Udostępnij przez

Zabezpieczanie wszystkich najemców i ich zasobów (Initiatywa Bezpieczna Przyszłość)

Nazwa filaru: Ochrona dzierżaw i izolowanie systemów produkcyjnych
Nazwa wzorca: Zabezpieczanie wszystkich dzierżaw i ich zasobów

Aby zmniejszyć ryzyko bezpieczeństwa nieśledzonych dzierżaw i braku widoczności, firma Microsoft wdrożyła wzorzec 'Zabezpiecz wszystkie dzierżawy i ich zasoby'. Zapewnia to kompleksowy nadzór i bezpieczeństwo we wszystkich dzierżawach, zgodnie z zasadami zero trust.

Kontekst i problem

Pierwszym krokiem w zabezpieczeniach najemcy jest identyfikacja. Bez kompletnego spisu zabezpieczenia i ład nie mogą zakończyć się powodzeniem. Wiele organizacji nie ma wglądu w aktywne, starsze i ukryte dzierżawy, pozostawiając nieśledzone środowiska podatne do wykorzystania.

Firma Microsoft znacząco zainwestowała w identyfikację i katalogowanie wszystkich klientów w swoich środowiskach. Obejmuje to instancje produkcyjne, testowe/związane z produktywnością oraz efemeryczne. Bez niezawodnego odkrywania i zarządzania cyklem życia, nawet pozornie niskiego ryzyka klienci mogą stać się infrastrukturą w tle — niemonitorowaną, niezaktualizowaną i wykorzystywaną jako punkty dostępu dla osób atakujących.

Kluczowe zagrożenia obejmują:

  • Przejścia boczne z nieprodukcyjnego do dzierżawy produkcyjnej.
  • Przestarzałe lub nieaktywne dzierżawy bez podstaw zabezpieczeń ani mechanizmów kontroli cyklu życia.
  • Wspólne tajniki i błędne konfiguracje umożliwiające ponowne wykorzystanie poświadczeń w dzierżawach.

Rozwiązanie

W ramach inicjatywy Secure Future Initiative (SFI) firma Microsoft wdrożyła cel zabezpieczenia wszystkich dzierżawców i ich zasobów przez egzekwowanie zasad bazowych dla dzierżawców, zarządzanie cyklem życia i standaryzację zabezpieczeń we wszystkich środowiskach chmurowych.

  • Ustandaryzowana biblioteka rejestrowania zabezpieczeń: zapewnia spójne przechwytywanie danych między usługami, zmniejszając luki w obserwacji.
  • Scentralizowane zbieranie dzienników: wyspecjalizowane konta badaczy zapewniają ujednolicony dostęp do dzienników między usługami, upraszczając korelację i przyspieszając badania.
  • Rozszerzone przechowywanie dzienników: dzienniki inspekcji są przechowywane przez maksymalnie dwa lata w usługach firmy Microsoft, aby umożliwić prowadzenie śledztw sądowych dotyczących długoterminowych wzorców ataków.
  • Zaawansowana analiza wykrywania: integracja modeli opartych na uczeniu maszynowym i sztucznej inteligencji poprawia wykrywanie złożonych technik ataków i zmniejsza liczbę wyników fałszywie dodatnich.
  • Rozszerzone rejestrowanie klientów: firma Microsoft zwiększyła standardowe przechowywanie dzienników inspekcji dla klientów platformy Microsoft 365 do 180 dni z opcjami dłuższego przechowywania.

Podejście firmy Microsoft obejmuje:

  • Punkty odniesienia zabezpieczeń: wstępnie skonfigurowane szablony zabezpieczeń użytkowników w celu zapewnienia spójności i przyspieszenia wzmocnienia ochrony.
  • Klasyfikacja tenantów i zarządzanie cyklem życia: Kategoryzowanie tenantów według celów (produkcja, produktywność, pomocnicza, efemeryczna) i stosowanie domyślnych kontroli odpowiednio. 
  • Wymuszanie dostępu warunkowego: zarządzanie uwierzytelnianiem i autoryzacją na dużą skalę, w tym dzierżawami efemerycznymi i kontami niezarządzanymi.
  • Bezpieczne stacje robocze administratora (SAW): urządzenia izolowane sprzętowo oddzielające uprzywilejowany dostęp od produktywności.
  • Monitorowanie i analiza: Scentralizowane dane zabezpieczeń za pośrednictwem dzienników inspekcji, oceny bezpieczeństwa firmy Microsoft i integracji z usługą Defender.
  • Zarządzanie tajemnicami i izolacja poświadczeń: uniemożliwia udostępnianie tajemnic między dzierżawcami i stosowanie uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji.
  • Zapobieganie ruchom bocznym: Zapobiegano ruchowi bocznemu przez izolowanie dzierżaw produkcyjnych i nieprodukcyjnych.
  • Starsze i nieaktywne dzierżawy: Zlikwidowane starsze i nieaktywne dzierżawy przez audyty cyklu eksploatacji.
  • Widoczność stanu: Ulepszona widoczność stanu dzięki wskaźnikowi bezpieczeństwa w całej floty dzierżawy.
  • Rozrost tenantów: Zredukowano rozrost tenantów i wprowadzono ścisłe kontrole dotyczące tworzenia nowych tenantów.

Kroki te zapewniają, że wszystkie dzierżawy — niezależnie od celu lub źródła — są widoczne, zarządzane i chronione, zgodnie z zasadami Zero Trust.

Wskazówki

Organizacje mogą przyjąć podobny wzorzec, korzystając z następujących praktyk z możliwością działania:

Przypadek użycia Zalecana akcja Resource
Podstawowe mechanizmy kontroli zabezpieczeń Zastosuj domyślne ustawienia zabezpieczeń firmy Microsoft we wszystkich dzierżawach, a następnie rozszerz je o punkty odniesienia usługi Microsoft 365 Lighthouse na potrzeby wzmacniania zabezpieczeń w skali przedsiębiorstwa.
Dostęp warunkowy
  • Wdrażaj podstawowe zasady dostępu warunkowego: blokowanie uwierzytelniania starszego typu, wymaganie dla wszystkich użytkowników uwierzytelniania wieloskładnikowego oraz egzekwowanie zgodności urządzeń dla ról uprzywilejowanych.
  • Rozszerzaj się przy użyciu polityk opartych na ryzyku i świadomości lokalizacyjnej.
Zarządzanie dostępem uprzywilejowanym Użyj usługi Privileged Identity Management (PIM) dla trybu just in time (JIT) i just-enough-access (JEA), aby zminimalizować stałe uprawnienia administratora.
Izolacja dzierżawy
  • Oddzielaj dzierżawy produkcyjne i nieprodukcyjne.
  • Wyeliminuj współużytkowane konta administratora i rejestracje aplikacji w różnych środowiskach.
  • Zastosuj odrębne bazowe wytyczne dostępu warunkowego dla każdego typu dzierżawy.
Monitorowanie i wykrywanie zagrożeń
  • Połącz usługę Microsoft Defender for Identity (lokalne sygnały usługi AD) z usługą Microsoft Entra ID Protection (sygnały ryzyka oparte na chmurze).
  • Scentralizowane monitorowanie w celu wykrywania ruchu bocznego, kradzieży tokenu i nietypowego zachowania logowania.

Korzyści

  • Ustandaryzowane wzmacnianie: Bazowe zabezpieczenia zapewniają, że wszyscy najemcy spełniają minimalne standardy ochrony.
  • Zmniejszona powierzchnia ataku: Starsze, nieużywane i ukryte zasoby są systematycznie wycofywane.
  • Ulepszony nadzór: Centralny spis i klasyfikacja obsługują ciągłą zgodność i nadzór.
  • Kontrolowany dostęp: Dostęp warunkowy, kontrola dostępu oparta na rolach (RBAC) i uwierzytelnianie wieloskładnikowe (MFA) chroni tożsamości i ogranicza ryzyko związane z udostępnianiem zewnętrznym.
  • Rozszerzone wykrywanie i reagowanie: Zintegrowane dane i dzienniki zabezpieczeń zapewniają widoczność we wszystkich dzierżawach.

Kompromisy

Zaimplementowanie tego podejścia wymaga:

  • Ustanawianie scentralizowanej własności polityk cyklu życia lokatora. 
  • Inwestycje w automatyzację (aplikacja domyślnych zasad, przepływy pracy związane z wygasaniem).
  • Możliwa ponowna architektura modeli dostępu (np. oddzielanie modeli prod/non-prod). Wdrażanie rozwiązania SAW wprowadza początkową złożoność i koszty urządzeń.
  • Szkolenie i egzekwowanie wymagane do wyeliminowania nielegalnych najemców i ponownego użycia danych uwierzytelniających.

Kluczowe czynniki sukcesu

Aby śledzić powodzenie, zmierz następujące kwestie:

  • Procent najemców z wymuszonymi podstawami zabezpieczeń
  • Liczba zlikwidowanych dzierżawców starych lub ukrytych
  • Zakres scentralizowanego raportowania danych inwentarzowych i zgodności
  • Procent tożsamości z włączoną funkcją MFA
  • Poprawa wskaźnika bezpieczeństwa w metrykach wskaźnika bezpieczeństwa firmy Microsoft
  • Liczba zablokowanych prób uwierzytelniania w starszej wersji lub nieautoryzowanych zdarzeń udostępniania

Podsumowanie

Zabezpieczanie wszystkich klientów i ich zasobów jest podstawą filarów SFI firmy Microsoft: Bezpieczeństwo poprzez projektowanie, Bezpieczne domyślnie i Zabezpieczone operacje.

Dzięki zasadom bazowym, ładowi cyklu życia i ciągłemu nadzorowi organizacje mogą zmniejszyć ryzyko, wymusić spójne zabezpieczenia i zapobiec podważaniu zabezpieczeń infrastruktury w tle. Na dużą skalę zapewnia to bezpieczeństwo każdej tożsamości, punktu dostępu i dzierżawy zgodnie z projektem.

  • Last updated on