Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Identitet er en vigtig sikkerhedsperimeter. Ethvert brud kan give ondsindede brugere adgang til dine apps, data og forretningsaktiviteter.
Organisationer, der er afhængige af Azure Active Directory og Active Directory til at styre cloud- og on-premise identiteter, skal vide, at det er vitalt at sikre disse.
Men det er en kompleks og tidskrævende opgave.
Især hybride miljøer er tit udsat for fejl og fejlkonfigurationer, som åbner døren for cyberangreb. Ved at kompromittere dit on-premise Active Directory er det let for cyberkriminelle at gå videre til Azure AD – og vice versa. Det er SolarWinds-angrebet et godt eksempel på.
Udfordringerne ved at sikre hybride identiteter er helt anderledes end dem, der findes i on-prem miljøet. Så hvis I bruger Azure AD og Microsoft Office 365, så vær særligt opmærksomme på følgende:
Laterale angreb fra on-premise AD
Cyberkriminelle bruger ofte phishing- og social engineering-angreb på sårbare brugere og franarrer dem følsomme oplysninger, herunder identitetsoplysninger, som ved SolarWinds- og Colonial Pipeline-angrebene. Her overtog de kriminelle kontrollen med on-premise AD, forfalskede SAML-tokens og fik adgang til Azure AD.
For at sikre jeres hybride identiteter og afværge angreb skal I bruge multifaktorgodkendelse. Stjålne identitetsoplysninger kan bruges af de cyberkriminelle i lang tid uden at blive opdaget.
Det er ikke alle overvågningssystemer, der markerer usædvanlig kontoaktivitet, så et ekstra beskyttelseslag er vigtigt.
Dernæst er det vigtigt at forstå, at moderne hybrid identitetsstyring kræver sikkerhedskontroller ud over dem, der er tilgængelige i en traditionel ADFS-implementering. Active Directory Federation Services (ADFS) er en komponent, der installeres på en Windows Server, og som via Single Sign-on simplificerer adgangs-processerne, så der er hurtig adgang til de valgte systemer og applikationer.
Vedligeholdelse af den nødvendige infrastruktur til at hoste ADFS indebærer egne risici, herunder manglende patches, forældet hardware osv.
Overvej i stedet AD Pass-through Authentication, som gør det muligt at bruge den samme adgangskode til at logge ind på både on-prem- og cloud-applikationer.
Med denne tilgang bruges kun udgående forbindelser og certifikatbaseret godkendelse til at uddelegere godkendelsesprocessen til den lokale on-prem AD, hvilket giver et mere sikkert alternativ til ADFS.
I kan også integrere AD Pass-through Authentication med andre Azure AD-sikkerhedsforanstaltninger for at beskytte mod infiltrationer og tyveri af legitimationsoplysninger – og synkronisere AD password hashes til Azure AD.
Overvej også Azure AD Application Proxy. Her bruges Azure AD-legitimationsoplysninger til at konfigurere sikker fjernadgang til programmer, der hostes lokalt og giver samme brugeroplevelse som ethvert Azure AD-integreret program.
Konfigurationsforstyrrelser og kompleksitet
Hybrid identitetsbeskyttelse komplicerer arbejdet, uanset om du er AD-administrator, identitetsekspert eller sikkerhedsekspert. Trusler udvikler sig hele tiden, og det er en tidskrævende opgave at låse adgangen til dine Tier 0-aktiver – herunder AD og Azure AD. Men hvis det forsømmes, og I rammes af et cyberangreb, kommer I til at bruge lang tid på at genoprette AD.
Brug af Azure AD til godkendelse af tredjepartsapplikationer øger kompleksiteten i sikkerhedsmodellen. I nogle tilfælde kan disse apps læse og lagre data fra Azure AD, hvilket udvider risikorammen og gør datasikkerheden afhængig af den tredjepartsapplikation, som Azure AD integreres med.
Et andet muligt svagt punkt er niveauet af tilladelser, der gives til applikationer i Azure AD.
Hvis I ikke omhyggeligt gennemgår tilladelsesindstillingerne, før I giver adgang, kan disse apps ende med at have flere tilladelser i Azure AD, end de har brug for.
Dette øger risikoen for, at programmerne ændrer i AD. Ydermere er der sikkerhedsforanstaltninger, for eksempel multifaktorgodkendelse, som ikke fungerer i alle applikationer, og dermed er I afhængige af applikationens egne sikkerhedskontroller. Her er, hvad du kan gøre for at stramme adgangen:
Streng styring og regelmæssig revision af tilladelser, så I ved, hvor der skal ske yderligere begrænsninger, er alfa og omega. Få styr på alle løse ender og sørg for, at I har det rigtige sæt roller aktiveret i Azure AD, auditér applikationernes tilladelsesindstillinger og stram op på sikkerhedskonfigurationerne. Brug multifaktorgodkendelse.
Evaluér hvordan I administrerer role-based access control (RBAC). Tildelingen af roller i Azure AD adskiller sig fra traditionel AD-adgangshåndtering, så overvej nøje, hvordan roller defineres, og tilladelser tildeles.
Følg princippet om mindste privilegier. Tilføj ikke konti, som er synkroniseret fra on-prem AD til Azure AD, til en privilegeret RBAC-rolle, som f.eks. globale administratorer.
Reservér disse meget privilegerede roller til oprindelige Azure AD-konti. I kan også oprette administrative enheder i Azure AD. Med denne funktion kan I begrænse de objekter, som it-teamet kan administrere via en specifik RBAC-rolle, hvilket yderligere understøtter mindste privilegier.
Fejlkonfigurationer og andre sikkerhedssårbarheder
Fejlkonfigurationer og sikkerhedssårbarheder i jeres identitetsstyringsløsning åbner døren for cyberkriminelle. Azure AD består af administrerede tjenester, hvor Microsoft administrerer sikkerheden for den underliggende infrastruktur i skyen.
Men sikkerheden for dine data og Azure AD-konfigurationen er dit ansvar.
Under et cyberangreb kan hackerne ændre eller slette brugere, grupper, roller, politikker for betinget adgang osv. Medmindre I har en ordentlig genoprettelsesplan, kan I se frem til en ødelæggende og langvarig indvirkning. Der er kun få indbyggede kontroller til at beskytte data eller konfigurationer i Azure AD mod at blive overskrevet under et angreb.
En håndsrækning, der gør det lidt mindre kompliceret at sikre hybrid identitet, er papirkurven i AD. Den indeholder en funktion til blød sletning, som kan hjælpe dig med at gendanne slettede brugere. Denne funktion har dog minimale muligheder for at gendanne noget efter 30 dage.
Andre former for kompromittering kan være vanskelige at opdage og afhjælpe, især hvis hackerne bevæger sig lateralt fra on-prem AD til skyen. Ud over de indbyggede sikkerhedsforanstaltninger bør I se på værktøjer, der via avancerede funktioner kan hjælpe med at spore angreb, som går på tværs af hybride miljøer har funktioner, der kan spore ændringer og automatisk beskytte mod stjålne legitimationsoplysninger og hackere.
Uanset så skal I altid have en proaktiv, gennemtestet genoprettelsesplan for Active Directory og Azure AD.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
