy dodają link do łańcucha gwarancji Zero Trust dla końca sesji użytkownika lub administratora, więc muszą utrzymać (lub poprawić) zabezpieczenia Zero Trust w sesji. Przykłady pośredników obejmują wirtualne sieci prywatne (VPN), serwery przesiadkowe, infrastrukturę pulpitu wirtualnego (VDI), a także publikowanie aplikacji za pośrednictwem serwerów proxy dostępu.

Osoba atakująca może zaatakować pośrednika w celu podjęcia próby eskalacji uprawnień przy użyciu poświadczeń przechowywanych na pośredniku, uzyskania zdalnego dostępu do sieci firmowych lub wykorzystania zaufania do tego urządzenia, jeśli jest ono używane do podejmowania decyzji dostępowych typu Zero Trust. Atakowanie pośredników stało się zbyt powszechne, zwłaszcza dotyczy organizacji, które nie utrzymują rygorystycznie stanu zabezpieczeń tych urządzeń. Na przykład poświadczenia zebrane z urządzeń sieci VPN.

Pośrednicy różnią się w celach i technologiach, ale zazwyczaj zapewniają dostęp zdalny, zabezpieczenia sesji lub oba te elementy:

• dostęp zdalny — włączanie dostępu do systemów w sieciach przedsiębiorstwa z Internetu
• Bezpieczeństwo sesji — Zwiększanie ochrony i widoczności sesji
  • scenariusz urządzenia niezarządzanego — udostępnianie zarządzanego pulpitu wirtualnego, do których mają uzyskiwać dostęp niezarządzane urządzenia (na przykład osobiste urządzenia pracowników) i/lub urządzenia zarządzane przez partnera/dostawcę.
  • scenariusz zabezpieczeń administratora — konsolidowanie ścieżek administracyjnych i/lub zwiększanie zabezpieczeń przy użyciu dostępu just in time, monitorowania sesji i rejestrowania oraz podobnych możliwości.

Zachowanie gwarancji bezpieczeństwa od urządzenia źródłowego i konta aż do interfejsu zasobów wymaga zrozumienia profilu ryzyka pośrednictwa oraz możliwości jego łagodzenia.

Szansa i wartość osoby atakującej

Różne typy pośredniczące wykonują unikatowe funkcje, dzięki czemu wymagają innego podejścia do zabezpieczeń, chociaż istnieją pewne krytyczne podobieństwa, takie jak szybkie stosowanie poprawek zabezpieczeń do urządzeń, oprogramowania układowego, systemów operacyjnych i aplikacji.

Możliwość atakującego jest reprezentowana przez dostępną powierzchnię ataków, którą operator ataków może kierować do następujących celów:

• Natywne usługi chmurowe, takie jak Microsoft Entra PIM, Azure Bastion i serwer proxy aplikacji Microsoft Entra, oferują ograniczoną powierzchnię narażoną na ataki. Chociaż są one narażone na publiczny Internet, klienci (i osoby atakujące) nie mają dostępu do podstawowych systemów operacyjnych zapewniających usługi i są one zwykle utrzymywane i monitorowane spójnie za pośrednictwem zautomatyzowanych mechanizmów u dostawcy usług w chmurze. Ta mniejsza powierzchnia ataków ogranicza dostępne opcje dla osób atakujących w porównaniu z klasycznymi aplikacjami lokalnymi i urządzeniami, które należy skonfigurować, zastosować poprawki i monitorować przez personel IT, którzy są często przeciążeni konfliktem priorytetów i większej liczby zadań zabezpieczeń, niż mają czas na ukończenie.
• wirtualnych sieci prywatnych (VPN) i pulpitów zdalnych pulpitów zdalnych / serwery przesiadkowe często mają znaczącą szansę atakującego, ponieważ są one narażone na Internet w celu zapewnienia dostępu zdalnego, a konserwacja tych systemów jest często zaniedbana. Chociaż mają tylko kilka portów sieciowych, osobom atakującym wystarczy dostęp do jednej niezałatanej usługi, aby przeprowadzić atak.
• usługi PIM/PAM innych firm są często hostowane lokalnie lub jako maszyna wirtualna w infrastrukturze jako usługa (IaaS) i są zwykle dostępne tylko dla hostów intranetowych. Chociaż nie jest bezpośrednio dostępny w Internecie, pojedyncze naruszone poświadczenie może umożliwić atakującym dostęp do usługi za pośrednictwem sieci VPN lub innego nośnika zdalnego dostępu.

Wartość atakującego reprezentuje, co atakujący może uzyskać, kompromitując pośrednika. Naruszenie zabezpieczeń jest definiowane jako osoba atakująca uzyskująca pełną kontrolę nad aplikacją/maszyną wirtualną i/lub administratorem wystąpienia klienta usługi w chmurze.

Składniki, które osoby atakujące mogą zbierać od pośrednika na następnym etapie ataku, to:

• Uzyskaj łączność sieciową, aby komunikować się z większością lub wszystkimi zasobami w sieciach przedsiębiorstwa. Ten dostęp jest zwykle zapewniany przez sieci VPN i rozwiązania związane z zdalnym pulpitem lub serwerem przesiadkowym. Chociaż usługi Azure Bastion i microsoft Entra application proxy (lub podobne rozwiązania innych firm) zapewniają również dostęp zdalny, te rozwiązania są zazwyczaj połączeniami aplikacji lub serwera i nie zapewniają ogólnego dostępu do sieci
• Podszywanie się pod tożsamość urządzenia — może pokonać mechanizmy zerowego zaufania, jeśli urządzenie jest wymagane do uwierzytelniania i/lub może być używane przez atakującego do pozyskiwania informacji wywiadowczych na docelowych sieciach. Zespoły ds. operacji zabezpieczeń często nie monitorują aktywności konta urządzenia i koncentrują się tylko na kontach użytkowników.
• Kradzież poświadczeń konta do uwierzytelniania w zasobach, które są najcenniejszym zasobem dla osób atakujących, ponieważ oferuje możliwość podniesienia uprawnień dostępu do ich ostatecznego celu lub następnego etapu ataku. Pulpit zdalny / serwery Jump i rozwiązania PIM/PAM są najbardziej atrakcyjnymi celami i mają dynamiczne podejście „Wszystkie jaja w jednym koszyku” ze zwiększoną wartością atrakcyjną dla atakujących oraz środkami zaradczymi w zakresie bezpieczeństwa:
  • Rozwiązania PIM/PAM zazwyczaj przechowują poświadczenia dla większości lub wszystkich uprzywilejowanych ról w organizacji, co czyni je wysoce atrakcyjnym celem do skompromitowania lub wykorzystania w ataku.
  • Microsoft Entra PIM nie daje atakującym możliwości kradzieży poświadczeń, ponieważ odblokowuje przywileje już przypisane na podstawie uwierzytelniania wieloskładnikowego lub innych przepływów pracy, ale źle zaprojektowany przepływ pracy może umożliwić atakującemu eskalację uprawnień.
  • Serwery zdalnego pulpitu / Jump używane przez administratorów zapewniają host, przez który przechodzą wiele lub wszystkie poufne sesje, umożliwiając atakującym użycie standardowych narzędzi do kradzieży i ponownego użycia poświadczeń.
  • Sieci VPN mogą przechowywać poświadczenia w rozwiązaniu, co daje atakującym potencjalną skarbnicę możliwości eskalacji uprawnień, prowadząc do stanowczego zalecenia używania Microsoft Entra ID do uwierzytelniania w celu zminimalizowania tego ryzyka.

Profile zabezpieczeń pośrednich

Ustanowienie tych gwarancji wymaga połączenia mechanizmów kontroli zabezpieczeń, z których niektóre są wspólne dla wielu pośredników, a niektóre z nich specyficzne dla typu pośrednika.

Pośrednik to link w łańcuchu Zero Trust, który przedstawia interfejs użytkownikom/urządzeniom, a następnie umożliwia dostęp do następnego interfejsu. Mechanizmy kontroli zabezpieczeń muszą obsługiwać połączenia przychodzące, zabezpieczenia pośredniego urządzenia/aplikacji/usługi, a (jeśli ma to zastosowanie) zapewniają sygnały zabezpieczeń Zero Trust dla następnego interfejsu.

Typowe mechanizmy kontroli zabezpieczeń

Wspólne elementy zabezpieczeń dla pośredników koncentrują się na utrzymaniu dobrej praktyki bezpieczeństwa dla przedsiębiorstw i wyspecjalizowanych poziomów bezpieczeństwa, z dodatkowymi ograniczeniami w zakresie zabezpieczeń uprawnień.

Te mechanizmy kontroli bezpieczeństwa powinny być stosowane do wszystkich rodzajów pośredników:

• Egzekwuj zabezpieczenia połączeń przychodzących — użyj Microsoft Entra ID i dostępu warunkowego, aby upewnić się, że wszystkie połączenia przychodzące z urządzeń i kont są znane, zaufane i dozwolone. Aby uzyskać więcej informacji, zobacz artykuł Zabezpieczanie uprzywilejowanych interfejsów, aby uzyskać szczegółowe definicje wymagań dotyczących urządzeń i kont dla przedsiębiorstw i wyspecjalizowanych.
• Właściwa konserwacja systemu — wszyscy pośrednicy muszą przestrzegać dobrych praktyk higieny bezpieczeństwa, w tym:
  • Bezpieczna konfiguracja — postępuj zgodnie z punktami odniesienia konfiguracji zabezpieczeń producenta lub branży oraz najlepszymi rozwiązaniami dotyczącymi aplikacji i wszystkich podstawowych systemów operacyjnych, usług w chmurze lub innych zależności. Zalecenia firmy Microsoft obejmują Azure Security Baseline i Windows Baselines.
  • szybkie stosowanie poprawek — aktualizacje zabezpieczeń i poprawki od dostawców muszą być stosowane szybko po wydaniu.
• Role-Based Modele kontroli dostępu (RBAC) mogą być nadużywane przez atakujących w celu eskalacji uprawnień. Model RBAC (kontroli dostępu opartej na rolach) podmiotu pośredniczącego musi być dokładnie sprawdzony, aby zagwarantować, że tylko autoryzowani pracownicy, chronieni są na poziomie wyspecjalizowanym lub uprzywilejowanym, mają przyznane uprawnienia administracyjne. Ten model musi zawierać wszystkie podstawowe systemy operacyjne lub usługi w chmurze (hasło konta głównego, użytkownicy/grupy administratora lokalnego, administratorzy dzierżawy itp.).
• Wykrywanie i reagowanie urządzeń końcowych (EDR) oraz sygnały zaufania dla ruchu wychodzącego — urządzenia zawierające pełny system operacyjny powinny być monitorowane i chronione za pomocą EDR, takiego jak Microsoft Defender for Endpoint. Ta kontrolka powinna być skonfigurowana w celu zapewnienia sygnałów zgodności urządzeń do dostępu warunkowego, aby zasady mogły wymuszać to wymaganie dla interfejsów.

Uprzywilejowani pośrednicy wymagają dodatkowych mechanizmów kontroli zabezpieczeń:

• Role-Based Kontrola dostępu (RBAC) — prawa administracyjne muszą być ograniczone tylko do uprzywilejowanych ról spełniających ten standard dla stacji roboczych i kont.
• dedykowane urządzenia (opcjonalne) — ze względu na skrajną wrażliwość sesji uprzywilejowanych organizacje mogą zdecydować się na zaimplementowanie dedykowanych instancji funkcji pośredniczących dla ról uprzywilejowanych. Ta kontrola umożliwia dodatkowe ograniczenia zabezpieczeń dla tych uprzywilejowanych pośredników i bliższe monitorowanie działań ról uprzywilejowanych.

Wskazówki dotyczące zabezpieczeń dla każdego typu pośredniczącego

Ta sekcja zawiera konkretne wskazówki dotyczące zabezpieczeń unikatowe dla każdego typu pośrednika.

Zarządzanie Dostępem Uprzywilejowanym / Zarządzanie Tożsamością Uprzywilejowaną

Jednym z typów pośredników przeznaczonych jawnie dla przypadków użycia zabezpieczeń jest uprzywilejowane zarządzanie tożsamościami /uprzywilejowane zarządzanie dostępem (PIM/PAM).

Przypadki użycia i scenariusze dla usługi PIM/PAM

Rozwiązania PIM/PAM mają na celu zwiększenie bezpieczeństwa poufnych kont, które byłyby objęte wyspecjalizowanymi lub uprzywilejowanymi profilami, i zwykle koncentrują się na administratorach IT.

Chociaż funkcje różnią się między dostawcami usługi PIM/PAM, wiele rozwiązań zapewnia możliwości zabezpieczeń:

• Uproszczenie zarządzania kontami usług i rotacji haseł (niezwykle ważna funkcja)

• Zapewnia zaawansowane przepływy pracy dla dostępu "just in time" (JIT)

• Rejestrowanie i monitorowanie sesji administracyjnych

  Ważny

  Możliwości usługi PIM/PAM zapewniają doskonałe środki zaradcze w przypadku niektórych ataków, ale nie dotyczą wielu zagrożeń związanych z uprzywilejowanym dostępem, zwłaszcza ryzyka naruszenia zabezpieczeń urządzeń. Podczas gdy niektórzy dostawcy opowiadają się za tym, że ich rozwiązanie PIM/PAM jest "srebrnym punktorem", które może ograniczyć ryzyko związane z urządzeniem, nasze doświadczenie w badaniu zdarzeń klientów stale udowodniło, że nie działa to w praktyce.

  Osoba atakująca z kontrolą stacji roboczej lub urządzenia może użyć tych poświadczeń (i przypisanych do nich uprawnień), gdy użytkownik jest zalogowany (i często może ukraść poświadczenia do późniejszego użycia). Samo rozwiązanie PIM/PAM nie może spójnie i niezawodnie widzieć i ograniczać ryzyka związane z tym urządzeniem, więc musisz mieć dyskretne zabezpieczenia urządzeń i kont, które uzupełniają się nawzajem.

Zagrożenia bezpieczeństwa i zalecenia dotyczące usługi PIM/PAM

Możliwości poszczególnych dostawców usługi PIM/PAM różnią się w zależności od sposobu ich zabezpieczenia, dlatego przejrzyj i postępuj zgodnie z zaleceniami dotyczącymi konfiguracji zabezpieczeń i najlepszymi rozwiązaniami dostawcy.

Wirtualne sieci prywatne użytkownika końcowego

Wirtualne sieci prywatne (VPN) to pośrednicy, którzy zapewniają pełny dostęp do sieci dla zdalnych punktów końcowych, zazwyczaj wymagają uwierzytelnienia użytkownika końcowego i mogą przechowywać poświadczenia lokalnie w celu uwierzytelniania przychodzących sesji użytkowników.

Przypadki użycia i scenariusze dla sieci VPN

Sieci VPN ustanawiają zdalną łączność z siecią przedsiębiorstwa, aby umożliwić dostęp do zasobów użytkownikom i administratorom.

Zagrożenia bezpieczeństwa i zalecenia dotyczące sieci VPN

Najważniejsze zagrożenia dla pośredników sieci VPN są związane z zaniedbaniem konserwacji, problemami z konfiguracją i lokalnym magazynem poświadczeń.

Firma Microsoft zaleca połączenie mechanizmów kontroli dla pośredników sieci VPN:

• Integracja uwierzytelniania Microsoft Entra — aby zmniejszyć lub wyeliminować ryzyko lokalnego przechowywania poświadczeń (i wszelkie obciążenia związane z ich konserwacją) oraz wymusić zasady zerowego zaufania na kontach i urządzeniach z dostępem warunkowym. Aby uzyskać wskazówki dotyczące integracji, zobacz
  • Azure VPN Microsoft Entra integracja
  • Włączanie uwierzytelniania Microsoft Entra w bramie sieci VPN
  • Integrowanie sieci VPN innych firm
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect i Captive Portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • i więcej
• szybkie stosowanie poprawek — upewnij się, że wszystkie elementy organizacyjne obsługują szybkie stosowanie poprawek, w tym:
  • Sponsoring organizacyjny i wsparcie kierownictwa w zakresie wymagań
  • standardowe procesy techniczne aktualizacji sieci VPN przy minimalnym lub zerowym przestoju. Ten proces powinien obejmować oprogramowanie sieci VPN, urządzenia i wszelkie podstawowe systemy operacyjne lub oprogramowanie układowe
  • procesy awaryjne w celu szybkiego wdrażania krytycznych aktualizacji zabezpieczeń
  • Zarządzania, aby stale odnajdywać i korygować wszystkie pominięte elementy
• Bezpieczna konfiguracja — możliwości poszczególnych dostawców sieci VPN różnią się w zależności od sposobu ich zabezpieczenia, dlatego przejrzyj i postępuj zgodnie z zaleceniami dotyczącymi konfiguracji zabezpieczeń i najlepszymi rozwiązaniami dostawcy
• Idź dalej niż VPN — z czasem zastąp sieci VPN bardziej bezpiecznymi opcjami, takimi jak proxy aplikacji Microsoft Entra lub usługa Azure Bastion, ponieważ zapewniają one bezpośredni dostęp tylko do aplikacji/serwera, zamiast pełnego dostępu do sieci. Ponadto serwer proxy aplikacji Entra firmy Microsoft umożliwia monitorowanie sesji w celu zapewnienia dodatkowych zabezpieczeń za pomocą usługi Microsoft Defender for Cloud Apps.

Proxy aplikacji Microsoft Entra

Serwer proxy aplikacji Microsoft Entra i podobne funkcje oferowane przez firmy trzecie zapewniają zdalny dostęp do aplikacji starszych oraz innych aplikacji hostowanych na lokalnych serwerach lub na maszynach wirtualnych IaaS w chmurze.

Przypadki użycia i scenariusze dla aplikacyjnego serwera proxy Microsoft Entra

To rozwiązanie jest odpowiednie do publikowania starszych aplikacji zwiększających produktywność użytkowników końcowych dla autoryzowanych użytkowników przez internet. Można go również użyć do publikowania niektórych aplikacji administracyjnych.

Zagrożenia bezpieczeństwa i zalecenia dotyczące serwera proxy aplikacji firmy Microsoft Entra

Aplikacyjny serwer proxy Microsoft Entra skutecznie dopasowuje nowoczesne wymuszanie zasad Zero Trust do istniejących aplikacji. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące zabezpieczeń serwera proxy aplikacji firmy Microsoft Entra

Serwer proxy aplikacji Entra firmy Microsoft może również integrować się z usługą Microsoft Defender for Cloud Apps, aby dodać zabezpieczenia sesji kontroli dostępu warunkowego do:

• Zapobieganie eksfiltracji danych
• Ochrona podczas pobierania
• Zapobieganie przekazaniu plików bez etykiet
• Monitorowanie sesji użytkowników pod kątem zgodności
• Blokuj dostęp
• Blokuj działania niestandardowe

Aby uzyskać więcej informacji, zobacz Wdrażanie Defender dla aplikacji w chmurze: kontrola dostępu warunkowego dla aplikacji Microsoft Entra

Podczas publikowania aplikacji za pośrednictwem serwera proxy aplikacji Microsoft, firma Microsoft zaleca, aby właściciele aplikacji pracowali z zespołami ds. zabezpieczeń, stosowali zasadę najmniejszych uprawnień i zapewnili dostęp do każdej aplikacji wyłącznie użytkownikom, którzy go potrzebują. W miarę wdrażania większej liczby aplikacji w ten sposób można zrównoważyć użycie sieci VPN dla punktu końcowego użytkownika końcowego.

Pulpit zdalny/serwer przesiadkowy

Ten scenariusz zapewnia pełne środowisko pulpitu z uruchomioną co najmniej jedną aplikacją. To rozwiązanie ma wiele różnych odmian, w tym:

• Doświadczenia – pełny pulpit w oknie lub doświadczenie projekcji pojedynczej aplikacji
• Zdalny host. Może być to udostępniona maszyna wirtualna lub dedykowana maszyna wirtualna pulpitu, korzystająca z Windows Virtual Desktop (WVD) lub innego rozwiązania infrastruktury pulpitu wirtualnego (VDI).
• urządzenia lokalnego — może to być urządzenie przenośne, zarządzana stacja robocza lub stacja robocza zarządzana przez partnera
• Scenariusz — skoncentrowany na aplikacjach zwiększających produktywność użytkowników lub w scenariuszach administracyjnych, często nazywanych "serwerem przesiadkowym"

Przypadki użycia i zalecenia dotyczące zabezpieczeń dla pulpitu zdalnego/serwera przesiadkowego

Najbardziej typowe konfiguracje to:

• Protokół RDP (Direct Remote Desktop Protocol) — ta konfiguracja nie jest zalecana w przypadku połączeń internetowych, ponieważ RDP to protokół, który ma ograniczoną ochronę przed nowoczesnymi atakami, takimi jak spray haseł. Bezpośredni protokół RDP należy przekonwertować na jeden z następujących:
  • Protokół RDP za pośrednictwem bramy opublikowanej przez serwer proxy aplikacji firmy Microsoft Entra
  • Azure Bastion
• Protokół RDP przy użyciu bramy
  • Usługi pulpitu zdalnego (RDS) zawarte w systemie Windows Server. Publikowanie za pomocą serwera proxy aplikacji Entra firmy Microsoft.
  • Windows Virtual Desktop (WVD) — postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń usługi Windows Virtual Desktop.
  • Zewnętrzne VDI — postępuj zgodnie z najlepszymi praktykami producenta lub branży albo dostosuj poradniki WVD do swojego rozwiązania
• Serwer Secure Shell (SSH) — zapewnia zdalny dostęp powłoki i skryptów dla działów technologii i właścicieli procesów roboczych. Zabezpieczanie tej konfiguracji powinno obejmować następujące elementy:
  • Zgodnie z najlepszymi rozwiązaniami branżowymi/producentami, aby bezpiecznie je skonfigurować, zmienić wszelkie domyślne hasła (jeśli ma to zastosowanie) i używać kluczy SSH zamiast haseł oraz bezpiecznie przechowywać klucze SSH i zarządzać nimi.
  • Użyj usługi Azure Bastion dla protokołu SSH do zasobów hostowanych na platformie Azure — Aby połączyć się z maszyną wirtualną z systemem Linux przy pomocy usługi Azure Bastion.

Azure Bastion

Usługa Azure Bastion to pośrednik, który jest przeznaczony do zapewnienia bezpiecznego dostępu do zasobów platformy Azure przy użyciu przeglądarki i witryny Azure Portal. Usługa Azure Bastion zapewnia zasoby dostępu na platformie Azure, które obsługują protokoły RDP (Remote Desktop Protocol) i Secure Shell (SSH).

Przypadki użycia i scenariusze dla usługi Azure Bastion

usługa Azure Bastion efektywnie udostępnia elastyczne rozwiązanie, które może być używane przez pracowników działu operacji IT i administratorów obciążeń spoza DZIAŁU IT do zarządzania zasobami hostowanymi na platformie Azure bez konieczności pełnego połączenia sieci VPN ze środowiskiem.

Zagrożenia bezpieczeństwa i zalecenia dotyczące usługi Azure Bastion

Usługa Azure Bastion jest dostępna za pośrednictwem portalu Azure, dlatego upewnij się, że interfejs portalu Azure wymaga odpowiedniego poziomu zabezpieczeń dla znajdujących się w nim zasobów i ról, które z niego korzystają, zazwyczaj na poziomie uprzywilejowanym lub wyspecjalizowanym.

Dodatkowe wskazówki są dostępne w dokumentacji usługi Azure Bastion

Następne kroki

• Zabezpieczanie uprzywilejowanego dostępu — omówienie
• strategia dostępu uprzywilejowanego
• Mierzenie sukcesu
• poziomy zabezpieczeń
• konta dostępu uprzywilejowanego
• interfejsy
• urządzeniach z dostępem uprzywilejowanym
• modelu dostępu Enterprise