支柱名称:保护租户并隔离生产系统
模式名称:保护所有租户及其资源
为了降低未跟踪租户的安全风险和缺乏可见性,Microsoft实现了所有租户及其资源安全模式。 这可确保在所有租户中全面治理和安全性,并符合零信任原则。
上下文和问题
租户安全性的第一步是发现。 如果没有完整的清单,安全性和治理将无法成功。 许多组织缺乏对活动租户、旧租户和影子租户的可见性,使未跟踪的环境容易受到利用。
Microsoft在识别和编录其环境中的所有租户方面投入了大量资金。 这包括生产、生产力/测试和临时租户。 即使是看似低风险的租户如果没有可靠的发现和生命周期治理,也可能会成为影子基础结构——未被监控、未加以修补,容易被利用为攻击跳板。
主要风险包括:
- 从非生产到生产租户的横向移动。
- 没有安全基线或生命周期管理控制的过时或非活动的租户。
- 共享秘密和配置错误导致凭据在不同租户间的重复使用。
解决方案
作为安全未来计划(SFI)的一部分,Microsoft通过强制实施租户基线、管理生命周期管理以及标准化其云环境中的保护来实现安全的所有租户及其资源目标。
- 标准化的安全日志记录库:确保跨服务捕获一致的数据,减少可观测性差距。
- 集中式日志收集:专门的调查人员帐户提供对跨服务日志的统一访问,简化关联并加快调查速度。
- 延长日志保留期:审核日志在Microsoft服务中保留长达两年,以便对长期攻击模式进行取证调查。
- 高级检测分析:机器学习和 AI 支持的模型的集成可改进复杂攻击技术的检测并减少误报。
- 扩展的客户日志记录:Microsoft将Microsoft 365 客户的标准审核日志保留期增加到 180 天,并提供了更长保留期的选项。
Microsoft的方法包括:
- 安全基线:预配置租户安全模板,以确保一致性并加速强化。
- 租户分类和生命周期治理:按目的(生产、生产力、辅助、临时)对租户进行分类,并相应地应用默认控件。
- 条件访问强制实施:大规模管理身份验证和授权,包括临时租户和非托管帐户。
- 安全管理工作站(SAWs):将特权与生产力访问分离的硬件隔离设备。
- 监视和分析: 通过审核日志、Microsoft 安全评分和 Defender 集成集中安全数据。
- 机密管理和凭据隔离:防止租户之间共享机密并强制实施防钓鱼 MFA。
- 横向移动防护: 通过隔离生产租户和非生产租户来防止横向移动。
- 旧租户和非活动租户: 通过生命周期审核退役旧租户和非活动租户。
- 姿态可见性: 通过租户群中的安全评分提升了姿态可见性。
- 租户蔓延: 减少租户蔓延,并强制严格控制新租户创建。
这些步骤可确保所有租户(无论用途或来源如何)都可见、受治理和保护,并符合零信任原则。
Guidance
组织可以使用以下可作的做法采用类似的模式:
| 用例 | 建议的措施 | Resource |
|---|---|---|
| 基线安全控制 | 在所有租户中应用 Microsoft 安全默认配置,然后使用 Microsoft 365 Lighthouse 基线进行扩展,以便进行企业级别的强化。 | |
| 条件性访问 |
|
|
| 特权访问管理 | 将 Privileged Identity Management(PIM)用于及时(JIT)和适度访问(JEA),以最大程度地减少持久管理员权限。 | |
| 租户隔离 |
|
|
| 监视和威胁检测 |
|
好处
- 标准化强化: 安全基线可确保所有租户都满足最低保护阈值。
- 减少攻击面: 旧租户、影子租户和未使用的租户被系统性地停用。
- 改进的治理: 集中库存和分类支持持续合规性和监督。
- 受控访问: 条件访问、基于角色的访问控制(RBAC)和多重身份验证(MFA)保护标识并限制外部共享风险。
- 增强的检测和响应: 集成的安全数据和日志可跨所有租户提供可见性。
折衷权衡
实现此方法需要:
- 建立租户生命周期策略的集中所有权。
- 对自动化(默认策略应用程序、过期工作流)的投资。
- 访问模型可能的重新架构设计(例如,分离 prod/non-prod)。 SAW 的采用引入了初步的设备复杂性和成本。
- 消除影子租户和凭据重用所需的培训和强制措施。
关键成功因素
若要跟踪成功,请测量以下内容:
- 具有强制安全基线的租户百分比
- 已停用的旧租户或影子租户数
- 集中库存和合规性报告的覆盖范围
- 启用了 MFA 的身份百分比
- Microsoft安全功能分数指标的安全评分改进
- 阻止的旧式身份验证尝试或未经授权的共享事件的数量
概要
保护所有租户及其资源是Microsoft SFI 基石:设计安全、默认安全和安全运营。
借助基线策略、生命周期治理和持续监督,组织可以降低风险,实施一致的保护,并防止影子基础结构破坏安全性。 在大规模环境下,这从设计上确保每个身份、接入点和租户的安全。