Безопасность с нулевым доверием: подход Microsoft

Что это за Zero Trust, о котором все говорят в наши дни? Под каким камнем все время скрывался этот термин? Что вообще означает Zero Trust?

Концепция «Нулевого доверия» или концепции, которые включает в себя «Нулевое доверие», вовсе не нова. Во время Иерихонского форума в 2003 году обсуждался термин депериметризация — способы защиты границ данных и систем организации путем удаления границы между внешними сетями и организацией и защиты ее на нескольких этапах с использованием комбинации безопасных протоколов, шифрования и несколько уровней аутентификации.

Поставщики, отличные от Microsoft, также приняли Zero Trust, и этот принцип не является исключительным для облачных провайдеров.

Не так много лет назад у нас было только локальное размещение данных, когда небольшой или незначительно небольшой объем данных покидал защищенные организационные сети. Сегодня ситуация с безопасностью совершенно другая: данные больше не хранятся на файловых серверах и настольных компьютерах, а хранятся на ноутбуках, планшетах, мобильных телефонах, в карманах и рюкзаках работников, блуждая за пределами того, что когда-то воспринималось как безопасность организационных границ.

В модели или концепции нулевого доверия вместо того, чтобы верить, что все, что находится за корпоративным брандмауэром, безопасно, мы считаем, что каждый запрос на доступ и не заслуживает доверия. Мы действуем так, как будто каждый запрос исходит из ненадежной, неконтролируемой сети, независимо от того, откуда исходит запрос или к какому ресурсу он обращается. Мы используем сегментацию и наименее привилегированный доступ, чтобы смягчить боковое перемещение, гарантируя, что каждый запрос на доступ аутентифицирован, авторизован и проверен.

В настоящее время нам нужна модель безопасности, которая может эффективно адаптироваться к современной сложной архитектуре среды, включая мобильные устройства, перемещаемые данные и пользователей, которая защищает каждый объект, где бы он ни находился, кем бы он ни был. Данные, приложения, устройства, люди — стратегия Zero Trust предназначена для того, чтобы подвергать сомнению все и защищать всех.

Существует три основных принципа стратегии Zero Trust:

1. Допустим нарушение. Убедитесь, что все сеансы и запросы используют сквозное шифрование. Используйте сегментацию доступа для устройств, сетей и пользователей, чтобы предотвратить или уменьшить горизонтальное перемещение. Внедрите аналитику угроз, чтобы получить представление и повысить прозрачность.
2. Подтвердить явно. Внедрите комплексную аутентификацию и авторизацию во всех точках данных, включая идентификацию пользователя, риск пользователя и входа в систему, состояние и работоспособность устройства, классификацию данных и местоположение.
3. Используйте наименее привилегированный доступ. Ограничьте доступ пользователей и привилегированный доступ с помощью достаточного администрирования и своевременного администрирования (JEA, JIT), условных политик или политик на основе рисков, а также политик и технологий защиты данных.

Что еще более важно, подход «Нулевого доверия» включает автоматическое применение политик безопасности для обеспечения соответствующего поведения во всей организации. На этой диаграмме Microsoft показаны компоненты Zero Trust Security. Посмотреть исходную страницу можно здесь.

Microsoft определяет несколько компонентов модели Zero Trust, которые заслуживают нашего внимания в плане безопасности. Каждая из этих частей лежит в основе подхода к безопасности и является источником сигналов и плоскостью управления безопасностью:

1. Идентичности. Сегодня идентичности — это не просто люди, а устройства и услуги.
2. Конечные точки. Непрерывный мониторинг работоспособности и безопасности устройств имеет решающее значение, от персональных устройств и устройств IoT до серверов и настольных компьютеров.
3. Приложения. Облачные или локальные приложения и API нуждаются в управлении доступом, аналитике использования, мониторинге и безопасной настройке.
4. Данные. Защита данных имеет основополагающее значение. Нам необходимо обеспечить безопасность данных, когда они находятся в движении или в состоянии покоя, на устройствах или когда они покидают инфраструктуру и приложения.
5. Инфраструктура. Локальная или облачная инфраструктура также заслуживает надлежащей безопасности. Ограничение и контроль доступа с помощью своевременного и достаточного административного мониторинга аномального поведения или использования автоматизации для сокращения времени реагирования на рискованное поведение.
6. сети. Сегментация сетей с использованием подсетей, нескольких сетей, определяемых пользователем маршрутов, сквозного шифрования, мониторинга и аналитики.

Эта диаграмма от Microsoft иллюстрирует концепцию применения политики Zero Trust Security. Посмотреть исходную страницу можно здесь.

Итак, какие продукты Microsoft мы должны использовать для реализации стратегии Zero Trust? Что ж, у разных организаций будут разные подходы к внедрению методологии нулевого доверия к безопасности просто потому, что ни одна организация не является одинаковой, не использует одни и те же продукты и не имеет одинаковой архитектуры инфраструктуры. Но принципы все те же. Рассмотрим один подход.

Подход с нулевым доверием должен начинаться с защиты удостоверений, когда каждый запрос на доступ одинаково обрабатывается и проверяется с использованием строгой аутентификации удостоверения. Microsoft Azure Active Directory (Azure AD) — это решение для управления идентификацией и безопасным доступом (IAM), поддерживающее многофакторную аутентификацию (MFA), где добавление второго фактора в процесс аутентификации может уменьшить проблемы с потерянными или утечками паролей. Чтобы сделать аутентификацию еще более надежной, мы можем использовать аутентификацию без пароля с помощью мобильного приложения аутентификации или токена FIDO2 для еще лучшей защиты. На этой схеме от Microsoft показано, как работает условный доступ Azure AD. Посмотреть исходную страницу можно здесь.

Azure Active Directory не только обеспечивает надежную проверку подлинности, но и предоставляет условный доступ для анализа сигналов или условий пользователей, устройств, местоположений, а также автоматизации и применения политик доступа к ресурсам во всей организации. На снимке экрана показан мастер политики условного доступа Azure AD:

Контроль доступа пользователей основан на оценке нескольких факторов, таких как риск пользователя, риск входа в систему, тип используемых устройств и платформ, места, откуда запрашивается доступ, или состояние устройства. После оценки всех сигналов условный доступ Azure AD может предоставить доступ, разрешить доступ при определенных условиях или заблокировать доступ к запрошенным ресурсам.

В случае, если законный пользователь запрашивает доступ к корпоративным ресурсам, но запрос исходит от скомпрометированного устройства или риск входа в систему указывает на невозможные поездки, может быть запрошена многофакторная проверка подлинности или пользователю может быть отказано в доступе.

Условный доступ Azure AD — это, пожалуй, самый прямой и наглядный пример подхода «не доверять никому», «явно проверять» с нулевым доверием к безопасности.

Своевременное и достаточное администрирование предназначено не только для подхода с нулевым доверием к инфраструктуре, но и для защиты удостоверений. На снимке экрана показано, как настроить JIT-доступ к ВМ ASC:

Центр безопасности Azure — это единая система управления безопасностью инфраструктуры, которая предоставляет информацию о состоянии безопасности и практические рекомендации в Azure, локальных и сторонних облачных рабочих нагрузках. Cloud Workload Protection (CWP) Центра безопасности Azure, или Защитник Azure, обеспечивает интеллектуальную защиту рабочих нагрузок в гибридных рабочих нагрузках и предлагает своевременный доступ к виртуальным машинам. Настраиваемые параметры включают порт, протокол, исходные IP-адреса или блоки CIDR, а также максимальное время запроса, разрешенное для доступа к виртуальной машине.

Управление привилегированными пользователями Azure AD (Azure AD PIM), напротив, управляет параметрами JIT и JEA для удостоверений Azure AD. Он позволяет администраторам безопасности ограничивать доступ пользователей к привилегированным ролям, обнаруживать пользователей с назначенными привилегированными ролями и выполнять проверки привилегированного доступа. Azure AD PIM обеспечивает своевременный привилегированный доступ к Azure AD и ресурсам Azure, активирует MFA для активации роли, использует обоснование для отслеживания и понимания пользовательских активаций, предоставляет журнал аудита и многое другое.

Для защиты конечных точек и устройств, обнаружения и устранения сложных атак на конечные точки Microsoft Defender для конечной точки поддерживает операционные системы Microsoft Windows от Windows 7 до Windows Server 2019, Android, macOS и Linux.

Многие организации борются с теневыми ИТ и неизвестными и несанкционированными облачными приложениями. Для обнаружения приложений, используемых в корпоративных сетях, и борьбы с «невидимым и неизвестным врагом» — то есть попытками контролировать доступ к сторонним приложениям или «теневым» облачным приложениям — ИТ-отделам нужен брокер безопасности облачных приложений (CASB). К счастью, Microsoft Cloud App Security — это решение CASB, которое тесно интегрируется с другими продуктами из портфолио Microsoft. Его каталог рисков содержит более 16 000 приложений, которые оцениваются по более чем 80 факторам риска, что помогает ИТ-отделам и специалистам по безопасности принимать правильные решения при оценке рисков приложений.

Упомянутые здесь продукты и функции — это лишь верхушка айсберга в масштабном сценарии безопасности с нулевым доверием. Вы можете использовать некоторые или все указанные продукты и, конечно же, некоторые другие, такие как Microsoft Endpoint Manager, Microsoft Defender для идентификации, Microsoft Defender для Office 365, политики предотвращения потери данных (DLP), BitLocker, Azure Policy, Azure Sentinel, Azure Blueprints, шаблоны ARM, защита от DDoS-атак Azure, брандмауэр веб-приложений Azure, брандмауэр Azure, группы безопасности сети или группы безопасности приложений.

Независимо от того, что вы используете, убедитесь, что вы следуете трем основным принципам нулевого доверия: предполагайте нарушение, проверяйте явным образом и используйте наименее привилегированный доступ.