【Azure云】Microsoft Entra IDaaS在Azure上的安全操作

该体系结构展示了安全运营中心（SOC）团队如何将Microsoft Entra身份和访问功能整合到整体集成和分层的零信任安全战略中。

当所有服务和设备都包含在组织中的托管网络中时，网络安全主导了SOC操作。然而，Gartner预测，到2022年，云服务的市场规模将以几乎是整体IT服务的三倍的速度增长。随着越来越多的公司接受云计算，人们开始将用户身份视为主要的安全边界。

确保云中身份的安全是一个高度优先事项。

• Verizon 2020年的数据泄露调查报告指出，37%涉及使用被盗凭据，22%的数据泄露涉及网络钓鱼。
• 2019年IBM对数据泄露事件的一项研究报告称，全球数据泄露的平均成本为390万美元，而美国的平均成本接近820万美元。
• 微软2019年安全情报报告报告称，2018年1月至12月，网络钓鱼攻击增加了250%。

零信任安全模型将所有主机视为面向互联网，并认为整个网络可能受到威胁和敌意。这种方法侧重于构建强身份验证（AuthN）、授权和加密，同时还提供分区访问和更好的操作灵活性。

Gartner推出了一种自适应安全体系结构，用预防-检测-响应预测模型取代了基于事件响应的策略。自适应安全性将访问控制、行为监控、使用管理和发现与持续监控和分析相结合。

微软网络安全参考体系结构（MCRA）描述了微软的网络安全能力，以及它们如何与现有的安全体系结构集成，包括使用微软身份即服务（IDaaS）的云和混合环境。

本文提出了IDaaS的零信任自适应安全方法，重点介绍了Microsoft Entra平台上可用的组件。

潜在用例

• 设计新的安全解决方案
• 增强或与现有实施集成
• 教育SOC团队

架构

Microsoft Entra相关的安全功能

下载此体系结构的Visio文件。

流

1. 凭据管理控制身份验证。
2. 供应和授权管理定义访问包，向用户分配资源，并推送数据以进行证明。
3. 授权引擎评估访问策略以确定访问权限。该引擎还评估风险检测，包括用户/实体行为分析（UEBA）数据，并检查端点管理的设备合规性。
4. 如果获得授权，用户或设备将根据条件访问策略和控制获得访问权限。
5. 如果授权失败，用户可以进行实时补救以解除对自己的阻止。
6. 将记录所有会话数据以进行分析和报告。
7. SOC团队的安全信息和事件管理系统（SIEM）接收来自云和本地身份的所有日志、风险检测和UEBA数据。
    

组件

以下安全过程和组件有助于此Microsoft Entra IDaaS体系结构。

凭证管理

• 凭据管理包括发布、跟踪和更新对资源或服务的访问的服务、策略和做法。Microsoft Entra凭据管理包括以下功能：
• 自助密码重置（SSPR）允许用户自助服务并重置自己丢失、遗忘或泄露的密码。SSPR不仅减少了服务台的呼叫，而且提供了更大的用户灵活性和安全性。
• 密码写回将在云中更改的密码与本地目录实时同步。
• 被禁止的密码分析遥测数据，暴露出常用的弱密码或泄露密码，并在整个Microsoft Entra ID中禁止在全球范围内使用这些密码。您可以根据您的环境自定义此功能，并在您自己的组织中包括要禁止的自定义密码列表。
• 智能锁定将合法身份验证尝试与获取未经授权访问的暴力尝试进行比较。根据默认的智能锁定策略，在10次登录尝试失败后，帐户将锁定一分钟。随着登录尝试持续失败，帐户锁定时间会增加。您可以使用策略来调整设置，以便为您的组织提供适当的安全性和可用性组合。
• 当用户试图访问受保护的资源时，多因素身份验证（MFA）需要多种形式的身份验证。大多数用户在访问资源时都熟悉使用他们知道的东西，比如密码。MFA要求用户还展示他们所拥有的东西，比如对可信设备的访问，或者他们是什么，比如生物识别标识符。MFA可以使用不同类型的身份验证方法，如电话、短信或通过验证器应用程序进行通知。
• 无密码身份验证将身份验证工作流中的密码替换为智能手机或硬件令牌、生物识别标识符或PIN。Microsoft无密码身份验证可以使用Azure资源，如Windows Hello for Business和移动设备上的Microsoft Authenticator应用程序。您还可以使用与FIDO2兼容的安全密钥启用无密码身份验证，这些密钥使用WebAuthn和FIDO联盟的客户端到身份验证程序（CTAP）协议。

应用程序配置和授权

• 授权管理是Microsoft Entra的一项身份治理功能，使组织能够大规模管理身份和访问生命周期。权限管理自动化了访问请求工作流、访问分配、审查和到期。
• Microsoft Entra设置允许您在用户需要访问的应用程序中自动创建用户标识和角色。您可以为第三方软件即服务（SaaS）应用程序（如SuccessFactors、Workday等）配置Microsoft Entra供应。
• 无缝单点登录（SSO）在用户登录到其公司设备后自动对基于云的应用程序进行身份验证。您可以将Microsoft Entra无缝SSO与密码哈希同步或直通身份验证一起使用。
• 通过Microsoft Entra访问审查进行认证有助于满足监控和审核要求。访问审查可以让你快速确定管理用户的数量，确保新员工可以访问所需的资源，或者审查用户的活动以确定他们是否仍然需要访问。

有条件访问策略和控制

条件访问策略是一个if-then语句，用于指定和访问控制。您定义了对触发策略的原因的响应（“执行此操作”）（“如果这样”），使授权引擎能够做出强制执行组织策略的决策。使用Microsoft Entra条件访问，您可以控制授权用户访问您的应用程序的方式。Microsoft Entra ID What If工具可以帮助您了解为什么应用或未应用条件访问策略，或者该策略是否适用于特定情况下的用户。

条件访问控制与条件访问策略协同工作，以帮助实施组织策略。Microsoft Entra条件访问控件允许您根据访问请求时检测到的因素来实现安全性，而不是一刀切的方法。通过将条件访问控制与访问条件相耦合，可以减少创建其他安全控制的需要。作为一个典型的示例，您可以允许加入域的设备上的用户使用SSO访问资源，但对于网络外或使用自己设备的用户，需要MFA。

Microsoft Entra ID可以将以下条件访问控件与条件访问策略一起使用：

• Azure基于角色的访问控制（RBAC）允许您为需要使用Azure资源执行管理或专门任务的用户配置和分配适当的角色。您可以使用Azure RBAC创建或维护单独的专用管理员专用帐户、对您设置的角色的范围访问、时间限制访问或通过审批工作流授予访问权限。
• 特权身份管理（PIM）允许您为管理帐户添加额外的监控和保护，从而有助于减少组织的攻击向量。使用Microsoft Entra PIM，您可以通过实时（JIT）访问和足够的管理（JEA）来管理和控制对Azure、Microsoft Entra ID和其他Microsoft 365服务中资源的访问。PIM提供管理活动的历史记录和更改日志，并在您定义的角色中添加或删除用户时提醒您。
• 您可以使用PIM要求批准或说明激活管理角色的理由。用户可以在大多数时间保持正常权限，并请求和接收完成管理或专门任务所需的角色访问权限。当他们完成工作并注销，或者访问时间限制到期时，他们可以使用标准用户权限重新进行身份验证。
• Microsoft Defender for Cloud Apps是一个云访问安全代理（CASB），用于分析流量日志，以发现和监控您的组织中正在使用的应用程序和服务。使用云应用程序的Defender，您可以：
  • 创建策略以管理与应用程序和服务的交互
  • 识别批准或未批准的应用程序
  • 控制和限制对数据的访问
  • 应用信息保护以防止信息丢失
    Defender for Cloud Apps还可以使用访问策略和会话策略来控制用户对SaaS应用程序的访问。例如，您可以：
  • 限制可以访问应用程序的IP范围
  • 应用程序访问需要MFA
  • 仅允许来自已批准应用程序的活动
• SharePoint管理中心中的访问控制页提供了几种控制对SharePoint和OneDrive内容访问的方法。您可以选择阻止访问，允许来自非托管设备的有限、仅限web的访问，或者根据网络位置控制访问。
• 通过使用Microsoft Graph API中的ApplicationAccessPolicy，可以将应用程序权限范围定为特定的Exchange Online邮箱。
• 使用条款（TOU）提供了一种呈现信息的方式，最终用户在访问受保护的资源之前必须同意这些信息。您将TOU文档以PDF文件的形式上传到Azure，然后这些文件可以作为条件访问策略中的控件使用。通过创建一个条件访问策略，要求用户在登录时同意TOU，您可以轻松审核接受TOU的用户。
• 端点管理控制授权用户如何从包括移动和个人设备在内的各种设备访问您的云应用程序。您可以使用条件访问策略将访问限制为仅限于符合某些安全和法规遵从性标准的设备。这些托管设备需要设备标识。

风险检测

Azure身份保护包括几个策略，这些策略可以帮助您的组织管理对可疑用户操作的响应。用户风险是指用户身份被泄露的可能性。登录风险是指登录请求不是来自用户的可能性。Microsoft Entra ID基于行为分析，根据来自实际用户的登录请求的概率计算登录风险分数。

• Microsoft Entra风险检测使用自适应机器学习算法和启发式方法来检测与用户帐户相关的可疑行为。每个检测到的可疑行为都存储在一个称为风险检测的记录中。Microsoft Entra ID使用这些数据计算用户和登录风险概率，并通过Microsoft的内部和外部威胁情报来源和信号进行增强。
• 您可以使用Microsoft Graph中的身份保护风险检测API来公开有关风险用户和登录的信息。
• 实时补救允许用户通过使用SSPR和MFA自我补救某些风险检测来解除锁定。

注意事项

使用此解决方案时，请记住以下几点。

日志

Microsoft Entra审核报告通过审核日志、登录日志、风险登录和风险用户报告为Azure活动提供可跟踪性。您可以根据多个参数（包括服务、类别、活动和状态）筛选和搜索日志数据。

您可以将Microsoft Entra ID日志数据路由到端点，如：

• Azure存储帐户
• Azure监视器日志
• Azure事件中心
• SIEM解决方案，如Microsoft Sentinel、ArcSight、Splunk、SumoLogic、其他外部SIEM工具或您自己的解决方案。
   

您还可以使用Microsoft Graph报告API在自己的脚本中检索和使用Microsoft Entra ID日志数据。

内部部署和混合考虑因素

身份验证方法是在混合场景中保护组织身份的关键。Microsoft提供了关于选择具有Microsoft Entra ID的混合身份验证方法的具体指导。

Microsoft Defender for Identity可以使用您的本地Active Directory信号来识别、检测和调查高级威胁、泄露的身份和恶意内部操作。身份卫士使用UEBA识别内部威胁并标记风险。即使身份被泄露，身份卫士也可以根据异常用户行为帮助识别泄露。

Defender for Identity与Defender for Cloud Apps集成，将保护扩展到云应用程序。您可以使用Defender for Cloud Apps创建会话策略，在下载时保护您的文件。例如，您可以对特定类型的用户下载的任何文件自动设置仅查看权限。

您可以在Microsoft Entra ID中配置本地应用程序以使用Defender for Cloud Apps进行实时监控。Defender for Cloud Apps使用条件访问应用程序控件根据条件访问策略实时监控会话。您可以将这些策略应用于在Microsoft Entra ID中使用应用程序代理的本地应用程序。

Microsoft Entra应用程序代理允许用户从远程客户端访问本地web应用程序。使用应用程序代理，您可以在一个位置监视应用程序的所有登录活动。

您可以使用Defender for Identity with Microsoft Entra ID Protection来帮助保护通过Microsoft Entra Connect同步到Azure的用户身份。

如果您的一些应用程序已经使用现有的交付控制器或网络控制器来提供离网访问，您可以将它们与Microsoft Entra ID集成。包括Akamai、Citrix、F5 Networks和Zscaler在内的多个合作伙伴提供与Microsoft EntraID集成的解决方案和指导。

成本优化

Microsoft Entra的定价范围从SSO和MFA等功能的免费到PIM和权利管理等功能的高级P2。有关定价详细信息，请参阅Microsoft Entra定价。

接下来的步骤

• Zero Trust security
• Zero Trust Deployment Guide for Microsoft Entra ID
• Overview of the security pillar
• Microsoft Entra demo tenant (requires a Microsoft Partner Network account), or Enterprise Mobility + Security free trial
• Microsoft Entra deployment plans

• Azure IoT reference architecture
• COVID-19 safe environments with IoT Edge monitoring and alerting
• Security considerations for highly sensitive infrastructure as a service (IaaS) apps in Azure