Zero Trust Administrator - Beskytt priviligert tilgang i dag!



Samtidig som våre samhandlingsløsninger i Microsoft 365 og datasenter tjenester i Azure er mer tilgjengelig enn noen gang for brukerne, er administrasjonsløsningene som sørger for tilgang, forvaltning og administrasjon like enkelt tilgjengelig for administrator kontoer.

Jeg holdt nylig et foredrag på Scottish Summit 2021 hvor jeg snakket om hvorfor du skal tenke null tillit / zero trust for administratorer og beskytte tilgangen for alle priviligerte kontoer i dag. Du kan se foredraget i sin helhet nederst i denne blogg posten, men jeg tenkte jeg skulle skrive litt om hvorfor dette er så viktig først.

Zero Trust prinsipper

Det blir stadig snakket om Zero Trust som en viktig del av moderne IT sikkerhet. Zero Trust er hverken en Microsoft løsning eller en status man kan være, som i "nå er vi Zero Trust". Det er et tankesett, en visjon og modningsreise for hvordan organisasjoner bør fokusere innsats og tiltak for sin IT sikkerhet for å få god nok sikkerhet og trygghet til å møte de truslene den står ovenfor.

Det er 3 hovedprinsipper i Zero Trust:

Zero Trust Prinsipper

Disse prinsippene bør også være førende for hvordan organisasjoner bør beskytte sine administratorkontoer og privilegert tilgang. Mange organisasjoner har i dag (altfor) mange administrative brukere, eller eksterne leverandører, konsulenter og partnere, som er Global Administrator eller har eier/skriverettigheter til en Azure Subscription. 

Global Administrator er den nye Domain Admin.

Der hvor man før hadde perimeter beskyttelse for sitt interne domene, og dermed hadde begrenset sårbarhet for tilgang til interne tjenester som domenetjenester, er selve grunnlaget for dagens moderne sikkherhetsplattform i Microsofts skyløsninger, Azure Active Directory, tilgjengelig fra alle enheter for de som disponerer en administrativ konto eller har blitt tildelt en administrativ rolle.  

I tillegg har det blitt mer vanlig å gå fra å bruke dedikerte admin-brukere for intern administrasjon av servere og domene, til å bruke sin ene vanlige sluttbruker til også administrator roller i Microsoft 365, Azure AD og Azure. Dette gjelder også for de eksterne konsulentene og leverandørene din organisasjon samarbeider med.

Så hvordan kan vi med utgangspunkt i Zero Trust prinsippene ta et tilsvarende tankesett for administrativ tilgang?

Verifiser alltid


Sørg for at administrator kontoer og priviligert tilgang alltid er beskyttet med en smart autentisering og autorisering via policier som krever MFA (Multi-Faktor Autentisering) og signaler som hvilken lokasjon du logger på fra, hvilken enhet du benytter, hvilken administrasjonstjeneste og om det er noen risiko forbundet med påloggingen. 
 

Minimer privilegert tilgang


Benytt løsninger som begrenser administrator tilgang med just-in-time (JIT) og just-enough-access (JEA), sørg for at priviligert tilgang ikke gis hvis administrator brukerene eller enheten er antatt å være under risiko eller har kjente sårbarheter.
 

Anta brudd


Begrens eksponeringen av administrative tjenester slik at eventuelle sikkerhetsbrudd isoleres til den enkelte tjeneste, og at ikke angripere kan bevege seg horisontalt mellom ulike administrative tjenester. Segmenter tilgang for nettverk, bruker, enhet og administrativ tjeneste og bruk tjenester som oppdager, varsler og gir innsikt i sikkerhetsbrudd.
 

Tiltakene du bør starte med I DAG!


Det aller første du bør gjøre hvis du ikke allerede har gjort det er å sørge for at alle administrative brukere er beskyttet med krav om MFA. Egentlig burde alle brukere ha MFA krav påslått uansett, enten de har administrative privilegier eller ikke, men i alle fall administrator kontoene må ha dette på plass nå i dag.

Her er en kort sjekkliste over de viktigste tiltakene hvis du bruker gratis versjonen av Azure Active Directory:
  1. Slå på Security Defaults
  2. Dette vil sørge for at alle brukere må registrere seg for MFA. 
  3. Administratorer i 9 viktige admin roller som Global Administrator m.fl. (se linken for detaljer) vil bli automatisk påkrevd MFA.
  4. Legacy Authentication vil bli blokkert. 
  5. Alle brukere vil bli påkrevd MFA for risiko basert innlogging.
  6. Brukere som aksesserer Azure Portalen, Azure PowerShell eller Azure CLI for å gjøre priviligerte oppgaver vil bli påkrevd MFA.

Security Defaults passer ikke for alle organisasjoner, da du ikke kan gjøre unntak fra standard policiene som vil vil gjelde for alle. De fleste organisasjoner har behov for en mer granulert sikkerhetspolicy, noe som krever lisensiert funksjonalitet. Hvis du har Azure AD Premium P1 eller P2, EMS E3 eller E5, eller Microsoft 365 E3 eller E5, så anbefaler vi at du gjør disse tiltakene:
 
  1. Ta utgangspunkt i anbefalingene for opprettelse av Common Conditional Access Policies, som vil ta utgangspunkt i tilsvarende som Security Defaults men vil gi muligheten for tilpasning og unntak.
  2. Opprett Emergency Access Accounts slik at du ikke blir låst ute av sikkerhetspolicien.
  3. Opprett policy for å kreve MFA for Administratorer.
  4. Opprett policy for å kreve MFA for Azure management (Azure Portal, PowerShell, CLI).
  5. Opprett policy for kreve MFA for alle brukere.
  6. Opprett policy for å blokkere legacy autentisering.
I tillegg anbefales det at hvis organisasjonen har P2 / EMS E5 / M365 E5 å følge veiledningen for å etablere policy for sign in risk og user risk conditional access.

Med disse tiltakene på plass er din organisasjon på god vei til å følge Zero Trust prinsippet om "Verifiser alltid", og Azure AD vil kun utstede tilgang til autoriserte tjenester og kontinuerlig evaluere risiko signaler, noe som et stykke på vei vil imøtegå Zero Trust prinsippet om "Anta brudd".

Men hva med prinsippet om "Minimer privilegert tilgang"?
 

Azure AD Privileged Identity Management


Microsoft sin løsning Azure Active Directory Privileged Identity Management (PIM) er anbefalt løsning for å ta kontroll over administrative roller og privilegier i Azure AD, Microsoft 365 og Microsoft Azure. Denne krever Premium P2 (EMS E5 eller M365 E5) men vil for mange være verdt investeringen på grunn av funksjonaliteten løsningen tilbyr. Har du ikke lisensen anbefaler vi at du prøver gratis trial for ikke minst å få innsikt og kontroll over dine administrator roller og priviligert tilgang i dag.

De viktigste funksjonalitetene som Azure AD PIM gir er:
 
  • Gir just-in-time privilegert tilgang til Azure AD (inkludert Microsoft 365) og Azure ressurser ved at roller kan tildeles som "eligible" og ikke aktive. Dette reduserer angrepsflaten betraktelig ved at brukere ikke er permanente administratorer, kun ved behov.
  • Tidsavgrenset tildeling til ressurser med start og slutt dato. Dette er veldig nyttig for eksempel eksterne konsulenter eller prosjektdeltagere mm.
  • Muligheten til å kreve Approval for å aktivere roller.
  • Påkreve MFA for å aktivere roller.
  • Be om begrunnelse for aktivering eller tildeling av roller.
  • Få varsler når roller blir aktivert.
  • Gjennomføre Access Reviews, slik at organisasjonen kan verifisere behov for fortsatt tilgang.
  • Tilgang til audit historikk og innsikt.

Jeg snakket varmt og lenge (45 minutter) om Azure AD PIM under Scottish Summit 2021 nylig, så se gjerne på opptaket her hvis du vil vite mer.


 

Uavhengig av om du ser på linkene over, ser på videoen over eller tar kontakt med oss i Skill for tips og råd for å beskytte dine administrator kontoer eller privilegier, så er det aller viktigste at dette gjøres og det må gjøres nå! Dette temaet er så viktig at det har sin selvfølgelig plass i Digital Trygghet fra Skill.
Publiser en kommentar